Gestão de conta Ajuda

O que representa o RGPD para a minha empresa?

O que é o RGPD?

O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma lei da União Europeia (UE) que incide sobre a proteção e privacidade dos dados de todos os cidadãos e residentes da UE. O RGPD regula o modo como as empresas - incluindo a GoDaddy - podem tratar os dados pessoais de pessoas singulares na UE. O RGPD entrou em vigor no dia 25 de maio de 2018. Para uma descrição mais detalhada do RGPD e do modo como a GoDaddy age em conformidade com este regulamento, consulte as informações na secção O nosso centro de privacidade.

A GoDaddy não é uma sociedade de advogados

Esperamos que este documento lhe forneça uma visão geral sobre o que é o RGPD e o que poderá representar para si, mas a GoDaddy não desenvolve atividades de prestação de aconselhamento jurídico e este não é um guia exaustivo sobre o RGPD. Cada realidade empresarial é diferente e o RGPD enquanto lei é muito complexo. Quanto a questões relacionadas com as suas operações comerciais e a forma como poderão ser impactadas pelo RGPD (e por outras leis de privacidade aplicáveis), recomendamos vivamente que consulte um advogado.

Não somos especialistas no seu negócio

Por mais que gostássemos de lhe dar aconselhamento explícito sobre como deve tratar a sua conformidade com o RGPD, é, quase completamente, impossível. Cada negócio é gerido de forma diferente, com diferentes políticas, protocolos, colaboradores, localizações, etc. Neste sentido, queremos fornecer uma visão geral sobre a interpretação da GoDaddy relativamente ao RGPD, mas existem muitas nuances no regulamento, as quais destacamos para si neste documento, em que precisará de fazer as suas próprias interpretações, dependendo da sua situação específica.

O que torna o RGPD diferente?

O RGPD não é muito diferente de outras leis de privacidade em todo o mundo. O que torna o RGPD incrivelmente importante é que ultrapassa a UE para qualquer negócio em qualquer parte do mundo que trate dados pessoais sobre pessoas singulares da UE e também acarreta sanções significativas (até 20 milhões de euros ou 4% da receita anual global) em caso de incumprimento. Assim, mais países, maiores coimas, âmbito mais alargado, significam maior cobertura pelos meios de comunicação. Isto não quer dizer que não haja diferenças - o RGPD exige que as empresas impactadas forneçam certos direitos aos seus clientes (como o "direito a ser esquecido" e o "direito de portabilidade dos dados") e a implementar certas medidas de conformidade corporativa.

A minha empresa será afetada?

Existem algumas razões pelas quais a sua empresa poderá ser afetada. Se a sua empresa estiver localizada ou se realizar negócios com clientes no Espaço Económico Europeu (EEE) relacionados com a venda de bens e serviços, então, continue a ler. Se não realizar negócios nessa região ou, de qualquer outra forma, visar pessoas singulares da UE, provavelmente não terá de realizar qualquer ação (mas, mais uma vez, reiteramos que contacte o seu próprio consultor jurídico).

O(s) meu(s) produto(s) e serviço(s) da GoDaddy estão em conformidade com o RGPD?

Nenhum produto ou serviço está, por si só, "em conformidade com o RGPD". Contudo, quando adequadamente configurado para as suas necessidades comerciais específicas e utilizado em combinação com outras medidas, políticas e processos que implemente, conforme necessário para os seus negócios específicos (alguns dos quais são descritos abaixo), pode ser utilizado de forma a estar em conformidade com o RGPD. Ninguém conhece o seu negócio melhor do que você. Embora a GoDaddy pretenda oferecer as ferramentas e os recursos para ajudar a sua empresa a alcançar a conformidade com o RGPD, e estamos aqui para o ajudar, não é da nossa competência garantir a sua conformidade com quaisquer leis aplicáveis ao seu negócio.

O que significa estar em conformidade com o RGPD?

O RGPD incide realmente na privacidade das informações pessoais. Resumindo, trata-se de garantir que os dados pessoais dos seus clientes estejam protegidos e sejam utilizados de forma apropriada. Antes de nos aprofundarmos em alguns detalhes, abaixo estão algumas definições importantes, em conformidade com a lei, que nos irão ajudar a definir as respetivas responsabilidades relacionadas com o tratamento de dados pessoais:

  • Titulares de dados: a pessoa que fornece informações pessoais. Podendo ser um cliente, um colaborador, ou alguém que visita o seu site na Web (neste último caso se recolher informações a seu respeito utilizando "cookies e tecnologias semelhantes").
  • Responsável pelo tratamento de dados: a parte que determina a finalidade e os meios para o tratamento dos dados pessoais.
  • Subcontratante de dados: a parte que trata os dados pessoais por conta do responsável pelo tratamento de dados.
  • Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
  • Dados pessoais: o RGPD aplica-se apenas a "dados pessoais", significando informação relativa a uma pessoa singular identificável que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador. Esta definição estabelece um amplo conjunto de identificadores pessoais de modo a constituir dados pessoais, incluindo nome, número de identificação, dados de localização ou identificadores por via eletrónica, refletindo as alterações tecnológicas e sobre a forma como as organizações recolhem informações sobre as pessoas. Em suma, se puder utilizar dados para identificar um utilizador, um cliente ou qualquer pessoa, então, designam-se dados pessoais.

O que significam estas definições para mim?

Na nossa relação, há alturas em que assumimos o papel de responsável pelo tratamento de dados (quando recolhemos dados a seu respeito com a finalidade de lhe vender os nossos produtos e serviços - tais como o seu nome, endereço, email, telefone e informações de cartão de crédito) e outras alturas em que assumimos o papel de subcontratante de dados, cabendo-lhe a si o papel de responsável pelo tratamento de dados (como, por exemplo, quando utiliza os nossos serviços alojados para os seus próprios fins comerciais e as informações acabam por ser transmitidas para os nossos servidores para que possamos fornecer, gerir e manter os serviços que lhe prestamos (consulte abaixo mais informações sobre esta matéria)).

O que é exatamente exigido em termos legais?

Ora bem, a versão oficial do RGPD é de 261 páginas, contém 173 considerandos, 99 artigos e (conforme mencionado) é complexa e, muitas vezes, ampla, vaga e ambígua (sorte a nossa). Iremos abordar apenas alguns dos seus princípios-chave:

  • Transparência

    Que dados recolhem e como serão utilizados? Explicá-lo aos seus clientes de forma fácil de ler e de compreender é um princípio importante de qualquer lei privacidade, incluindo o RGPD.

    Deixe-nos adivinhar, recebeu um sem-fim de emails a dizer "atualizámos a nossa política de privacidade" ultimamente, certo? Não é coincidência. O RGPD exige que as empresas demonstrem maior transparência e clareza na forma como recolhem e utilizam as informações dos respetivos clientes (por outras palavras, torná-la mais acessível). As políticas de privacidade são o mecanismo que lhe permite oferecer transparência - explicando claramente e em linguagem simples, aos seus clientes, a forma como recolhe e utiliza os respetivos dados pessoais e como o podem contactar ou exercer os direitos que lhes possam ser conferidos.

    A GoDaddy fornece ferramentas que lhe permitem incorporar políticas de privacidade nos seus Sites Web e, em alguns casos, fornece modelos nos quais se poderá basear. Contudo, como não sabemos como opera a sua empresa, não nos é possível facultar-lhe uma política de privacidade em plena conformidade.

  • Controlos do cliente e gestão de consentimento

    Ser transparente é um ótimo começo, mas se estiver a utilizar (ou a recolher) informações dos seus clientes além do que é estritamente necessário para fornecer os produtos ou serviços que vende, então também terá de ter a certeza de que eles têm as opções para dar consentimento para utilizações adicionais e permitir-lhes controlos para posteriormente revogarem esse consentimento.

    O exemplo mais evidente é a utilização de endereços de email ou números de telefone recolhidos para comunicar com os seus clientes (geralmente pensamos em termos de ativação/desativação de tais comunicações/subscrições). Estas informações podem ser fornecidas pelos seus clientes durante a criação de uma conta ou a compra de um produto ou serviço prestado por si. No entanto, também inclui a sua recolha de informações sobre pessoas singulares que visitam os seus sites Web através de ferramentas comummente conhecidas como "cookies" (e tecnologias semelhantes, como pixels, scripts, etc.). Com certeza, já viu "banners de cookies" ao visitar sites Web e, de forma semelhante à utilização de uma política de privacidade, esses banners de cookies permitem uma maior transparência. Ao apresentar um banner de cookies, as pessoas singulares podem saber mais sobre quais as ferramentas que estão a ser utilizadas para recolher informações a seu respeito, aceitar ou recusar tal utilização e/ou, de outra forma, controlar de forma granular quais cookies podem ser aceitáveis para utilização.

    Segundo o RGPD, os seus clientes têm de ter o direito de consentir com tal recolha (e utilização subsequente), e a única forma de o consentimento poder ser dado corretamente é dar-lhes a opção de exercer tal consentimento de uma forma que seja fácil de entender, específica (da utilização concreta) e explícita. Não podem ser utilizadas opções pré-selecionadas, silêncio ou inação para indicar o consentimento do seu cliente. Por exemplo, se tiver uma caixa de verificação no site na Web que indica "Iremos partilhar os seus dados com anunciantes de terceiros", não é possível pré-selecionar a caixa de verificação para optar pelo tratamento dos dados dos respetivos titulares. A caixa de verificação tem de permanecer desmarcada para os titulares de dados do EEE até que aceitem voluntariamente ou expressem o consentimento para tal tratamento.

    Em última instância, deve certificar-se de que os seus clientes podem exercer o controlo em relação à utilização dos respetivos dados pessoais, comunicações e consentimento, incluindo o direito de revogar esse consentimento.

