Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Panorama dos requisitos legais

Em um mundo onde produtos e serviços digitais são cada vez mais indispensáveis, a proteção de dados se tornou uma prioridade para vários países e regiões. Como resultado, muitos países estabeleceram regulamentos de privacidade rigorosos e vinculativos, que todas as empresas devem cumprir.

Na maioria dos casos, a não conformidade com estes regulamentos pode gerar não apenas sérias consequências econômicas, mas também danos significativos e de longo prazo à reputação e confiança na organização. Portanto, é essencial garantir que sua empresa cumpra as obrigações legais.

Disposições gerais

Componentes principais

De acordo com a grande maioria das legislações, se os dados pessoais são tratados, é necessário informar o usuário sobre as atividades realizadas por meio de uma política de privacidade clara e completa, garantindo também a aplicação de medidas de segurança eficazes para proteger os dados pessoais e métodos de implementação de coleta do consentimento do usuário, e facilitando a possibilidade de revogação.

Estas informações sobre privacidade devem ser atualizadas, compreensíveis, inequívocas e de fácil acesso por meio do website ou app. Os requisitos podem variar de acordo com as atividades de tratamento de dados, a região, a idade do usuário ou o tipo de empresa. Desta forma, é importante observar que além dos princípios gerais ilustrados a seguir, você pode ter obrigações adicionais a serem respeitadas dependendo da legislação aplicável. Você pode ler mais informações específicas nas seções abaixo.

Informações específicas

De forma geral, usuários devem ser informados sobre:

  • A identidade e informações de contato do proprietário do website/app
  • A data de vigência da política de privacidade
  • Sobre os procedimentos adotados para a notificação de alterações na política de privacidade
  • Quais dados estão sendo coletados
  • Sobre terceiros que têm acesso a seus dados (quem são os terceiros e quais dados eles coletam)
  • Sobre seus direitos em relação aos dados que lhes pertencem.

Você também pode ser responsável por fornecer informações adicionais a usuários, terceiros e à autoridade reguladora ​​de acordo com a legislação aplicável.

Uma destas leis é a Lei de Privacidade do Consumidor da Califórnia (CCPA). De acordo com a CCPA, os usuários devem ser informados da possibilidade de seus dados serem vendidos (“vendido” é aqui entendido como “compartilhado com terceiros para obter alguma forma de benefício, de natureza econômica ou de outra natureza”). As informações já devem estar visíveis na página inicial do website e devem incluir um link de opt-out (DNSMPI). Leia o guia completo para obter mais informações sobre a CCPA e seu escopo.

Consentimento

Consentimento aqui se refere à aceitação voluntária e informada de um usuário para se envolver em um determinado evento ou processo.

De maneira geral, usuários precisam ter a possibilidade de negar, revogar ou conceder (dependendo da regra local) o consentimento. O consentimento pode ser adquirido por qualquer método que exija que o usuário tenha uma ação positiva, direta e verificável, como checkboxes, campos de texto, botões de alternância, e-mail de confirmação etc.

Defina a legislação aplicável

De maneira geral, as leis de uma região específica se aplicam quando:

  • A base de suas atividades está localizada nessa região; ou
  • Seus serviços de processamento ou servidores estão localizados nessa região; ou
  • Seus serviços têm como público-alvo os usuários dessa região

Isto efetivamente significa que regulamentações regionais podem se aplicar a você e/ou a sua empresa ainda que você esteja localizado nesta região ou não. Por esta razão, é sempre recomendável que você trate suas atividades de tratamento de dados de acordo com as regulamentações mais rigorosas. Você pode ler mais sobre quais leis se aplicam a você aqui.


Requisitos específicos da Lei dos EUA

Nos Estados Unidos, não existe uma única estrutura nacional para a regulamentação do tratamento de dados nos Estados Unidos. No entanto, existem leis em nível estadual, diretrizes da indústria e leis federais específicas. Uma vez que a atividade online de um website/app raramente é limitada a um único estado, é sempre melhor cumprir os regulamentos mais rígidos. A estrutura regulatória mais robusta para proteção de dados foi implementada pelo Estado da Califórnia. A Lei de Proteção à Privacidade Online da Califórnia (CalOPPA), em vigor desde 2004, foi a primeira lei estadual a introduzir a obrigação de estabelecer uma política de privacidade e se aplica a indivíduos ou empresas cujo website/app trata dados pessoais de cidadãos da Califórnia.

Além das informações geralmente solicitadas, que foram mencionadas acima, o CalOPPA também exige que você:

  • Disponibilize de maneira visível sua política de privacidade em seu website/app
  • Inclua em sua política de privacidade a descrição do processo pelo qual os usuários podem solicitar alterações dos dados pessoais (se aplicável)
  • Inclua em sua política de privacidade uma declaração sobre como as solicitações de “Não Rastrear” são tratadas
  • Notifique os usuários afetados sobre violações de sistemas de segurança que afetem seus dados

Em relação ao consentimento, a lei dos EUA geralmente exige que seja fornecida uma opção clara por meio da qual os usuários podem revogar seu consentimento (opt-out). No entanto, regras diferentes se aplicam em casos que envolvem o tratamento de “dados sensíveis” (como informações de saúde, informações de crédito, dados de estudantes, dados pessoais de crianças menores de 13 anos). Nesses casos, uma ação de “aceitação” clara e verificável deve ser fornecida, por exemplo, marcando uma checkbox ou outra ação positiva semelhante para o consentimento.

Atenção especial a crianças

Se seu serviço coletar, usar ou divulgar intencionalmente informações pessoais de crianças menores de 13 anos, você estará sujeito à aplicação de normas especiais de proteção de menores.

Lei de Proteção à Privacidade Online infantil (COPPA) é uma lei federal dos EUA implementada para melhor proteger os dados pessoais e os direitos de crianças menores de 13 anos.

De acordo com esta lei, se você opera um website ou qualquer outro serviço online voltado para crianças menores de 13 anos, ou se está realmente ciente de que está coletando informações pessoais relacionadas a crianças menores de 13 anos, você deve comunicar isso aos pais e obter seu consentimento verificável antes de coletar, usar ou compartilhar essas informações. Também é necessário garantir a segurança dos dados coletados.

“Verificável” neste contexto implica a necessidade de usar um método para obter consentimento que não seja facilmente falsificável por uma criança, provando que tal consentimento foi fornecido por um adulto (por exemplo, através da verificação de um documento de identidade oficial).

O que são “dados pessoais” de menores

“Dados pessoais”, neste contexto, significam informações relacionadas a crianças, como:

  • Nome ou outras informações de identificação (como número de identidade)
  • Informações de localização, incluindo endereço físico, dados de geolocalização ou endereço IP
  • Informações de contato, como números de telefone ou endereços de e-mail
  • Códigos de identificação do dispositivo utilizado
  • Arquivos multimídia contendo a imagem ou voz da criança, incluindo fotos, vídeos ou arquivos de áudio

💡Para mais informações sobre isso, leia este artigo ou leia mais sobre a COPPA.

Requisitos da legislação europeia

GDPR

O Regulamento Geral Europeu de Proteção de Dados (GDPR) foi elaborado para centralizar a proteção de dados de usuários europeus e é totalmente aplicável a partir de 25 de maio de 2018. Em poucas palavras, o GDPR esclarece como os dados pessoais devem ser tratados, (incluindo a forma de coleta, uso e proteção ou interação em geral).

Quando se aplica

O GDPR se aplica quando:

  • A base operacional da organização está localizada na União Européia (isso se aplica independentemente de o tratamento ocorrer na UE ou não);
  • A organização, embora não tenha sede na União Europeia, oferece bens ou serviços (mesmo gratuitamente) aos cidadãos europeus. Podem ser orgãos públicos, empresas privadas ou públicas, indivíduos ou organizações sem fins lucrativos;
  • A organização, embora não tenha sede na União Europeia, monitora o comportamento das pessoas que ali residem, desde que tal comportamento ocorra no território da UE.

Esse amplo escopo cobre praticamente todas as atividades e, portanto, pode-se concluir que o GDPR se aplica independentemente de sua organização estar localizada na União Europeia ou não.

Importante: As proteções do GDPR também se estendem aos usuários fora da UE se o controlador de dados estiver sediado na UE. Portanto, se você for um processador de dados na UE, deverá aplicar os padrões GDPR a todos os seus usuários.

Quando não se aplica

As condições de aplicabilidade do GDPR são definidas de um ponto de vista material e territorial. Para determinar se uma atividade está isenta de sua aplicabilidade, devemos considerar ambos os aspectos.

Ponto de vista material

O GDPR se aplica ao tratamento de dados pessoais. