O RGPD (Regulamento Geral de Proteção de Dados) é um regulamento sobre a privacidade de dados e informação dos cidadãos residente na União Europeia que tem aplicação obrigatória a 25 de Maio de 2018 em todos os países da União Europeia.
Terá de ser cumprido por todas as entidades, públicas e privadas, colectivas e individuais, incluindo nos respectivos sites.
Para que um site fique enquadrado pelo regulamento, basta que guarde um qualquer dado dos seus utilizadores residentes na UE, mesmo que seja uma mensagem enviada através do formulário de contacto. Mesmo que esse site esteja localizado num país fora da UE.
As sanções por incumprimento são pesadas e podem chegar aos 20.000.000 de euros (sim, 20 milhões).
Do que vamos falar:
Quais são as novas obrigações legais
O que fazer e como fazer
Como está a comunidade WordPress a reagir
O que tens de fazer no teu site
8. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
regula a proteção das pessoas singulares
nos que diz respeito ao
• tratamento de dados pessoais
• e à livre circulação desses dados
9. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Já está em vigor e passa a ser de
aplicação obrigatória a 25 de maio de
2018
Revoga a Diretiva Comunitária 95/46/CE
11. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Introduz, novos princípios e conceitos, novos
direitos para os titulares de dados que
significam novos deveres para as empresas
que com eles lidam.
A avaliação de impacto, a privacidade na
conceção de novos produtos ou serviços
com dados e a privacidade por defeito, as
notificações das violações de segurança, e a
figura do encarregado de proteção de
dados.
12. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Será um trabalho tripartido.
Envolve equipas de compliance, direito,
e informática
13. GLOSSÁRIO RGPD
Accountability, Consentimento, Dados
Pessoais, DPO - Data Protection Officer,
Limitação do Tratamento, Data
Minimisation, Oposição ao Profiling,
Privacy by Design, Privacy by Default,
Impacto, Data Processor, Tratamento,
Violação de Dados Pessoais, Violação de
Segurança, Notificação, etc….
14. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
As coimas poderão:
• atingir 4% da faturação anual ou
• 20 milhões de euros
A CNPD estará atenta!
17. O QUE MUDA COM O RGPD
ONDE SE APLICA O RGPD
A QUEM SE APLICA O RGPD
18. A QUEM SE APLICA O
RGPD?
A todas as pessoas singulares e coletivas
que efetuem tratamento de dados
pessoais de residentes na União
Europeia.
Estas entidades podem ser aquelas que
determinam as finalidades e os meios de
tratamento de dados pessoais, mas
também as que efetuam esse tratamento
em regime de subcontratação.
19. ONDE SE APLICA O
RGDP?
O RGDP aplica-se em todo o território
da União Europeia, contudo com uma
importante inovação, pois se uma
empresa estiver estabelecida fora da
geografia da UE, isto é, sem presença na
UE mas a realizar serviços ou negócios
que envolvam algum género de
tratamento de dados pessoais, o
Regulamento é aplicável.
21. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
22. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
23. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
24. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares
(acesso, eliminação, portabilidade e
notificação)
25. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
26. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
• DPO
27. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso, eliminação,
portabilidade e notificação)
• Documentação associada ao tratamento
• DPO
• Notificações de violações
28. RESUMINDO
Se o teu website recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar
29. RESUMINDO
Se o teu website recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar
• Obter um consentimento claro antes
da recolha dos dados
30. RESUMINDO
Se o teu website recolhe, guarda ou usa
dados de cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os
irás disponibilizar
• Obter um consentimento claro antes da
recolha dos dados
• Permitir o acesso aos dados
31. RESUMINDO
Se o teu website recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os irás
disponibilizar
• Obter um consentimento claro antes da recolha
dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar
32. RESUMINDO
Se o teu website recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes dados,
por quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos
dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar
33. RESUMINDO
Se o teu website recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar
• Informar quando existir uma violação de segurança
34. PERGUNTA-TE
• Sabes onde estão os dados pessoais?
• Tens um registo organizado?
• Temos consentimento dos titulares dos dados com os
requisitos do RGPD?
• Os sistemas garantem a confidencialidade dos
dados?
• Conseguimos detetar qualquer violação dos mesmos?
• Enquanto processador de dados por conta de
terceiros, cumprimos o RGPD?
