O que é o RGPD e como agir no teu site WordPress

A resposta à pergunta ‘O que é o RGPD?‘ é óbvia: é a sigla de Regulamento Geral de Proteção de Dados. Mas isso não te dirá muito nem sobre como te irá afetar e muito menos sobre o que deverás fazer.

Por isso, há umas semanas iniciamos o debate na comunidade abordando este tema no meetup de Novembro que se realizou no Porto, e como prometido vamos continuar a falar de RGPD com mais algumas informações.

Mas então, o que é o RGPD?

É um documento que regula a proteção das pessoas singulares no que diz respeito a:

  • tratamento de dados pessoais
  • livre circulação desses dados

O RGPD introduz novos princípios e conceitos, novos direitos para os titulares de dados, o que significa novos deveres para quem tem de lidar com eles.

Este regulamento tem aplicação obrigatória a 25 de Maio de 2018 em todos os países da União Europeia e foi publicado a 4 de maio de 2016, no Jornal Oficial da União Europeia. Ou seja, neste momento encontra-se a decorrer o período de transição de dois anos para a aplicação das novas regras.

O RGPD revoga a Diretiva Comunitária 95/46/CE que tinha sido aprovada antes que a internet fosse o que é hoje, e por isso já não respondia aos desafios do dia-a-dia digital.

A quem se aplica o RGPD?

O Regulamento será aplicável a todas as pessoas singulares e coletivas que efetuem tratamento, isto é, que realizem operações que envolvam dados pessoais de residentes na União Europeia.

Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam esse tratamento em regime de subcontratação.

Onde se aplica o RGPD?

O RGDP aplica-se em todo o território da União Europeia, contudo com uma importante inovação, pois se uma empresa estiver estabelecida fora da geografia da UE, isto é, sem presença na UE mas a realizar serviços ou negócios que envolvam algum género de tratamento de dados pessoais de cidadãos da UE, o Regulamento é aplicável.

O que muda com o RGPD?

One document to rule them all – passa a existir um único documento legal sobre Proteção de Dados Pessoais em todos os 28 estados-membros.

Informação prestada mais detalhada – O regulamento obriga a prestar mais informações do que atualmente, designadamente:

Passa a ser obrigatório que as informações sejam fornecidas de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.

Exercícios dos direitos dos titulares dos dados – Os titulares dos dados passam a ter mais direitos:

  • o direito à limitação do tratamento e o direito à portabilidade,
  • o direito à eliminação dos dados
  • o direito à notificação sobre retificação, eliminação ou limitação de tratamento solicitados pelos titulares.

O consentimento – O regulamento alarga o conceito de consentimento e define novas condições para a sua obtenção. O consentimento tem que ser livre, específico, informado, explícito e por ato inequívoco sendo que o processo de revogar o consentimento deverá ser tão simples quanto o de conceder. É de supor que muitos dos consentimentos existentes não cumpram com estes requisitos, o que obriga obter novo consentimento.

Definição de dados sensíveis – O regulamento veio alargar o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis. Deve analisar-se também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.

Encarregado de proteção de dados – Além das situações previstas no regulamento em que a organização está obrigada a designar um encarregado de proteção de dados (como é o caso das entidades públicas), o responsável pelo tratamento e o sub-contratante podem sempre, mesmo não se encontrando no momento em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados na sua organização.

Documentação e registo de atividades de tratamento – Todas as atividades relacionadas com o tratamento de dados pessoais devem ser documentadas de forma detalhada, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização consiga demonstrar o cumprimento das obrigações decorrentes do RGPD.

Notificação de violações de segurança – As empresas devem notificar a CNPD caso detetem a existência de violações dos dados recolhidos, comunicando também ao titular dos dados em causa todas as violações aplicáveis o mais rapidamente possível para que esta possa tomar as medidas adequadas.

Resumindo

Se o teu site recolhe, guarda ou usa dados de cidadãos europeus, então tens de:

  • Informar quem és, porque recolhes estes dados, por quanto tempo e a quem os irás disponibilizar
  • Obter um consentimento claro antes da recolha dos dados
  • Permitir o acesso aos dados
  • Permitir que os possam levar
  • Permitir que os possam eliminar dos teus registos
  • Informar quando existir uma violação de segurança

Quais são as sanções do não cumprimento do RGPD?

