search
A mídia que reinventa a empresa
Registrar un software

Como tornar um site em conformidade com o RGPD

Como tornar um site em conformidade com o RGPD

Por Nathalie Pouillard

Em 28 de outubro de 2024

RGPD + site... A combinação dessas duas palavras lhe causa arrepios na espinha?
Na verdade, você não pode ter perdido essa informação: o RGPD, Regulamento Geral sobre a Proteção de Dados Pessoais, exige que suas ferramentas estejam em conformidade, para que você possa processar melhor as informações coletadas de seus clientes, clientes potenciais e outros usuários (parceiros, funcionários etc.).
Neste artigo, vamos nos concentrar no RGPD conforme aplicado a sites.

Se a sua plataforma web é simplesmente a sua vitrine, ou se você está vendendo on-line, você tem obrigações. A satisfação de seus clientes e sua reputação eletrônica estão em jogo.

A boa notícia é que temos algumas recomendações e ferramentas para você. Vamos fazer um balanço!

RGPD e site, o que você precisa saber

Aqui está um vídeo que resume o que é o RGPD e por que ele foi introduzido:

Você tem uma vitrine ou um site de comércio eletrônico?
Você usa cookies, os rastreadores de publicidade depositados nos smartphones, computadores e tablets dos usuários?
Oferece formulários de contato ou envia um boletim informativo de assinatura?
Você é uma empresa privada ou pública, grande ou pequena, localizada na União Europeia ou cuja atividade diz respeito a residentes europeus?

TODOS estão preocupados com a conformidade, pois você coleta, usa e armazena dados pessoais.

Por que tornar seu site compatível?

Para estar em conformidade com a Lei de Proteção de Dados da CNIL e sua extensão: o RGPD;
Para proteger seus clientes e clientes potenciais;
Para garantir uma reputação eletrônica impecável;
Para evitar penalidades administrativas e criminais, que podem ir até a prisão (5 anos) e o pagamento de quantias astronômicas (300.000e até 4% do faturamento anual mundial da empresa em N-1, o que pode representar várias dezenas de milhões de euros).

O site de demonstração

Um site de demonstração é um site que apresenta sua empresa, mas, apesar de ter um objetivo comercial, não oferece vendas on-line.
Ele oferece uma série de benefícios:

  • sua empresa constrói sua reputação on-line, diante dos concorrentes existentes;
  • você cultiva uma imagem de marca para ajudá-lo a se destacar da multidão;
  • Você comunica sobre seus produtos e serviços;
  • você adquire contatos, clientes em potencial que podem um dia se tornar clientes, graças a :
    • um formulário de contato,
    • assinatura de seu boletim informativo;
  • manter um relacionamento com seus clientes, mantendo-os informados, por meio de uma seção de notícias, por exemplo, ou de uma área de clientes integrada.

As informações coletadas por meio do site da vitrine são geralmente endereços de e-mail, sobrenomes e nomes, possivelmente endereço ou área geográfica (departamento), às vezes idade e sexo, empresa etc.

Suas obrigações:

  • exibir os avisos legais (geralmente no rodapé) para que você possa ser identificado como o editor do site e informar os visitantes sobre seus direitos;
  • coletar somente as informações necessárias e justificar isso;
  • informar o usuário sobre a finalidade para a qual as informações são coletadas, o processamento pretendido, o período de retenção e quaisquer destinatários (avisos da CNIL);

De acordo com o artigo 6 do RGPD :

O processamento só é legal se o titular dos dados tiver consentido com o processamento de seus dados pessoais para uma ou mais finalidades específicas.

  • obtenha o consentimento do usuário de forma explícita e ativa, sem marcar nenhuma caixa;
  • você mantém provas do consentimento do usuário;
  • Forneça a eles os meios de entrar em contato com você para modificar as informações, excluí-las ou retirar o consentimento facilmente,
  • informar o usuário sobre sua política de confidencialidade (link para uma página dedicada em seu site).

O artigo 17 do Regulamento Geral de Proteção de Dados (GDPR) europeu sobre o "direito de apagar" ou "direito de ser esquecido" permite que os indivíduos solicitem a exclusão de seus dados pessoais às empresas que os mantêm.

RGPD formulaire de contact exemple 1

O site de comércio eletrônico

Trata-se de um site de vendas on-line, uma plataforma que permite a um varejista ou prestador de serviços vender seus produtos ou serviços pela Internet, independentemente de sua localização geográfica. Além de gerar vendas e, portanto, receita, você pode aprimorar o conhecimento do cliente.

