Como o GDPR afeta você?

O Regulamento Geral de Proteção de Dados (GDPR) afeta qualquer lojista da Shopify que esteja sediado na Europa ou que atenda clientes europeus. Ainda que a Shopify esteja trabalhando duro para garantir a conformidade e permitir que seus lojistas cumpram o GDPR a partir de 25 de maio de 2018, é importante observar que o GDPR também exigirá que você tome medidas independentemente da plataforma da Shopify.

A Shopify quer ajudar a colocar os lojistas na melhor posição possível para cumprir a lei. Este artigo inclui perguntas que você deve levar em conta para ajudá-lo a avaliar suas obrigações e garantir que você tenha configurado sua loja de uma maneira que esteja em conformidade com a lei.

Dito isto, este não é um conselho legal. O GDPR é uma regulamentação complicada e será aplicada de maneira diferente a diferentes lojistas. Você deve consultar um advogado para descobrir o que precisa fazer especificamente.

Para obter informações sobre como processar solicitações de dados, consulte Processando solicitações de dados GDPR.

Por que a Shopify não pode lidar com a conformidade com o GDPR pelos lojistas?

O GDPR impõe obrigações diferentes aos controladores e processadores de dados. Como processadora de dados, a Shopify cumpre suas próprias obrigações legais sob o GDPR. No entanto, os lojistas (como controladores) também têm suas próprias obrigações separadas que devem ser levadas em conta.

A Shopify oferece aos lojistas uma plataforma que pode ser configurada para ser compatível com GDPR, mas é você quem deve decidir como gostaria de administrar sua empresa.

Para mais orientações, os seguintes reguladores dentro da União Europeia forneceram orientações específicas sobre o GDPR:

Coleta de dados pessoais

O GDPR protege os direitos fundamentais dos indivíduos dentro da União Europeia em relação ao processamento de dados pessoais.

Exemplos de dados pessoais incluem:

  • Nome
  • Endereço
  • E-mail
  • Conta de mídia social
  • Identificador digital, como um endereço IP ou um ID de cookie.

Pense nas seguintes questões:

  • Você está coletando dados pessoais de clientes na Europa? A maioria dos sites está disponível para os residentes da Europa e se enquadrará no GDPR.
  • Se sua loja usa aplicativos ou temas de terceiros, eles coletam e processam dados de acordo com o GDPR? Para simplificar esse processo, a Shopify está exigindo que todos os aplicativos publiquem uma política de privacidade detalhando suas práticas de tratamento de dados, para que você possa avaliar se concorda com as práticas de dados do aplicativo. Os aplicativos desenvolvidos pela Shopify estão sujeitos ao Adendo de Processamento de Dados e a Shopify é responsável por sua conformidade.
  • Os canais ou gateways de pagamento que você usa coletam e processam dados de acordo com o GDPR? Você deve conferir diretamente com eles para ter certeza.
  • Você tem uma lista de todos os tipos de dados pessoais coletados de seus clientes e todas as maneiras de usar esses dados? O artigo 30 do GDPR exige que você mantenha um mapa atual de suas práticas de dados.

Aviso de privacidade

O GDPR (e particularmente os Artigos 12 a 14) exige que você forneça informações específicas a indivíduos cujos dados você está processando, geralmente na forma de um aviso de privacidade ou política de privacidade.

Você pode usar o gerador de política de privacidade da Shopify para começar. Você pode encontrá-lo em suas configurações em Checkout ou online.

Pense nas seguintes questões:

  • Você tem uma política de privacidade em seu site que inclui todas as informações que você deve fornecer de acordo com o regulamento? No mínimo, ela inclui formas para os clientes entrarem em contato com você sobre questões de privacidade e como os clientes podem exercer seus direitos, por exemplo, os direitos de apagamento (exclusão) ou retificação (modificação ou correção) de seus dados e o direito de acessá-los ?
  • Sua política de privacidade inclui como a Shopify pode usar os dados pessoais de seus clientes para pontuação automatizada de risco e fraude? O GDPR exige que você divulgue quando você (ou seus prestadores de serviços) usam suas informações em conexão com a tomada de decisões automatizada. A Shopify usa as informações pessoais de seus clientes para bloquear certas transações que parecem ser fraudulentas por meio de tomadas de decisão automatizadas. O Gerador de Política de Privacidade do Shopify inclui essas informações. Para obter mais informações sobre esse sistema, consulte Tomada de decisão automatizada.

Nomeação de um responsável pela proteção de dados

Um encarregado de proteção de dados (Data Protection Officer, DPO) supervisiona como sua organização coleta e processa dados pessoais. Se as principais atividades da sua empresa incluem monitoramento online em grande escala, o GDPR exige que você nomeie um DPO e forneça informações de contato para o DPO em sua Política de Privacidade.

