Como é que o RGPD o afeta?

O Regulamento geral de proteção de dados (RGPD) afeta quaisquer comerciantes Shopify com sede na Europa ou que sirvam clientes europeus. Embora a Shopify trabalhe arduamente para se certificar de que cumpre e permite que os seus comerciantes cumpram o RGPD desde 25 de maio de 2018, é importante ter em atenção que o RGPD exigirá também que tome medidas independentemente da plataforma da Shopify.

A Shopify quer ajudá-lo a colocar os comerciantes na melhor posição possível para cumprir a lei. Este artigo inclui perguntas que deve considerar para o ajudar a avaliar as suas obrigações de modo a certificar-se de que configurou a sua loja em conformidade com a lei.

Dito isto, não se trata de aconselhamento jurídico. O RGPD é um regulamento complicado e será aplicado de forma distinta a diferentes comerciantes. Deverá consultar um advogado para saber o que deve fazer especificamente.

Para obter informações sobre pedidos de processamento de dados, consulte Processar pedidos de dados do RGPD.

Por que motivo a Shopify não pode tratar da conformidade do RGPD para comerciantes?

O RGPD impõe diferentes obrigações aos controladores e aos processadores de dados. Enquanto processador de dados, a Shopify cumpre as respetivas obrigações legais ao abrigo do RGPD. No entanto, os comerciantes (enquanto controladores) têm também as suas próprias obrigações separadas que devem considerar.

A Shopify oferece aos comerciantes uma plataforma que pode ser configurada para ser compatível com o RGPD, mas tem de considerar como gostaria de gerir o seu negócio.

Para obter mais orientações, os seguintes reguladores dentro da União Europeia forneceram orientações específicas no RGPD:

Recolher dados pessoais

O RGPD protege os direitos fundamentais dos indivíduos dentro da União Europeia relativamente ao processamento de dados pessoais.

Os exemplos de dados pessoais incluem:

  • Nome
  • Endereço
  • Endereço de e-mail
  • Conta de redes sociais
  • Identificador digital, como um endereço IP ou ID de cookie.

Pense nas seguintes perguntas:

  • Está a recolher dados pessoais de clientes na Europa? A maioria dos websites estão disponíveis para residentes na Europa e serão abrangidos pelo RGPD.
  • Se a sua loja utilizar aplicações ou temas de terceiros, estes recolhem e processam os dados em conformidade com o RGPD? Para simplificar este processo, a Shopify exige que todas as aplicações publiquem uma política de privacidade com detalhes sobre as respetivas práticas de processamento de dados, para que possa avaliar se as práticas da aplicação relativas a dados são adequadas. As aplicações desenvolvidas pela Shopify são abrangidas pela Adenda ao processamento de dados e a Shopify é responsável pela respetiva conformidade.
  • Os canais ou gateways de pagamento que utiliza recolhem e processam dados em conformidade com o RGPD? Deve consultar os mesmos para se certificar.
  • Tem uma lista de todos os tipos de dados pessoais que recolhe dos seus clientes e de todas as formas como pode utilizar os referidos dados? O Artigo 30.º do RGPD exige que mantenha um mapa atual das suas práticas relativas a dados.

Aviso de privacidade

O RGPD (e principalmente os Artigos 12.º a 14.º) exige que forneça informações específicas aos indivíduos cujos dados está a processar, geralmente sob a forma de um aviso de privacidade ou política de privacidade.

Pode utilizar o gerador de política de privacidade para começar. Pode encontrá-lo nas suas definições em Finalização da compra ou online.

