Como tornar seu site compatível com o GDPR

Muitos de nossos usuários têm nos perguntado sobre o GDPR: o que isso significa? A quem e a que se aplica? Como isso me afeta como negócio? Sabemos que embora muitas informações estejam circulando na rede, parte delas pode estar incompleta, incorreta ou enganosa.

É por isso que entramos em contato com um dos principais escritórios de advocacia britânicos, Fladgate, um escritório especializado em propriedade intelectual. Eles tiveram a gentileza de oferecer respostas completas e profissionais sobre o assunto, incluído neste post.

Abaixo, você encontrará diretrizes legíveis e fáceis de entender para o GDPR, no que se refere a tópicos relevantes para os criadores de sites do Elementor. Ele foi redigido por escrito, então é um pouco diferente do nosso jargão normal de blog, mas acreditamos que é a melhor (e única) maneira de entender as regras do GDPR com clareza. Gostaríamos de agradecer a Eddie Powell, de Fladgate, por compor e esclarecer essas diretrizes elaboradas e abrangentes para nossa comunidade.

As perguntas respondidas nesta postagem incluem:

O que é o GDPR e por que ele é importante?

Quais são as regras básicas do GDPR?

Quais dados pessoais posso usar e como podem ser usados?

Posso transferir dados pessoais para terceiros?

Que direitos os indivíduos têm contra as empresas?

Como devo, como proprietário de uma empresa, proteger os dados pessoais do meu site?

O GDPR significa Regulamento Geral de Proteção de Dados. É o novo conjunto de regras formulado pela UE que rege a forma como as empresas detêm e utilizam os dados pessoais dos indivíduos.

A maioria das pessoas já ouviu falar sobre as multas que podem ser impostas a empresas que violam as regras. Isso pode chegar a € 20 milhões ou, para grupos particularmente grandes de empresas, 4% do faturamento global do grupo, o que pode representar uma quantidade enorme de dinheiro.

Mais importante, no entanto, a publicidade associada ao não cumprimento das regras de proteção de dados pode prejudicar significativamente a reputação de uma empresa e fazer com que clientes e fornecedores não confiem nela. Além disso, novos negócios serão afetados se os clientes não confiarem as informações na empresa e se ela manter um alto padrão de privacidade. Os clientes desejam se sentir no controle de suas informações pessoais.

As regras se aplicam a “dados pessoais”. Os dados pessoais incluem coisas óbvias, como nomes de pessoas, endereços e detalhes de contato, etc. Também incluem uma lista de endereços de e-mail onde você pode identificar a pessoa pelo endereço (por exemplo, [e-mail protegido] - você pode dizer que Bob Smith trabalha na Universal Widgets) e endereços IP. As informações deixarão de ser dados pessoais se você torná-las anônimas, de modo que nunca possa descobrir quem é um indivíduo a partir do conjunto de informações.

O GDPR diz que você não pode simplesmente coletar, armazenar, usar e transferir esses dados pessoais (todos eles são chamados de “processamento”) simplesmente porque estão armazenados no sistema da sua empresa. Você deve pensar sobre o que deseja fazer e aplicar as regras.

Você precisa ter um dos 6 motivos especificados pelo GDPR. Os principais para nossos objetivos são:

• executar um contrato com o indivíduo ou usar as informações para celebrar um contrato;
• cumprir uma obrigação legal (não um contrato com outra empresa) à qual o negócio está sujeito - como o cumprimento das regras de combate à lavagem de dinheiro ou prevenção de crimes;
• onde o indivíduo deu seu consentimento (que deve ser específico, informado e inequívoco) sobre o que você deseja fazer com suas informações; e
• onde o processamento que você deseja realizar é necessário para o interesse legítimo do negócio, mas equilibrado com os direitos e interesses do indivíduo em questão, que estará interessado em sua privacidade.

Existem regras especiais onde você está lidando com crianças e deve verificar o consentimento delas com os pais. Existem também regras especiais para lidar com informações sobre condenações criminais de pessoas e para o que a lei chama de "categorias especiais", que incluem informações sobre:

• Saúde
• Etnia
• Orientação sexual
• Crenças políticas
• Religião
• Filiação sindical
• Dados genéticos e biométricos.

Também é importante lembrar que existem regras especiais (não fazem parte do GDPR) para marketing por e-mail e SMS - não presuma que, por ter o endereço de e-mail ou detalhes de contato de alguém, você pode enviar comunicações de marketing por meio desses canais para essa pessoa. Você deve ter dado a eles a capacidade de cancelar essas comunicações quando coletou as informações e sempre incluir a capacidade de eles quererem cancelar a assinatura de comunicações de marketing futuras.

