Como preparar a loja online para o RGPD e evitar penalizações

José FreitasEcommerce

Como preparar a loja online para o RGPD de forma a evitar penalizações

Já tens o teu site de comércio electrónico pronto para enfrentar o Regulamento Geral de Protecção de Dados? Não? Então a partir de agora a tua prioridade, além de vender, é preparar a loja online para o RGPD.

“É assim tão importante que devo esquecer tudo o resto, como preparar a estratégia de email marketing, fazer campanhas de publicidade no Facebook, criar uma página de produto perfeita e outras tantas coisas para fazer um site de ecommerce de sucesso?”

Resposta curta: sim, é!

O RGPD prevê multas pesadas para quem não o cumprir mas as penalizações mais severas serão aplicadas a quem tiver um comportamento negligente mais do que a quem procurou, de forma diligente, aplicar as normas e falhou uma ou outra.

As multas podem mesmo ultrapassar os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Ouch…

Nota: O RGPD destina-se aos dados de pessoas singulares, não aos dados de empresas.

O ‘bem me quer’, ‘mal me quer’ do RGPD

Na perspectiva das empresas podemos pensar que o RGPD é mais uma pedra no sapato do desenvolvimento dos negócios e no relacionamento com os clientes. Mas, enquanto cidadãos consumidores, trata-se – no essencial -, de uma boa medida.

O Regulamento Geral de Protecção de Dados (RGPD) é o documento que regula a proteção das pessoas singulares no que diz respeito a tratamento de dados pessoais e livre circulação desses dados.

Pessoalmente detesto ser incomodado por chamada de telemarketing cujo operador (a fazer o seu trabalho) me tenta vender coisas em que não estou nada interessado, como subscrições de revistas sobre animais domésticos.

Nem aprecio que os meus dados sejam motivo de transação entre empresas, de forma aberta e descarada.

Talvez o mesmo se passe contigo.

Imagino que não aches piada a receber emails a convidar-te para uma feira de queijos (logo a ti, que és intolerante à lactose e vegan).

O RGPD tem duas faces, conforme o vemos como negócio ou consumidor

O RGPD tem duas faces, conforme o vemos como negócio ou consumidor

 

Voltando ao RGPD…

O documento será aplicado em todos os países da União Europeia.

Melhor: envolve todos os cidadãos residentes na União Europeia.

Desta forma, mesmo sites com sede e base noutros países do mundo têm de o cumprir, desde que recolham, agora ou no futuro, dados de cidadãos residentes na UE.

Como é evidente, os sites de comércio electrónico serão tremendamente afectados por estas regras.

A boa notícia é que o RGPD só tem aplicação obrigatória a partir de 25 de Maio de 2018, o que te dá (à data da publicação inicial deste artigo, 31 de Janeiro de 2018) algum tempo para preparares tudo.

Além disso, estamos aqui para te ajudar.

Respira…

Os elementos pessoais num site de comércio electrónico

Uma das principais novidades do RGPD é a redefinição do que são dados pessoais.

É agora toda e qualquer informação que possa ser usada para identificar directa ou indirectamente uma pessoa.

O nome, endereço de email, número de identificação fiscal ou da segurança social e fotografia, por exemplo, eram já dados que serviam para identificar uma pessoa. A estes juntam-se outros, incluindo: identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Além de identificadores por via eletrónica, como o endereço IP de um equipamento de acesso à internet.

De uma forma geral, o conjunto de informação recolhido quando alguém visita a tua loja online (ou qualquer outro site) é considerado informação pessoal e enquadra-se dentro do RGPD.

Mesmo que não tenha feito qualquer compra no site, criado uma conta ou sequer colocado produtos no carrinho.

Um outro ponto determinante é o consentimento explicito por parte da pessoa. O que torna fundamental teres um site de ecommerce limpo, simples e amigável do utilizador.

Vamos descobrir porquê…

O IP de acesso à internet é um dado pessoal no âmbito do RGPD.

O IP de acesso à internet é um dado pessoal no âmbito do RGPD.

O consentimento explícito do utilizador

Com o RGPD, o teu cliente ou utilizador do site deve saber de forma simples e clara para que pretendes os seus dados e como os vais processar.

Estás a ver aquela velha fórmula, ao estilo da ‘lei dos cookies’, com a informação de que “se continuares estás a aceitar os nossos termos e condições”? Esquece.

