O RGPD (Regulamento Geral de Proteção de Dados) é um regulamento sobre a privacidade de dados e informação dos cidadãos residente na União Europeia que tem aplicação obrigatória a 25 de Maio de 2018 em todos os países da União Europeia. Terá de ser cumprido por todas as entidades, públicas e privadas, colectivas e individuais, incluindo nos respectivos sites. Para que um site fique enquadrado pelo regulamento, basta que guarde um qualquer dado dos seus utilizadores residentes na UE, mesmo que seja uma mensagem enviada através do formulário de contacto. Mesmo que esse site esteja localizado num país fora da UE. As sanções por incumprimento são pesadas e podem chegar aos 20.000.000 de euros (sim, 20 milhões). Do que vamos falar: Quais são as novas obrigações legais O que fazer e como fazer Como está a comunidade WordPress a reagir O que tens de fazer no teu site

1. O QUE É O RGPD
E COMO AGIR NO TEU SITE WORDPRESS
Pedro Fonseca
11 de janeiro de 2018

7. O QUE É O
RGPD?

8. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
regula a proteção das pessoas singulares
nos que diz respeito ao
• tratamento de dados pessoais
• e à livre circulação desses dados

9. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Já está em vigor e passa a ser de
aplicação obrigatória a 25 de maio de
2018
Revoga a Diretiva Comunitária 95/46/CE

10. O QUE É O
RGPD?

11. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Introduz, novos princípios e conceitos, novos
direitos para os titulares de dados que
significam novos deveres para as empresas
que com eles lidam.
A avaliação de impacto, a privacidade na
conceção de novos produtos ou serviços
com dados e a privacidade por defeito, as
notificações das violações de segurança, e a
figura do encarregado de proteção de
dados.

12. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Será um trabalho tripartido.
Envolve equipas de compliance, direito,
e informática

13. GLOSSÁRIO RGPD
Accountability, Consentimento, Dados
Pessoais, DPO - Data Protection Officer,
Limitação do Tratamento, Data
Minimisation, Oposição ao Profiling,
Privacy by Design, Privacy by Default,
Impacto, Data Processor, Tratamento,
Violação de Dados Pessoais, Violação de
Segurança, Notificação, etc….

14. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
As coimas poderão:
• atingir 4% da faturação anual ou
• 20 milhões de euros
A CNPD estará atenta!

15. O QUE É O
RGPD?

17. O QUE MUDA COM O RGPD
ONDE SE APLICA O RGPD
A QUEM SE APLICA O RGPD

18. A QUEM SE APLICA O
RGPD?
A todas as pessoas singulares e coletivas
que efetuem tratamento de dados
pessoais de residentes na União
Europeia.
Estas entidades podem ser aquelas que
determinam as finalidades e os meios de
tratamento de dados pessoais, mas
também as que efetuam esse tratamento
em regime de subcontratação.

19. ONDE SE APLICA O
RGDP?
O RGDP aplica-se em todo o território
da União Europeia, contudo com uma
importante inovação, pois se uma
empresa estiver estabelecida fora da
geografia da UE, isto é, sem presença na
UE mas a realizar serviços ou negócios
que envolvam algum género de
tratamento de dados pessoais, o
Regulamento é aplicável.

20. O QUE MUDA?
• One document to rule them all

21. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada

22. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento

23. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis

24. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares
(acesso, eliminação, portabilidade e
notificação)

25. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento

26. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
• DPO

27. O QUE MUDA?
• One document to rule them all
• Informação prestada mais detalhada
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso, eliminação,
portabilidade e notificação)
• Documentação associada ao tratamento
• DPO
• Notificações de violações

28. RESUMINDO
Se o teu website recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar

29. RESUMINDO
Se o teu website recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar
• Obter um consentimento claro antes
da recolha dos dados

30. RESUMINDO
Se o teu website recolhe, guarda ou usa
dados de cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os
irás disponibilizar
• Obter um consentimento claro antes da
recolha dos dados
• Permitir o acesso aos dados

31. RESUMINDO
Se o teu website recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os irás
disponibilizar
• Obter um consentimento claro antes da recolha
dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar

32. RESUMINDO
Se o teu website recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes dados,
por quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos
dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar

33. RESUMINDO
Se o teu website recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar
• Informar quando existir uma violação de segurança

34. PERGUNTA-TE
• Sabes onde estão os dados pessoais?
• Tens um registo organizado?
• Temos consentimento dos titulares dos dados com os
requisitos do RGPD?
• Os sistemas garantem a confidencialidade dos
dados?
• Conseguimos detetar qualquer violação dos mesmos?
• Enquanto processador de dados por conta de
terceiros, cumprimos o RGPD?