36. GOOGLE AND THE GDPR
Audits and certifications
• ISO 27001 (Information security management)
• ISO 27017 (Cloud security)
• ISO 27018 (Cloud privacy)
• SSAE16/ISAE 3402
• Privacy Shield
• FedRAMP
• PCI DSS (Payment Card Industry Data Security Standard)
37. GOOGLE AND THE GDPR
Contractual protections
• Data Processing and Security Terms (or
Data Processing Amendments)
• European Model Contract Clauses to
address EU data-transfer requirements
• Business Associate Agreement addressing
requirements under the U.S. Health
Insurance Portability and Accountability Act
38. GOOGLE AND THE GDPR
Google’s commitment to GDPR
• Updated terms
• Robust safeguards
• Incident response
• User transparency
• International transfers
• Privacy practices
41. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content
• Strict Guidelines on Providing User
Information to Governments
42. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content
• Strict Guidelines on Providing User
Information to Governments
• Security as a Priority
43. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content
• Strict Guidelines on Providing User
Information to Governments
• Security as a Priority
• WordPress Sites are Portable
45. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório
• Um deles é o ZodiacPress
46. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório
• Um deles é o ZodiacPress
• Os plugins de formulários estão
atentos
47. TAKAYUKI MIYOSHI - CONTACT FORM 7
As for GDPR, yes, we pay close attention to it. While it’s an EU law, I
believe it is the beginning of the next global mega-trend we all need to
prepare for. All developers need to move proactively for privacy, like we
did twenty years ago for security.
That said, to be honest I’m a bit confused because I don’t think I have
enough information so far. For example, though it doesn’t store
submission data into the database, Contact Form 7 sends them as email,
I’m not sure if the “right to be forgotten” is applied to data in email. If
so, what should we do as developers of a mail form tool?
48. WP FORMS
As far as general guidelines, it’s a good idea to add a required checkbox
for the user to provide consent. Here’s a screenshot of an example I set
up for this. The idea here is to not allow the form to be submitted (and
so the user’s data to be collected) without them granting explicit
consent for you/your site to do so.
49.
50. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório
• Um deles é o ZodiacPress
• Os plugins de formulários estão
atentos
• O Slack ‘Making WordPress’ anda
calado (50 referências)
51. SE TENS UM PLUGIN OU
ÉS DEV
Começa a documentar:
• Que dados recolhes
52. SE TENS UM PLUGIN OU
ÉS DEV
Começa a documentar:
• Que dados recolhes
• Onde os armazenas
53. SE TENS UM PLUGIN OU
ÉS DEV
Começa a documentar:
• Que dados recolhes
• Onde os armazenas
• Que tratamento fazes
54. SE TENS UM PLUGIN OU
ÉS DEV
Abraça:
• Privacy by design
• Security by design
Sê cuidadoso e responsável
55. SE TENS UM PLUGIN OU
ÉS DEV
Junta-te aos teus pares.
Há demasiadas formas de resolver o
mesmo problema
Procurem um caminho comum
Mostra que estás empenhado
57. SE ÉS UM INTEGRADOR
Começa a documentar:
• Que dados recolhes
• Com que plugins
• Que tratamento fazes
58. SE ÉS UM INTEGRADOR
Procura ferramentas (plugins) que
demonstrem que estão a trabalhar para a
conformidade.
Pede-lhes documentação
59. SE ÉS UM INTEGRADOR
Começa a alterar os sites por forma a
informar de forma clara:
• o consentimento,
• e o tratamento que darás aos dados
60. CONSENTIMENTO
O EXEMPLO DO CHÁ HTTPS://WWW.YOUTUBE.COM/WATCH?V=FGOWLWS4-KU
Eu concordo que a Empresa X entre em contato comigo para me
informar acerca de produtos de calçado e serviços de consultoria de
imagem que me possam interessar. Eu concordo que posso cancelar a
qualquer momento. Eu concordo que as informações fornecidas através
deste site sejam armazenadas e processadas com o propósito de
comunicação de marketing.
61. SE ÉS UM INTEGRADOR
‘Ensina’ o teu cliente ou os utilizadores
do teu site (com acesso a dados
pessoais):
• a importancia da segurança
62. SE ÉS UM INTEGRADOR
‘Ensina’ o teu cliente ou os utilizadores
do teu site (com acesso a dados
pessoais):
• a importancia da segurança
• a importância da manutenção
63. SE ÉS UM INTEGRADOR
‘Ensina’ o teu cliente ou os utilizadores
do teu site (com acesso a dados
pessoais):
• a importancia da segurança
• a importância da manutenção
• o cuidado no acesso à informação
(direta ou indireta)
66. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca
• Define interlocutores e regras para
comunicar incidentes de segurança