GDPR e LGPD: o que você precisa saber sobre proteção de dados

Saiba o que você deve mudar em seu site, blog, loja virtual ou app caso colete dados de visitantes. Evite multas: fique de acordo com a lei e proteja a privacidade!

Por Fabio Lobo, atualizado em 11/10/2020. 2 pessoas falando sobre isso!

A criação do General Data Protection Regulation (GDPR), em maio de 2018, gerou muitas dúvidas nos donos de pequenos e grandes sites. De forma semelhante, a Lei Geral de Proteção de Dados (LGDP) causou incertezas para quem tem sites, blogs, lojas virtuais e apps no Brasil.

Mas afinal, sobre o que essas duas leis tratam?

De uma maneira geral, GDPR e LGPD são normas que regularizam o tratamento dos dados pessoais dos usuários. A principal diferença entre elas é com relação ao público-alvo. 

Enquanto a primeira governa sobre a coleta de informações de indivíduos da União Europeia, a segunda é referente aos usuários brasileiros.

Se você também não entendeu muito bem o que fazer em seu projeto online, está no lugar certo! Para esclarecer melhor esse assunto, nesse artigo vou falar sobre:

  • O que é GDPR;
  • Qual o significado de LGPD;
  • Como adaptar seu site para essas duas leis;
  • Quais são as possíveis punições e o que fazer caso isso ocorra;
  • Outras dúvidas frequentes a respeito desse assunto;
  • Ferramentas para seu site e para o WordPress;
  • E também sobre como proteger seus dados.

Vamos lá?

O que é GDPR

GDPR - ilustração da bandeira da união europeia com um cadeado no centro
General Data Protection Regulation (GDPR)

O Regulamento Geral de Proteção de Dados, nome em português, é uma lei que visa proteger os dados pessoais de cidadãos que moram na União Europeia (UE). Ou seja, não importa a nacionalidade de um site: se ele for visitado por algum europeu, ele deve estar de acordo com a norma.

Após quatro anos de tramitação, a lei foi aprovada em 2016 pelo Parlamento Europeu. No entanto, só entrou em vigor em 25 de maio de 2018, dando dois anos para que os sites se adequassem às novas regras sobre privacidade.

De acordo com a legislação europeia, os sites precisam de um consentimento explícito do visitante ou usuário a respeito da coleta de dados pessoais, como nome, endereço, e-mail, telefone, documento, informações financeiras etc. Além de um consentimento para a ativação de cookies durante sua navegação.

Dessa forma, o usuário é quem decide quais de suas informações serão coletadas pelo site visitado. Portanto, trata-se de uma lei que aumenta a segurança pessoal e a privacidade de quem navega na internet, ao mesmo tempo em que busca por mais transparência nesses procedimentos. 

Como a lei GDPR funciona na prática

Para que o site esteja em total de acordo com as normativas da UE, ele precisa comunicar ao usuário quais dados poderão ser coletados a partir dessa visita. Como muitos deles são extraídos a partir de cookies, é necessário mostrar quais funcionam naquela página.

Por exemplo, em conformidade com a GDPR, os cookies são classificados em quatro categorias que diferem-se pela finalidade, são eles: 

  • Cookies necessários: são aqueles responsáveis pelo funcionamento do site e que por isso são de propriedade do domínio visitado. Geralmente, eles não se enquadram no consentimento dos usuários, pois como o próprio nome diz, são necessários para o funcionamento da página e não coletam dados pessoais.
  • Cookies de preferência: dados como idioma preferido e região do usuário são coletados a partir dessa ferramenta. De acordo com o Google, sem eles os sites podem perder um pouco de sua funcionalidade, mas nada que os impeça de funcionar.
  • Cookies de estatísticas: nesse caso, são aplicados por serviços terceiros que você implementa no seu próprio site, como o Google Analytics. Portanto, servem para quantificar o número de visitantes e assim possibilitar ao proprietário da página entender de quais pessoas constituem seu público.
  • Cookies de marketing: a coleta de dados realizada nessa situação é utilizada para veicular anúncios ou campanhas que possam interessar os usuários.

Para o Regulamento Geral de Proteção de Dados, esses três últimos cookies são totalmente evitáveis e o site pode funcionar normalmente sem precisar ativá-los. Portanto, cabe ao usuário definir quais deles podem coletar seus dados pessoais. 

Então, surge o que é chamado de consentimento granular, quando o visitante decide manualmente qual cookie ele deseja bloquear e qual ele deseja manter. Além disso, é preciso que o website tenha uma política de cookies acessível. 

