Perguntas frequentes sobre o GDPR

Este espaço reúne algumas perguntas frequentes relacionadas ao GDPR. Lembramos que essas explicações são meramente informativas e não constituem aconselhamento jurídico profissional, e sugerimos que você busque aconselhamento jurídico independente para ver informações e circunstâncias específicas de seu país.

Por que a Shopify não inclui uma caixa de seleção "Aceitar os Termos e condições e a Política de privacidade" no checkout?

A Shopify pensou com muito cuidado sobre o GDPR e nós projetamos nossa plataforma para fornecer aos nossos comerciantes uma experiência comercial de primeira classe que possa cumprir as leis de privacidade e proteção de dados como o GDPR.

O recebimento de permissão expressa e afirmativa dos clientes para processar os dados deles pode, quando implementado adequadamente, ser uma maneira útil de fornecer transparência e conquistar a confiança do cliente. Mas, quando não implementadas adequadamente, as caixas de seleção podem ser confusas para o cliente, podem criar expectativas incompatíveis e podem até criar problemas legais para os lojistas no âmbito do GDPR. Optamos por não modificar nosso fluxo de trabalho de checkout para incluir uma caixa de seleção "Aceitar os Termos e condições e a Política de privacidade" durante a finalização da compra devido a essas preocupações.

Em particular, o GDPR deixa claro que os lojistas podem coletar e processar os dados pessoais do cliente por vários motivos, inclusive se o cliente tiver dado permissão com base em informações prévias. Mas o GDPR reconhece que pode haver muitas circunstâncias nas quais os dados pessoais podem precisar ser processados separadamente e separados da permissão do cliente, como:

É provável que os lojistas dependam de muitos desses fundamentos jurídicos com relação às diferentes maneiras de processar os dados de seus clientes. Por exemplo, um lojista pode precisar usar o endereço de entrega do cliente para realmente atender ao pedido e atender ao contrato do lojista com o cliente. Da mesma forma, um lojista pode ser legalmente obrigado a processar dados pessoais para responder a uma intimação ou no contexto de uma auditoria fiscal. E um lojista pode processar dados pessoais para qualquer número de outros interesses legítimos.

Ao mesmo tempo, os reguladores europeus deixaram claro que a permissão é a mais importante dessas diferentes justificativas. Em particular, os reguladores sugeriram que, uma vez que um lojista peça permissão para processar dados para uma finalidade específica, eles não poderão mais contar com as bases legais acima (como contratos ou interesses legítimos). Além disso, os reguladores alertaram que a permissão não pode estar condicionada ao recebimento de bens ou serviços.

Por que tudo isso importa? Vamos pensar sobre o que aconteceria se um lojista adicionasse uma caixa de seleção "Aceitar os Termos e condições e a Política de privacidade" no checkout. Se o cliente optar por não dar permissão (ou, se o cliente der permissão e depois cancelá-la, que é um direito concedido pelo GDPR), o lojista não poderá mais contar com as outras justificativas listadas acima. Assim, o lojista pode se encontrar em uma posição onde, com base no GDPR, não seja legalmente possível processar os dados pessoais do cliente para processar um pedido. Ao mesmo tempo, se o lojista modificar o checkout de modo que essa caixa de seleção seja obrigatória para concluir a transação, a permissão seria uma condição prévia para o recebimento dos produtos ou serviços e, portanto, não será válida com base no GDPR.

Essa complexidade levou vários reguladores a se precaver contra pedir ou confiar na permissão quando isso não for apropriado. Por exemplo, o Gabinete do Comissário de Informação do Reino Unido aconselhou:

"A permissão é apropriada se você puder oferecer às pessoas escolhas reais e controle sobre como você usa os dados delas e quer construir confiança e engajamento. Mas se você não puder oferecer uma escolha real, a permissão não é apropriada. Pois, se você ainda assim processasse os dados pessoais sem permissão, pedir permissão é enganoso e inerentemente injusto.

Se você fizer da permissão uma pré-condição de um serviço, é improvável que esta seja a base legal mais apropriada.

Autoridades públicas, empregadores e outras organizações em posição de poder sobre os indivíduos devem evitar confiar na permissão, a menos que estejam confiantes de que podem demonstrar que isso é dado livremente.".

Trabalhamos duro para apoiar as pessoas que confiam suas lojas à nossa plataforma e ajudá-las a evitar consequências legais problemáticas, mas também entendemos que essas pessoas precisam se sentir à vontade para conquistar a confiança dos clientes. Sendo assim, contrate um Especialista da Shopify para ajudar você a colocar a caixa de seleção Aceitar termos e condições na página do carrinho (e não na página de checkout).

Por que não posso assinar um Contrato de processamento de dados (DPA, na sigla em inglês) com a Shopify?

O GDPR exige que os processadores de dados sejam vinculados por um contrato por escrito (que inclui contratos em formatos eletrônicos) a cada controlador de dados para processar dados pessoais. Esses contratos devem especificar quais dados pessoais estão sendo processados e as obrigações e direitos do processador e do controlador. Esses contratos são geralmente chamados de contratos de processamento de dados (DPA). Em essência, um DPA é um acordo que a Shopify processará somente os dados pessoais dados a ela da maneira que o lojista especificar, porque o lojista é o controlador dos dados.

Para atender a esse requisito, a Shopify adicionou um Adendo de processamento de dados aos nossos Termos de serviço. (É chamado de 'Adendo' e não um 'Acordo' porque é adicionado aos Termos de serviço e não é um acordo por si só.)

Como lojista, você concorda com os Termos de serviço e, por extensão, com o Adendo de processamento de dados quando se inscreve nos serviços da Shopify e concorda com as atualizações dos Termos de serviço (por exemplo, a atualização que adicionou o Adendo de processamento de dados) ao continuar a usar os serviços.

É importante observar que os Termos de serviço são regidos pela lei de Ontário e não pela lei da jurisdição em que você reside. Assim, enquanto outras leis regionais, como o GDPR, podem certamente cobrir seus negócios e como você processa dados, e podem exigir que você tenha um contrato vinculativo com seus provedores de serviços (como a Shopify), essas outras leis regionais não necessariamente ditam se um contrato é obrigatório ou não. No caso do seu contrato conosco, essa questão de saber se o DPA é um contrato obrigatório é determinada por referência à lei de Ontário.

Como resultado, mesmo se a sua jurisdição exigir que um contrato (como o Adendo de processamento de dados) seja assinado, isso pode não importar em relação ao seu Adendo de processamento de dados. De acordo com a lei de Ontário, acreditamos que, ao continuar a usar nosso serviço assim que nossos termos forem atualizados, tanto a Shopify quanto você estarão sujeitos aos novos Termos de serviço modificados. Quando você continuar a usar a Shopify, acreditamos que você celebrou um contrato vinculativo conosco que inclui nosso Adendo de processamento de dados, conforme exigido pelo GDPR.

O que faço se tiver mais dúvidas sobre o GDPR ou sobre as leis de privacidade locais?

Entre em contato com um advogado local especializado em privacidade ou proteção de dados.

Quem posso contatar para mais informações sobre as práticas da Shopify?

Entre em contato com o Atendimento ao cliente da Shopify para saber mais sobre nossas práticas.

Se eu usar a Shopify para hospedar minha loja, minha empresa está em conformidade com o GDPR?

Não automaticamente. Embora as operações da Shopify estejam em conformidade com o GDPR, e a Shopify forneça ferramentas para ajudar seus lojistas a cumpri-lo, é responsabilidade de cada lojista garantir que seus negócios estejam em conformidade com as leis da jurisdição na qual opera.

Usar a plataforma Shopify sozinha não garante que uma empresa esteja em conformidade com o GDPR.

A Shopify assinará Cláusulas contratuais padrão?

Não. Conforme descrito na seção Transferências de dados do nosso whitepaper (em inglês), a Shopify estruturou seus fluxos de dados para que os lojistas transfiram dados para a afiliada irlandesa da Shopify na Europa. Por esse motivo, as Cláusulas contratuais padrão não são apropriadas, pois são aprovadas para transferências entre uma parte europeia e uma parte não europeia.

Além disso, em relação às transferências diretamente para a Shopify Inc., a Shopify contaria, em tais casos, com a decisão de adequação da Comissão Europeia à lei de privacidade do Canadá, que se estende à Shopify Inc. como uma corporação canadense.

Tudo pronto para começar a vender com a Shopify?

Experimente de graça