GDPR – Checklist de preparação de conformidade

A pouco mais de três meses da entrada em vigor do Regulamento Geral da Proteção de Dados (RGDP ou GDPR – General Data Protection Regulation), o tempo urge para preparar a sua empresa e a sua loja online, de forma a que esteja em conformidade dia 25 de Maio.

Ainda não sabe o que é o GDPR ou gostava de perceber melhor os fundamentos básicos desta nova lei da UE? – leia primeiro o nosso artigo antes de avançar na leitura – O novo regulamento geral da proteção de dados (GDPR) e o impacto nos negócios de ecommerce.

Agora que sabe do que se trata, apresentamos-lhe um apanhado das principais preocupações ou questões que se deve colocar, com download de checklist, para garantir que a sua empresa e loja online estão preparadas para a entrada em vigor do regulamento.

1. Gestão

De uma forma geral, e como princípio subjacente, o GDPR procura assegurar-se que as organizações vão passar a ter como uma das suas principais preocupações a gestão dos dados pessoais. Embora pareça óbvio, é importante sensibilizar a sua empresa e colaboradores sobre o GDPR e as questões de privacidade e tratamento de dados, que até agora eram completamente ignorados. Procure mudar o mindset dentro da organização, de forma a que o seu negócio seja proativo e não reativo.

Principais preocupações:

  • Atualização do regulamento interno: Deve refletir todas as preocupações e ações tomadas pela empresa, na sua busca de conformidade com a nova lei. Deve incluir uma lista de todos os colaboradores que lidam com dados pessoais, com respetivas justificações e responsabilidades;
  • Atualização dos termos e condições do site: Atualmente, a maioria dos termos e condições dos sites são muito extensos e confusos para o utilizador. Procure, além de refletir as novas políticas de proteção de dados, ser mais transparente e conciso, algo ao qual é dado muito ênfase no GDPR;
  • Avaliação da recolha de dados: Avalie se toda a informação que recolhe dos seus clientes é absolutamente necessária. Se não encontrar uma justificação plausível para recolher e tratar esses dados, simplesmente não os recolha. Todos os dados que recolher deverão estar espelhados no regulamento interno, bem como  a justificação de os ter recolhido e como os trata;
  • Avaliação da necessidade de obter um DPOData protection Officer (se tiver dúvidas, reveja o nosso artigo);
  • Avaliação da necessidade de formação aos colaboradores.

2. Provas

Um dos pontos transversais ao GDPR, é que as empresas devem manter documentação que prove, em caso de auditoria, que todos os consentimentos necessários foram recolhidos e que está, de facto, em conformidade com a lei. Aqui, além da recolha de consentimentos, é importante o regulamento interno falado anteriormente, que vai demonstrar a um potencial auditor, que se ajustou ao GDPR e que adotou novas políticas com vista à proteção de dados pessoais.

Principais preocupações:

  • Ter documentação que prove que está em conformidade com o GDPR, com especial atenção aos consentimentos e ao regulamento interno.

3. Consentimentos

Embora o processamento de dados pessoais vigente na lei desde 1995 não seja muito diferente no GDPR, este último traz novas exigências para a coleção de consentimento válido.

Principais preocupações:

  • Avalie se os dados que tem recolhidos na sua base de dados foram recolhidos com o consentimento necessário. Se não, trate já de recolher consentimentos para poder continuar a comunicar com os seus clientes depois de maio;
  • Assegure-se que a plataforma que está usar permite uma gestão de consentimentos, ainda que básica. É importante que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a qualquer momento;
  • Consentimento granular: Certifique-se que recolhe consentimento de forma granular. Isto é, em vez de uma opção generalista “Consinto que a empresa XPTO me envie emails de marketing”, tenha antes “Consinto que a empresa XPTO me envie emails de novidades”, “Consinto que a empresa XPTO me envie emails de promoções”, “Consinto que a empresa XPTO me envie emails com vales de desconto”, “Consinto que a empresa XPTO me envie emails acerca das minhas encomendas”, e por aí adiante. Não poderá remeter qualquer consentimento para os termos e condições do site, pois não servirá como prova de recolha de consentimento se o utilizador não fizer o opt in;
  • Consentimento double opt in: Cada tipo de consentimento obtido anteriormente, além de não puder estar “previamente clicado” ( obrigando o utilizador a fazer opt out), como víamos muitas vezes até agora, deve obter um consentimento duplo. Isto é, deve enviar um email a essa pessoa confirmando que consente, de facto, com essas comunicações.