Os termos e condições têm de continuar a existir, para regular o relacionamento comercial entre vendedor e comprador. Mas a recolha de dados que venhas a efectuar, incluindo no acto da compra, tem de ser acompanhada de um pedido de autorização fácil de entender, legível e acessível, indicando:

  • quem somos, como o nome do site e empresa proprietária;
  • os contactos do encarregado da proteção de dados, se houver;
  • a finalidades do tratamento de dados, como a necessidade de os usar para processar encomendas e pagamentos e enviar os produtos (se for um bem físico);
  • a duração da guarda dos dados ou os critérios para essa conservação, em concreto quanto tempo os irás guardar e porquê (ex. guardas os dados durante X dias para gestão de devoluções, ou 1 ano para poder prestar um melhor serviço personalizado ao consumidor);
  • as entidades com quem os irás partilhar, como a entidade que processa os pagamentos (ex. PayPal) e a empresa que irá entregar a encomenda (se for um bem físico);
  • o direito de apresentar reclamação a uma autoridade de controlo;
  • a existência de decisões automatizadas, incluindo a definição de perfis (por exemplo, guardar identificação de quem comprou camisola azul aos quadrados);
  • a existência do direito de retirar consentimento em qualquer altura (o cliente pode pedir para ser esquecido depois de resolvidos todos os trâmites burocráticos com a tua loja).

De facto, o direito a ser esquecido é uma das outras grandes novidades do RGPD que envolve, em particular, o sector do ecommerce.

Os direitos dos clientes da tua loja online

Os clientes do teu comércio electrónico, e tu enquanto cliente de outras lojas, passam a ter 3 direitos chave:

  • direito de acesso;
  • direito a ser esquecido
  • direito à portabilidade dos dados
  • direito de oposição.

É verdade que, antes do RGPD, já havia regras similares mas agora as coisas são um pouco mais claras e definidas.

Direito de acesso

Se o cliente desejar, tens de indicar se e como é que os seus dados são processados e para que finalidade.

Terás ainda de fornecer, a seu pedido, uma cópia dos dados pessoais que tens a seu respeito. Além das ferramentas que usas para aceder e registar os seus dados, como o Google Analytics, Facebook Pixel, aplicação de email marketing, entre outras.

Direito a ser esquecido

Se um cliente solicitar, terás de eliminar todos os seus dados de todas as ferramentas e software que usas, incluindo a conta de cliente.

“Mesmo as facturas?”

Não. O RGPD não se sobrepõe a um conjunto de outras leis, incluindo aquelas referentes a matéria fiscal.

No entanto, depois enviada a factura / recibo, depois de ultrapassado o prazo para eventuais reclamações e devoluções, terás de eliminar todos os dados do cliente do teu sistema de gestão de conteúdos da loja, se este o solicitar.

O que implica, por exemplo, ficares sem o seu histórico de compras como cliente.

Direito à portabilidade dos dados

Se o cliente pedir, terás de fornecer os dados pessoais que lhe digam respeito, num formato estruturado, de uso corrente e de leitura automática. É o direito de transmitir esses dados a outra entidade para que os volte a tratar.

Esta é uma situação que ocorria, em parte, na mudança de operador de telecomunicações, em que o cliente podia mudar de operadora levando o seu número.

Isto quer dizer que se um cliente pedir, podes ter de fornecer o seu histórico de compras no teu site e ele o levar para outro site concorrente. O que pode ser mau.

Por outro lado, isso quer dizer que ele poderá transportar para o teu site a informação de aquisições que fez noutro site concorrente. O que pode ser bom.

Direito de oposição

Se os clientes pedirem, tens de assegurar que o titular dos dados pode opor-se ao seu tratamento, em particular na definição de perfis, incluindo perfil de consumidor, como tipo de produtos adquirido, volume de compras e montantes gastos.

É fundamental teres documentado o processo de gestão e processamento dos dados pessoais

É fundamental teres documentado o processo de gestão e processamento dos dados pessoais

Se o teu site for atacado…

O melhor, como sempre, é ser transparente.

Se tiveres um problema de segurança na tua loja online tens de comunicar a ocorrência do problema à entidade que regula o RGPD (a Comissão Nacional de Protecção de Dados, em Portugal) até 72 horas depois de teres conhecimento do problema.

Precisas de informar o que se passou e se houve perda ou roubo de dados.

Esta é uma comunicação que deves fazer igualmente junto dos teus clientes.

Podem existir algumas exceções, como, por exemplo, os dados em causa estarem protegidos de tal forma que os mesmos não são acessíveis, ou estejam num formato incompreensível.

O que deves fazer na tua loja online

Desde logo, adopta a regra da simplicidade.