Por exemplo, é necessário ter uma página destinada à política de privacidade adotada pelo site. Nela, é preciso ter transparência, deixando claro aos usuários quais são as informações capturadas pelo site, como elas são coletadas e quais são suas finalidades.

O visitante também está acobertado pela lei quando quiser solicitar a remoção de seus dados do controle do site. Da mesma forma que ele tem o direito de cancelar a habilitação de cookies a qualquer momento e de maneira tão fácil quanto foi a permissão.

Punição para os sites que não cumprirem as normas da GDPR

Todos os sites que podem ser acessados por cidadãos europeus, inclusive os websites brasileiros, precisam estar de acordo com as normas previstas na GDPR. Caso contrário, podem ser multados.

Entre as possíveis punições está a multa de até 20 milhões de euros ou 4% de receita anual global de um site. Além disso, os responsáveis por sites que violam as regras de proteção de dados podem ser proibidas de oferecerem seus serviços na UE.

O que é LGPD

LGPD - ilustração de pessoa segurando um cadeado enquanto usa o notebook
Lei Geral de Proteção de Dados Pessoais (LGPD)

Com a criação da Lei Geral de Proteção de Dados Pessoais (LGPD), o Brasil faz parte dos mais de 100 países que possuem leis destinadas à regulamentação do tratamento de informações particulares.

Inspirada na GDPR, a lei de número 13.709/2018 diz respeito às diretrizes tomadas para coleta, processamento, armazenamento, tratamento e compartilhamento de dados pessoais em todo território nacional. 

Ainda segundo o texto, o tratamento de dados refere-se à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação e outros.  

Além de dar o poder ao usuário de definir o que vai ser coletado ou não sobre sua vida, a legislação brasileira também define o que são dados e classifica essas informações em três categorias. Confira:

  • Dados pessoais: referente a nome, endereço, documentos, localização, hábitos de consumo, informações sobre a saúde, perfil cultural etc.
  • Dados pessoais sensíveis: são as informações sobre origem racial ou étnica, convicção religiosa, opinião política, vida sexual, entre outros.
  • Dados anonimizados: esse caso é específico para usuários que não possam ser identificados.

Como se adequar à LGPD

Nesse processo de coleta e proteção dos dados supracitados, é indispensável a participação de quatro atores. São eles: o titular, o controlador, o operador e o encarregado. 

O titular é qualquer pessoa física e detentora dos dados pessoais, cabendo a esse agente decidir quais das informações serão repassadas para o controlador. Esse controlador é a pessoa física ou jurídica que sempre deverá pedir autorização de forma clara para obter dados dos titulares. 

O operador é uma pessoa natural ou jurídica responsável pelo tratamento dos dados liberados pelo titular. 

Por fim, o encarregado, também conhecido como Data Protection Officer (DPO), é o profissional que responde pela proteção das informações referentes ao site, mantém o diálogo com a Autoridade Nacional de Proteção de Dados (ANPD).

Em outras palavras, para se adequar a essa legislação, todo site precisa ter os atores trabalhando de forma integrada. Além de, é claro, criar novas formas de geração de leads através de um marketing criativo e estratégico – ou seja, sem depender dos dados de todos os visitantes e usuários.

Multa para os sites que não seguirem a LGPD

Vale ressaltar ainda que os sites que não cumprirem com a lei brasileira poderão ser multadas em até R$ 50 milhões, além de correrem o risco de terem suas atividades suspensas de forma parcial ou integral.

Apenas o controlador e o operador podem responder legalmente. Porém, se for comprovado vazamento ou mal uso dos dados, o encarregado também pode ser responsabilizado.

Dúvidas frequentes sobre as leis

Se você ainda tem dúvidas a respeito da GDPR e LGPD, confira a seguir as repostas das principais questões envolvendo esse tema. 

A partir de quando as leis passaram a valer?

A lei criada pela União Europeia já está em vigor desde maio de 2018.

Já a LGPD, aprovada em 2018, entrou em vigor em setembro de 2020. 

É obrigatório seguir as duas leis de proteção aos dados?

Sim!

De acordo com uma pesquisa feita pela Serasa Experian em outubro de 2019, 85% das empresas brasileiras declararam que ainda não estavam prontas para atender as exigências da Lei de Proteção de Dados Pessoais.

A GDPR, mesmo sendo voltada para a segurança e privacidade dos cidadãos europeus, também pode afetar sites brasileiros. Isso porque qualquer site que receba visita desses moradores deve estar de acordo com as novas normas. 

Quem é titular, controlador, operador e encarregado?

Vou tentar explicar de forma mais didática, já que eu também achei essa parte bem confusa:

Titular é quem visita o site. Ou seja, é o titular dos dados.