Pense na seguinte pergunta:

  • Tem uma política de privacidade no seu site que inclua todas as informações que é obrigado a fornecer nos termos do regulamento? No mínimo, inclui a forma como os clientes podem entrar em contacto consigo sobre questões de privacidade e como os clientes podem exercer os seus direitos, por exemplo, os direitos de eliminação (exclusão) ou retificação (modificação ou correção) dos respetivos dados e o direito de acesso aos mesmos?
  • A sua política de privacidade inclui a forma como a Shopify poderá utilizar os dados pessoais dos seus clientes para classificação de fraudes e riscos automatizada? O RGPD exige que divulgue quando as suas informações relativas à tomada de decisões automatizada forem utilizadas por si (ou pelos seus provedores de serviços). A Shopify utiliza as informações pessoais dos seus clientes para bloquear determinadas transações que pareçam ser fraudulentas através da tomada de decisões automatizada. O Gerador de política de privacidade da Shopify inclui estas informações. Para obter mais informações sobre este sistema, consulte Tomada de decisões automatizada.

Nomear um responsável pela proteção de dados

Um responsável pela proteção de dados (DPO) supervisiona a forma como a sua organização recolhe e processa os dados pessoais. Se as atividades principais do seu negócio incluírem rastreio online em grande escala, o RGPD exige que nomeie um DPO e forneça informações de contacto para o DPO na sua Política de privacidade.

O RGPD inclui tarefas específicas que um DPO deve efetuar, como a realização de avaliações do impacto da proteção de dados quando a sua organização muda a forma como recolhe e processa os dados pessoais. O DPO pode ser uma pessoa interna com experiência em matéria de RGPD e requisitos de proteção de dados, mas pode também considerar recorrer a um consultor ou empresa como DPO externo.

Pense nas seguintes perguntas:

  • Quantas pessoas são afetadas por tecnologias de rastreio na sua frente de loja? Estas podem incluir aplicações de publicidade comportamental ou mesmo aplicações de redirecionamento. Considerar que o número de pessoas afetadas é ou não de "grande escala" é uma decisão judicial e deve consultar um advogado dependendo das suas circunstâncias.
  • Deve nomear um DPO voluntariamente? Ainda que a nomeação de um DPO não seja legalmente exigida, se a sua presença na Europa for suficientemente ampla, poderá fazê-lo voluntariamente para se certificar de que protege adequadamente os dados do seu cliente.

Contratos de processamento de dados

Enquanto controlador de dados nos termos do RGPD, o Artigo 28.º exige que, quando interagir com um processador de dados (como a Shopify) para processar os dados dos seus clientes, imponha rigorosos requisitos contratuais relativamente à forma como estes poderão utilizar e processar esses dados. Normalmente, tal é feito através de uma Adenda ao processamento de dados, ou DPA.

A Shopify incorporou automaticamente um Contrato de processamento de dados (https://www.shopify.com/legal/dpa) nos seus termos de serviço, que se destina a cumprir os requisitos do Artigo 28.º.

Para comerciantes Shopify Plus, os respetivos contratos negociados irão reger a sua relação com a Shopify. Os Comerciantes Plus podem assinar uma Adenda ao processamento de dados para dar resposta às suas necessidades. Os comerciantes Shopify Plus que não assinarem uma Adenda ao processamento de dados serão regidos pela Adenda ao processamento de dados online da Shopify.

Pense nas seguintes perguntas:

  • Existem outros processadores de dados com os quais trabalha fora da Shopify contratualmente comprometidos com a proteção dos dados dos seus clientes? Muitas aplicações, canais, gateways de pagamento de terceiros ou outros processadores de dados irão também incorporar uma Adenda ao processamento de dados nos seus termos. Consultou cada um destes terceiros?

  • É um comerciante Shopify Plus com um contrato negociado? Se pretender assinar uma Adenda ao processamento de dados, contacte a Assistência do Shopify Plus. Aqui podem fornecer-lhe o modelo de DPA para assinar.

Consentimento do cliente

Ao abrigo do RGPD, poderá ter de obter consentimento para processar os dados pessoais dos seus clientes ou alterar a forma como obtém o referido consentimento atualmente.

