RGPD para Pequenas Lojas Online: a Versão em Linguagem Simples
Se gere uma pequena loja online no Reino Unido, é quase de certeza um responsável pelo tratamento de dados ao abrigo do RGPD do RU, e a tarefa prática é mais simples do que parece: saber que dados pessoais possui, ter uma razão legal para os deter, informar os clientes sobre o que faz com eles, mantê-los seguros e respeitar os seus direitos quando o solicitarem. É tudo isto numa só frase. O resto deste guia detalha cada parte em linguagem simples, usando a terminologia que o GOV.UK e o Information Commissioner's Office (ICO) efetivamente utilizam, para que possa cumprir a lei sem ter de percorrer legislação.
Uma nota rápida e importante antes de começarmos: isto é informação geral, não aconselhamento jurídico. A proteção de dados é regulada e os pormenores das suas obrigações dependem do seu negócio específico. Quando precisar de certezas, consulte as orientações do ICO em ico.org.uk ou fale com um profissional. Dito isto, vamos desmistificar o assunto.
O que "RGPD" significa realmente no Reino Unido hoje
Desde o Brexit, o Reino Unido tem a sua própria versão chamada RGPD do RU, que coexiste com o Data Protection Act 2018. Para uma pequena loja, as regras práticas são, em traços largos, as mesmas do regime da UE de que talvez tenha ouvido falar. Dois papéis importam:
Responsável pelo tratamento — quem decide porque e como os dados pessoais são usados. Se gere a loja, é você. É você quem assume a responsabilidade legal.
Subcontratante — uma empresa que trata dados em seu nome, sob as suas instruções, como o seu prestador de pagamentos, a sua ferramenta de email ou a plataforma da sua loja. Têm as suas próprias obrigações, mas não eliminam as suas.
Esta distinção importa para a forma como fala das suas ferramentas. A sua plataforma de comércio eletrónico, a sua conta Stripe, o seu serviço de newsletter — são subcontratantes que atuam em seu nome. Fornecem infraestrutura segura, mas você continua a ser o responsável pelo tratamento, que tem de ter uma política de privacidade, responder aos pedidos dos clientes e tomar as decisões de fundo. Nenhuma plataforma "trata do RGPD por si" de ponta a ponta, e deve ser cético em relação a qualquer uma que o afirme.
Passo um: saber que dados pessoais possui
Dados pessoais são qualquer informação que identifique uma pessoa viva. Numa loja online típica, isso é mais do que imagina:
Nomes, moradas de entrega e faturação, endereços de email e números de telefone
Histórico de encomendas e o que alguém comprou
Palavras-passe de conta (com hash, espera-se) e registos de início de sessão
Endereços IP, IDs de cookies e dados analíticos
Emails de apoio ao cliente e quaisquer notas que guarde sobre as pessoas
Subscritores da newsletter e preferências de marketing
Os números dos cartões são um caso especial: se aceita pagamentos através do Stripe ou do PayPal, os dados sensíveis do cartão são tratados por eles, não armazenados na sua loja, o que o mantém totalmente fora da parte mais arriscada dos dados de pagamento. É um benefício genuíno de usar um subcontratante estabelecido em vez de criar o seu próprio checkout.
O exercício prático é passar vinte minutos a anotar todos os locais onde vivem os dados dos clientes: a base de dados da loja, a caixa de entrada de email, a ferramenta de marketing, a sua folha de cálculo de contactos grossistas. Não pode proteger ou gerir dados de que se esqueceu que tem.
Passo dois: ter uma base legal para os usar
O RGPD do RU diz que precisa de uma razão válida — uma "base legal" — para cada coisa que faz com dados pessoais. Existem seis, mas as pequenas lojas apoiam-se sobretudo em três:
Contrato — precisa do nome e da morada de alguém para satisfazer a encomenda que fez. Não é necessário consentimento separado; não pode enviar uma encomenda para lado nenhum.
Obrigação legal — tem de manter certos registos de transações para efeitos fiscais e da autoridade tributária, por isso pode reter os dados das encomendas durante o tempo exigido por lei.
Consentimento — para coisas que o cliente não pediu, sobretudo os emails de marketing. O consentimento tem de ser uma ação clara de adesão (uma caixa pré-assinalada não conta) e tem de ser tão fácil de retirar como foi de dar.
