O novo regulamento geral de proteção de dados (RGPD), introduzido em 2016, é uma das reformas mais importantes do regulamentos de privacidade na Europa nos últimos 20 anos. O objetivo final do GDPR é sindicalizar as leis de privacidade de dados na Europa, proteger os dados privados dos cidadãos europeus e dar-lhes mais direitos e controlo sobre os seus próprios dados.
Os negócios online precisam de um fluxo constante de dados, para melhorar as experiências do usuário no site, para redirecionar visitantes e clientes do site ou gerar anúncios personalizados. No entanto, ao abrigo do novo website do RGPD, os utilizadores precisam de dar o seu consentimento claro, antes que os dados possam ser recolhidos. O usuário precisa agora ser informado sobre como os dados são coletados e tratados. Assim, a política de privacidade precisa ser acessível e de fácil compreensão para o usuário. Os utilizadores do site precisam de ter uma ideia de que tipo de dados serão recolhidos e para que finalidade, antes de concordarem com os termos do serviço, pois o não cumprimento do RGPD pode resultar em pesadas multas e até em processos judiciais.
Há muitos aspectos diferentes da lei que precisam de ser tidos em conta pelos anfitriões de websites em toda a Europa, o que pode ser bastante complicado. Mas nem todos podem pagar um especialista em GDPR na empresa. Assim, as dicas a seguir lhe darão uma primeira impressão de como sua empresa e seu site podem se tornar mais compatíveis com a lei europeia de proteção de dados de forma contínua. Este guia não conterá aconselhamento jurídico, mas tentará estabelecer uma compreensão básica dos requisitos do GDPR.
1. Conheça a terminologia
Antes de tentar tornar seu site compatível com o GDPR, você deve ter um conhecimento básico da terminologia.
Dados pessoais
Os dados pessoais descrevem as informações que podem identificar uma pessoa, diretamente ou através de uma combinação dos dados coletados. Os dados que podem identificar uma pessoa podem ser, entre outros, o endereço de e-mail, o endereço IP (que pode prever a localização exata de um usuário), nomes, renda, religião ou fotos pessoais. Além disso, o comportamento geral no site é dado pessoal, pois os cookies podem rastrear as atividades de navegação em vários sites (por exemplo, qual conteúdo os usuários percorrem ou em qual conteúdo o usuário clica).
Política de Privacidade
A política de privacidade descreve que tipo de dados você coleta de nossos usuários e como esses dados são tratados. Além disso, a política de privacidade deve conter uma descrição de como os dados pessoais serão mantidos privados ou quem terá acesso aos dados. A política de privacidade deve ser facilmente compreensível e acessível para os usuários do site.
Processador e controlador de dados
O controlador de dados é o indivíduo ou software que determina a finalidade dos dados e como eles serão processados posteriormente. O processador de dados, por outro lado, é o indivíduo ou software que processa e analisa os dados em nome do controlador de dados.
Conformidade com GDPR
O que realmente significa estar em conformidade com o GDPR? Estar em conformidade com o atual RGPD pode ter um significado diferente, dependendo do negócio, da organização, dos seus utilizadores e da qualidade dos dados. No entanto, para estar em conformidade com o RGPD em geral, a empresa ou indivíduo que recolhe dados pessoais deve implementar medidas específicas para garantir que os mesmos serão tratados, processados e armazenados de forma segura por defeito.
2. Modificar nosso site de acordo com os regulamentos atuais de proteção de dados
Quando a lei entrou em vigor em 2016, a maioria dos operadores de websites tinha a mesma pergunta: Como posso tornar o meu website compatível com o GDPR? As etapas a seguir tornarão seu site mais compatível com o regulamento geral de proteção de dados.
Tenha um formulário de opt-in e opt-out em seu site.
Tenha um formulário no seu site, que seja claramente visível para o usuário e que o informe sobre as atividades de coleta e tratamento de dados no site. A maioria dos sites usa pop-ups de cookies, que incluem um formulário de conteúdo do usuário. Também deve ser fácil para o indivíduo retirar a sua autorização para recolher dados pessoais. Também é comumente conhecida como opção de “exclusão”.
Liste todos os softwares de rastreamento de terceiros
Muitos sites utilizam programas de terceiros para analisar os dados coletados de forma mais eficiente. Tenha uma seção em sua política de privacidade ou em seu banner pop-up de cookie, que liste e descreva o software de rastreamento de terceiros usado no site. Além disso, o site deve indicar claramente para qual parte o consentimento está sendo concedido ou se há exceções.