Por exemplo, poderá ter de obter consentimento dos seus clientes caso lhes envie mensagens de marketing ou se utilizar publicidade online ou aplicações de redirecionamento.

Quando for necessário obter consentimento, o RGPD refere que este deve ser:

  • Expresso livremente: deve ser totalmente voluntário e não deve ser combinado com outros bens ou serviços.
  • Específico: deve estar associado a casos de utilização claramente explicados.
  • Informado: apenas pode ser expresso se o titular dos dados receber informações suficientes sobre os dados pessoais que serão recolhidos e utilizados.
  • Inequívoco: deve ser demonstrado através de um ato afirmativo do comerciante (ou seja, não apenas continuando a utilizar os serviços).

Tal significa que o cliente deve receber informações detalhadas sobre o caso de utilização específico e devem ser realizadas algumas ações afirmativas pelo consumidor para demonstrar consentimento.

Por fim, se oferecer aos seus clientes a oportunidade de darem consentimento, o RGPD requer também que os seus clientes tenham uma forma de retirar o consentimento. Tal pode ser conseguido através de uma funcionalidade de anulação da subscrição. Se tiver dúvidas relativamente a quando e como deve obter consentimento para recolha de dados pessoais ou à medida em que os seus clientes devem poder retirar o respetivo consentimento, deve consultar um advogado familiarizado com a legislação em matéria de proteção de dados.

Contudo, o consentimento é apenas uma das muitas bases legais do RGPD que podem justificar o processamento de dados pessoais. Poderá também processar dados pessoais para cumprir requisitos contratuais, ou se tal for exigido por lei para processamento de dados.

Alguns reguladores europeus sugeriram que, se solicitar consentimento primeiro e o seu cliente recusar ou aceitar mas depois retirar o consentimento, já não poderá confiar em quaisquer outras bases legais para processar dados pessoais. Consequentemente, apenas deve confiar no consentimento quando não pretender (ou tiver de) confiar noutra base legal para processar dados pessoais.

Pense nas seguintes perguntas:

  • Para cada forma diferente de utilizar ou processar os dados dos seus clientes, qual é a base legal para o fazer? Está a processar com base no respetivo consentimento? Está a processar para cumprir uma obrigação legal perante o cliente? Está a processar para promover os seus interesses comerciais legítimos? Deve registar a base legal como parte do seu mapa de práticas relativas a dados, descrito em Recolher dados pessoais.
  • Nas situações em que confia no consentimento, o consentimento que está a obter surge associado aos bens ou serviços que oferece? Por exemplo, declarações como by purchasing these goods, you agree to our use of your personal information poderão deixar de ser permitidas nos termos do RGPD.
  • Está a fornecer detalhes suficientes sobre como irá utilizar os dados pessoais em questão para garantir que o consentimento do cliente é informado?
  • O consentimento do cliente é registado e armazenado em alguma localização?
  • Exige consentimento para enviar comunicações de marketing aos seus clientes? Ainda que não necessite de consentimento nos termos do RGPD, a legislação local poderá ou não exigir que obtenha consentimento para enviar comunicações de marketing aos seus clientes. Consulte um advogado para obter informações sobre requisitos específicos que possam ser aplicados à sua loja.
  • Se tem motivos para acreditar que necessita de consentimento para enviar comunicações de marketing, a caixa de verificação de consentimento de marketing da sua loja está desmarcada por predefinição? Considere configurar a sua frente de loja de modo a que a caixa de verificação de consentimento de marketing apresentada aos clientes não esteja marcada por predefinição, para garantir que os seus clientes têm de agir afirmativamente para dar consentimento.

Consentimento parental

O RGPD inclui requisitos de consentimento parental específicos para processamento dos dados pessoais de utilizadores com idade inferior a 16 anos (embora esta idade possa ser inferior em determinados países).

Pense na seguinte pergunta:

  • Deve alterar a forma como processa os dados do cliente para interromper o processamento de dados de utilizadores com idade inferior a 16 anos ou para obter consentimento parental? Poderá fazê-lo proibindo o acesso de utilizadores com idade inferior a 16 anos ao seu site, através de uma aplicação de verificação da idade disponível na App Store Shopify, ou solicitando aos visitantes que confirmem que estão acima da idade da maioridade legal.

Tomada de decisões automatizada

O RGPD exige que notifique os clientes se utilizar as respetivas informações pessoais para participar em qualquer tomada de decisões automatizada.

A tomada de decisões automatizada significa utilizar algoritmos automáticos para decidir se um indivíduo é elegível para determinados serviços ou ofertas, se lhe deve ser cobrado um preço específico ou se é provável que esteja interessado em determinados tipos de bens ou serviços.

Caso utilize quaisquer processos que incluam a tomada de decisões totalmente automatizada (ou seja, sem qualquer intervenção humana) com um efeito jurídico significativo no cliente, é necessário o consentimento do cliente.

Processar Requisito
Tomada de decisões automatizada Notificação
Tomada de decisões totalmente automatizada com um efeito jurídico significativo Consentimento

Em geral, a Shopify não participa na tomada de decisões totalmente automatizada com os dados pessoais dos seus clientes.

A única exceção é a filtragem de riscos e fraude da Shopify, circunstância em que a Shopify poderá bloquear automaticamente um endereço IP ou número de cartão de pagamento após determinado número de tentativas de pagamento sem êxito. A Shopify não considera que tal tenha um efeito jurídico significativo nos clientes, uma vez que o bloqueio automático dura apenas um curto período de tempo.

Pense nas seguintes perguntas:

  • Incluiu na sua política de privacidade que a filtragem de riscos e fraude da Shopify poderá utilizar as informações pessoais dos clientes para tomada de decisões automatizada? Pode ler mais sobre as práticas de tomada de decisões automatizada da Shopify na Secção 13 da Política de privacidade. Deve também confirmar com um advogado, com base nas suas circunstâncias específicas, se este serviço não tem um efeito jurídico significativo nos seus clientes.
  • Utiliza quaisquer aplicações de terceiros que possam participar na tomada de decisões automatizada? Deve dar especial atenção à análise de quaisquer serviços de terceiros em matéria de riscos ou fraude que utilize relativamente à sua frente de loja, ou quaisquer tipos de aplicações de marketing ou publicidade que possam criar perfis ou que visem os segmentos dos seus clientes.
  • Se utilizar aplicações de terceiros que participem na tomada de decisões automatizada, deve notificar os seus clientes ou obter consentimento para utilizar estas aplicações?

Notificação da violação de dados

Se o RGPD se aplicar a si e ocorrer uma violação dos dados, poderá ter de notificar os utilizadores afetados ou organismos reguladores específicos.

Em particular, o RGPD requer notificação quando uma violação dos dados for suscetível de causar um risco elevado de impactos negativos nos direitos e liberdades dos indivíduos.

É provável que tal aconteça caso as informações violadas:s

  • Incluam detalhes de pagamento.
  • Possam ser utilizadas para revelar informações pessoais ou embaraçosas.
  • Possam ser utilizadas para aceder a serviços ou contas de um indivíduo.

Quando aplicável, é obrigado a notificar logo que possível num prazo de 72 horas após tomar conhecimento da violação.

Pense nas seguintes perguntas:

  • Consultou um advogado para determinar que informações recolhidas e processadas por si poderão requerer que forneça notificação caso ocorra uma violação dos dados?
  • Tem um plano de resposta a violações dos dados para o seu negócio, pelo que está preparado para tais incidentes?
  • Incluam detalhes de pagamento.
  • Possam ser utilizadas para revelar informações pessoais ou embaraçosas.
  • Possam ser utilizadas para aceder a serviços ou contas de um indivíduo.

