GDPR e WordPress

Publicados: 2022-11-10

GDPR significa Regulamento Geral de Proteção de Dados. É um extenso regulamento da UE (União Europeia) que representa os requisitos mínimos para qualquer pessoa que manuseie os dados dos cidadãos da UE. O regulamento possui 99 artigos, divididos em 11 capítulos. Embora isso possa parecer intimidante, dividi-lo pode nos ajudar a entender seus pontos-chave e como isso afeta os sites do WordPress.

Após a promulgação do GDPR pela UE, vários outros países e jurisdições atualizaram suas leis inspirando-se neste regulamento, incluindo Reino Unido, Japão, Brasil, Turquia e outros. A Califórnia, em particular, tem sua própria versão chamada CCPA – California Consumer Privacy Act.
Neste artigo, examinaremos os princípios fundamentais do GDPR, prestando atenção especial em como eles se relacionam com a proteção de dados pessoais.

Isenção de responsabilidade: Este artigo não constitui aconselhamento jurídico. Você deve levar as leis de privacidade a sério. As penalidades por violar as regras do GDPR podem ser muito severas, chegando a 20 milhões de euros ou 4% da receita total – o que for maior. Em caso de dúvida, procure aconselhamento profissional.

Índice

  • 1. Uma introdução ao WordPress GDPR
  • 2. O que são dados pessoais
  • 3. Coleta de dados pessoais no WordPress
  • 4. GDPR e segurança de dados
  • 5. O WordPress é compatível com GDPR?
  • 6. Introdução à conformidade técnica com GDPR
  • 7. Plugins do WordPress para ajudá-lo a alcançar a conformidade com o GDPR
  • 8. Perguntas Frequentes

Uma introdução ao WordPress GDPR

O WordPress GDPR funciona da mesma forma que qualquer outro site GDPR. Como o GDPR é muito abrangente, como você o implementa dependerá em grande parte do tipo de site WordPress que você executa. Embora certos aspectos do regulamento sejam universais, outros aspectos dependerão de sua implementação e negócios. Por exemplo, os requisitos de um site de comércio eletrônico variam significativamente daqueles de um site WordPress que executa um blog.

Os quatro atores do GDPR

Antes de começarmos a analisar os princípios fundamentais do GDPR, vale a pena dedicar alguns minutos para entender quem são os atores. Pense nos atores como funções que o GDPR identifica como críticas para sua implementação. Há quatro atores que precisamos conhecer. Compreender esses papéis nos ajudará a entender melhor quem é responsável pelo quê e tornar a compreensão do regulamento muito mais acessível.

1. O titular dos dados

No caso de sites WordPress, os titulares dos dados são os visitantes do nosso site originários da União Europeia. O termo titular dos dados refere-se diretamente à pessoa a quem pertencem os dados que recolhemos.

2. O controlador de dados

Como o proprietário do site que está coletando dados, este é você. Os controladores de dados têm várias responsabilidades. Vamos passar por isso ao analisar os sete princípios do GDPR.

Como controlador de dados, você precisa demonstrar que está em conformidade com o GDPR. A falha em fazê-lo classifica você como não compatível para todos os efeitos. Para este fim, é benéfico entender quais são os responsáveis ​​pelo tratamento de dados aos olhos da lei.

3. O processador de dados

Processadores de dados são aquelas pessoas ou empresas que processam dados em nome do controlador de dados (você).

Nota lateral: nesta fase, é essencial entender o que o GDPR vê como processamento de dados, pois a entidade que processa os dados tem certas obrigações. Para esse fim, o GDPR vê qualquer ação realizada nos dados como processamento de dados, desde a simples coleta e armazenamento até o uso, organização e qualquer outra forma de processamento.

4. O responsável pela proteção de dados (DPO)

O responsável pela proteção de dados, conhecido como DPO, é uma pessoa que assume a responsabilidade pela conformidade com o GDPR nos dados pessoais coletados. Embora nem todos os controladores de dados e processadores de dados exijam um DPO, você sempre pode nomear um em sua organização para garantir a conformidade com o GDPR.

Os sete princípios do GDPR

Como mencionado anteriormente, o GDPR possui sete princípios que regem o processamento de dados pessoais. Estes princípios assentam na proteção de dados e na responsabilização, garantindo assim o cumprimento da legislação. Juntos, esses princípios atuam como uma estrutura que pode ajudá-lo a cumprir o GDPR.