35. ALGUMA COISA TINHA
DE SER FEITA

36. GOOGLE AND THE GDPR
Audits and certifications
• ISO 27001 (Information security management)
• ISO 27017 (Cloud security)
• ISO 27018 (Cloud privacy)
• SSAE16/ISAE 3402
• Privacy Shield
• FedRAMP
• PCI DSS (Payment Card Industry Data Security Standard)

37. GOOGLE AND THE GDPR
Contractual protections
• Data Processing and Security Terms (or
Data Processing Amendments)
• European Model Contract Clauses to
address EU data-transfer requirements
• Business Associate Agreement addressing
requirements under the U.S. Health
Insurance Portability and Accountability Act

38. GOOGLE AND THE GDPR
Google’s commitment to GDPR
• Updated terms
• Robust safeguards
• Incident response
• User transparency
• International transfers
• Privacy practices

39. AUTOMATTIC AND THE
GDPR
• Data minimalism

40. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content

41. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content
• Strict Guidelines on Providing User
Information to Governments

42. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content
• Strict Guidelines on Providing User
Information to Governments
• Security as a Priority

43. AUTOMATTIC AND THE
GDPR
• Data minimalism
• Control of Your Content
• Strict Guidelines on Providing User
Information to Governments
• Security as a Priority
• WordPress Sites are Portable

44. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório

45. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório
• Um deles é o ZodiacPress

46. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório
• Um deles é o ZodiacPress
• Os plugins de formulários estão
atentos

47. TAKAYUKI MIYOSHI - CONTACT FORM 7
As for GDPR, yes, we pay close attention to it. While it’s an EU law, I
believe it is the beginning of the next global mega-trend we all need to
prepare for. All developers need to move proactively for privacy, like we
did twenty years ago for security.
That said, to be honest I’m a bit confused because I don’t think I have
enough information so far. For example, though it doesn’t store
submission data into the database, Contact Form 7 sends them as email,
I’m not sure if the “right to be forgotten” is applied to data in email. If
so, what should we do as developers of a mail form tool?

48. WP FORMS
As far as general guidelines, it’s a good idea to add a required checkbox
for the user to provide consent. Here’s a screenshot of an example I set
up for this. The idea here is to not allow the form to be submitted (and
so the user’s data to be collected) without them granting explicit
consent for you/your site to do so.

50. E A COMUNIDADE?
• Atualmente encontramos 8 plugins no
repositório
• Um deles é o ZodiacPress
• Os plugins de formulários estão
atentos
• O Slack ‘Making WordPress’ anda
calado (50 referências)

51. SE TENS UM PLUGIN OU
ÉS DEV
Começa a documentar:
• Que dados recolhes

52. SE TENS UM PLUGIN OU
ÉS DEV
Começa a documentar:
• Que dados recolhes
• Onde os armazenas

53. SE TENS UM PLUGIN OU
ÉS DEV
Começa a documentar:
• Que dados recolhes
• Onde os armazenas
• Que tratamento fazes

54. SE TENS UM PLUGIN OU
ÉS DEV
Abraça:
• Privacy by design
• Security by design
Sê cuidadoso e responsável

55. SE TENS UM PLUGIN OU
ÉS DEV
Junta-te aos teus pares.
Há demasiadas formas de resolver o
mesmo problema
Procurem um caminho comum
Mostra que estás empenhado

56. KÅRE MULVAD STEFFENSEN

57. SE ÉS UM INTEGRADOR
Começa a documentar:
• Que dados recolhes
• Com que plugins
• Que tratamento fazes

58. SE ÉS UM INTEGRADOR
Procura ferramentas (plugins) que
demonstrem que estão a trabalhar para a
conformidade.
Pede-lhes documentação

59. SE ÉS UM INTEGRADOR
Começa a alterar os sites por forma a
informar de forma clara:
• o consentimento,
• e o tratamento que darás aos dados

60. CONSENTIMENTO
O EXEMPLO DO CHÁ HTTPS://WWW.YOUTUBE.COM/WATCH?V=FGOWLWS4-KU
Eu concordo que a Empresa X entre em contato comigo para me
informar acerca de produtos de calçado e serviços de consultoria de
imagem que me possam interessar. Eu concordo que posso cancelar a
qualquer momento. Eu concordo que as informações fornecidas através
deste site sejam armazenadas e processadas com o propósito de
comunicação de marketing.

61. SE ÉS UM INTEGRADOR
‘Ensina’ o teu cliente ou os utilizadores
do teu site (com acesso a dados
pessoais):
• a importancia da segurança

62. SE ÉS UM INTEGRADOR
‘Ensina’ o teu cliente ou os utilizadores
do teu site (com acesso a dados
pessoais):
• a importancia da segurança
• a importância da manutenção

63. SE ÉS UM INTEGRADOR
‘Ensina’ o teu cliente ou os utilizadores
do teu site (com acesso a dados
pessoais):
• a importancia da segurança
• a importância da manutenção
• o cuidado no acesso à informação
(direta ou indireta)

64. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade

65. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca

66. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca
• Define interlocutores e regras para
comunicar incidentes de segurança

67. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação

68. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação
• Remove os privilégios

69. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação
• Remove os privilégios
• Destroi a informação e regista o ato

70. O RGPD PODE FAZER
MUITO PELA TUA
IMAGEM ENQUANTO
PROFISSIONAL