O RGPD impõe requisitos a qualquer empresa que recorra a fornecedores ou provedores de serviços terceiros para processamento dos dados pessoais dos seus utilizadores.

A Shopify utiliza vários subprocessadores para processamento dos dados dos seus clientes. Para obter mais informações sobre os subprocessadores da Shopify, consulte Subprocessadores da Shopify.

Pense na seguinte pergunta:

  • Analisou as práticas de privacidade dos fornecedores e provedores de serviços que utiliza, incluindo a Shopify, para se certificar de que se sente confortável com a forma como os mesmos protegem os dados pessoais dos seus clientes?

Aplicações de terceiros

O RGPD requer que tome alguns passos afirmativos relativamente à forma como você e os seus provedores de serviços terceiros recolhe e utilizam os dados pessoais. Tal inclui a Shopify, mas também quaisquer aplicações de terceiros que utilize com a sua loja da Shopify.

A Shopify tomou ações para facilitar a compreensão dos dados pessoais aos quais as aplicações instaladas têm acesso.

Passos:

  1. No admin Shopify, clique em Aplicações.

  2. Clique em Ver detalhes na aplicação cujas permissões pretende analisar.

Pode também analisar as permissões da aplicação antes de instalar uma aplicação no ecrã de instalação da loja de aplicações.

Além disso, existe uma secção da loja de aplicações para que cada aplicação aceda a uma política de privacidade que explica mais detalhadamente quais são os dados recolhidos pelos programadores da aplicação e de que forma os mesmos estão a utilizá-los.

Embora a Shopify pretenda facilitar o mais possível o seu acesso a práticas de dados das aplicações que instala, depende de si garantir que está a utilizar as aplicações de terceiros em conformidade com o RGPD.

Pense na seguinte pergunta:

  • Com base na sua localização, nas localizações dos seus clientes, nas localizações dos programadores da aplicação e na implementação de cada aplicação, utiliza as aplicações de terceiros em conformidade com o RGPD? Caso tenha dúvidas sobre se as práticas de dados de uma aplicação específica poderão exigir consideração ou trabalho adicional da sua parte para assegurar o cumprimento do RGPD, consulte um advogado.

Transferências internacionais de dados

O RGPD proíbe a exportação dos dados pessoais dos europeus para fora da Europa, exceto se essas informações forem devidamente protegidas.

A Shopify protege os dados pessoais de acordo com os requisitos do RGPD quando estes são transferidos para e processados nos Estados Unidos e no Canadá.

A Shopify configurou os seus fluxos de dados para tratarem desses requisitos para comerciantes. Conforme descrito na Secção 12 da Política de privacidade da Shopify, todos os dados pessoais europeus são inicialmente recebidos de comerciantes e processados na Irlanda pela filial irlandesa da Shopify, a Shopify International Ltd. Em seguida, a Shopify transfere esses dados em conformidade com o RGPD:

Transferências internacionais de dados do RGPD

Para obter mais informações sobre a forma como os dados pessoais provenientes do Espaço Económico Europeu (EEE) são recebidos e processados pela Shopify de acordo com as normas do RGPD e as melhores práticas de segurança da informação, consulte o documento técnico do RGPD da Shopify (em inglês).

Pense na seguinte pergunta:

Certificou-se de que outras partes para as quais transfere dados irão transferir os mesmos através de fronteiras internacionais em conformidade com o RGPD? Pode fazê-lo analisando as políticas de privacidade de aplicações, canais e gateways de pagamento de terceiros, ou outros fornecedores, para confirmar se estas explicam de que forma protegem os dados europeus.

Transferir o livro branco do RGPD da Shopify

Para obter mais informações sobre como a Shopify cumpre o RGPD e para se certificar de que está em posição de poder respeitá-lo relativamente à forma como utiliza a Shopify, Transfira o livro branco do RGPD da Shopify (em inglês).

Está pronto para começar a vender na Shopify?

Experimente gratuitamente