RGPD E Comércio Eletrónico: Estará O Seu Website Preparado?

O RGPD pode ser encarado do lado das empresas como mais uma pedra no sapato do desenvolvimento dos seus negócios e no relacionamento com os seus clientes. Mas, enquanto cidadãos consumidores, trata-se de uma medida protectora da nossa identidade.

O Regulamento Geral de Protecção de Dados (RGPD) é o documento que regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Aliás, envolve todos os cidadãos residentes na União Europeia, o que significa que se aplica mesmo a sites com sede e base noutros países do mundo que terão de o cumprir, quando recolham dados de cidadãos residentes na UE.

Assim, a prioridade inicial passa pelo levantamento dos procedimentos e fluxos do produto (website/loja-online) de forma a alinhar a sua implementação com o RGPD.  Com este mindset bem definido é possível criar e manter o website compliant com o RGPD.

Passou, pois, a ser inevitável para as empresas efetuarem uma análise, planeamento e implementação com foco na segurança e na privacidade da informação (security and privacy by design) o que as obrigará a arquitetar todo o fluxo de processamento de dados pessoais.

E o que são dados pessoais?

O nome, endereço de email, número de identificação fiscal ou da segurança social e fotografia, a estes juntam-se outros como a identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular, além de identificadores por via eletrónica, como o endereço IP de um equipamento de acesso à internet.

Ou seja, todas as informações recolhidas quando alguém visita a sua loja online (ou qualquer outro site) são considerados dados pessoais e enquadram-se dentro do RGPD, mesmo que não tenha sido efectuada qualquer compra no site, criada uma conta ou colocado produtos no carrinho.

Com o RGPD, o cliente ou utilizador do site deve saber de forma simples e clara para que pretendemos os seus dados e como os vamos processar.

A Política de Privacidade deve integrar qualquer website, informando os seus utilizadores dos dados que são recolhidos, para que são utilizados, com quem serão partilhados (se aplicável) e como é que o utilizador pode exercer os seus direitos.

Então, que tipo de informação deve constar de uma política de privacidade?

  • Quem é a entidade que irá tratar os dados;
  • Que dados é que são recolhidos e qual a sua finalidade;
  • Como é que a informação é guardada, por quanto tempo e quais os mecanismos mínimos de segurança;
  • Exercício de direitos pelo titular dos dados; e
  • Com quem é que a informação é partilhada (third-parties).

Na verdade, com o RGPD os clientes (titulares dos dados) passam a ter 4 direitos chave:

  • direito de acesso;
  • direito a ser esquecido;
  • direito à portabilidade dos dados; e
  • direito de oposição.

 

Pelo que, no formulário a utilizar no website para recolha de dados do cliente deve cingir-se à recolha dos dados mínimos essenciais à realização da compra.

Na compra e venda de produtos físicos deve solicitar apenas:

  • Nome;
  • Morada;
  • Email;
  • Número de identificação fiscal (NIF);
  • Telefone; e
  • Empresa que processa a entrega da encomenda e quais os dados a que esta terá acesso.

Na compra e venda de produtos digitais:

  • Nome:
  • Email; e
  • NIF.

Igualmente devem os utilizadores do website ser notificados dos sistemas de rastreamento, tais como Google Analytics, o Facebook Pixel ou sistemas ou plugins de detecção de localização.

O modo como são realizados os pagamentos no website também é um aspecto a ter em conta, uma vez que os dados bancários e financeiros também permitem a identificação de uma pessoa.

Assim, se o pagamento é feito através de Multibanco, este é offline e não há uma transmissão de dados da pessoa para o website, bastando apenas informar o utilizador que os seus dados serão transmitidos à empresa que faz o processamento das referências para pagamento, já se o pagamento for efectuado através de PayPal ter-se-á de indicar quais os dados que serão partilhados com este sistema, o mesmo se passando com os pagamentos efectuados por cartão de crédito, caso em que se terá que se informar qual a entidade que terá acesso a esses dados.

E se o meu website tiver a subscrição de uma newsletter?

Deve ser pedida autorização expressa ao cliente para envio da newsletter devendo aquele exprimir a sua vontade através de uma acção, não devendo a caixa de confirmação estar previamente marcada.

Mas posso continuar a oferecer um cupão de desconto pela subscrição da newsletter?

Pode, desde que haja, do lado do cliente, um consentimento explícito de que aceita fazer parte da lista de envio de newsletter.

E se o website for alvo de um ataque cibernético?

Transparência.

Se o website for alvo de um ataque tem de comunicar a ocorrência do problema à Comissão Nacional de Protecção de Dados, até 72 horas após o conhecimento do ataque.

É necessário informar o que se passou e se houve perda ou roubo de dados, comunicação que também deverá ser feita dos clientes.

Não existe, de facto, uma varinha mágica para tornar um website ou uma loja-online totalmente compliant com o RGPD.

No entanto, seguindo o conjunto de orientações acabadas de indicar, poderá ter em funcionamento um website/loja online ou aplicação móvel conforme ao RGPD evitando, assim, multas que podem ultrapassar os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.