IDX Innovadeluxe

✅ Agência de comércio eletrónico especialista em PrestaShop e Shopify. Concebemos e desenvolvemos lojas online e estratégias de marketing para Ecommerce.

Banner GDPR

Como já deves ter ouvido, em 25 de Maio entra em vigor a GDPR na Espanha, ou segundo as suas siglas em espanhol, o RGPD. Para não nos confundir: a nova Lei de Proteção de Dados da União Europeia.

Pode-se dizer que a GDPR é uma lei que “completa” a LOPD. É muito mais exigente, pois procura assegurar uma melhor proteção e serviço aos utilizadores, que terão todo o poder sobre a cessão das suas informações pessoais. Numa palavra: busca a transparência.

Isso afetará muito as empresas digitais, porque hoje em dia tudo se baseia em dados. É precisamente por isso que esta lei surgiu: para melhorar o armazenamento, processamento, acesso, transferência e divulgação dos registros de dados dos utilizadores ou clientes.

E tu, como ecommerce, és obrigado a cumpri-lo. É por isso que é importante que não percas uma única vírgula dos aspetos chave da nova lei que te explicamos abaixo:

GDPR RGPD Europa

O que é a GDPR e quais são as minhas obrigações digitais a partir de 25 de Maio de 2018?

Aqui estão alguns dos pontos mais importantes sobre a nova Lei de Proteção de Dados, e então explicaremos alguns deles com mais detalhes. Mas acima de tudo, lembra-te que se tiveres alguma dúvida, é melhor consultar um advogado. Mais vale prevenir do que remediar!

Considera se precisas de nomear um Responsável pela Proteção de Dados

Ele estará encarregado de lidar com eles. Se são quantidades muito grandes, dados variados, sensíveis… é evidente que não seria supérfluo. Também deve saber a forma adequada de protegê-los, como por exemplo através de pseudonímia e criptografia.

Identifica quem é responsável por esses dados

O utilizador ou cliente precisa saber quem é a pessoa responsável pelos seus dados, bem como porquê e com que finalidade estão a ser recolhidos, pois é a esta pessoa a quem se pode dirigir para solicitar a revogação dos seus dados, por exemplo.

E outro ponto muito importante: se houver uma quebra de segurança e os dados tiverem sido expostos, devem existir procedimentos para notificar os clientes do que aconteceu. E é preciso poder provar que a pessoa responsável tem tomado conta da segurança e privacidade desses dados.

Qual é a finalidade do processamento desses dados?

Sempre, sempre, tens que explicar claramente ao teu cliente para que propósito vais coletar e processar os dados dele. E qual é a base legal para este processamento. Mais uma vez, claramente!

Notifica quem terá acesso aos dados

Em outras palavras, deves informar todos os terceiros (serviços de terceiros) que terão acesso a esses dados: o teu alojamento, empresas parceiras se houver, a plataforma de e-mail com a qual os gerencias, etc.

Por quanto tempo posso manter os dados?

Deixa claro por quanto tempo vais manter os seus dados pessoais (e com que finalidade). Não os podes manter para sempre na tua Base de Dados, apenas durante a duração do processamento dos dados para o serviço oferecido. Se não há um limite de tempo exato, então explica os critérios que estás a seguir.

O teu cliente tem o controlo dos dados

Um dos pontos mais importantes desta nova lei é que os utilizadores ou clientes devem estar conscientes dos seus direitos em relação à gestão dos seus dados e, sobretudo, ter acesso fácil à retificação ou ao direito de serem esquecidos.

As obrigações contratuais devem ser claramente indicadas

Se for estritamente necessário que dêem a sua aprovação ao processamento de dados para poderem beneficiar de um serviço, é necessário que o declares claramente. Ou dito de outra forma: se não forneceres os seus dados, o que pode acontecer, como é que isso o influencia ou prejudica dentro do serviço?

O cliente deve ser informado sobre tudo

Por exemplo, uma coisa que normalmente fazemos se temos um ecommerce é criar um buyer persona. Se fizeres isso de forma automatizada, também deves avisar que existem processos que podem usar os seus dados para esse fim. Ou a existência de qualquer outro processo automático.

