Entrar 

GDPR no e-commerce: como uma empresa pode alcançar a compatibilidade jurídica para sua loja online

Checkout
Checkout

O Stripe Checkout é um formulário de pagamento pré-configurado e otimizado para conversões. Incorpore o Checkout em seu site ou direcione os clientes para uma página hospedada pela Stripe para aceitar pagamentos ou assinaturas avulsas com segurança.

Saiba mais 
  1. Introdução
  2. Por que o GDPR foi introduzido?
  3. Quais são as principais disposições do GDPR?
    1. Princípios de processamento de dados
    2. Legalidade do processamento
    3. Direitos dos titulares de dados
    4. Responsabilidades do controlador
  4. Qual a importância do GDPR no e-commerce?
  5. Quais os requisitos que as empresas de e-commerce devem cumprir para manter a conformidade com os regulamentos do GDPR?
    1. Política de privacidade
    2. Política de cookies
    3. Medidas técnicas e organizacionais
    4. Consentimento para ofertas de publicidade e informações
    5. Contratos de processamento de dados
    6. Nomeação dos data protection officers
  6. Quais as penalidades para empresas que não cumprem o GDPR?
  7. Comece a usar a Stripe 

Desde 2018, o Regulamento Geral de Proteção de Dados (GDPR) regulamenta todos os aspectos da proteção de dados na Europa e em seus estados-membro. Em particular, as empresas de e-commerce que operam uma loja on-line devem garantir o cumprimento de vários requisitos ao processar dados pessoais.

Neste artigo, você aprenderá por que o GDPR foi introduzido, quais são as principais disposições do regulamento e o que ele significa para as empresas de e-commerce. Também explicamos os requisitos que as empresas devem cumprir para manter a conformidade com o GDPR e as penalidades que podem ser aplicadas se não o fizerem.

Neste artigo:

  • Por que o GDPR foi introduzido?
  • Quais são as principais disposições do GDPR?
  • Qual a importância do GDPR no e-commerce?
  • Quais os requisitos que as empresas de e-commerce devem cumprir para manter a conformidade com os regulamentos do GDPR?
  • Quais as penalidades para empresas que não cumprem o GDPR?

Por que o GDPR foi introduzido?

O GDPR foi introduzido para padronizar a proteção de dados em toda a União Europeia (UE) e melhorar a proteção de dados pessoais em um mundo cada vez mais digital. Antes do GDPR, os estados-membros da UE tinham diferentes leis de proteção de dados. Isso resultou em diferenças significativas no nível de proteção e representou um desafio para empresas que operam em vários países. O GDPR estabelece uma estrutura jurídica única que se aplica a todos os países da UE.

O principal objetivo do GDPR é proteger os indivíduos no que diz respeito ao processamento de dados pessoais. O objetivo do regulamento é promover a confiança dos cidadãos no tratamento dos seus dados. O GDPR permite que as empresas na UE operem com mais eficiência, pois podem cumprir padrões uniformes de proteção de dados.

Na Alemanha, a proteção de dados era regulamentada pela Lei Federal de Proteção de Dados (BDSG) até a introdução do GDPR. Esta lei foi adaptada e é considerada um complemento ao GDPR, especialmente em áreas em que o GDPR concede aos Estados-membros alguma margem de decisão.

Quais são as principais disposições do GDPR?

O GDPR contém várias disposições importantes em 11 capítulos e 99 artigos. A seguir, uma visão geral dos pontos mais importantes:

Princípios de processamento de dados

O artigo 5 do GDPR regula os princípios para o processamento de dados pessoais. Entre outros requisitos, os dados devem ser:

  • Processados de forma lícita e transparente para o titular de dados
  • Coletados e processados para fins especificados, explícitos e legítimos
  • Processados apenas na medida necessária para a respectiva finalidade
  • Atualizados e corretos
  • Excluídos quando não forem mais necessários para fins de processamento
  • Protegidos por medidas técnicas e organizacionais para evitar acesso, perda ou destruição não autorizados

Legalidade do processamento

O artigo 6 do GDPR estipula que os dados só podem ser processados se uma das seguintes fundamentações jurídicas for atendida:

  • Consentimento do titular de dados
  • Contrato com o titular de dados
  • O processamento é necessário para cumprir uma obrigação jurídica
  • O processamento é necessário para proteger os interesses vitais do titular de dados ou de outra pessoa física
  • O processamento é necessário para a execução de uma tarefa realizada no interesse público
  • O processamento é necessário para salvaguardar os interesses legítimos do controlador ou de um terceiro, a menos que suplantem os interesses ou direitos fundamentais do titular de dados.