Qualquer organização ou empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.

O novo regulamento em vez de conceder autorizações, aposta na fiscalização – e na aplicação de coimas para os prevaricadores, prevendo a UE cobrar apenas no primeiro ano cerca de seis mil milhões de euros de coimas e penalizações (segundo a empresa de consultoria de gestão Oliver Wyman).

O incumprimento é punido com coimas, que no caso de violações de menor gravidade poderão atingir 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere e nos casos mais graves podem ascender a 4% da faturação anual global ou a 20 milhões de euros.

Alguma coisa tinha de ser feita

Sim, alguma coisa tinha de ser feita e a 6 meses do deadline, é pouco o que vamos vendo de substancial por parte da comunidade:

  • são ainda poucos os plugins com referência a RGPD no repositório WordPress
  • sendo que os plugins de formulários são quem está a marcar posição, sendo que alguns como os Ninja Forms, Gravity Forms e Contact Forms 7 já estão a marcar posição e esclarecer os seus utilizadores
  • no canal Slack oficial do WordPress não encontramos discussões sobre este tema, exceto referências pontuais

Está na altura de dar os primeiros passos (se ainda não os começaste a dar)…

Se és dev ou tens um plugin teu…

… começa a preparar o trabalho e a lembra-te que todas as grandes empreitadas começam com um primeiro passo, pelo que deves:

  • fazer um levantamento dos dados que recolhes (se recolheres)
  • documentar onde são armazenados
  • documentar o tratamento que fazes com eles
  • verificar se o teu código cumpre as boas práticas de Privacy by design e Security by design
  • procurar pelos teus pares e verificar o que está a ser feito

Se não és dev, mas desenvolves websites…

… começa também a preparar o trabalho e a lembra-te mais uma vez que todas as grandes empreitadas começam… bla bla bla, pelo que deves:

  • fazer um levantamento dos dados que recolhes (se recolheres)
  • fazer um levantamento dos plugins que recolhem/processam dados dos utilizadores
  • contactar os autores dos plugins e pedir informações sobre o que estão a fazer para cumprir com o regulamento
  • documentar o tratamento que fazes com eles
  • começar a alterar os teus sites por forma a informar de forma clara o consentimento e o tratamento que dás aos dados (afinal o regulamento já está em vigor)
  • começar a ensinar o teu cliente ou os utilizadores dos teus sites sobre a importância da segurança, da manutenção e do cuidado a ter com o acesso (direto ou indireto) à informação. Se necessário, recorrendo à inscrição deste tema no contrato de desenvolvimento e manutenção dos websites.

Por fim

No mundo WordPress há muitas formas de resolver o mesmo problema, sendo que todos podemos ganhar se aos poucos encontrarmos um caminho comum. Um dos projetos que está a ter algum protagonismo em desenvolver um standard para desenvolvimento de plugins, é o GDPR WP.

Kåre Mulvad Steffensen é uma das caras do projecto e falamos com ele sobre a relação WordPress / GDPR e o projeto GDPRWP:

Também trocamos várias mensagens com algumas questões concretas:

Pedro Fonseca (PF): Qual é a tua maior preocupação sobre a implementação do RGPD em sites WordPress?
Kåre Mulvad Steffensen (KMS): A enorme quantidade de plugins (e temas). Esta que é uma das vantagens do universo WordPress, pode no contexto da implementação do RGPD, apresentar alguns problemas. As diversas maneiras que podes escolher para manipular o armazenamento de dados nos plugins e temas, tornam difícil encontrar um conjunto de regras sobre como identificar e também lidar com dados.
É também por isso que Peter Suhm, do projeto GDPR para WP, surgiu com a ideia de uma Interface de Objetos. Na essência, sabemos o que precisamos fazer com os dados, mas não sabemos onde estão, e como recuperá-los ou alterá-los dentro de cada plugin. Precisamos deixar que os a comunidade descubra/decida isso.

