Como garantir a conformidade com o GDPR do WooCommerce

Publicados: 2018-05-08
header image for WooCommerce GDPR article

Última atualização - 14 de setembro de 2021

Se você é proprietário de uma loja WooCommerce, já deve ter ouvido falar do GDPR. É o Regulamento Geral de Proteção de Dados (GDPR) que está sendo aplicado pela União Europeia. Todos os lojistas que vendem para mercados europeus e lidam com dados de cidadãos europeus precisam cumprir as diretrizes do GDPR. 25 de maio de 2018 é o prazo para garantir que sua loja WooCommerce siga todas as diretrizes de privacidade de dados especificadas no GDPR. Este artigo pretende ajudá-lo a entender as nuances da conformidade com o WooCommerce GDPR que você precisa prestar atenção como proprietário de uma loja. Depois de ler este artigo, você deve ter uma ideia clara sobre os vários aspectos do GDPR, bem como as medidas importantes que você precisa tomar.

Observação: as informações neste artigo são apenas para informações gerais. Pode ser necessário obter aconselhamento jurídico profissional para o seu cenário de negócios específico.

A importância do GDPR

O GDPR é aplicado para garantir que os usuários (especificamente cidadãos da UE) em todo o mundo tenham melhor controle sobre os dados que compartilham com as empresas. Uma multa pesada é proposta para garantir que a maioria das empresas cumpra isso. A coima pode ir até 20 milhões de euros, ou 4% do volume de negócios anual de uma empresa no exercício anterior. O valor maior será aplicado como penalidade para os negócios que não cumprirem as diretrizes.

Em todo o mundo, as empresas estão levando essas diretrizes a sério. Uma pesquisa realizada pela PwC, entre empresas dos EUA, revelou que mais de 77% das empresas estão dispostas a pagar mais de US$ 1 milhão para garantir a conformidade com o GDPR. Este é um indicador importante que lhe daria uma ideia de quanto impacto global existe sobre o assunto.

Perspectiva do WooCommerce GDPR

Como proprietário de uma loja WooCommerce, você pode precisar abordar especificamente certos aspectos relacionados à sua loja. Cada site WordPress tem uma abordagem diferente quando se trata de coletar os dados de seus usuários. Você precisa fazer uma pesquisa completa sobre os vários aspectos relacionados ao seu site e, em conformidade, elaborar um plano. De um modo geral, um site WordPress pode coletar dados do usuário por vários meios. Isso inclui registros de usuários, comentários, entradas de análise, formulários de contato, soluções de segurança, etc. E muitos outros plugins que você está usando podem coletar informações de usuários.

Como proprietário de uma loja, o aspecto mais importante na conformidade com o WooCommerce GDPR é comunicar efetivamente ao usuário sobre como você está coletando e usando seus dados. Por exemplo, talvez seja necessário atualizar sua política de privacidade para explicar as várias medidas que você tomou para garantir a conformidade com o GDPR. Também é importante obter o consentimento de seus usuários toda vez que você coletar qualquer tipo de dados deles.

imagem que descreve a privacidade de dados para o artigo WooCommerce GDPR
A privacidade de dados é uma preocupação crescente para usuários da Internet em todo o mundo.

Diretrizes do GDPR

Todo proprietário de site deve seguir as diretrizes do GDPR, que incluem alguns dos pontos listados abaixo:

Transparência

Você precisa comunicar claramente aos seus usuários sobre os motivos da coleta de dados, por quanto tempo você os manterá e quem todos terão acesso a eles, etc. Isso é importante para que os usuários entendam as possibilidades com as quais uma empresa pode usar seus dados.

Consentimento

Você também precisa obter um consentimento informado de seus usuários em relação a quaisquer dados que você coletará deles. E, tem que ser a decisão do usuário fornecer consentimento para a coleta de dados. Por exemplo, habilitar determinados campos por padrão não é uma prática aconselhável de acordo com as diretrizes do GDPR.

Direito de acesso

Seus usuários devem ter o direito de acessar seus dados em todos os momentos. Além de serem informados sobre os pontos de dados específicos, seu armazenamento e processamento e o motivo da coleta, seus usuários também poderão obter uma cópia dos dados quando solicitarem. Esse é um aspecto um tanto complicado para o proprietário de uma loja WooCommerce, pois eles podem estar usando vários plugins e soluções de terceiros que também precisam aderir a essas diretrizes. E é responsabilidade do proprietário do site certificar-se de que todas as ferramentas que estão coletando dados do usuário estejam em conformidade com os novos regulamentos.

Direito de retirar o consentimento

Os usuários terão um controle muito melhor sobre seus dados de acordo com essas diretrizes. Em todos os momentos, o usuário terá o direito de revogar o consentimento dado a um site para manter os dados. E, se quiserem, os usuários devem poder excluir seus dados do site.

Notificação de violação de dados

Outro aspecto importante das diretrizes do GDPR é o requisito de informar imediatamente os usuários sobre qualquer violação de dados em seu site. De acordo com as diretrizes, você precisa informar os usuários sobre a violação de dados em até 72 horas após tomar conhecimento dela. Usar um bom plugin de segurança como o Wordfence para monitorar o tráfego e os logs de atividades pode ser uma boa opção nesse sentido.