O GDPR inclui tarefas específicas que um DPO precisa fazer, como conduzir avaliações de impacto de proteção de dados quando sua organização muda a forma como a coleta e processamento de dados pessoais são feitos. O DPO pode ser uma pessoa interna que tenha experiência nos requisitos de proteção de dados e GDPR, mas você também pode considerar trabalhar com um consultor ou empresa para atuar como um DPO externo.

Pense nas seguintes questões:

  • Quantas pessoas são afetadas pelas tecnologias de rastreamento na sua loja? Elas podem incluir aplicativos de publicidade comportamental ou até mesmo redirecionamento de aplicativos. Se o número de pessoas afetadas é ou não de “grande escala”, isso é uma decisão legal, e você deve consultar um advogado, dependendo de suas circunstâncias.
  • Você deve nomear um DPO voluntariamente? Mesmo que você não seja legalmente obrigado a nomear um DPO, se sua presença na Europa for grande o suficiente, você poderá fazê-lo voluntariamente para garantir que protege adequadamente os dados de seus clientes.

Contratos de processamento de dados

Como um controlador de dados no âmbito do GDPR, o Artigo 28 exige que, quando você contrata um processador de dados (como a Shopify) para processar os dados de seus clientes, você impõe rígidos requisitos contratuais sobre como eles podem usar e processar esses dados. Isso geralmente é feito por meio de um adendo de processamento de dados, ou DPA.

A Shopify incorporou automaticamente um Contrato de Processamento de Dados (https://www.shopify.com/legal/dpa) nos seus termos de serviço, destinado a atender às exigências do Artigo 28.

Para os lojistas do Shopify Plus, seus contratos negociados regerão seu relacionamento com a Shopify. Além disso, os lojistas podem assinar um adendo de processamento de dados para atender às suas necessidades. Os lojistas do Shopify Plus que não assinarem um Adendo de Processamento de Dados serão regidos pelo adendo online de processamento de dados da Shopify.

Pense nas seguintes questões:

  • Outros processadores de dados com os quais você trabalha fora da Shopify estão comprometidos contratualmente a proteger os dados de seus clientes? Muitos aplicativos de terceiros, canais, gateways de pagamento ou outros processadores de dados também incorporarão automaticamente um Contrato de Processamento de Dados aos seus termos. Você consultou cada um desses terceiros?

  • Você é um lojista Plus com um contrato negociado? Se você quiser assinar um adendo de processamento de dados, entre em contato com o gerente de sucesso do lojista. Eles podem fornecer o modelo DPA da Shopify para assinar.

Consentimento do cliente

Sob o GDPR, talvez seja necessário obter consentimento para processar os dados pessoais de seus clientes ou alterar o procedimento que você usa atualmente para obter esse consentimento.

Por exemplo, você pode precisar obter o consentimento de seus clientes se estiver enviando mensagens de marketing ou se estiver usando aplicativos online de publicidade ou redirecionamento.

Onde você precisa obter o consentimento, o GDPR define que ele seja:

  • Dado livremente : deve ser inteiramente voluntário e não deve ser combinado com outros bens ou serviços.
  • Específico: deve estar vinculado a casos de uso claramente explicados.
  • Informado: só pode ser dado se o titular dos dados receber informações suficientes sobre os dados pessoais que serão coletados e usados.
  • Não ambíguo: deve ser demonstrado por um ato afirmativo do lojista (isto é, não simplesmente por continuar a usar os serviços).

Isso significa que o cliente precisa receber informações detalhadas sobre o caso de uso específico, e alguma ação afirmativa precisa ser tomada pelo cliente para demonstrar o consentimento.

Finalmente, se você oferecer a seus clientes a oportunidade de fornecer consentimento, o GDPR também exige que seus clientes tenham uma maneira de retirar o consentimento. Isso geralmente pode ser feito por meio de uma funcionalidade de cancelamento de inscrição. Se você tiver dúvidas sobre quando e como deve obter o consentimento para a coleta de dados pessoais ou sobre até que ponto seus clientes devem retirar seu consentimento, fale com um advogado familiarizado com as leis de proteção de dados.

No entanto, o consentimento é apenas uma das muitas bases legais no GDPR que podem justificar o processamento de dados pessoais. Você também pode processar dados pessoais para atender aos requisitos contratuais ou se você for obrigado por lei a processar dados.

Alguns reguladores europeus sugeriram que, se você primeiro pedir consentimento e seu cliente recusar ou concordar, mas depois retirar seu consentimento, você poderá não mais depender de qualquer outra base legal para processar dados pessoais. Como resultado, você deve confiar apenas no consentimento quando não pretende (ou precisa) confiar em outra base legal para processar dados pessoais.

Obs.: Você pode ler mais sobre as diferentes bases legais para apoiar o processamento de dados no site do Comissário de Informações do Reino Unido..