Além disso, o utilizador deve sempre informá-los se a finalidade do processamento de dados mudar.

E só podes levar os dados de que precisas: se não estiverem relacionados com o serviço que vais oferecer, não os deves pedir.

O consentimento do cliente para o processamento dos dados deve estar registrado

Coletarás o consentimento expresso e credenciável dos utilizadores. Este ponto é discutido mais adiante.

A Agência de Proteção de Dados disponibiliza gratuitamente a Ferramenta Facilita para a GDPR na Espanha, destinada a empresas que processam dados pessoais de baixo risco (dados pessoais de clientes, fornecedores ou recursos humanos)

GDPR RGPD datos personales

O que faço com as listas e processamento de dados que já tenho?

Este é outro dos pontos mais importantes e aquele em que surgem mais dúvidas. Estou a recolher dados de clientes e utilizadores há meses, anos, vou perdê-los? Não necessariamente. Mas tens que rever as tuas listas anteriores, assim como os sistemas de captura de dados do site e suas ferramentas associadas.

Os clientes que já te forneceram dados ao abrigo da LOPD, mas que não cumprem as diretrizes da GDPR na Espanha, têm de dar o seu consentimento expresso para o processamento dos seus dados. Caso contrário, não poderás usá-los.

Por exemplo, antes de 25 de Maio podes enviar um e-mail informando os teus clientes sobre o novo regulamento e indicando os dados que tens, para que os estás a utilizar, como os revogar, etc. E eles podem dizer-te se aceitam ou não expressamente estes usos.

O mesmo acontece com um ecommerce: se já foi dito aos clientes que os seus dados serão utilizados na loja e para que fins – e, mais importante, podes provar que tens o seu consentimento informado – não tens de fazer nada. Caso contrário, voltamos ao parágrafo anterior.

GDPR e o direito à portabilidade

Por falar em dados que já possuis, o cliente pode exercer o direito à portabilidade dos dados desde que sejam dados que estejam sendo processados de forma automatizada. E, em princípio, apenas os dados fornecidos no site serão transferidos, não as segmentações derivadas do processamento posterior de tais dados.

Em qualquer caso, de acordo com a GDPR, o que se deve fazer é fornecer os dados “num formato estruturado, de uso corrente e de leitura mecânica” (um arquivo Excel, por exemplo; não há muitos mais utilizados do que isso) para que o cliente possa transmiti-lo facilmente ao responsável do outro provedor.

Tem até o direito de ter “os dados pessoais transmitidos diretamente de responsável para responsável, quando tecnicamente possível.

A verdade é que esta é uma questão complexa, e aconselhamos que leias estas orientações da Agência de Proteção de Dados para obter todas as informações de que necessitas.

GDPR e os teus utilizadores: privacidade e consentimento são fundamentais

Como terás visto nos parágrafos anteriores, a nova lei de proteção de dados depende muito do consentimento do cliente para o uso das suas informações, e da transparência. Vale a pena, portanto, deter-se um pouco sobre este ponto.

Todas as informações relacionadas com o processamento dos seus dados devem ser acessíveis e fáceis de entender. E não esquecendo que o consentimento para o processamento de dados deve ser revogável a qualquer momento que o cliente assim o desejar. E de uma forma fácil, sem “vertigens”.

Deve informá-lo de absolutamente tudo o que fazes com as informações que te está a fornecer: o utilizador tem o poder. E para que o utilizador possa consentir com algo e para que seja legal, tem que ser claro sobre o que é esse algo. Só então pode dar-te o consentimento expresso e específico que pedes. Não há consentimento implícito ou dado por adquirido.

E muito importante: deves ser capaz de provar que obtiveste tal consentimento, caso tenhas uma inspeção. Por exemplo, seria muito importante que tivesses um registro de todos os consentimentos adquiridos na tua plataforma de e-mail marketing.

