Como o GDPR pode afetar seu blog

O GDPR, abreviatura de General Data Protection Regulation (Regulamento Geral de Proteção de Dados), é uma lei da União Europeia que entrou em vigor em 25 de maio de 2018. Seu objetivo é fornecer controle sobre os dados pessoais aos cidadãos da UE e alterar a abordagem de privacidade de dados de organizações em todo o mundo. Aplica-se a todas as empresas, inclusive ao seu site montado em WordPress, desde que tenha visitantes que sejam cidadãos europeus.

Fonte: Pixabay

Embora o GDPR tenha o potencial de escalar para o alto nível de multas, ele começará com um aviso, uma reprimenda, uma suspensão do processamento de dados e, se você continuar a violar a lei, as multas altas serão atingidas. Dentre os pilares do regulamento, estão:

  • se você (responsável pelo site) coletar dados pessoais de um residente da UE, deverá obter um consentimento explícito específico e inequívoco, como uma opção positiva (ou seja, nenhuma caixa de seleção pré-marcada), conter uma redação clara (sem direito legal) e ser separada de outros termos e condições;
  • você deve informar os indivíduos sobre onde, por que e como os dados do usuário são processados​/armazenados (ele tem o direito de que seus dados sejam incluídos ou excluídos totalmente);
  • as organizações devem relatar determinados tipos de violações de dados às autoridades relevantes dentro de 72 horas, a menos que a violação seja considerada inofensiva e não represente nenhum risco para dados individuais;
  • as empresas não podem vender os dados das pessoas sem o seu consentimento explícito.

O software principal do WordPress é compatível com GDPR desde a versão 4.9.6. O processo de conformidade com o GDPR varia de acordo com o tipo de site que você possui, com quais dados você armazena e como processa os dados em seu site. Três pontos importantes para conferir são: comentários, recurso de apagar/exportar dados pessoais e política de privacidade.

O WordPress oferece aos proprietários de sites a capacidade de cumprir os requisitos de tratamento de dados da GDPR e honrar a solicitação do usuário para exportar dados pessoais, bem como a remoção de dados pessoais do usuário, acessíveis no menu “Ferramentas -> Exportar dados pessoais” e “Apagar dados pessoais”.

A plataforma também oferece um gerador de política de privacidade embutido, que cria um modelo de política de privacidade pré-fabricado e oferece orientação em termos do que mais adicionar (acessível em “Configurações -> Privacidade”).

Outras áreas afetadas pelo GDPR

Deve-se estar atento a plugins que possam lidar com dados pessoais, como os de comentários, formulários de contato e análises de tráfego.

Se usar os comentários nativos do WordPress e você gravar os dados (como e-mail e nome de quem comentou), deve haver uma caixa de seleção de consentimento de comentário. Se estiver usando um sistema do tipo “Disqus“, ele não exibe mais IP e email dos usuários que comentam nos posts. A seção de comentários fornecida pelo Disqus requer um cookie, que não deve ser carregada até que o visitante confirme que aceita os cookies relacionados à funcionalidade. Mesmo removendo sua conta do Disqus, ele não exclui seus comentários do blog, sendo que o responsável pelo site que deve buscar pelo nome de usuário e e-mail e remover de seu banco de dados do WordPress.

Se você estiver usando um formulário de contato, talvez seja necessário adicionar medidas extras de transparência (principalmente se estiver coletando dados para fins de marketing). Boa parte dos plugins de formulários, como o Contact Form 7 (usado neste site), não precisam de um Contrato de Processamento de Dados porque estes plugins NÃO armazenam suas entradas de formulário em seu site. Caso contrário, basta adicionar uma caixa de seleção de consentimento necessário com uma explicação clara para que você possa tornar seus formulários WordPress compatíveis com GDPR.

O Google Analytics (GA), frequentemente usado para obter as estatísticas de visitação de um website, deve estar coletando ou rastreando dados pessoais, como endereços IP, IDs de usuários, cookies e outros dados para o perfil de comportamento. Para ser compatível com GDPR, você deve tornar anônimo os dados antes que o armazenamento e o processamento sejam iniciados ou adicionar uma sobreposição ao site que fornece aviso de cookies e peça aos usuários por consentimento antes de rastrear.

Se você estiver apenas colando o código do Google Analytics manualmente em seu site, provavelmente vai optar pela segunda opção. Nesse caso, testei o “Google Analytics for WordPress by MonsterInsights”, que permite exibir uma versão simplificada dos relatórios (reports) do Google Analytics no próprio painel de controle do WordPress autenticando diretamente com sua conta do Google (sem copiar o código na mão). No entanto, ele está restrito a anonimizar o IP em seu modo gratuito – o que pode ser feito simplesmente adicionando “ga(‘set’, ‘anonymizeIp’, true);” no código de rasterio do GA – e desativar relatórios de informações demográficas e de interesses para remarketing e publicidade – basicamente desativa as estatísticas do GA. Para abrir uma tela avisando do cookie e liberar (ou não) o carregamento do conteúdo, ainda é preciso outro plguin.

Como o GA grava um cookie no computador do usuário através do navegador, caso ele possua dados pessoais, o usuário deve receber um aviso para ele aceitar ou não o cookie. Até então, os recursos que necessitem do cookie ficam travados, sendo o restante do site liberado. Se ele optar por não usar os cookies, então esses recursos não devem ser carregados.

Nota: um pouco antes da implementação do GDPR, a Google solicitou aos usuários o consentimento referente a uma atualização de sua política, afirmando que estabelecem responsabilidades para os editores que usam produtos do Google tomarem medidas adicionais para obter o consentimento legalmente válido de seus usuários para a coleta de dados para anúncios personalizados e para o uso de cookies, quando exigido por lei. A Google também atualizou os controles de retenção de dados para oferecer aos usuários do Google Analytics a capacidade de gerenciar a retenção e a exclusão de dados armazenados. O Google Analytics excluirá automaticamente os dados de usuários e eventos que forem mais antigos que o período de retenção selecionado – no entanto, esse período pode ser escolhido como “nunca apagar os dados”.

Fontes