Princípio 1: Processamento legal, justo e transparente

Você deve processar os dados de acordo com as disposições estabelecidas pela lei e de forma justa e transparente para o titular dos dados. Isso significa que você deve ser claro e direto sobre quais dados você está coletando, por que você precisa deles e como você os usará. É igualmente importante garantir que todas as informações sejam fornecidas em inglês simples.

Princípio 2: Processamento legítimo

Você deve processar os dados de acordo com o consentimento do titular dos dados. Conforme discutido anteriormente, você deve obter o consentimento do usuário/visitante antes de coletar e processar seus dados.

Princípio 3: Coleta de dados mínima

Apenas devem ser recolhidos os dados diretamente necessários para o tratamento e para os quais o utilizador tenha dado o seu consentimento. Essa é uma boa prática mesmo fora do GDPR, pois segue o princípio de redução de partes móveis.

Princípio 4: Precisão dos dados

Você deve manter os dados pessoais coletados até o momento. Qualquer titular de dados pode solicitar que seus dados sejam apagados ou atualizados – e você precisará concluir essa solicitação em 30 dias. Nesses casos, você deve tomar “todas as medidas razoáveis” para cumprir os desejos do titular dos dados.

Princípio 5: Armazenamento de dados

Você deve manter os dados apenas pelo tempo que for necessário. Como isso pode ser muito subjetivo (quando um cliente deixa de ser um cliente?), recomenda-se a assessoria jurídica profissional para garantir que você não infrinja esse princípio.

Princípio 6: Segurança, confidencialidade e integridade dos dados

Este princípio é o mais técnico de todos os sete. Ele coloca o ônus no controlador de dados para garantir que as proteções contra acesso não autorizado, roubo, perda, destruição ou dano sejam implementadas para garantir a integridade e a confidencialidade dos dados pessoais.

Princípio 7: Responsabilidade

A responsabilidade é fundamental para garantir que você sempre atenda aos requisitos do GDPR. Isso significa ter a documentação, procedimentos, avisos, registros e avaliações necessários em conformidade com o GDPR. O GDPR estipula que o controlador de dados deve ser capaz de provar que está em conformidade com o GDPR.

O que são dados pessoais?

O GDPR não existe para proteger todos os tipos de dados. Seu principal objetivo é proteger os dados pessoais. Para este fim, os dados pessoais incluem quaisquer dados que possam identificar direta ou indiretamente um indivíduo. Como a definição de dados pessoais é bastante aberta, errar por precaução é a estratégia recomendada.

Coleta de dados pessoais no WordPress

Dependendo de como você configurou seu site WordPress, você pode coletar vários tipos de dados pessoais de seus usuários e visitantes da web. Como controlador de dados, você é responsável por identificar quais dados pessoais estão sendo coletados e garantir que todos os processos relacionados estejam em conformidade com o GDPR.

Isso pode ser bastante fácil quando você é o controlador de dados e o processador de dados. Um exemplo disso é a conformidade com o WooCommerce GDPR sem o uso de serviços externos. No entanto, as coisas podem ficar um pouco mais obscuras ao usar serviços de terceiros, como análises e publicidade.

Embora o GDPR não proíba a coleta de dados pessoais, ele estabelece regulamentos específicos sobre como os dados podem ser coletados, processados ​​e armazenados. Embora seja recomendado um entendimento completo dos regulamentos, a UE oferece sete princípios orientadores para ajudá-lo a moldar sua estratégia de dados para cumprir os requisitos do GDPR.

GDPR e segurança de dados

A segurança de dados é um aspecto importante do GDPR, incentivando medidas técnicas e organizacionais para garantir a proteção e a segurança dos dados. Para cumprir o GDPR, a proteção de dados deve ser “por design e por padrão”. Isso significa que você deve incorporar considerações de proteção de dados em tudo o que faz, em vez de uma reflexão tardia.

Medidas técnicas

GDPR.EU dá dois exemplos de medidas técnicas que você pode tomar para proteger os dados de seus usuários. A primeira é a autenticação de dois fatores, que, felizmente para os administradores do WordPress, é fácil de implementar graças ao WP 2FA. Este plugin WordPress 2FA suporta vários canais de autenticação. Ele vem com muitos recursos úteis para ajudá-lo a garantir que seu lançamento de 2FA seja um sucesso contínuo.

O segundo exemplo refere-se à criptografia de ponta a ponta. É importante observar que o GDPR não exige criptografia total. Em vez disso, enfatiza medidas apropriadas para proteger dados pessoais – sendo a criptografia um exemplo de tal medida. Essas medidas, quaisquer que sejam, devem abranger dois estados de dados – dados em trânsito e dados em repouso.

Noções básicas sobre dados em trânsito e dados em repouso

Dados em trânsito são dados que estão sendo enviados por uma rede. Por outro lado, dados em repouso referem-se a dados que estão parados, como dados em um banco de dados. Usar um certificado SSL/TLS em seu WordPress ajudará você a garantir que os dados em trânsito sejam criptografados. A criptografia de e-mail e outros canais de comunicação é igualmente importante.

Os dados pessoais em repouso são um pouco mais complicados. Em primeiro lugar, você precisa identificar que tipo de dados pessoais você está armazenando em seu banco de dados do WordPress. Cobrimos isso em uma seção anterior. Embora o WordPress não colete dados pessoais por padrão, formulários personalizados e plugins de terceiros podem coletar esses dados.

O WordPress não oferece criptografia de dados no momento. Portanto, você deve tomar outras medidas para garantir que os dados sejam o mais seguros possível. Uma política de senha forte do WordPress é uma das etapas que você pode seguir para garantir que o acesso seja o mais seguro possível. Obviamente, isso deve acompanhar uma política de acesso que esteja em conformidade com o princípio do privilégio mínimo.

Coleta de dados e consentimento

Você deve minimizar[a] a coleta de dados para a necessidade absoluta para a finalidade para a qual foi coletada e, sempre que possível, deve torná-la anônima[b]. Mesmo assim, é essencial obter sempre o consentimento do titular dos dados – explicando por que você está coletando os dados e como os usará.

O consentimento é uma parte significativa do GDPR. O consentimento deve ser inequívoco, o que significa que você não pode escondê-lo nas letras miúdas. Você deve certificar-se de escrever todas as políticas em linguagem clara e simples. Além disso, você deve obter o consentimento separadamente – pois você não pode incluí-lo com outras declarações.

Os titulares dos dados também têm o direito de retirar o consentimento a qualquer momento. A retirada do consentimento deve ser tão fácil quanto dar o consentimento. Além disso, os titulares dos dados mantêm o direito de apagamento, onde podem solicitar que todos os dados pessoais relacionados a eles sejam apagados.

Processamento de dados

O site WordPress típico coleta e processa dados de várias maneiras. Embora seja praticamente impossível cobrir todas as formas como os dados são coletados e processados ​​em todos os sites, podemos analisar alguns exemplos típicos para entender como o GDPR os afeta.

Análise

Ferramentas de análise, como Google Analytics e Hotjar, para citar algumas, processam dados de clientes em seu nome. Aos olhos do GDPR, isso os torna um processador de dados de terceiros. Mesmo assim, você ainda é responsável pelo que acontece com esses dados, o que significa que você deve tomar algumas precauções para garantir a conformidade.

Uma coisa que é muito importante ter é o que é conhecido como o Contrato de Processamento de Dados. Este acordo escrito, que ambas as partes devem assinar, detalha explicitamente as responsabilidades de cada parte. Este documento é juridicamente vinculativo e assiná-lo pode poupar-lhe muitos problemas.

Isso é especialmente importante se você tiver integrações com terceiros, seja por meio de um plug-in de análise ou diretamente. De qualquer forma, é essencial entender quais dados estão sendo coletados, sejam suas informações de geolocalização,

Biscoitos

Ferramentas de análise, WordPress, alguns plugins e temas usam cookies para armazenar e rastrear informações de usuários e visitantes. Como controlador de dados, você precisa saber o que cada cookie faz e obter permissão explícita para a coleta de dados de cada cookie.

Além disso, o usuário deve poder escolher a que dá consentimento e igualmente poder retirar seu consentimento a qualquer momento. Os consentimentos devem ser renovados a cada ano e devem ser armazenados como documentação legal.

Consentimento de cookies GDPR

Os cookies estão sujeitos à sua própria regulamentação da UE desde 2002 – quando a Diretiva de privacidade eletrônica, também conhecida como lei de cookies, entrou em vigor. A UE alterou ainda mais esta lei em 2009. Ela funciona como um complemento ao GDPR da União Europeia e, em alguns casos, substitui-o.

A Diretiva ePrivacy, abreviadamente EPD, está em vias de ser substituída pelo EPR – ePrivacy Regulation.

Gerenciar consentimento de cookies

A diferença entre uma diretiva e um regulamento é técnica. As diretivas devem ser incorporadas à lei pelo governo de cada país dentro da UE, enquanto os regulamentos são leis de toda a UE.

