O que o GDPR significa para a minha empresa?
O que é GDPR?
O Regulamento geral de proteção de dados (GDPR) é uma lei da União Europeia (UE) com foco na proteção e privacidade de dados de todos os cidadãos e residentes da UE. O GDPR regula como as empresas, incluindo a GoDaddy, podem processar os dados pessoais de indivíduos na UE. O regulamento entrou em vigor em 25 de maio de 2018. Para uma descrição mais detalhada do que é o GDPR e de como a GoDaddy está em conformidade com ele, consulte as informações no Nosso centro de privacidade.
A GoDaddy não é um escritório de advocacia
Nós esperamos que este documento forneça para você uma visão geral do que o GDPR é e o que pode significar para você, mas a GoDaddy não fornece aconselhamento jurídico e este não é um guia abrangente sobre o GDPR. Cada situação comercial é diferente e o GDPR como lei é muito complexo. Para perguntas específicas em relação às operações de seu negócio e como elas podem ser impactadas pelo GDPR (e outras leis de privacidade aplicáveis), nós recomendamos fortemente que você consulte seu advogado.
Nós não somos especialistas no seu negócio
Por mais que nós adoremos poder dar a você conselhos explícitos sobre como você deve lidar com sua conformidade com o GDPR, para todos os efeitos, é impossível. Cada negócio é executado de forma diferente, com diferentes políticas, protocolos, funcionários, locais, etc. Nós queremos fornecer uma visão geral de como a GoDaddy adotou o GDPR. mas há várias nuances no regulamento, que destacamos para você neste documento para que você possa fazer suas próprias avaliações em sua situação particular.
O que faz o GDPR diferente?
O GDPR não é tão diferente de outras leis de privacidade ao redor do mundo. O que torna o GDPR incrivelmente notável é que alcança além da UE, qualquer negócio em qualquer parte do mundo que manipule dados pessoais sobre os indivíduos da UE, e também conduz penalidades significativas (até 20 milhões de EUR ou 4% da receita anual global) por não conformidade. Então, mais países, multas maiores, escopos mais amplos, significam mais cobertura de mídia. Isto não quer dizer que não há diferenças, o GDPR exige que as empresas impactadas forneçam certos direitos aos seus clientes (como o “direito de ser esquecido” e o “direito à portabilidade de dados”), e para implementar certas medidas de conformidade corporativa.
O meu negócio está impactado?
Há algumas razões pelas quais seu negócio pode ser impactado. Se o seu negócio é localizado ou se você realiza negócios com clientes dentro do Espaço Econômico Europeu (EEE) ao vender bens ou serviços, continue lendo. Se você não realiza negócios nesta região ou de outra forma visa indivíduos da UE, você provavelmente está preparado (novamente, entre em contato com seu próprio aconselhamento jurídico para confirmar).
Meu(s) produto(s) e serviço(s) da GoDaddy estão em conformidade com o GDPR?
O que significa estar em conformidade com o GDPR?
O GDPR está realmente focado na privacidade das informações pessoais. Resumindo uma longa história, é sobre se certificar de que os dados pessoais dos clientes estão protegidos e são utilizados de maneira adequada. Depois de falar de algumas especificidades, abaixo estão algumas definições-chave sob a lei que nos ajudarão a definir as respectivas responsabilidades no que se refere à manipulação de dados pessoais:
- Titular dos Dados: A pessoa que fornece informações pessoais. Pode ser um cliente, um funcionário, ou alguém que visitou seu site, em relação ao último, se você coletar informações sobre eles usando “cookies ou tecnologias similares”.
- Processador de Dados: A parte que processa dados pessoais em nome do controlador de dados.
- Processamento: Qualquer operação ou conjunto de operações que são realizadas nos dados pessoais, sejam ou não por meios automáticos, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição.
- Dados pessoais: O GDPR se aplica somente aos “dados pessoais”, que significam qualquer informação relacionada a uma pessoa identificável que pode ser identificada direta ou indiretamente em particular por referência de um identificador. Esta definição prevê uma ampla gama de identificadores pessoais para constituir um dado pessoal, incluindo nome, número de identificação, dados de localização ou identificador online, refletindo mudanças na tecnologia e na forma que as organizações coletam informações sobre as pessoas. Basicamente, se você pode usar os dados para identificar um usuário, cliente ou qualquer pessoa, são dados pessoais.
O que essas definições significam para mim?