No formulário de compra pede apenas e só os dados essenciais à concretização da compra. Esta não é uma técnica que deves usar para evitar carrinhos abandonados.

Se venderes produtos físicos pede…

  • Nome
  • Morada
  • Email
  • Número de identificação fiscal (NIF)
  • Telefone – se for considerado importante para resolver questões relacionadas com a entrega.
  • Deves informar qual a empresa que processa a entrega da encomenda e quais os dados a que esta terá acesso.

Se venderes produtos digitais pede…

  • Nome
  • Email
  • NIF

Notifica os utilizadores e clientes dos sistemas de rastreamento que usas como…

  • Google Analytics ou outros com a mesma finalidade
  • Facebook Pixel
  • Sistemas ou plugins de detecção de localização
  • Sistemas de acompanhamento de comportamento no site, como geradores de mapas de temperatura
  • Sistemas de teste A/B

A informação da financeira continua a ser das mais delicadas

O processamento de pagamentos

A formo como efectuas a cobrança dos teus produtos ou serviços também mexe com este aspecto. Os dados bancários e financeiros também permitem a identificação da pessoa.

Se o pagamento é feito via Multibanco, este é offline e não há uma transmissão de dados da pessoa para a loja. Ainda assim, fará sentido informar o cliente que os seus dados serão transmitidos à empresa que faz o processamento das referências para pagamento.

Se for efectuado através de PayPal, indica quais os dados que serão partilhados com este sistema.

Se for por intermédio de cartão de crédito, informa qual a entidade que terá acesso a esses dados.

Se usares uma aplicação de email marketing…

Convida os utilizadores e clientes a subscrever a tua newsletter, indicando de forma clara e perceptível:

  • o tipo de informação que lhes irás enviar (informação útil, divulgação comercial, promoções, descontos, etc);
  • durante quanto tempo;
  • com que entidades irás partilhar os seus dados, isto é o sistema de gestão de email marketing.

Trata-se efectivamente de um convite.

A autorização tem de ser explícita, por parte do cliente. Logo, ele tem de exprimir a sua vontade livre por intermédio de uma acção.

Usavas algo parecido mas a caixa de confirmação já estava marcada? Com o RGPD a caixa tem de estar desmarcada.

“Mas posso continuar a oferecer um cupão de desconto a troco da subscrição na lista de email?”

Podes, claro. Mas desde que haja, do lado do cliente, um consentimento explícito de que aceita fazer parte da tua lista de email. O facto de lhe fazeres uma oferta não invalida que tenhas de obter esse consentimento.

Precisas de mais dados dos clientes do que os indicados acima?

Em rigor, poucas serão as ocasiões em que precisas de mais dados do que os acima indicados para um relacionamento comercial com um cliente.

Tudo o que precisas a mais destina-se, à partida, à realização de acções de marketing.

Não há qualquer mal nisso.

O marketing quando feito com ética, qualidade e rigor é uma forma extraordinária de ajudar os clientes.

Com o RGPD podes continuar a pedir todos os dados que consideras importantes. Acontece é que tens de obter o consentimento explícito do teu cliente para os tratar, processar e guardar.

Mantém os teus registos actualizados

O RGPD impõe que mantenhas actualizado o registo do tratamento de dados. Isto é, deves poder indicar o percurso dos dados das pessoas:

  • como os recolhes;
  • onde os guardas;
  • as entidades com os quais os partilhas, incluindo no processamento de pagamentos.

Esta é uma informação que terás de fornecer se te pedirem mas é também importante para ti, sempre que ocorrer algo que implique a actualização ou eliminação de dados.

Conclusão

Se ainda não começaste a tratar este processo para a tua loja online, está na hora de fazeres.

Além de tudo o que aqui ficou dito, há umas quantas zonas cinzentas que terão de ser limadas ao longo do tempo. Afinal, não nos podemos esquecer que estas são normas criadas por um grupo de burocratas que nem sempre têm uma execução prática fácil ou real.

Como consumidores, todos ficaremos um pouco mais protegidos de algumas empresas predadoras e abusadoras.

Como proprietários, administradores e gestores de lojas online, todos poderemos prestar um melhor serviço aos clientes e potenciais clientes. Em concreto depois de aplicadas as normas do RGPD.

Agora é tempo de fazeres a lista do que terás de alterar, implementar e criar para dar os passos necessários de forma a corresponder às obrigações impostas pelo RGPD.

Se pudermos ajudar, contacte-nos…







Quero saber mais sobre o RGPD

Aceito tomar um café na Kaksi Media e saber de que forma posso implementar o Regulamento Geral de Proteção de Dados na minha organização