De qualquer forma, para cumprir, você deve:

  • Peça aos usuários seu consentimento explícito antes de usar qualquer cookie
  • Forneça aos usuários informações em linguagem simples sobre cada dado que está sendo rastreado quando eles aceitarem
  • Permitir aos usuários acesso de serviço completo, mesmo que recusem determinados cookies
  • Consentimento do usuário do documento
  • Permitir que os usuários retirem o consentimento

O WordPress é compatível com GDPR?

O WordPress introduziu vários recursos na versão 4.9.6 que facilitam muito a conformidade com o GDPR. Embora esses recursos não necessariamente o tornem compatível com o GDPR (mais sobre isso posteriormente), eles ajudarão você a garantir que você tenha o básico coberto.

Exportação de dados pessoais

Você pode exportar facilmente todos os dados de um usuário caso ele registre uma solicitação de dados. Para exportar os dados pessoais de um usuário, basta navegar até Ferramentas > Exportar dados pessoais e inserir o nome de usuário ou endereço de e-mail do usuário na caixa de texto fornecida.

Você também pode enviar um e-mail de confirmação marcando a caixa de seleção E-mail de confirmação.

Exportar dados pessoais

Apagamento de dados pessoais

Para cumprir o direito de ser esquecido, o WordPress também oferece um recurso de exclusão de dados pessoais. Você pode acessar esse recurso navegando até Ferramentas > Apagar dados pessoais. Assim como o recurso de exportação de dados pessoais, também há a opção de enviar um e-mail de confirmação.

Política de Privacidade

Ter uma página de política de privacidade é apenas um pequeno passo para a conformidade com o GDPR – mas muito importante. Embora ter uma política de privacidade personalizada seja ideal, pois isso permite que você dê conta de tudo, ter um modelo pode ajudá-lo a começar mais rápido – que é exatamente o que o WordPress oferece.

Você pode acessar esse recurso navegando até Configurações > Privacidade e seguindo as instruções fornecidas.

Caixa de seleção de consentimento

Para ajudar na conformidade com cookies GDPR, o WordPress vem com uma caixa de seleção de consentimento de cookies integrada, que é habilitada por padrão. Lembre-se de que isso é válido apenas para usuários comentadores – você precisa cuidar do resto caso configure qualquer outra coisa que descarte um cookie.

Você pode habilitar essa configuração navegando até Configurações > Discussões.

Cumprindo com o GDPR

A conformidade com o GDPR não é um processo único que você pode concluir uma vez e jogar no fundo da pilha. Embora o exercício inicial de conformidade seja o mais trabalhoso de todos, investir algum tempo extra aqui renderá dividendos no futuro.

Isso não apenas manterá seu site em conformidade, mas também garantirá que a manutenção e as atualizações levem o menor tempo possível. Para isso, você precisará:

Faça um balanço – O primeiro passo que você precisa dar é avaliar quais dados pessoais você está coletando e onde eles estão sendo armazenados. Listas de marketing por e-mail, perfis de usuários e dados de usuários armazenados em cookies são algumas coisas que você precisa considerar. Certifique-se de anotar informações identificáveis, incluindo pseudônimos, endereços IP, etc. A lista real dependerá de quais dados você coleta e de como os processa.

Instale um plug-in de consentimento e verifique se há uma caixa de seleção de consentimento para cada processo de dados. Embora falaremos mais sobre esses plugins em breve,

Páginas legais fáceis de usar – Certifique-se de que todas as páginas de política, como a página de política de privacidade, sejam escritas em inglês simples que qualquer pessoa possa entender.

Banner de consentimento de cookies – Adicione um banner de aviso de cookies que informa ao usuário ou visitante quais dados você está coletando e por que, ao mesmo tempo em que oferece a opção de ativar ou desativar.

Introdução à conformidade técnica com GDPR

A conformidade com o GDPR exige esforços técnicos e operacionais. Embora suas obrigações dependam de sua configuração e circunstâncias específicas, o básico tende a ser o mesmo. Esses incluem:

  • Fortaleça o servidor Web WordPress
  • Proteja o PHP para segurança do WordPress
  • Fortaleça o site WordPress

Uma política de senha forte do WordPress é outro aspecto crucial da conformidade com o GDPR, pois garante uma melhor segurança geral da conta. Você pode implementar isso facilmente com o WPassword, que inclui muitas opções de segurança de senha do WordPress para manter seu WordPress seguro. Da mesma forma, habilitar o 2FA no WordPress pode aproximá-lo da conformidade com o GDPR, com muitos estudos mostrando o quão eficaz o 2FA pode ser para interromper a maioria dos ataques.