Se você quiser usar dados pessoais para algo, como uma nova implementação de software, um novo projeto de banco de dados ou para fornecer um serviço mais personalizado aos clientes, é realmente importante não apenas presumir que é normal pegar dados pessoais existentes que podem ser nos sistemas da empresa e usá-lo. Você precisa pensar sobre as bases que foram discutidas acima e, em particular, se pode haver algum dado de categoria especial que pode ser incluído, porque as regras sobre eles são muito mais rígidas.

Se você coletar mais informações para o propósito declarado, certifique-se de coletar apenas o que realmente precisa. Não peça às pessoas que forneçam mais do que o necessário para que você alcance o propósito sobre o qual foram informadas.

O indivíduo precisa ser informado em termos muito claros sobre o que está acontecendo com suas informações pessoais. Isso inclui:

• detalhes de sua empresa e detalhes de contato;
• qual a finalidade do processamento de dados;
• para quem você enviará os dados;
• se você pretende exportar os dados para outro país;
• por quanto tempo você manterá os dados; e
• informações sobre os direitos de retirar o consentimento e outros direitos decorrentes do GDPR.

Essas informações devem ser fornecidas de acordo com o GDPR quando as informações são coletadas ou (se as informações forem recebidas indiretamente) dentro de um mês após o recebimento. Sua empresa deve ter formulários padrão que permitirão que você forneça essas informações - eles devem sempre ser usados ​​quando novos dados pessoais são coletados.

Depois de ter cumprido com o acima, execute o projeto planejado, mas cumpra-o e certifique-se de excluir todos os dados pessoais desnecessários ou que não puderam ser mantidos de forma legítima. Lembre-se de que, se você alterar seus planos ou decidir fazer outra coisa com os dados pessoais, precisará voltar às etapas novamente e refazer o exercício.

Tenha especial cuidado ao usar dados pessoais que foram coletados para uso de sua empresa e agora você deseja transmiti-los a terceiros.

Você precisa pensar sobre as etapas básicas de conformidade acima e certificar-se de que atendeu aos fundamentos legais para o processamento e que o indivíduo recebeu todas as informações necessárias sobre ele.

Se o destinatário estiver realizando um trabalho para você (como um provedor de serviços de folha de pagamento) sob suas instruções, ele será o seu “processador” e você deverá ter um contrato por escrito com ele que inclua certas garantias sobre segurança e conformidade.

É muito improvável que você possa receber ou transferir “categorias especiais” de dados e, se isso se tornar necessário, verifique com a equipe de conformidade de sua empresa.

Existem também regras especiais se desejar mover informações para um país fora da UE, onde as leis sobre a proteção de dados pessoais podem não ser tão rígidas. Pode ser necessário usar formulários padrão de contratos com a empresa ou organização que receberá os dados pessoais ou tomar outras providências que garantam que os direitos do indivíduo sejam respeitados.

O GDPR concede aos indivíduos uma série de direitos contra empresas que mantêm seus dados pessoais. Esses incluem

• Retificação - quaisquer erros ou imprecisões devem ser corrigidos;
• Acesso - deve ser fornecida uma cópia dos dados e detalhes da sua utilização;
• Cessação do processamento - interrompa todo o uso dos dados pessoais de alguém
• Apagamento (o direito de ser esquecido) - exclusão de todos os registros sobre o indivíduo
• Portabilidade - transferência de dados pessoais mantidos em formato legível por máquina para o indivíduo ou outro provedor.

O GDPR não especifica níveis de segurança; apenas diz que as empresas devem ter um nível adequado de segurança tecnológica e organizacional, portanto, sua empresa terá procedimentos de segurança em vigor que são projetados para ajudá-lo a cumprir este requisito. Sempre os obedeça.

Lembre-se de que não são apenas os ataques cibernéticos em grande escala que podem ser uma violação da segurança dos dados pessoais. Muitas vezes, são as pequenas coisas que causam os maiores problemas, como dados pessoais armazenados em dispositivos móveis que são perdidos ou laptops não criptografados que são deixados em áreas públicas. Uma das maiores causas de perda de dados pessoais são os e-mails perdidos devido ao preenchimento automático ao inserir o endereço de e-mail errado.

O GDPR impõe às empresas o dever de notificar as autoridades sobre quaisquer violações de segurança, e sua empresa terá a obrigação de manter um registro de quaisquer violações, não importa o quão menores, para que a gerência possa tomar uma decisão sobre o que deve ser notificado . Certifique-se de que qualquer perda envolvendo dados pessoais, mesmo que seja rapidamente corrigida ou seja improvável que cause qualquer dano, seja relatada de acordo com a política da sua empresa.

Eddie Powell é sócio da equipe Commercial Sport e IP da Fladgate LLP solicitors em Londres. Para obter mais informações, consulte https://www.fladgate.com/lawyer/eddie-powell/

Quais etapas você executou para tornar seu site compatível com o GDPR? Deixe-nos saber nos comentários abaixo.