O erro a evitar é agrupar tudo sob "consentimento". Não precisa de consentimento para enviar uma confirmação de encomenda — isso faz parte do contrato. Precisa dele, na maioria dos casos, para adicionar um comprador à sua newsletter. Manter estas coisas separadas é ao mesmo tempo mais conforme e mais honesto.
Passo três: escrever uma política de privacidade que se perceba mesmo
Todas as lojas precisam de uma política de privacidade, e esta deve ser suficientemente clara para que um cliente a consiga compreender. No mínimo, explica:
Quem é e como o contactar
Que dados pessoais recolhe e porquê
A sua base legal para cada utilização
Com quem os partilha (prestador de pagamentos, transportadora, ferramenta de email)
Durante quanto tempo os conserva
Os direitos do cliente e como exercê-los
Que pode apresentar queixa ao ICO
O ICO publica um modelo gratuito e uma lista de verificação para pequenas empresas que a maioria das lojas consegue adaptar numa tarde. Ligue a política no rodapé e no checkout. A proteção de dados vive lado a lado com a transparência ao consumidor em geral — o mesmo instinto que o leva a ser claro quanto a devoluções e entregas ao abrigo da lei de direitos do consumidor do RU e do regulamento de vendas à distância é exatamente o instinto que quer ter aqui.
Passo quatro: acertar no consentimento de cookies
Os cookies são regidos pelo PECR (o regulamento de privacidade e comunicações eletrónicas) em articulação com o RGPD do RU, e fazem tropeçar muitas lojas. A regra geral:
Cookies estritamente necessários — o cesto, o início de sessão, a segurança — podem funcionar sem consentimento porque o site literalmente não funciona sem eles.
Tudo o resto — analítica, pixels de publicidade, rastreadores de marketing — precisa do consentimento do visitante antes de ser ativado. Isso significa um banner que permita às pessoas aceitar ou rejeitar os cookies não essenciais, com o rejeitar a ser tão fácil como o aceitar.
Se instalou um pixel do Facebook e o Google Analytics na sua loja, esses precisam de consentimento. Um banner que apenas diz "ao usar este site aceita os cookies" não constitui consentimento válido segundo as orientações atuais do ICO. Use uma ferramenta de consentimento adequada que bloqueie os scripts não essenciais até o visitante concordar.
Passo cinco: conservar apenas o necessário
Dois princípios fazem muito do trabalho pesado: a minimização dos dados (recolher apenas o que realmente precisa) e a limitação da conservação (não os guardar para sempre). Não precisa da data de nascimento de um cliente para lhe vender uma vela. Não precisa de guardar os dados de uma conta inativa durante uma década. Defina prazos de conservação sensatos — por exemplo, guarde os registos de encomendas durante o tempo exigido pela legislação fiscal e depois apague ou anonimize o resto. Menos dados detidos são menos dados a proteger, menos a expor a fugas e menos a entregar quando alguém pede uma cópia.
Passo seis: respeitar os direitos dos clientes
Os clientes têm direitos sobre os seus dados, e as pequenas lojas têm de responder, normalmente no prazo de um mês e normalmente de forma gratuita. Os que efetivamente vai encontrar:
Direito de acesso — alguém pode pedir uma cópia dos dados que possui sobre si (um "pedido de acesso do titular").
Direito ao apagamento — o "direito a ser esquecido". Tem de apagar os dados a menos que tenha uma razão legal para os conservar, como registos fiscais associados a uma encomenda real.
Direito de retificação — corrigir dados incorretos.
Direito de oposição — sobretudo, cancelar a subscrição de marketing, o que tem de respeitar de imediato.
Não precisa de um sistema sofisticado para isto. Precisa de saber onde estão os dados (ver o passo um) para que, quando chegar um pedido, os consiga encontrar, exportar ou apagar sem duas semanas de pânico.
Passo sete: manter os dados seguros
O RGPD do RU exige uma segurança "adequada", ajustada à sua dimensão e risco. Para uma pequena loja, isso significa o básico sensato: HTTPS em todo o site, palavras-passe fortes e únicas e autenticação de dois fatores nas contas de administração, limitar quem na sua equipa pode ver os dados dos clientes e usar subcontratantes de confiança em vez de plugins duvidosos. É aqui que a escolha da sua plataforma ajuda genuinamente. Uma loja alojada dá-lhe SSL, alojamento gerido e um fluxo de pagamento em que os dados do cartão nunca tocam nos seus servidores — infraestrutura que, de outra forma, teria de construir e manter por si mesmo. Isso reduz a sua superfície de risco, mas não substitui os seus próprios bons hábitos, como não andar a enviar por email folhas de cálculo com dados de clientes.