Importante: Note que, o regulamento não permite o favorecimento de um cliente que nos dá os seus dados ou que nos dá mais consentimento, em detrimento de outro. Assim, tenha em mente que não pode oferecer um vale de desconto ou qualquer tipo de vantagem na recolha de consentimentos.

4. Cookies

As cookies, até agora, eram tratadas com um simples alerta, de aceitação ou não aceitação da política de cookies, se queríamos continuar num website. Note que, embora, diretamente, as cookies não sejam dados pessoais, existem formas de cruzamento de informação que levem à identificação de uma pessoa. Neste caso, mesmo que apenas indiretamente identifique o indivíduo, o GDPR considera igualmente como sendo dados pessoais.

Principais preocupações:

  • Gestão de cookies: Recomendamos que o seu parceiro tecnológico lhe ofereça uma gestão de cookies que permita a possibilidade do utilizador aceitar ou recusar, parcial ou totalmente, as cookies. Cada tipo de cookie deve ser sucintamente explicada ao utilizador e nunca lhe poderá recusar acesso mesmo que recuse todas as cookies;
  • No caso do utilizador não tomar qualquer ação sobre as cookies: Enquanto que o utilizador não tomar qualquer ação sobre as cookies, o website não deve gravar nenhuma cookie no seu browser, e recomendamos que o alerta permaneça visível até que o indivíduo tome alguma ação.

5. Base de dados

Como foi acima mencionado nos consentimentos, a principal preocupação que deve ter com a sua base de dados de clientes atual é a recolha de consentimentos. Trata-se, segundo o GDPR, da construção de uma base legal para processar os dados pessoais que tem do seu lado, como nome e email, ou quaisquer outros dados que levem à identificação de um indivíduo.

Principais preocupações:

  • Partilha de base de dados: A partilha de dados dos seus clientes com terceiros, obviamente, é algo que terá de deixar de parte com a entrada em vigor do GDPR. De igual modo, a compra de bases de dados é uma opção que os digital marketers devem, desde já, riscar. A sua base de dados deverá ser recolhida por si, em conformidade com o GDPR, pelo que deve reavaliar, se necessário, a sua estratégia de marketing digital, e crescer uma base de dados de clientes de facto interessados na sua marca;
  • Fuga de informação: Embora o GDPR não diga em concreto para o fazer, aconselhamos a encriptar a sua base de dados. Em caso de roubo, terá de alertar num prazo de 72 horas o órgão português responsável pelo GDPR e, em alguns casos, o próprio utilizador. A melhor forma é mesmo encriptar esses dados, assegurando que se houver um ataque informático, não é possível fazer nada com os dados.

Estes são os pontos principais que deve ter em consideração desde já para se preparar para a entrada em vigor do GDPR. Reflita nestas questões e tente iniciar o processo de implementação das mesmas o mais brevemente possível, para que tenha ainda tempo suficiente para a sua empresa, colaboradores e loja online se adaptarem à sua realidade e entrarem em conformidade.

Faça o download da nossa checklist:

Os campos assinalados com um * são obrigatórios.





 

Mantenha-se atento ao nosso blog para mais informações e dicas sobre o GDPR até dia 25 de maio.

 

Aprenda com a nossa formação online tudo o que precisa de saber para lançar e gerir o seu projeto de ecommerce!

Primeira parte gratuita! Comece já em academia.tudo-sobre-ecommerce.com

Partilhe este artigo