No mínimo, os dados que deveriam ser incluídos neste registro seriam, por exemplo:

  • data em que o consentimento foi dado
  • o IP a partir do qual foi dado o consentimento
  • o URL a partir do qual o consentimento foi dado
  • o endereço de e-mail do cliente
  • o nome do cliente

No caso de haver uma quebra de segurança e os dados do utilizador terem sido expostos, deves ter procedimentos em vigor para notificá-los, dentro de 72 horas, do que aconteceu, e ser capaz de provar que tens garantido a segurança e privacidade desses dados.

checklist gdpr rgpd

Os teus formulários de ecommerce adaptados à nova lei de dados da UE

Para o correcto cumprimento da nova lei ou GDPR, cada formulário que tenha uma finalidade específica: assinatura, informação, etc., deve ser adaptado à recolha específica e consentimento de tais dados, informando especificamente o cliente sobre a sua utilização.

Já não podes colocar a caixa típica para incluir o e-mail e um botão ao lado dele dizendo “Envia para mim”, “Quero-o”, porque não estás a explicar nada lá. E lembra-te que a base desta nova lei de proteção de dados é a transparência.

Não pode haver caixas de verificação por padrão, mas tens que colocar uma lista de verificação de consentimento. Normalmente no final do formulário, pouco antes de o cliente enviar os seus dados pessoais.

Agora digamos que não tens nenhum formulário, apenas um e-mail de contato para quem quer ou precisa escrever para ti. Então, desde que não estejas a pedir informações pessoais, será suficiente ter um breve texto legal na secção de assinatura do e-mail (no qual deverás também indicar quem é responsável pelos dados e as secções correspondentes ao GDPR)

gdpr penalizaciones

Quais são as penalidades para o não cumprimento do GDPR?

Tenho a certeza que esta foi uma das primeiras coisas que viste. E deves ter notado que as multas são muito mais altas sob o GDPR do que sob a LOPD.

Anteriormente, as penalidades podiam ser leves, gravs e muito graves. Nos termos da nova lei europeia de proteção de dados, as multas são divididas em dois intervalos: graves e muito graves, dependendo dos artigos do regulamento que as contêm.

As penalidades graves podem variar de 600.000 a 10.000.000 euros e serão as relacionadas com isso:

  • As obrigações do controlador e da pessoa encarregada
  • As obrigações das autoridades certificadoras
  • As obrigações do organismo de supervisão

Sanções muito graves podem chegar a 20.000.000 euros e serão as relacionadas com as mesmas:

  • Os princípios básicos relativos ao processamento de dados. É aqui que se contempla o consentimento correto do utilizador, razão pela qual é tão importante cumprir com todos os requisitos.
  • Os direitos dos clientes ou utilizadores. Este é outro ponto que temos enfatizado muito: a transparência, o acesso aos dados pessoais, o direito de ser esquecido, as decisões individuais automatizadas…
  • Transferências de dados pessoais para um destinatário localizado num país terceiro ou uma organização internacional.

Além disso, cada Estado é livre de impor sanções penais a tais infrações.

Mas não é apenas o estado que pode multá-lo: o próprio utilizador, se os seus dados foram violados, também pode apresentar uma reclamação e podes até pagar-lhe uma indenização. Um aspeto que não foi contemplado na LOPD.

Como podes ver, tens muito em jogo e é essencial que tomes as medidas necessárias para cumprir a lei.

Instala este módulo GDPR na tua loja Prestashop

Ficou claro como é importante que o teu ecommerce colete dados corretamente. E dizemos-te como podemos ajudar.

Graças ao nosso módulo GDPR de prestashop que podes instalar na tua loja virtual, haverá um popup a avisar-te da entrada em vigor desta nova lei, e que se encarregará da parte técnica do processamento de dados:

  • Aceitação das condições de privacidade no formulário Newsletter.
  • Aceitação das condições de privacidade no formulário de Contato.
  • Aceitação das condições de privacidade no formulário de Inscrição.
  • Possibilidade de eliminar contas de clientes se ainda não existirem encomendas ou faturas
  • É mantido um registo com as informações necessárias de todos os consentimentos obtidos.
  • Se o cliente já tivesse dado o seu consentimento à antiga LOPD, ao entrar na loja, vai ser-lhe pedido que aceite também a GDPR, caso contrário não poderá continuar a utilizar a loja.
  • O cliente poderá verificar a data em que deu o seu consentimento a partir do seu painel de clientes.
  • O cliente pode solicitar a eliminação de todos os seus dados da loja (desde que não existam encomendas ou faturas em curso emitidas, uma vez que isso não seria legal)

O próprio blog do Prestahsop recomenda o nosso módulo, disponível aqui. Se tiveres alguma dúvida, entra em contato connosco e vamos ajudar-te com o que precisares.