Assim como o site de demonstração, ele dá visibilidade à sua empresa e à sua atividade, desenvolve a imagem da marca e tem como objetivo coletar informações importantes sobre :

  • clientes que fazem compras (produtos favoritos, endereço, idade, dados bancários, etc.) ;
  • mas também visitantes que podem criar uma conta, pedir para receber informações promocionais e compartilhar seus detalhes de contato e preferências, sem passar pelo carrinho de compras.

Suas obrigações:

  • Você realizará as atualizações técnicas necessárias e monitorará regularmente a segurança do seu site:
    • acesso https em todo o site,
    • senha complexa necessária,
    • transações seguras e armazenamento de dados bancários por meio de um terceiro confiável (consulte gateway de pagamento e pagamento recorrente);
  • assim como no site da vitrine, você coleta apenas as informações necessárias para processar a transação e, possivelmente, o relacionamento resultante com o cliente (aniversário, para que você possa presenteá-lo posteriormente etc.);
  • o processo de vendas também envolve o fornecimento de informações sobre o processamento de dados, a obtenção de consentimento e o direito do cliente de inspecionar os dados;
  • você cria uma página de "privacidade" ou "política de confidencialidade" em seu site, que é sistematicamente comunicada e mantida atualizada.

Cookies

Você pode colocar rastreadores de publicidade quando recebe uma visita, nos dispositivos dos usuários, como smartphone ou computador.
Essas ferramentas estratégicas permitem que você analise os hábitos de navegação e de consulta ou de consumo dos usuários, para que você tenha ideias para melhorar sua oferta e a estrutura do seu site (tipo de público, páginas consultadas, tempo gasto por página etc.) e também para que você possa enviar publicidade direcionada.

Cuidado com os diversos serviços auxiliares em seu site, como o Google Analytics, que coletam e processam dados pessoais:

  • Endereço IP
  • identidade
  • detalhes de contato
  • geolocalização, etc.

Certifique-se de desativá-los até que tenha recebido o consentimento claro do usuário.

Suas obrigações:

  • Dependendo da finalidade do rastreador (facilitar o processo de vendas, enviar publicidade direcionada), você deve obter o consentimento do visitante ou, pelo menos, informá-lo antes de colocá-lo no terminal dele;
  • se houver vários (marketing, analítico, etc.), ofereça a opção de marcá-los em uma lista e explique quais são obrigatórios e por quê.

É bom saber: O consentimento é válido por um período máximo de 13 meses para um cookie. Depois disso, você deve solicitar a permissão novamente.

Como você pode estar em conformidade com o RGPD?

As ações a serem tomadas estão bem resumidas neste infográfico:

Plezi

▶︎ Treinamento

O ideal é começar treinando seus vários controladores de dados (CEOs, gerentes, pessoas responsáveis por marketing, vendas, TI etc.) para que todos tenham uma base de conhecimento técnico e jurídico e estejam familiarizados com as práticas recomendadas.
Além de advogados e especialistas digitais, a CNIL está oferecendo um workshop MOOC gratuito.

▶︎ Privacidade desde a concepção

Se você estiver criando seu site após a entrada em vigor do RGPD, deverá levar em conta as obrigações de proteger e respeitar os dados desde o estágio de design. Isso é conhecido como Privacy by design. Isso também se aplica às ferramentas de CRM.

Mas para quem tem um site que data da era pré-RGPD, há uma série de elementos a serem considerados e combinados: aqui está nossa lista de verificação do RGPD.

▶︎ Nomeação de um DPO e realização de uma auditoria

De acordo com o Artigo 37 do Regulamento Geral de Proteção de Dados (GDPR), você deve nomear um DPO se atender a pelo menos um destes critérios:

  • você é uma autoridade pública ou um órgão público;
  • os dados que você processa :
    • exigem monitoramento regular e sistemático devido ao seu escopo e/ou finalidade;
    • forem sensíveis (dados de saúde, dados religiosos, etc.).

Leia também: Noções básicas sobre o RGPD

Quer você use um provedor de serviços externo (recomendado por ser mais neutro) ou seu gerente de TI, realize uma auditoria em seu site.
Em breve, você terá um conjunto de especificações que inclui :

  • um inventário das várias operações de processamento de dados em todos os seus departamentos,
  • melhorias a serem feitas, categorizadas de acordo com a urgência e a sensibilidade.