Pense nas seguintes questões:

  • Para cada forma diferente de usar ou processar os dados de seus clientes, qual é a base legal para isso? Você está processando com base no consentimento deles? Você está processando para cumprir uma obrigação contratual com o cliente? Você está processando para promover seus interesses comerciais legítimos? Você deve registrar a base legal como parte do mapa de suas práticas de dados, descrito em Coletando dados pessoais.
  • Quando você está confiando no consentimento, o consentimento que você está recebendo está sendo combinado com os bens ou serviços que está oferecendo? Por exemplo, declarações como by purchasing these goods, you agree to our use of your personal information podem não ser mais permitidas pelo GDPR.
  • Você está fornecendo detalhes suficientes sobre como usar os dados pessoais em questão para garantir que o consentimento do cliente seja informado?
  • O consentimento do cliente é registrado e armazenado em algum lugar?
  • Você pede consentimento para enviar comunicações de marketing para seus clientes? Mesmo se você não precisar do consentimento sob o GDPR, as leis locais podem ou não exigir que você obtenha o consentimento para enviar comunicações de marketing a seus clientes. Fale com um advogado sobre os requisitos específicos que podem ser aplicados à sua loja.
  • Se você acredita que precisa do consentimento para enviar comunicações de marketing, a caixa de seleção de consentimento de marketing da sua loja é desmarcada por padrão? É uma boa ideia configurar sua loja para que a caixa de seleção de consentimento de marketing apresentada aos clientes não seja pré-marcada por padrão para garantir que seus clientes tenham que agir de forma afirmativa para fornecer consentimento.

Consentimento dos pais

O GDPR inclui requisitos específicos de consentimento dos pais para o processamento de dados pessoais de usuários com menos de 16 anos (essa idade pode ser menor em alguns países).

Pense nas seguintes questões:

  • Você precisa alterar a forma como processa os dados do cliente para interromper o processamento dos dados dos usuários com menos de 16 anos ou para obter o consentimento dos pais? Você pode fazer isso proibindo que usuários com menos de 16 anos acessem seu site usando um aplicativo de classificação de idade da App Store do Shopify ou solicitando que os visitantes confirmem que estão maiores de idade.

Tomada de decisão automatizada

O GDPR exige que você notifique os comerciantes se você estiver usando suas informações pessoais para participar de qualquer tomada de decisão automatizada.

A tomada de decisão automatizada significa usar algoritmos automáticos para tomar uma decisão sobre a qualificação de um indivíduo para determinados serviços ou ofertas, para ser cobrado um preço específico ou se tem interesse provável em certos tipos de bens ou serviços.

Se você estiver usando qualquer processo que inclua tomada de decisões totalmente automatizada (ou seja, sem qualquer intervenção humana) que tenha um efeito legal significativo sobre o cliente, será necessário o consentimento do cliente.

Processo Requisito
Tomada de decisão automatizada Notificação
Tomada de decisões totalmente automatizada com efeito legal significativo Consentimento

Em geral, a Shopify não se envolve em tomadas de decisão totalmente automatizadas com os dados pessoais de seus clientes.

A única exceção é o rastreamento de risco e fraude da Shopify, na qual a Shopify pode bloquear automaticamente um número de cartão de pagamento ou endereço IP após um certo número de tentativas de pagamento malsucedidas. O Shopify não acredita que isso tenha um efeito legal significativo sobre os clientes, pois o bloqueio automatizado dura apenas um curto período de tempo.

Pense nas seguintes questões:

  • Você incluiu na sua política de privacidade que o rastreamento de risco e fraude da Shopify pode usar as informações pessoais dos clientes para tomada de decisões automatizada? Você pode ler mais sobre as práticas automatizadas de tomada de decisões da Shopify na Seção 13 da Política de Privacidade. Você também deve confirmar com um advogado baseado em suas circunstâncias particulares que este serviço não tem um efeito legal significativo em seus clientes.
  • Você está usando algum aplicativo de terceiros que possa estar envolvido na tomada de decisões automatizada? Você deve prestar atenção especial à análise de quaisquer serviços de risco ou fraude de terceiros usado em conexão com sua vitrine ou a qualquer tipo de aplicativo de marketing ou publicidade que possa criar perfis ou segmentar seus clientes.
  • Se você usa aplicativos de terceiros envolvidos na tomada de decisões automatizada, precisa notificar seus clientes ou obter o consentimento para usar esses aplicativos?

Notificação de violação de dados

Se o GDPR se aplicar a você e você tiver uma violação de dados, talvez seja necessário notificar os usuários afetados ou órgãos reguladores específicos.

Em particular, o GDPR exige uma notificação quando uma violação de dados pode causar um alto risco de afetar adversamente os direitos e liberdades dos indivíduos.