Etapas a serem seguidas para conformidade com o WooCommerce GDPR

Como proprietário de uma loja WooCommerce, você deve seguir várias etapas para garantir que seu site esteja em conformidade com os regulamentos do GDPR. Algumas dessas etapas estão listadas abaixo:

Atualize sua política de privacidade

Você precisa atualizar a política de privacidade em seu site para garantir que seus usuários estejam cientes de todas as etapas que você realizou para garantir a conformidade com o GDPR. Aqui, você também precisa especificar quais informações coleta dos usuários e por que as está coletando. Além disso, você também precisa informar aos usuários como você está processando os dados e quem tem acesso a eles. Outra informação importante que você precisa comunicar aos seus usuários é o período de tempo em que você manterá suas informações. Você já deve ter visto notificações de atualização da política de privacidade de muitos sites populares.

Verifique se o usuário deu consentimento

Você precisa garantir que os usuários concordem com você para coletar e armazenar suas informações pessoais em seu site. Isso pode ser alcançado obtendo consentimento ativo para cada informação específica que você solicita de um usuário. Um aspecto a ser focado aqui para garantir que você não esteja habilitando opt-ins automáticos. Cada um dos campos específicos que solicitam o consentimento dos usuários deve ser mantido desabilitado por padrão. Você pode coletar informações pessoais de usuários somente se eles optarem ativamente por fornecê-las a você.

Colete apenas informações relevantes

Muitos sites e proprietários de empresas tendem a coletar e armazenar informações que não são realmente relevantes para seus negócios. Essa tendência vai parar com a introdução do GDRP. Basicamente, você terá que excluir todas as informações que não usa mais. E não há necessidade de coletar qualquer informação que você acha que seria útil no futuro. Na verdade, se você coletar uma quantidade menor de informações, isso reduzirá o risco de violações de dados.

Além disso, certifique-se de manter apenas uma versão dos dados. No entanto, talvez seja necessário manter várias cópias ao armazenar o backup. Você pode manter até quatro backups como norma padrão. Além disso, você terá que registrar corretamente o local onde está armazenando seu backup para que seja transparente para as auditorias de dados.

Crie um processo para possíveis violações de dados

Existem vários cenários em que os dados do usuário em seu site serão comprometidos. Um dos casos comuns será um hack de site onde os invasores podem acessar seus dados. Além disso, o acesso não autorizado por processadores de dados também pode representar um problema. Todos os plugins, softwares e outras ferramentas em seu site que acessam os dados de seus usuários são chamados de processadores de dados. Às vezes, você pode passar o acesso às informações pessoais de seus usuários para processadores que não deveriam obtê-las. Isso também pode ser considerado como uma violação de dados. Da mesma forma, a transmissão de informações pessoais para um país não compatível com GDPR também é considerada uma violação de dados.

Imagem que descreve processadores de dados para o artigo do WooCommerce GDPR
Os plug-ins e softwares que você usa em seu site podem ser processadores de dados e seu acesso às informações pessoais dos usuários do seu site pode variar.

É aconselhável ter um processo claro com bastante antecedência para lidar com qualquer tipo de violação de dados. De acordo com as diretrizes do GDPR, você deve informar os usuários sobre uma violação de dados dentro de 72 horas após o primeiro conhecimento.

Crie processos para lidar quando os usuários solicitarem seus dados

Com a conformidade com o GDPR, seus usuários têm um controle muito melhor sobre suas informações pessoais. Isso inclui solicitações para copiar, portar ou excluir os dados ou, às vezes, a retirada do consentimento dado anteriormente. Você precisa estar equipado para lidar com todas essas solicitações sem coletar dados adicionais dos usuários.

Além disso, observe que as diretrizes do GDPR são igualmente aplicáveis ​​a grandes e pequenas empresas.

Conclusão

GDPR ou Regulamento Geral de Proteção de Dados é um conjunto de códigos regulatórios aplicáveis ​​a todos os sites e empresas que têm cidadãos da União Europeia como seus usuários. Na verdade, é um esforço para garantir uma melhor privacidade de dados em todo o mundo. Os aspectos básicos das diretrizes do GDPR podem ser resumidos da seguinte forma:

  1. Informe seus usuários sobre todos os dados pessoais que você coleta deles. Você também precisa comunicar por que está coletando os dados, quem todos terão acesso a eles e por quanto tempo você os mantém em seu site, etc.
  2. Obtenha um consentimento informado de seus usuários antes de coletar informações deles de qualquer forma.
  3. Colete dados apenas quando for realmente relevante para o seu negócio. Quando você tem menos dados, pode protegê-los com mais eficiência.
  4. Crie um processo para fornecer aos usuários seus dados sempre que eles solicitarem acesso.
  5. Notifique os usuários imediatamente se houver qualquer violação de dados.

O proprietário de uma loja WooCommerce é considerado um controlador de dados de acordo com as diretrizes do GDPR. Embora ferramentas diferentes possam ter abordagens diferentes para privacidade de dados, é responsabilidade do proprietário da loja garantir que todos os plug-ins e ferramentas sigam as diretrizes. O prazo para conformidade com o GDPR é 25 de maio de 2018, e é hora de se concentrar nele, caso você ainda não tenha tomado as medidas necessárias.

Leitura adicional

  • Plugins de segurança do WordPress
  • Plugins de Backup WooCommerce