Perguntas frequentes sobre o RGPD

Saiba mais sobre as perguntas frequentes relacionadas com o RGPD. Estas explicações são meramente informativas e não constituem aconselhamento jurídico profissional. Consulte aconselhamento jurídico independente para obter informações específicas para o seu país e circunstâncias.

Por que motivo a Shopify não inclui uma caixa de verificação "Aceitar os termos e condições e a política de privacidade" na finalização da compra?

A Shopify analisou cuidadosamente o RGPD e concebemos a nossa plataforma para proporcionar aos nossos comerciantes a melhor experiência de comércio que pode cumprir a legislação relativa à privacidade e à proteção de dados, como o RGPD.

A obtenção de consentimento prévio explícito dos clientes relativamente ao tratamento dos respetivos dados pode, quando devidamente implementada, ser uma forma útil de proporcionar transparência e conquistar a confiança do cliente. Mas, quando não são corretamente implementadas, as caixas de verificação podem confundir o cliente, podem criar expectativas incompatíveis e até mesmo criar problemas legais aos comerciantes ao abrigo do RGPD. Optámos por não modificar o nosso fluxo de trabalho de finalização da compra para incluir uma caixa de verificação "Aceitar os termos e condições e a política de privacidade" durante a finalização da compra devido a estas preocupações.

Em particular, o RGPD deixa claro que os comerciantes podem recolher e tratar os dados pessoais do cliente por muitos motivos, incluindo se o cliente tiver fornecido o seu consentimento informado. Mas o RGPD reconhece que poderão existir muitas circunstâncias em que pode ser necessário tratar os dados pessoais separadamente e além do consentimento do cliente, tais como:

É provável que os comerciantes confiem em muitos destes fundamentos legais no que diz respeito às diferentes formas através das quais podem tratar os dados dos seus clientes. Por exemplo, um comerciante pode ter de utilizar o endereço de envio de um cliente para processar efetivamente a encomenda e cumprir o contrato do comerciante com o cliente. Da mesma forma, um comerciante pode ser legalmente obrigado a tratar dados pessoais para responder a uma intimação ou no contexto de uma auditoria fiscal. E um comerciante pode tratar dados pessoais para quaisquer outros interesses legítimos.

Ao mesmo tempo, os reguladores europeus deixaram claro que o consentimento é a mais importante destas diferentes justificações. Em particular, os reguladores sugeriram que, quando o comerciante solicitar consentimento para tratar dados para uma finalidade específica, poderá deixar de ser possível o mesmo confiar nos fundamentos legais acima indicados (como contratos ou interesses legítimos). Além disso, os reguladores alertaram para o facto de o consentimento não poder constituir uma condição para receber bens ou serviços.

Por que motivo todos estes factos são importantes? Imaginemos o que aconteceria se um comerciante adicionasse uma caixa de verificação "Aceitar os termos e condições e a política de privacidade" na finalização da compra. Se o cliente não optar por dar consentimento (ou se o cliente der consentimento e, em seguida, o retirar -- o que é um direito concedido a indivíduos ao abrigo do RGPD), poderá deixar de ser possível o comerciante confiar nas outras justificações acima apresentadas. Assim, o comerciante poderá estar numa posição em que, ao abrigo do RGPD, não pode tratar legalmente os dados pessoais do cliente para processamento de uma encomenda. Ao mesmo tempo, se o comerciante modificar a finalização da compra de modo a que esta caixa de verificação seja obrigatória para concluir a transação, o consentimento seria uma condição prévia para a receção dos bens ou serviços e, portanto, poderia não ser válido ao abrigo do RGPD em primeiro lugar.

Esta complexidade contribuiu para que alguns reguladores alertassem para o perigo de pedir o, ou confiar no, consentimento se tal não for adequado. Por exemplo, o Gabinete do Comissário para a Informação do Reino Unido aconselhou o seguinte:

"O consentimento é adequado se for possível oferecer às pessoas escolha e controlo reais sobre como utiliza os respetivos dados, e se quiser reforçar a sua confiança e envolvimento. Mas se não puder oferecer uma escolha genuína, o consentimento não é apropriado. Se, ainda assim, tratar os dados pessoais sem consentimento, pedir consentimento é enganoso e intrinsecamente injusto.

Se fizer do consentimento uma condição prévia de um serviço, é improvável que seja a base legal mais adequada.

As autoridades públicas, os empregadores e outras organizações que se encontrem numa posição de poder face aos indivíduos devem evitar confiar no consentimento, exceto se estiverem confiantes de que podem demonstrar que o mesmo foi dado livremente."