Facilite ao seu usuário a retirada da permissão concedida – especialmente em e-mail Marketing
A retirada da permissão para os direitos de processamento de dados concedidos pode ser difícil de implementar no site, sem perturbar a experiência do usuário no site. No entanto, ao abrigo do GDPR, deve ser tão facilmente removível como foi concedido anteriormente. Uma forma de as empresas enfrentarem esse desafio é listar áreas específicas para as quais os dados serão potencialmente usados, com as quais o usuário pode concordar ou recusar (por exemplo, anúncios personalizados, rastreamento de comportamento, experiência de usuário personalizada no site). Isto é feito principalmente através de Cookies. Além disso, deve ser fácil para os assinantes de seus boletins cancelarem a qualquer momento sua lista de e-mails. Se não estiver claramente marcado em seu e-mail ou se não houver nenhuma opção de cancelamento, isso poderá resultar em multas pesadas.
3. Uso do Google Analytics em conformidade com GDPR
O Google Analytics é de longe o mais usado e o mais popular rastreamento do site ferramenta, que proporciona aos seus usuários uma visão única do comportamento dos visitantes do seu site. Mas o Google Analytics está em conformidade com o GDPR?
Existem algumas etapas simples que você pode seguir para tornar o uso do Google Analytics em seu site compatível. O Google Analytics registra cada usuário com um ID de usuário exclusivo, a fim de mostrar o número total de visitantes no site (por exemplo, clientes novos ou recorrentes), o comportamento (por exemplo, através de quais sites o cliente está convertendo; taxa de rejeição) e a interação no local na rede Internet. Além disso, o Analytics pode segmentar os usuários por idade, sexo e, às vezes, até renda. Todas as informações mencionadas são consideradas dados pessoais nos termos do GDPR, que podem potencialmente identificar um indivíduo. No entanto, é difícil estabelecer a extensão total dos dados recolhidos através do Google Analytics, uma vez que o Google desenvolve e melhora constantemente a ferramenta.
Estatísticas do Google sob sua política de consentimento da UE, que os proprietários do site têm a responsabilidade de divulgar, que o Google Analytics é usado no site. Além disso, precisam de obter o consentimento dos utilizadores finais do site na União Europeia e especificar o motivo exato da recolha dos dados pessoais. Assim, o Google Analytics transfere a responsabilidade do requisito de proteção de dados para o proprietário do site. As dicas a seguir ajudam você a controlar a conformidade com o GDPR ao usar o Google Analytics.
Ative o anonimato de IP
O endereço IP conta de acordo com o GDPR como dados pessoais. O Google usa o endereço IP dos usuários para gerar um relatório geográfico. O anonimato reduzirá, portanto, a precisão do rastreamento de seus usuários por meio do Google Analytics. Você pode arquivar um anonimato do endereço IP adicionando a seguinte variável ao script do código de rastreamento do Google Analytics:
{ 'anonymize_ip': verdadeiro }
Assim que a função for adicionada ao código de rastreamento do Google Analytics, o endereço IP será anonimizado no ponto de coleta.
2. Verifique as configurações de pseudoficção do Google Analytics
O Google Analytics já implementou medidas para evitar a identificação de um único usuário. No entanto, você deve verificar se as seguintes configurações de pseudoficção estão ativas e funcionando.
ID do usuário: Certifique-se de que os usuários sejam identificados por números ou letras e não por endereços de e-mail ou nomes de usuário específicos em texto simples.
ID da transação: combinar o ID da transação com outras fontes de dados na conta pode potencialmente identificar um indivíduo. Portanto, certifique-se de que o ID seja um identificador alfanumérico aleatório.
Dados criptografados: Os dados criptografados podem incluir endereços de e-mail ou números de telefone pessoais. Assim, recomenda-se evitar a recolha de dados encriptados através do Google Analytics. O Google Analytics tem um requisito mínimo de hashing SHA256 e recomenda o uso de salt com no mínimo 8 caracteres.
- Verifique o título da página URLs
Quando o URL contém “email= querystring” como parâmetro, é provável que você esteja transmitindo dados pessoais para outras ferramentas de marketing em seu site. Verifique os títulos e URLs das suas páginas para garantir que nenhum dado pessoal seja coletado.
- Outras medidas para conformidade contínua
Ao lado dos aspectos técnicos estão as seguintes medidas importantes para estabelecer a conformidade contínua com o GDPR.
- Encontre alguém na empresa que será responsável pela proteção de dados e pela verificação regular da conformidade com o GDPR.
- Documente e registre todas as suas medidas de reclamação do GDPR e proteja todos os formulários de consentimento preenchidos
- Avalie regularmente as suas medidas de proteção de dados
- Treinar funcionários para promover e ajudar na compreensão do uso e coleta de dados pessoais em conformidade com o GDPR
Resumo
Embora o entusiasmo em torno do GDPR tenha diminuído significativamente desde a introdução do projeto de lei em 2016, ele não deve ser esquecido ou ignorado. Existem diferentes medidas de compliance que podem ser realizadas em uma empresa, que geraram diferentes níveis de compliance. Cabe ao proprietário individual do site decidir até que ponto deseja estar em conformidade com os requisitos do GDPR. No entanto, seguir as dicas propostas deixa você um passo mais perto de estar em conformidade com o GDPR.