Na nossa relação, há momentos em que nós somos o Controlador de dados (quando coletamos dados de você para fins de vender seus produtos e serviços - tal como seu nome, endereço, email, telefone e informações do cartão de crédito) e momentos em que nós somos o Processador de dados e você é o Controlador de dados (tal como quando você usa nossos serviços hospedados para seus próprios fins comerciais e informações passam a ser enviadas para nossos servidores para que possamos fornecer, gerenciar e manter os serviços para você (mais sobre tudo isso abaixo)).
O que exatamente a lei exige?
Bom, a versão oficial do GDPR tem 261 páginas de extensão, contém 173 Considerandos, 99 Artigos, e, conforme mencionado, é complexa e frequentemente ampla, vaga e ambígua (sorte a nossa). Nós vamos cobrir somente para alguns de seus princípios-chave:
Transparência
Quais dados você está coletando e como serão utilizados? Explicar para seus clientes de forma fácil de ler e fácil de entender é um importante princípio de qualquer lei de privacidade, incluindo do GDPR.
Nosso palpite é que você recebeu milhares de emails de “nós atualizamos nossa política de privacidade” recentemente, certo? Não é coincidência. O GDPR exige que as empresas forneçam uma maior transparência e clareza sobre como eles coletam e usam as informações de seus clientes, em outras palavras, se tornarem mais amigas dos usuários. Políticas de privacidade são o mecanismo para você oferecer transparência, explicando a seus clientes claramente e em uma linguagem simples como você coleta e usa seus dados pessoais e como eles podem contata-lo ou exercer direitos que podem ser proporcionados.
A NOME_EMPRESA fornece ferramentas que permitem que você incorpore políticas de privacidade em seus sites, e em alguns casos fornece modelos para você trabalhar em cima. Entretanto, como nós não sabemos como você opera seu negócio, é impossível que nós forneçamos a você uma política de privacidade totalmente em conformidade.
Controles do cliente e gerenciamento de consentimento
Ser transparente é um ótimo começo, mas se você estiver usando (ou coletando) informações de seus clientes, além do estritamente necessário para fornecer os bens e serviços que você vende, então você também deve se certificar de que eles têm as opções para consentir os usos adicionais e permitir que eles tenham controle para revogar esse consentimento posteriormente.
O exemplo mais óbvio aqui é usar endereços de email ou números de telefone coletados para se comunicar com seus clientes (normalmente nós pensamos em termos de optarem ou não por receber tais comunicações/assinaturas). Estas informações podem ser fornecidas pelos seus clientes ao longo da criação da conta ou compra de um produto ou serviço seu. Entretanto, também são incluídas as coletas de informações sobre indivíduos que visitam seus sites por meio de ferramentas comumente conhecidas como “cookies”, e tecnologias similares como pixels, scripts, etc. Certamente, você viu “banners de cookies” quando visitou sites, e de forma similar ao uso da política de privacidade, esses banners de cookies permitem maior transparência. Exibindo um banner de cookie, os indivíduos podem saber mais sobre que ferramentas estão sendo usadas para coletar informações sobre eles, aceitar ou recusar tal uso, e/ou de outra forma controlar de forma granular quais cookies podem ser aceitáveis para uso.
Sob o GDPR, seus clientes devem ter o direito de consentir a tal coleta (e subsequente uso), e a única forma de que o consentimento deve ser fornecido apropriadamente é se você apresentou a opção de exercitar tal consentimento de forma fácil de entender, específica (ao uso particular), e explícita. Caixas pré-marcadas, silêncio ou inatividade não podem ser utilizados para indicar o consentimento do cliente. Por exemplo, se você tem uma caixa de seleção em seu site que diz “Nós compartilharemos seus dados com anunciantes de terceiros”, você não pode pré-selecionar a caixa de seleção para que os titulares de dados optem pelo processamento de seus dados. A caixa de seleção precisa permanecer desmarcada para os titulares de dados no EEE, até que eles voluntariamente optem por receber ou expressem consentimento para tal processamento.
Basicamente, você precisa garantir que seus clientes possam exercer controle sobre seus dados pessoais, comunicações, e consentimento, incluindo o direito de revogar o consentimento.
Direito de ser esquecido
Nós mencionamos anteriormente que o GDPR é muito similar a outras leis de privacidade ao redor do mundo, mas este é um direito dos seus clientes que é único do GDPR. O GDPR oferece aos indivíduos o “direito de ser esquecido” (o “Direto ao apagamento dos dados” sob a lei). Isto significa que o cliente pode solicitar que seus dados pessoais sejam deletados (e “esquecidos”), no qual os dados pessoais coletados não são mais necessários para os fins que foram coletados ou de outra forma processados.