  • Direito a ser esquecido

    Mencionámos anteriormente que o RGPD é muito semelhante a outras leis de privacidade em todo o mundo - este é um direito dos seus clientes que é exclusivo do RGPD. O RGPD confere às pessoas singulares o "direito a serem esquecidas" (o "Direito ao apagamento dos dados" nos termos da lei). Isto significa que o cliente pode pedir que os respetivos dados sejam apagados (e "esquecidos"), nos casos em que os dados pessoais recolhidos já não sejam necessários para os fins para os quais foram recolhidos ou sujeitos a qualquer outro tipo de tratamento.

    Nos casos em que tal direito se aplique, terá de apagar os dados pessoais dos titulares dos seus sistemas (a menos que existam motivos legais e comerciais legítimos para que tais dados sejam mantidos, por exemplo, para finalidades de relato financeiro ou necessidades de retenção legal).

    Por exemplo, se um cliente decidir suspender os seus negócios consigo, poderá não querer manter as respetivas informações anteriormente recolhidas e conservadas por si. Embora existam limitações a este direito - com exceções e nuances complexas - quando aplicável, terá de considerar a forma e a sua capacidade de honrar esse pedido quando for efetuado.

    A GoDaddy, por seu lado, conforme descrevemos e de acordo com a nossa Adenda relativa ao tratamento de dados, honrará os pedidos que realize (o responsável pelo tratamento de dados) para remover as informações do seu cliente dos nossos sistemas quando tal pedido for realizado.

  • Direito de portabilidade dos dados

    O direito de portabilidade dos dados é outro direito único do RGPD, que permite que as pessoas singulares obtenham ou reutilizem os respetivos dados pessoais em seu próprio benefício em diferentes serviços. Permite-lhes, mover, copiar ou transferir facilmente dados pessoais a partir de um ambiente de TI para outro de forma segura e protegida, sem afetar a respetiva capacidade de utilização.

    Digamos que é um organizador de eventos. O seu cliente forneceu-lhe todas as informações de contacto e preferências pessoais relevantes, mas, depois, mudou-se e decidiu contratar um novo organizador de eventos. No EEE, o cliente deverá poder obter uma cópia eletrónica dos seus dados pessoais para os transferir facilmente para um novo organizador de eventos. A GoDaddy tem como finalidade prestar ajuda em tais pedidos na medida em que os dados pessoais do seu cliente existam e possam ser exportados para si a partir de produtos ou serviços fornecidos por nós.

  • Privacidade desde a conceção

    Privacidade desde a conceção (ou por defeito) significa, essencialmente, que quando obtém, trata, conserva ou utiliza dados pessoais, as proteções necessárias estão contempladas e incluídas - sem considerações especiais, sem passos adicionais necessários, apenas os dados necessários mínimos são recolhidos, recebidos de forma segura (por exemplo, encriptados), conservados num local seguro e apenas pessoas com uma necessidade válida e adequadamente formadas têm acesso aos mesmos. Tal inclui a certificação de que terceiros dispõem igualmente de proteções implementadas antes de lhes enviar os dados pessoais do seu cliente.

    Esta situação é essencialmente idêntica a quando um doente vai a uma consulta ao médico. Enquanto doente, espera que os seus registos, notas e conselhos de saúde recebidos sejam mantidos seguros e confidenciais. Aplique o mesmo tipo de vigilância aos titulares de dados e estará preparado.

    Qualquer verificação das suas operações comerciais deverá incluir a forma como os produtos e serviços da GoDaddy podem ser utilizados tendo em conta a privacidade. Esperamos que os nossos produtos e serviços possam ser configurados para satisfazer as suas necessidades específicas, mas cabe-lhe a si determinar se a utilização dos nossos serviços é adequada para cumprir as leis de proteção e de privacidade de dados aplicáveis.

  • Notificações de violação de dados

    Na infeliz eventualidade de uma violação de dados pessoais, as empresas têm a obrigação de notificar a autoridade de controlo, no prazo de 72 horas após ter conhecimento da violação ou sem demora injustificada. Para obter mais informações sobre como divulgar e quais os passos a realizar, consulte o seu advogado.

Sendo assim, qual é o nosso papel?

Conforme mencionado anteriormente, a maior parte do tempo, a GoDaddy é o seu subcontratante de dados. Iremos tratar dados estritamente conforme exigido para prestar os serviços que adquiriu connosco em seu nome ou de acordo com as instruções que recebamos. Utiliza os nossos serviços de forma a recolher dados para que possa vender os seus produtos ou para recolher informações de marcações ou oportunidades de vendas? Não há problema. Iremos certificar-nos de que os dados serão tratados de forma segura e protegida em seu nome.

Como o Controlador de Dados, você controlar a forma como os dados são usados e armazenados, e nós só irá processá-lo por os termos de nossos dados processamento adendo no fornecimento e manutenção dos serviços em seu nome. Isto significa que precisa de prestar muita atenção às suas políticas internas e ao acesso dos funcionários aos registos, incluindo a forma como partilha dados com terceiros e a facilidade com que alguém pode aceder às informações do titular dos dados.

Como pode constatar pelos pontos-chave acima, o RGPD (e outras leis de privacidade) consistem em garantir os dados que recolhemos e utilizamos para que os nossos negócios sejam bem-sucedidos, bem como estejam adequadamente seguros e protegidos.