Quanto à parte administrativa e jurídica, como indicámos no início do posto, lembra-te que se tiveres alguma dúvida deves consultar um advogado. A Agência Espanhola de Proteção de Dados tem um serviço de consulta gratuito onde podes resolver as tuas dúvidas.

Como com tudo o que é novo, agora parece um monte de coisas, mas sejamos positivos: o bom de tudo isto é que quem te der os seus dados estará 100% interessado no que lhes ofereces, por isso entende-se que o número de leads será maior. Não achas?

Por enquanto, teremos que ver como tudo evolui, pois há partes do GDPR que são um pouco obscuras ou difíceis de entender, e teremos que ver como elas são aplicadas. Teremos que esperar pelas primeiras decisões para ver realmente a magnitude das mudanças trazidas por esta lei.

gdpr nueva ley de protección de datos

aHR0cHM6Ly93d3cuaW5ub3ZhZGVsdXhlLmNvbS9jb250YWN0YS1jb24tbm9zb3Ryb3Mv
5/5 - (1 vote)

Categorías: Sem categoria -

beatriz avatar

Sobre Beatriz Ruiz

Redacción de Contenidos y consultoría SEO en el Departamento de Marketing. Formación en Digital Business, Marketing, Publicidad y Diseño, con una visión global dentro del sector tienda online y todo lo que conlleva un negocio en Internet.

Interações do Leitor

Deja un comentario

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Li e aceito a política de privacidade de dados de IDX. *

Informações básicas sobre protecção de dados

Responsável: Os dados pessoais recolhidos ao enviar são geridos pela IDX com CIF: B86091451 como proprietário deste site.
Objectivo: A recolha e tratamento de dados pessoais tem como finalidade a gestão do pedido de informação sobre serviços, produtos e promoções oferecidos pela IDX.
Legitimação: Consentimento da parte interessada.
Destinatários: Alojamos a informação em servidores OVH e Cloud NextGen, utilizamos também o Acumbamail e o Pipedrive para a gestão das comunicações comerciais por correio electrónico.
Direitos: Pode exercer os seus direitos de acesso, rectificação, limitação e eliminação de dados enviando uma mensagem de correio electrónico para rgpd[at]innovadeluxe.com. Tem o direito de apresentar uma queixa junto de uma autoridade de controlo.
Informações adicionais: Ver informações detalhadas sobre a nossa política de protecção de dados no Aviso Legal.

Subscrever a Newsletter

Subscreva a nossa newsletter para ser informado sobre as novidades e ofertas Innovadeluxe, receberá também informação gratuita sobre dicas de marketing para aumentar as vendas no seu negócio.

Subscreveu com sucesso

Informação básica sobre proteção de dados

Responsável: Informamos-te que os dados de caráter pessoal que nos proporciones preenchendo no presente formulário serão tratados por IDX com CIF: B86091451 como empresa proprietária e responsável desta web. Finalidade: Afinalidade da recolha e tratamento dos dados pessoais, é para gerir a solicitude de informação sobre os produtos, serviços ou promoções comerciais oferecidos por IDX através de www.innovadeluxe.pt. Legitimação: Consentimento do interessado. Destinatários: O nosso sistema aloja a informação em servidores ubicados em www.ovh.es, além disso, utilizamos Acumbamail.com para a gestão das nossas comunicações por email. Direitos: Poderás exercer os teus direitos de acesso, retificação, limitação e supressão dos dados em rgpd[arroba]innovadeluxe.com bem como o direito a apresentar uma reclamação perante uma autoridade de controlo. Informação Adicional: Podes consultar a informação  adicional e detalhada sobre Proteção de Dados no  Aviso Legal.