Quando o direito existir, você deve deletar de seus sistemas os dados pessoais do titular dos dados (a menos que existam razões legais ou comerciais legítimas para as quais esses dados precisam ser mantidos, para fins de relatórios financeiros ou necessidades legais de retenção).
Por exemplo, se um cliente decide parar de fazer negócio com você, ele pode não querer mais que você mantenha informações sobre ele que foram previamente coletadas e armazenadas. Embora existam limitações para este direito, com exceções e nuances complicadas, quando aplicáveis, você deve considerar como e sua habilidade de honrar essa solicitação quando ela for feita.
A GoDaddy, por sua vez, conforme descrevemos e de acordo com nosso Adendo de Processamento de Dados, honrará solicitações recebidas de você (o Controlador de Dados) para remover as informações de seu cliente de nossos sistemas quando tal solicitação é feita.
Direito à portabilidade de dados
O direito a fazer a portabilidade é outro direito único do GDPR que permite que os indivíduos obtenham e reutilizem seus dados pessoais para seus próprios propósitos entre diferentes serviços. Isto permite que eles movam, copiem e transfiram dados pessoais facilmente de um ambiente de TI para outro, de forma segura e protegida, sem afetar sua usabilidade.
Vamos dizer que você é um organizador de eventos. Seu cliente fornece todos os seus detalhes de contato e preferências pessoais relevantes, mas depois mudou e decidiu contratar um novo organizador de eventos. No EEE, ele deve ser capaz de obter uma cópia eletrônica de seus dados pessoais para se estabelecer com um novo organizador de eventos facilmente. A GoDaddy está aqui para assistir tais solicitações, na medida em que os dados pessoais do cliente existam e possam ser exportados para você a partir de seus produtos e serviços que fornecemos.
Privacidade por padrão
Privacidade por padrão, essencialmente, significa que quando você obtém, processa, armazena ou usa dados pessoais, as proteções necessárias são contempladas e incluídas, sem considerações especiais, etapas adicionais não são necessárias, somente o dado mínimo necessário é coletado, recebido com segurança (isto é, criptografado), armazenado em um local seguro, e somente pessoas com uma necessidade válida foram treinadas de forma apropriada para acessá-lo. Isto inclui certificar-se de que terceiros também têm proteções em vigor antes de enviar os dados pessoais dos clientes para eles.
Isto é basicamente o mesmo que um paciente visitando o consultório de seu médico. Como paciente, você deve esperar que seu histórico de saúde, notas tomadas e aconselhamento recebido sejam mantidos seguros e confidenciais. Proporcione o mesmo tipo de vigilância para os titulares de dados e você estará em boa forma.
Qualquer exame de suas operações comerciais deve incluir como os produtos e serviços da GoDaddy podem ser utilizados com a privacidade em mente. Enquanto nós esperamos que nossos produtos e serviços possam ser configurados para atender às suas necessidades específicas, fica ao seu critério fazer uma determinação independente sobre se o uso de nossos serviços é adequado para sua conformidade com as leis de proteção e privacidade de dados aplicáveis.
Notificações de violação de dados
No lamentável evento de uma violação de dados pessoais, as empresas tem a obrigação de notificar sua autoridade de supervisão dentro de 72 horas, após tomar conhecimento sobre a violação e sem atraso indevido. Para mais detalhes sobre como revelar e quais passos seguir, consulte seu advogado.
Então, onde isto nos leva?
Conforme mencionado previamente, na vasta maioria do tempo, a GoDaddy é seu Processador de Dados. Nós processaremos os dados estritamente conforme solicitado para fornecer os serviços que você comprou de nós em seu nome, ou conforme instruído de outra forma. Usando nossos serviços de uma maneira que coleta dados para que você possa vender seus produtos, ou para coletar informações de consulta ou clientes potenciais? Sem problema. Nós asseguraremos que os dados sejam processados de modo seguro e protegido em seu nome.
Como o Controlador de Dados, você controlar a forma como os dados são usados e armazenados, e nós só irá processá-lo por os termos de nossos dados processamento adendo no fornecimento e manutenção dos serviços em seu nome. Isso significa que você precisa prestar muita atenção às suas políticas internas e ao acesso dos funcionários aos registros, incluindo como você compartilha dados com terceiros e a facilidade com que alguém pode acessar as informações do titular dos dados.
Conforme você pode ver dos pontos-chave acima, o GDPR, e outras leis de privacidade, são sobre assegurar que os dados que coletamos e utilizamos para tornar nossos negócios bem-sucedidos estão seguros e protegidos adequadamente.