PF: Muitos administradores de sites nem sequer estão cientes deste regulamento. E quando estão, podem sentir-se incapazes de levar a cabo esta empreitada, acabando por fazer apenas as tarefas mais simples. O que é que a Comunidade WordPress deve fazer para ajudá-los, por exemplo num processo passo a passo?
KMS: Já vamos encontrando alguns casos em que simplesmente retiram as funcionalidades que incluem as ferramentas sobre a alçada do RGPD. Embora tornem o seu plugin compatível e, por extensão, também o site, a solução também retira algumas funcionalidades que podem ser imprescindíveis para a maioria dos proprietários de sites.
Como a comunidade é open source pela sua própria natureza, espero ver alternativas ou complementos à nossa configuração do GDPRWP.com em breve.
Acredito que é possível encontrar uma solução técnica para isso, mas o sucesso de qualquer solução resume-se à sua adoção. A forma da comunidade resolver esta questão, necessitaria de encontrar uma abordagem com que todos concordassem e, em seguida, construir sobre isso.
É uma tarefa gigantesca. Na Petyz & Co, onde trabalho, olhamos as coisas de uma forma diferente e tentamos abordar uma das vertentes, concentrando-nos no que sabemos fazer – manipulação de dados. Começamos com o óbvio e para muitos dos programadores, isso é apenas uma extensão do Privacy by Design que fazem há já alguns anos

PF: E quem quiser criar um novo site? Como devem os autores de temas e plugins informá-los?
KMS:Novamente, isso faz parte da privacy by design. No final de 2018, podemos imaginar que todos os plugins e temas estão assinalados como compatíveis com um standard da indústria ou não. Desta forma, ao criar novos sites, saberás automaticamente se estás a construir algo que é compatível ou não.
Lembra-te de que nem todos os sites precisam disso – se não estiveres a recolher dados, então não estás sob a alçada do RGPD (pelo menos, esse é o entendimento geral do regulamento)

PF: Achas que cabe aos autores de temas e plugins notificar sobre um regulamento europeu, que nos afeta a todos enquanto cidadãos europeus?
KMS: Bem, na verdade, cabe aos proprietários de sites informa os seus visitantes ou utilizadores do site ou serviço. Mas para o poderem fazer, alguém terá que lhe disponibilizar essa informação.

PF: Tens conselhos para os administradores de sites
KMS: Get in touch 😉
A sério, entrem em contacto com quem desenvolve as suas plataformas on-line – isto não se prende apenas com o WordPress, mas qualquer entidade online necessitará verificar o cumprimento do regulamento, mesmo que desenvolvido em linguagens mais estranhas como por exemplo .net 😉

PF: Quem deverá ser o Data Protection Officer?
KMS: Não tenho uma resposta simples para essa questão, mas o artigo 37 (6) diz:
“O oficial de proteção de dados pode ser um membro da equipe do controlador ou processador, ou cumprir as tarefas com base em um contrato de serviço”. 
A parte importante são as tarefas específicas que o DPO deve assumir para exercer a sua função que constam no Artigo 39

PF: O GDPR é obrigatório para sites pessoais (blogs) com os comentários ativados? E com comentários desativados?
KMS: Boa pergunta – a questão aqui pode ser: Existe algum mínimo de dados que possas recolher sem ficar sob a alçada do RGPD?
Eu acho que podemos dizer que, se qualquer informação for considerada como IPI (Informações Pessoais Identificáveis), então necessitas de cumprir o regulamento.

PF: Como reconhecemos um cidadão da UE sem recorrer ao endereço? Apenas perguntando?
KMS: Excelente pergunta – este é um tipo de problema de Schrödinger. Precisa “pedir”, mas ao fazê-lo, tornas-te obrigado a cumprir.
Na minha opinião, o RGPD é apenas um passo em direção à net neutrality, e, eventualmente, os utilizadores exigirão que não faças nada com os seus dados, a menos que eles saibam exatamente o quê e com que propósito.

Tal como esta conversa com o Kåre, acredito que cada vez mais este assunto será o tópico das conversas que rodeiam o WordPress, por isso convido-te a visitar o Grupo Facebook da Comunidade WordPress Portugal ou o Slack da Comunidade para o discutirmos. Lembra-te que só faltam 162 dias…


O RGPD pode fazer muito pela tua imagem enquanto profissional. Está nas tuas mãos mostrares que estás empenhado, que és cuidadoso e responsável.


Links para consulta:

4 pensamentos sobre “O que é o RGPD e como agir no teu site WordPress

    1. Obrigado pelo feedback.
      Conto ir atualizando o artigo, se houver mais informações que o possam complementar, assim como a lista de links.

Leave a Reply