Uma coisa a ter em mente é que a segurança do WordPress é um processo iterativo – não é algo que você configura uma vez e esquece, mas precisa de monitoramento e ajustes constantes para garantir que permaneça forte à medida que a tecnologia evolui.

Plugins do WordPress para ajudá-lo a alcançar a conformidade com o GDPR

A otimização do GDPR não precisa ser complicada. Graças aos plugins do WordPress, você pode facilmente garantir que cumpre todas as suas obrigações. Lembre-se de que nenhum plug-in único pode garantir a conformidade completa. Como os requisitos podem variar de um site para outro, cabe a você garantir o cumprimento de todos os requisitos legais. Em caso de dúvida, consulte um advogado/advogado.

A Cookieyes se concentra em ajudar os proprietários de sites a alcançar a conformidade de cookies de acordo com os requisitos do GDPR. Além disso, também suporta a conformidade com aCCPA, CNIL e LGDP.

O Complianz se autodenomina o pacote de privacidade do WordPress, oferecendo um conjunto abrangente de ferramentas que inclui avisos de cookies, páginas legais, registros de consentimento e muitos outros recursos. MonsterInsights é um plug-in pronto para GDPR que permite que você fique em conformidade com o Google Analytics com GDPR. Ele oferece muitos outros recursos não relacionados ao GDPR, incluindo análises e rastreamento.

O WPassword permite implementar políticas de senha para seus usuários, garantindo que senhas fortes sejam usadas. Ter senhas fortes do WordPress minimiza o risco de violações, garantindo que os dados do usuário sejam sempre mantidos em segurança.

O WP Activity Log mantém um registro de atividades do usuário e do sistema em seus sites WordPress, registrando quem fez o quê e quando. Ele também inclui um módulo de sessão do usuário para ajudá-lo a gerenciar melhor as sessões do usuário.

O WP 2FA permite que você implemente facilmente o 2FA em seu site WordPress – um requisito do GDPR e outros padrões e regulamentações, incluindo PCI DSS. Ele oferece vários canais de autenticação para ajudá-lo a integrar todos os usuários.

Como escolher plug-ins GDPR

Recursos – Os plug-ins vêm em diferentes formas e tamanhos, com diferentes conjuntos de recursos e com diferentes preços. Embora os plugins gratuitos sejam sempre bons, os plugins premium tendem a ter mais recursos de negócios, que seu site pode considerar críticos para seu sucesso.

Integração – Você precisará garantir que qualquer plug-in escolhido possa funcionar com seu tema WordPress e quaisquer plug-ins de terceiros que você possa estar executando, como plug-ins de formulário de contato. Os melhores plugins do WordPress são sempre testados com os principais plugins de terceiros, garantindo uma implementação mais suave na maioria dos casos.

Preço – A maioria dos plugins vem em uma versão premium e uma versão gratuita. Na maioria dos casos, a versão gratuita oferecerá funcionalidades básicas, enquanto a versão premium incluirá complementos que podem ou não ser importantes para seu site e negócios. Versões gratuitas podem ser baixadas do repositório oficial do WordPress em WordPress.org, e os plugins premium normalmente são baixados do site do fabricante.

Suporte – Às vezes, as coisas quebram e, quando isso acontece, ter um bom suporte é crucial para minimizar o tempo de inatividade. Isso pode ser na forma de suporte por e-mail, documentação e perguntas frequentes sobre GDPR para ajudá-lo a obter respostas rápidas para perguntas importantes. Também pode ajudá-lo a garantir que a ajuda esteja à mão, caso você precise dela a qualquer momento.

perguntas frequentes

O que significa WP GDPR?

WP GDPR é um acrônimo que significa WordPress General Data Protection Regulation. Refere-se à conformidade com o GDPR em sites do WordPress, o que requer uma boa compreensão do GDPR e dos dados do usuário que você coleta dos visitantes e usuários do site.

O WordPress é compatível com GDPR?

O WordPress oferece recursos compatíveis com GDPR; no entanto, isso não torna necessariamente todos os sites do WordPress compatíveis com GDPR. Dependendo de como você configura seu site WordPress, para que o usa e os dados que coleta, pode ser necessário realizar etapas adicionais para alcançar a conformidade com o GDPR.

Como faço para tornar o WordPress compatível com GDPR?

Você precisa fazer várias coisas para tornar seu WordPress compatível com GDPR. Infelizmente, não existe uma fórmula única que se aplique a todos, já que os sites WordPress podem ser drasticamente diferentes uns dos outros. Consulte nosso artigo para entender quais são suas responsabilidades e quais etapas você precisa seguir para alcançar a conformidade com o GDPR.