▶︎ Atualização de seu site

Cuidado: se você usa WordPress, Joomla, Drupal, Wix ou qualquer outro CMS, eles usam plug-ins que não estão necessariamente atualizados com as regulamentações europeias.
Quanto a vídeos, players e mapas interativos, certifique-se de gerenciar as solicitações de consentimento, pois esses serviços também coletam dados, às vezes sem consentimento.

Antes do RGPD

  1. Crie ou atualize sua página "Política de Privacidade";
  2. Adapte seus formulários para incluir informações obrigatórias;
  3. Adapte seu banner de cookies: existem ferramentas para criar um banner de cookies em conformidade (cookiesecure, cookiebot, etc.);
  4. Configure um modelo para gerenciar as preferências do usuário da Internet se estiver enviando vários boletins informativos ou notificações temáticas;
  5. Verifique a conformidade de todas as ferramentas auxiliares de seu site (plug-ins, etc.).

É bom saber: Para informações obrigatórias, é possível indicar isso em cada página individualmente ou em uma página dedicada que seja claramente visível e fácil de consultar.

▶︎ Uso de software para gerenciar a conformidade

Uma ferramenta pode facilitar muito a sua vida quando se trata de gerenciar e monitorar a conformidade.
Essas ferramentas não garantem que seu site estará em conformidade, mas sim que você terá uma diretriz para se organizar melhor, centralizar sua documentação, ver o trabalho em andamento e trabalhar em colaboração com todas as suas equipes de RH, contabilidade e marketing.

Esse é o caso do Data Legal Drive.

O software de governança de conformidade com o RGPD permite que você :

  • centralizar os documentos que comprovam a responsabilidade de sua empresa,
  • listar as operações de processamento de dados pessoais que você realiza,
  • compilar um registro de processamento de dados,
  • realizar um diagnóstico interativo de sua empresa,
  • visualizar os projetos de conformidade de seu site e seu progresso, em tempo real,
  • registrar solicitações de pessoas afetadas pelo processamento de suas informações,
  • monitorar violações identificadas internamente ou relatadas por um subcontratado,
  • beneficiar-se da experiência do editor em TI e legislação de dados.
    Além disso, um gerente de sucesso e um especialista jurídico estão à disposição para responder às suas perguntas e determinar se você precisa de um serviço interno.

Outra solução notável: Captain DPO

A solução oferece :

  • gerenciamento colaborativo da conformidade,
  • geração de relatórios com apenas alguns cliques,
  • um painel de controle dinâmico,
  • a capacidade do seu DPO de manter vários registros,
  • gerenciamento de solicitações de retificação,
  • integração do software CNIL,
  • conexão direta de seus subcontratados com a plataforma,
  • um diretório de subcontratados que usam seus dados, etc.

Existem outros softwares: Smart Global Compliance Booster, myDPO, Axeptio, etc.
Não hesite em pedir várias demonstrações ou versões de avaliação.
Além da funcionalidade, a facilidade de uso, o preço e o suporte ágil podem ser fatores decisivos em sua escolha.

Veja o RGPD como uma oportunidade, não como uma restrição

Estamos vivendo em uma era de ética, consumo de qualidade e respeito à privacidade. Seu envolvimento será recompensado com informações de qualidade sobre seus clientes ou prospects, em um espírito de respeito mútuo e pleno conhecimento dos fatos. A antítese do GAFA, em resumo.

Se o seu site estiver em conformidade com o RGPD, haverá menos risco de hacking ou vazamento de dados (lembre-se do "FacebookGate", o escândalo envolvendo dados recuperados pela empresa Cambridge Analytica): sua reputação on-line é preservada e seus clientes podem se sentir confiantes!

Outro benefício importante é que, apesar do esforço financeiro e organizacional inicial necessário, o retorno sobre o investimento é garantido graças à coleta de dados mais meticulosa e mais bem direcionada: seus boletins informativos e notificações são enviados para pessoas interessadas e dispostas, e o processo de compra é mais amigável e tranquilizador.

Um último conselho: faça com que seus novos formulários e configurações de gerenciamento de preferências (boletins informativos ou notificações) sejam mais amigáveis e fáceis de usar. Atualmente, os usuários da Internet estão sob muita pressão e são tentados a responder negativamente. Faça com que eles queiram segui-lo com frases de efeito originais, diferencie-se, agora é a hora!

visto em @blogduwebdesign (esquerda) e © maddyness (direita)

A lealdade está no fim do túnel! E o melhor de tudo é que você não é um fora da lei. 🤠

Artigo traduzido do francês