Violações: o que fazer se algo correr mal
Uma violação de dados pessoais é qualquer incidente de segurança que exponha dados pessoais — uma conta pirateada, uma exportação enviada para o destinatário errado, um portátil perdido. Se uma violação for suscetível de pôr em risco os direitos e liberdades das pessoas, tem de a comunicar ao ICO no prazo de 72 horas após ter conhecimento da mesma, e informar os clientes afetados se o risco for elevado. Nem todo o pequeno deslize precisa de ser comunicado, mas tem de registar internamente todas as violações, seja como for. A preparação prática é simples: saber quem decide, saber que existe o prazo de 72 horas e manter a página de comunicação de violações do ICO nos favoritos.
O registo e a taxa do ICO
A maioria das empresas que trata dados pessoais tem de se registar no ICO e pagar a taxa anual de proteção de dados. Para a grande maioria das pequenas lojas, isto situa-se no escalão mais baixo — um montante anual modesto em vez de assustador — e pagá-la é uma exigência legal, não um extra opcional. Verifique a taxa atual e o seu escalão diretamente no site do ICO, uma vez que os valores são fixados pelo ICO e podem mudar. Registar-se também sinaliza aos clientes que leva os seus dados a sério.
Onde se encaixa a sua plataforma (e onde não)
Eis a fronteira honesta. Uma plataforma moderna como a Dirora dá-lhe as ferramentas para gerir uma loja de forma responsável: pagamentos seguros através do Stripe e do PayPal para que os dados do cartão fiquem com o subcontratante, SSL e domínios personalizados logo de origem, e os seus próprios dados de clientes sob o seu controlo em vez de espalhados por aplicações complementares. O que não faz é tomar as decisões jurídicas de fundo por si — é você o responsável pelo tratamento, é você que decide as suas bases legais, escreve a política de privacidade, responde aos pedidos de acesso e se regista no ICO. Qualquer ferramenta é sempre e apenas um subcontratante que o ajuda a cumprir obrigações que continuam a ser suas.
Uma boa prática de dados também é bom negócio. A confiança que constrói ao tratar os dados com cuidado é a mesma confiança que transforma compradores de primeira vez em clientes recorrentes — que é exatamente o tema do nosso guia de estratégias de retenção de clientes. Conformidade e fidelização puxam na mesma direção: trate a informação das pessoas com respeito e elas voltam.
Perguntas frequentes
O RGPD aplica-se a uma pequena loja online de uma só pessoa?
Sim. O RGPD do RU aplica-se a qualquer empresa que trate dados pessoais, independentemente da dimensão. Não há isenção por ser pequena ou nova. Para uma pequena loja, a conformidade resume-se sobretudo a um punhado de hábitos sensatos em vez de um projeto gigantesco.
Preciso de me registar no ICO e pagar uma taxa?
A maioria das lojas online que trata dados de clientes tem de se registar no ICO e pagar a taxa anual de proteção de dados, que para pequenas empresas está no escalão mais baixo. Verifique o seu escalão exato e o valor atual no site do ICO, uma vez que as taxas são fixadas pelo ICO.
Preciso de consentimento de cookies se só uso o Google Analytics?
Sim. Os cookies de analítica são não essenciais, por isso precisam de consentimento antes de serem ativados. Precisa de um banner de cookies que permita aos visitantes rejeitar os cookies não essenciais tão facilmente como os podem aceitar, e este deve bloquear esses scripts até o visitante concordar.
Qual é a diferença entre um responsável pelo tratamento e um subcontratante?
Você, o dono da loja, é o responsável pelo tratamento — decide porque e como os dados dos clientes são usados e assume a responsabilidade legal. As suas ferramentas, como o prestador de pagamentos e a plataforma da loja, são subcontratantes que atuam sob as suas instruções. Usá-las não elimina as suas obrigações.
O que devo fazer se tiver uma violação de dados?
Registe-a internamente e, se for suscetível de pôr em risco os direitos das pessoas, comunique-a ao ICO no prazo de 72 horas após ter conhecimento dela. Informe os clientes afetados se o risco para eles for elevado. Nem todo o incidente menor precisa de ser comunicado, mas tem de documentar todas as violações de qualquer forma.