Direitos dos titulares de dados

O Capítulo 3 do GDPR regula os vários direitos dos titulares de dados relativamente ao tratamento dos seus dados.

  • Os titulares de dados têm o direito de saber quais de seus dados pessoais são armazenados, como são processados e com quem são compartilhados (artigo 15 do GDPR).
  • Dados pessoais incorretos ou incompletos devem ser corrigidos a pedido do titular de dados (artigo 16 do GDPR).
  • Os titulares de dados podem, em determinadas condições, solicitar que os seus dados sejam excluídos (artigo 17 do GDPR).
  • Os titulares de dados têm o direito de receber seus dados do controlador em um formato estruturado, comum e legível por máquina (artigo 20 GDPR).
  • Os titulares de dados podem opor-se ao processamento dos seus dados por determinadas razões, em particular o processamento para fins de marketing direto (artigo 21 do GDPR).

Responsabilidades do controlador

O capítulo 4 enumera as obrigações dos controladores e dos processadores. Elas incluem as seguintes obrigações, entre outras:

  • Os controladores devem garantir que aqueles que processam dados pessoais em seu nome também cumpram os requisitos do GDPR (artigo 28 do GDPR).
  • As violações de dados devem ser comunicadas pelos responsáveis à autoridade fiscalizadora competente no prazo de 72 horas, se resultarem em risco para os direitos e liberdades das pessoas (artigo 33 do GDPR).
  • Para determinados tipos de processamento de dados que representam um elevado risco para os direitos e liberdades dos titulares de dados, os controladores devem realizar uma avaliação de impacto sobre a proteção de dados (artigo 35 do GDPR).

Qual a importância do GDPR no e-commerce?

O GDPR é fundamental para empresas de e-commerce porque elas processam grandes quantidades de dados pessoais. Dados do cliente, como nome, endereço, dados de pagamento e histórico de pedidos, são essenciais para o funcionamento de uma loja online. Isso significa que o GDPR tem um impacto significativo no design e na estrutura jurídica dos modelos de negócio de e-commerce.

O tratamento negligente de dados pessoais em lojas online pode resultar em uma violação da proteção de dados, levando a disputas jurídicas, sanções regulatórias e danos à imagem da empresa. É por isso que os operadores de lojas online, em particular, precisam estar familiarizados com o GDPR e as obrigações impostas por ele.

Por exemplo, uma empresa não tem permissão para coletar um número de telefone se ele não for necessário para pedidos e entregas. Apenas os dados necessários para a entrega e pagamento de mercadorias compradas podem ser coletados.

Da mesma forma, dados de marketing, como endereços de e-mail para boletins informativos, podem ser coletados e usados apenas com o consentimento explícito do cliente. Os dados de cartão de crédito também devem ser armazenados apenas pelo tempo necessário para concluir o processo de pagamento. Dados como data de nascimento só podem ser coletados se forem necessários para a verificação de idade como, por exemplo, na venda de produtos com restrição de idade. Saiba mais sobre pagamentos no e-commerce.

Quais os requisitos que as empresas de e-commerce devem cumprir para manter a conformidade com os regulamentos do GDPR?

Para estar em conformidade com os regulamentos do GDPR, as empresas de e-commerce devem atender a uma variedade de requisitos. Esses requisitos derivam, em grande parte, dos direitos dos titulares de dados acima mencionados (capítulo 3 do GDPR) e das obrigações dos controladores (capítulo 4 do GDPR).

Política de privacidade

As empresas de e-commerce devem fornecer uma política de privacidade abrangente. Essa política deve explicar de forma transparente e abrangente quais dados pessoais são coletados, para qual finalidade, como os dados são processados e quais os direitos dos titulares de dados. A política de privacidade deve ser fácil de encontrar (por exemplo, no rodapé do site ou como link direto ao acessar a página). O artigo 13 do GDPR lista todos os dados exigidos em uma declaração de proteção de dados em conformidade com o GDPR. Alguns exemplos:

  • O nome e os dados de contato do controlador de dados
  • Se for o caso, o nome e os dados de contato do data protection officer
  • A base jurídica e as finalidades do processamento de dados pessoais
  • Uma indicação dos interesses legítimos do controlador, se o processamento de dados se basear neles (ver artigo 1(1)(f) do GDPR)
  • Os destinatários dos dados pessoais em caso de divulgação
  • A duração do armazenamento de dados pessoais
  • Os direitos dos titulares de dados, incluindo os direitos de acesso, retificação, exclusão, oposição, revogação e restrição do processamento
  • A descrição das consequências do não fornecimento de dados pessoais