É provável que este seja o caso se as informações violadas:

  • Incluírem detalhes de pagamento.
  • Possam ser usadas para revelar informações embaraçosas ou pessoais.
  • Possam ser usadas para acessar contas ou serviços de um indivíduo.

Quando aplicável, você é obrigado a fornecer um aviso e no máximo 72 horas após tomar conhecimento da violação.

Pense nas seguintes questões:

  • Você já conversou com um advogado para determinar quais informações coletadas e processadas podem exigir que você forneça um aviso se houver uma violação de dados?
  • Você tem um plano de resposta a violação de dados para sua empresa, portanto, está preparado para esse incidente?
  • Incluírem detalhes de pagamento.
  • Possam ser usadas para revelar informações embaraçosas ou pessoais.
  • Possam ser usadas para acessar contas ou serviços de um indivíduo.

O GDPR impõe requisitos a qualquer empresa que utilize fornecedores e prestadores de serviços terceirizados para processar os dados pessoais de seus usuários.

A Shopify usa vários subprocessadores para processar os dados de seus clientes. Para mais informações sobre o assunto, consulte os subprocessadores da Shopify.

Pense nas seguintes questões:

  • Você revisou as práticas de privacidade dos fornecedores e provedores de serviços que você usa, incluindo a Shopify, para garantir que você se sinta confortável em relação a como eles protegem os dados pessoais de seus clientes?

Aplicativos de terceiros

O GDPR exige que você tome uma série de medidas afirmativas relacionadas à coleta e ao uso de dados pessoais por você e por seus provedores de serviços terceirizados. Isso inclui a Shopify, mas também quaisquer aplicativos de terceiros que você possa usar em conexão com sua loja da Shopify.

A Shopify tomou medidas que permitem saber com mais facilidade quais são os dados pessoais que podem ser acessados pelos apps instalados por você.

Passos:

  1. Do seu admin da Shopify, clique em Aplicativos.

  2. Clique em Ver detalhes no aplicativo para o qual você deseja revisar as permissões.

Você também pode revisar as permissões do aplicativo antes de instalar um aplicativo na tela de instalação da loja de aplicativos.

Além disso, há uma seção da loja de aplicativos para que cada aplicativo possa ser vinculado a uma política de privacidade que explica com mais detalhes exatamente quais dados os desenvolvedores de aplicativos estão coletando e como estão sendo usados.

Embora a Shopify queira facilitar ao máximo a avaliação das práticas de dados dos aplicativos que você escolhe instalar, é sua responsabilidade garantir que você esteja usando aplicativos de terceiros de maneira compatível com o GDPR.

Pense nas seguintes questões:

  • Com base na sua localização, nas localizações dos seus clientes, nas localizações dos seus programadores de aplicativos e na implementação de cada um dos aplicativos, você está usando aplicativos de terceiros de acordo com o GDPR? Consulte um advogado se tiver dúvidas sobre as práticas de dados de um aplicativo específico que podem exigir consideração adicional ou trabalho de sua parte para garantir a conformidade com o GDPR.

Transferências internacionais de dados

O GDPR proíbe a exportação de dados pessoais de europeus para fora da Europa, a menos que essas informações sejam adequadamente protegidas.

A Shopify protege os dados pessoais de acordo com os requisitos do GDPR, à medida que são transferidos e processados nos Estados Unidos e no Canadá.

A Shopify configurou seus fluxos de dados para atender a esses requisitos para os lojistas. Conforme descrito na Seção 12 da Política de Privacidade da Shopify, todos os dados pessoais europeus são inicialmente recebidos de lojistas e processados na Irlanda pela afiliada irlandesa da Shopify, a Shopify International Ltd. A Shopify então transfere esses dados em conformidade com o GDPR:

Transferências internacionais de dados GDPR

Para obter mais informações sobre como os dados pessoais da Área Econômica Europeia (EEA) são recebidos e processados pela Shopify de acordo com os padrões GDPR e as práticas recomendadas de segurança das informações, consulte o whitepaper GDPR da Shopify.

Pense nas seguintes questões:

Você garantiu que outras partes para as quais você transfere dados transferirão esses dados através de fronteiras internacionais de uma forma que esteja em conformidade com o GDPR? Você pode fazer isso observando as políticas de privacidade de seus aplicativos, canais, gateways de pagamento ou outros fornecedores de terceiros e verificando se eles explicam como protegem os dados europeus.

Baixar o whitepaper GDPR da Shopify

Para obter mais informações sobre como a Shopify está cumprindo com o GDPR e para ter certeza de que você está em condições de cumpri-lo em relação ao seu uso da Shopify, baixe o whitepaper da Shopify sobre o GDPR.

Pronto(a) para começar a vender com a Shopify?

Experimente de graça