Como integrar o RGPD no seu website

O RGPD na Europa e a CNPD em Portugal O Regulamento Geral de Proteção de Dados (RGPD), em inglês General Data Protection Regulation (GDPR), integra a legislação da União Europeia (UE) que se aplica a todos os Estados-Membros e a qualquer país que venda produtos ou serviços dentro da UE. Este documento entrou em vigor a 25 de maio de 2018 e tem sido progressivamente ajustado às especificidades de cada país. Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) é o órgão nacional que regula a privacidade de dados, que iniciou o seu funcionamento no dia 7 de janeiro de 1994. Tem tido um trabalho de adaptação das regras gerais à realidade portuguesa, nomeadamente através da Lei 58/2019, da Lei 59/2019 e da Lei 41/2004. De uma forma geral, este Regulamento Europeu tem como objetivo dar mais poder ao cidadão sobre os seus dados pessoais, que deixam de poder ser recolhidos, armazenados e tratados de forma irregular, bem como vendidos a terceiros. O consumidor passa a ter os seguintes direitos sobre os seus dados: a) Direito de Acesso: O titular pode aceder aos respetivos dados pessoais de forma gratuita. Para tal, deve contactar o responsável dos dados pelo meio por este indicado, informação que deve estar disponível no website ou Política de Privacidade da empresa. Uma cópia dos dados deve em seguida ser enviada em formato acessível. b) Direito de Retificação: Se o titular dos dados considerar que a informação que disponibilizou está incorreta, incompleta ou inexata, tem o direito de retificá-la sem demoras. c) Direito de Esquecimento: O titular pode solicitar a qualquer momento que os seus dados pessoais sejam apagados. A exceção ao cumprimento deste pedido será se a finalidade para os quais foram recolhidos se sobreponha ao pedido. d) Direito de Limitação: O titular poderá pedir a limitação do tratamento de dados pessoais, o que irá restringir o acesso às informações ao estritamente necessário ou poderá suspender as atividades de tratamento. e) Direito de Portabilidade: O titular pode solicitar que os dados sejam transmitidos a outra empresa, no caso de um contrato ou necessidade de partilha com terceiros envolvidos. Neste sentido, os dados devem ser apresentados num formato acessível e que permita leitura automática. f) Direito de Oposição: O titular pode opor-se a qualquer momento ao tratamento dos seus dados pessoais para um uso específico indicado pela empresa. Assim, é exercido o direito de Oposição, exceto se for considerado que o interesse legítimo da empresa prevaleça sobre o interesse do titular dos dados. g) Direito de Retirar o Consentimento: No caso de a recolha e tratamento de dados ser feita com base num consentimento informado, o titular poderá retirar o seu consentimento a qualquer momento. h) Direito de Reclamação: Qualquer titular poderá exercer o seu direito de apresentar queixa junto da CNPD em Portugal, apresentando os factos da ocorrência relativa aos seus dados pessoais. Para monitorizar estas atividades, foi criado o European Data Protection Board (EDPB), um organismo independente que contribui para a aplicação consistente das regras de proteção de dados na União Europeia. É composto por representante das instituições nacionais de proteção de dados nos países da UE (como a CNPD em Portugal) e pelo European Data Protection Supervisor (EDPS). As empresas têm vindo a implementar um conjunto de medidas para garantir que estão em conformidade com as novas regras, que são complexas e integram vários passos. Assim, antes de mais, a empresa tem de se informar junto de especialistas sobre quais as suas necessidades de dados e como deve proceder para a sua recolha legítima e tratamento legal. Deve ainda saber se necessita de nomear um colaborador como Encarregado de Proteção de Dados (EPD), ou em inglês Data Protection Officer (DPO), uma vez que nem todas as empresas são obrigadas a ter esta função. Nos seus meios digitais, nomeadamente no website, as marcas devem:

1. Informar os consumidores dos fundamentos da recolha de dados

A recolha e tratamento de dados pode ter um ou vários fundamentos que justifiquem o seu pedido. Caso não demonstrem esta razão evidente, os dados não podem ser guardados pela empresa. O fundamento apresentado poderá ser: a) Consentimento explícito (por exemplo, para receber newsletters informativas ou para recolha de fotos e vídeos para divulgação); b) Contratos ou negociações pré-contratuais (contratos de trabalho ou arrendamento); c) Obrigações legais (como para emissão de faturas); d) Defender os interesses vitais do titular ou de outra pessoa; e) Exercer funções de interesse público; f) Interesse legítimo apresentado pela empresa, desde que os direitos e liberdades fundamentais dos titulares dos mesmos não sejam afetados de forma significativa.

2. Garantir que os direitos do consumidor estão a ser cumpridos

A informação disponibilizada aos consumidores terá de ser transparente. Caso recolha dados pessoais, a empresa tem de informar qual o propósito ou finalidade e por quanto tempo irá guardar os dados. Estes devem também ser armazenados em local seguro, uma vez que a marca será a única responsável pela garantia da integridade e segurança dos dados, contra apropriação indevida de terceiros ou ataques online que quebrem as barreiras protetoras das bases de dados. A marca deve ainda garantir que irá processar apenas os dados essenciais e necessários, de acordo com a finalidade que foi indicada para a sua recolha. Caso seja necessário adicionar uma nova finalidade, o consumidor tem de ser informado e possivelmente ser solicitado novo consentimento, que inclua esta informação adicional.

3. Disponibilizar Políticas de Privacidade e de Cookies atualizadas

A Política de Privacidade, por vezes também designada de Termos e Condições, permite informar o consumidor de como a empresa recolhe, trata e guarda os dados pessoais, bem como os direitos que o titular tem sobre esses mesmos dados e o que deve fazer para os exercer. Os aspetos fulcrais a incluir são: a) O âmbito da recolha b) Os dados pessoais a recolher c) As finalidades do tratamento d) A partilha legítima com terceiros e) A localização e período de conservação f) Os direitos do titular g) O consentimento h) A segurança dos dados i) O contacto do responsável pelo tratamento A Política de Cookies completa a informação online a disponibilizar ao utilizador do website, uma vez que se trata de uma recolha regulamentada de um pacote de dados de quem visita as páginas online, que permite a personalização de algumas mensagens e as técnicas de remarketing (impacto através de anúncios relativos aos websites que visitou anteriormente, por ter demonstrado interesse prévio). Este documento deve indicar o tipo de cookies que está a ser recolhido (Cookies Estritamente Necessários, Cookies Analíticos, Cookies de Funcionalidade, Cookies de Publicidade ou Cookies de Terceiros) e a finalidade da sua utilização.

4. Permitir o contacto para exercício dos Direitos dos Titulares

Deve ser disponibilizado um email específico para que os titulares dos dados pessoais possam exercer os seus direitos, anteriormente explicados neste artigo. A resposta aos pedidos deve ser rápida, por forma a evitar reclamações junto da CNPD. O futuro da proteção de dados pessoais é evolutivo e estão a ser estudadas novas regras de utilização de cookies e do âmbito da privacidade dos cidadãos, pelo que podem sair novos regulamentos em breve, como o ePrivacy ou o Digital Services Act. As empresas necessitam de estar a par das novidades nesta matéria, uma vez que se trata de uma questão legal e com multas avultadas em caso de incumprimento. A Metakia aposta na transparência e no cumprimento das normas em vigor. Se pretende verificar a conformidade do seu website com as regras RGPD, fale connosco!]]>