Política de cookies

O processamento de dados pessoais que não sejam necessários para a execução do contrato requer o consentimento informado do usuário. Essa exigência se aplica, em particular, à utilização de cookies, que são arquivos de texto armazenados temporariamente no navegador do usuário. Os cookies tecnicamente necessários são usados, por exemplo, para exibir o idioma apropriado do site para o usuário ou para armazenar o conteúdo do carrinho de compras.

Os cookies são essenciais para o bom funcionamento dos sites e são usados para criar perfis de usuário para publicidade personalizada. Em alguns casos, isso pode ser crítico, já que dados estatísticos e pessoais são armazenados. Por essa razão, os usuários devem ter a oportunidade de consentir com o armazenamento e processamento de cookies. Um simples "banner de cookie" só é suficiente se oferecer a opção de rejeitar ou ajustar as configurações de cookies.

Medidas técnicas e organizacionais

Para proteger os dados pessoais contra acesso de terceiros, entre outros riscos, as lojas online devem tomar precauções técnicas de segurança. Essas medidas incluem a criptografia da transmissão de dados usando, por exemplo, o Hypertext Transfer Protocol Secure (HTTPS) (artigo 32 do GDPR). Para isso, é necessário um certificado SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). As lojas online também devem garantir que os dados pessoais sejam armazenados de forma segura (por exemplo, em bancos de dados criptografados). Os backups de dados também são obrigatórios.

Consentimento para ofertas de publicidade e informações

Os endereços de e-mail dos clientes não podem ser usados automaticamente para enviar boletins informativos, publicidade ou ofertas de informações. Para isso, é necessário o consentimento ativo dos clientes. Com a entrada em vigor do GDPR, o procedimento de dupla adesão é exigido com base no artigo 7 e no artigo 8 do regulamento. O termo "adesão" pode ser entendido como "decidir sobre algo" ou "escolher". A dupla adesão exige que os clientes confirmem duas vezes. Primeiro, os clientes devem ser questionados se gostariam de receber um boletim informativo, por exemplo. Se o recebimento for confirmado pelo registro e pela subsequente transmissão do endereço de e-mail, vem a segunda etapa: as empresas devem enviar um link de confirmação que deve ser clicado pelo cliente para ativar a oferta.

Contratos de processamento de dados

Se provedores de serviços externos processarem dados pessoais de uma loja online, será preciso celebrar contratos de processamento de dados. Esse requisito é obrigatório para a transferência de dados a terceiros. Os contratos de proteção de dados garantem que terceiros também cumpram o GDPR. Normalmente, os provedores de serviços para lojas online fornecem serviços de pagamento ou de nuvem e soluções de software como serviço (SaaS).

É aqui que o Stripe Checkout pode ajudar você: um formulário de pagamento pronto para uso que facilita o processo de checkout. O Checkout pode ser integrado ao seu site ou redirecionar os clientes para uma página hospedada pela Stripe. Lá, os clientes podem fazer pagamentos ou assinaturas com facilidade, segurança e em conformidade com a GDPR.

Nomeação dos data protection officers

De acordo com o artigo 37 do GDPR, a nomeação de data protection officers para uma loja online é obrigatória em determinadas condições. Eles monitoram a conformidade com o GDPR e atuam como contatos para autoridades de fiscalização e titulares de dados.

Quais as penalidades para empresas que não cumprem o GDPR?

De acordo com o artigo 83 do GDPR, as empresas podem estar sujeitas a multas pesadas se violarem as regras de proteção de dados. Os valores vão até € 20 milhões ou 4% do faturamento global anual da empresa. Por exemplo, é uma infração administrativa ocultar de forma intencional, consciente ou negligente o remetente ou a natureza comercial de uma mensagem. O mesmo se aplica à coleta, processamento ou armazenamento de dados pessoais em violação da lei. Além disso, os titulares de dados devem ser sempre informados sobre a coleta de dados.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Checkout

Checkout

Incorpore o Checkout em seu site ou direcione os clientes para uma página hospedada pela Stripe para aceitar pagamentos avulsos ou assinaturas com segurança.

Documentação do Checkout

Crie um formulário de pagamento low-code e integre-o no seu site ou em uma página hospedada pela Stripe.