Queremos fazer o nosso melhor para apoiar os nossos comerciantes e ajudá-los a evitar consequências legais problemáticas. Mas, ao mesmo tempo, entendemos que, em última análise, os comerciantes têm de se sentir confortáveis por terem a confiança dos seus clientes. Como resultado, assegurámos que os comerciantes podem adicionar uma caixa de verificação "Aceita Termos e Condições" à página Carrinho (não à página Finalização da compra). Para obter mais informações sobre como fazê-lo, consulte os nossos documentos de ajuda.

Por que razão não posso assinar um Contrato de Processamento de Dados (DPA) com a Shopify?

O RGPD exige que os subcontratantes sejam vinculados por um contrato escrito (que inclui contratos em formatos eletrónicos) face a cada responsável pelo tratamento dos dados, a fim de tratar dados pessoais. Estes contratos devem especificar quais os dados pessoais que estão a ser tratados e as obrigações e direitos do subcontratante e responsável pelo tratamento. Estes contratos são frequentemente designados como Contratos de Processamento de Dados (DPA). Na sua essência, um DPA consiste num contrato ao abrigo do qual a Shopify só tratará os dados pessoais que lhe forem fornecidos da forma especificada pelo comerciante, porque o comerciante é o responsável pelo controlo dos dados.

Para cumprir este requisito, a Shopify adicionou uma Adenda ao processamento de dados aos nossos Termos de Serviço. (Tem a designação de "Adenda" e não de "Contrato" porque é adicionada aos Termos de Serviço, não sendo um contrato por si só.)

Como comerciante, concorda com os Termos de Serviço e, por extensão, com a Adenda ao processamento de dados, quando se regista em serviços da Shopify, e concorda com quaisquer atualizações dos Termos de Serviço (por exemplo, a nossa atualização que adicionou a Adenda ao processamento de dados) continuando a utilizar os serviços.

É importante notar que os Termos de Serviço são regidos pela lei de Ontário, e não pela lei da jurisdição na qual reside. Portanto, embora outras leis regionais, como o RGPD, possam certamente abranger o seu negócio e a forma como trata os dados, e podem exigir que tenha um contrato vinculativo com os seus provedores de serviços (como a Shopify), essas outras leis regionais não determinam necessariamente se um contrato é vinculativo ou não. No caso do seu contrato connosco, essa questão de saber se o DPA é um contrato vinculativo é determinada por referência à lei de Ontário.

Por conseguinte, mesmo que a sua jurisdição exija que seja assinado um contrato (como o DPA), isso pode não ser relevante face ao seu DPA. Ao abrigo da lei de Ontário, acreditamos que ao continuar a utilizar o nosso serviço após a atualização dos nossos temos, tanto a Shopify como você passam a estar vinculados pelos novos Termos de Serviço modificados. Ao continuar a utilizar a Shopify, acreditamos que celebrou um contrato vinculativo connosco que inclui a nossa Adenda ao processamento de dados, conforme exigido pelo RGPD.

O que devo fazer se tiver mais perguntas sobre o RGPD ou as minhas leis de privacidade locais?

Entre em contacto com um advogado local especializado em leis de privacidade ou proteção de dados.

Quem posso contactar para obter mais informações sobre as práticas da Shopify?

Contacte privacy@shopify.com para obter mais informações sobre as práticas da Shopify.

Se utilizar a Shopify para alojar a minha loja, o meu negócio cumpre o RGPD?

Não automaticamente. Ainda que as operações da Shopify estejam em conformidade com o RGPD e a Shopify disponibilize ferramentas para ajudar os respetivos comerciantes a cumprirem o mesmo, é da responsabilidade de cada comerciante assegurar que o respetivo negócio cumpre a legislação em vigor na jurisdição onde atua.

A utilização da plataforma da Shopify, por si só, não garante que uma empresa cumpre o RGPD.

A Shopify irá assinar Cláusulas contratuais padrão?

Não. Conforme descrito na secção Transferências de dados do nosso documento técnico (em inglês), a Shopify estruturou os seus fluxos de dados para que os comerciantes transfiram dados para o afiliado irlandês da Shopify na Europa. Por esse motivo, as Cláusulas contratuais-tipo não são adequadas, uma vez que são aprovadas para transferências entre uma parte europeia e uma parte não europeia.

Além disso, no que diz respeito às transferências efetuadas diretamente para a Shopify Inc., a Shopify basear-se-ia nesses casos na decisão de adequação da Comissão Europeia relativamente à lei de privacidade do Canadá, que se estende à Shopify Inc. enquanto empresa canadiana.

Está pronto para começar a vender na Shopify?

Experimente gratuitamente