Controlador é quem toma as decisões sobre o que fazer com os dados coletados. Logo, normalmente é o dono do site.

Operador é quem faz o tratamento e processamento dos dados em nome do Controlador. É possível que Operador e Controlador sejam a mesma pessoa.

Encarregado (ou DPO) é quem faz a comunicação entre o Controlador, o Titular e a Autoridade Nacional de Proteção de Dados (ANPD) – sendo assim, seus dados de contato devem ser divulgados na página de política de privacidade, por exemplo. Além disso, ele deve orientar o que deve ser feito para o site, basicamente, seguir a lei.

É obrigatório indicar um encarregado / DPO?

De acordo com o Art. 41 da LGPD, sim.

Mas há exceções. Veja o Art. 41 § 3º abaixo:

A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Art. 41 § 3º da LGPD

Ou seja, dependendo do porte do site ou do volume dos dados, a ANPD poderá considerar como desnecessária a indicação de um Encarregado.

Como saber se meu site coleta dados?

Na dúvida, você deve consultar o desenvolvedor de seu site para maiores informações. Mas se você utiliza scripts de estatísticas e/ou de anúncios, e até mesmo formulários de newsletter, sim, seu site coleta dados.

Você também pode consultar essa ferramenta da 2DGPR: 2gdpr.com

ilustração de um cookie pulando da tela de um notebook
Você aceita este cookie?

O que preciso fazer ou alterar no meu site?

Para estar de acordo com as legislações brasileira e europeia, o responsável precisa ter em seu site:

  • Aviso de cookies: explicar para o visitante que há cookies gerados pelo site;
  • Dependendo do porte, consentimento granular: checkboxes para o visitante selecionar quais informações podem ser coletadas pelo site através dos cookies;
  • Página de Política de Privacidade: quais dados são coletados e por quê;
  • Transparência em formulários: checkbox ou aviso no formulário de cadastro, contato, newsletter, comentários etc, deixando clara a finalidade do preenchimento e como e quando os dados de contato serão utilizados;
  • Opção de remoção total dos dados: se houver cadastro, possibilidade do usuário de poder apagar totalmente seus dados pessoais.

Como saber quais informações colocar na página sobre política de privacidade?

Em meu post sobre Política de Privacidade há alguns exemplos de tópicos recomendados, como: transparência sobre os dados pessoais que você ou terceiros coletam, por quanto tempo essas informações são mantidas e para onde são enviadas.

Mas não tem erro: tudo que envolva coleta de dados, seja através de cookies ou quaisquer tipos de formulários, deve estar detalhado na página de política de privacidade.

O que fazer se eu for denunciado ou processado?

Nesses casos, o melhor a ser feito é contratar o serviço de algum profissional especializado em Direito Digital. Isso porque, dependendo do nível da infração, o responsável pelo site pode ser apenas notificado sobre erro (infração leve) ou multada em um alto valor (infrações graves). 

Como a LGPD e a GDPR podem afetar o marketing?

É claro que através dos dados dos usuários, os profissionais de marketing podem desenvolver diversas estratégias para alcançar seus objetivos. Mas a implementação dessas leis não prejudica esse serviço. Pelo contrário!

Com uma maior transparência, o marketing digital vai passar a ter um lead mais seletivo. Em resumo, o número de pessoas atingidas pode até ser menor, mas os resultados serão mais eficientes.

Sabe aquela coisa de acessar um e-commerce e receber um e-mail da empresa minutos depois sem você ter feito cadastro algum? Isso vai acabar – a não ser que o visitante da loja autorize. Se foi autorizado, é porque há interesse da parte dele. Logo, há maior chance de conversão.

Quais as diferenças entre GDPR e LGPD?

Apesar de serem mais semelhantes do que destoantes, essas leis possuem algumas diferenças básicas. Por exemplo, a GDPR é a reunião e o aprimoramento de outras leis europeias com foco na proteção de dados, enquanto a LGPD é a primeira legislação brasileira nesse sentido.

Outro ponto é com relação à definição dos dados pessoais. A União Europeia classifica e explica com mais detalhes termos como “dados biométricos” e “dados de saúde”, ao mesmo tempo em que no Brasil esses conteúdos são englobados em “dados pessoais sensíveis”.

Além disso, há diferença com relação à multa. A lei brasileira deverá aplicar uma punição de até R$ 50 milhões; em contrapartida, a UE pode cobrar até 20 milhões de euros ou 4% da receita anual global de um site.

Ferramentas para seu site proteger dados de usuários e visitantes

printscreen do site 2GDPR
O site 2GDPR tem algumas funcionalidades úteis para proteção de dados.

Estar de acordo com as leis de proteção de dados é, basicamente, deixar os visitantes e usuários do seu site decidirem se querem ou não fornecer tais dados.

Há algumas ferramentas para deixar seu site mais completo nesse sentido.

Gerador de aviso e consentimento de cookies

Uma barrinha de aviso de cookies é imprescindível em todos os sites desde que a GDPR passou a valer.

No site 2GDPR há um gerador de aviso de cookies bem fácil de usar, que permite o visitante a negar a coleta de dados: 2gdpr.com/cookieconsent

Basta selecionar a posição da barra, o estilo, as cores e então escrever o que deve constar nela. É possível adicionar um link para sua página de política de privacidade.

Ao copiar o código, você pode inserir os scripts que deixarão de ser carregados se o visitante negar a coleta de dados, como o Google Analytics e o Pixel do Facebook.

Gerador de política de privacidade

Assim como a barra de aviso de cookies, a página de política de privacidade também é imprescindível.

No Jusbrasil há um modelo de política de privacidade bem detalhado. E se você sabe inglês, há o Privacy Policy Generator, uma ferramenta que ajuda a gerar o conteúdo para uma página de política de privacidade.

Recomendo também analisar as políticas de privacidade de seus concorrentes e parceiros. Por que não?!

Na dúvida, consulte um advogado especializado em Direito Digital!

Dicas de proteção de dados no WordPress

Por fim, o WordPress tem algumas ferramentas e plugins para deixar seu site de acordo com as leis. Alguns exemplos:

  • Política de privacidade: A própria instalação do WordPress já vem com um modelo de página de política de privacidade pronto para você utilizar e editar. Veja em Configurações > Privacidade.
    Outra opção é utilizar a ferramenta de política de privacidade do Jetpack – que infelizmente não tem versão em português ainda.
  • Aviso de cookies: O Jetpack tem uma Widget de Cookies e Consentimento. Ela é bem simples, serve apenas como aviso – ou seja, não há a opção de recusar cookies e scripts.
  • Apagar dados pessoais: No WordPress é possível apagar dados pessoais de usuários facilmente. Em Ferramentas > Apagar dados pessoais você pode criar / receber solicitações, e então apagar os dados do usuário selecionado.

Proteja seus dados!

Se você quer proteger seus dados ao navegar na internet, aqui vão algumas dicas básicas!

Clicando aqui você pode ver como bloquear cookies em seu navegador. O site detecta automaticamente qual browser você está utilizando e dá as instruções.

Lembre-se de manter seu navegador sempre atualizado, e opte pelos que mais fazem para proteger a privacidade dos usuários: Firefox e Opera.

Adblocks ajudam, mas a solução integrada contra trackers dos dois navegadores acima é muito mais completa.

Por fim, evite criar cadastros ou fazer login utilizando sua conta de redes sociais ou do Google. Os sites que fazem esse tipo de integração podem ter acesso aos dados da sua conta.

E você, tem alguma dica? Comenta aí!

Créditos das imagens: Freepik, Serpro e 2GDPR.

Não é permitida a reprodução integral desse conteúdo. A cópia pode ser ruim para você!

Quem é Fabio Lobo?

Web designer, desenvolvedor front-end e programador WordPress.

Quem é Fabio Lobo?

Estou há mais de uma década na área. O foco do meu trabalho é em usabilidade, facilidade pro usuário, acessibilidade, SEO e performance.

Também tenho alguns projetos open source, além de prestar consultoria em hospedagem WordPress e criação de conteúdo.

Como posso te ajudar hoje?

Trabalho com consultoria, suporte, manutenção, criação e desenvolvimento.

Fale comigo

Leia também...

...alguns textos que têm a ver com o assunto:

Como desenvolvo temas para WordPress

Há diversas formas de se trabalhar com WordPress. Conheça minha metodologia de trabalho de criação e desenvolvimento com essa plataforma.

Segurança WordPress: dicas para melhorar sua proteção

Dicas para melhorar a defesa do seu WP (sem plugins!): da instalação segura à manutenção, prevenção e remoção de vírus e malwares. Segurança WordPress é coisa séria!

Principais conceitos de Web Design e Desenvolvimento

Você sabe o que é pregnância da forma, leiturabilidade e escaneabilidade? Conheça conceitos de web design que fazem muita diferença na criação de sites e apps.

Comentários

2 comentários até o momento

  • Esse foi o Conteúdo mais completo e, descomplicado, que achei sobre o assunto.

    Posso divulgar em Minha fan page?

    Responder
    • Obrigado, Maria! Pode divulgar o link sim, claro :D

      Responder

Deixe seu comentário

Se você deseja um orçamento, entre em contato clicando aqui.

Quero um orçamento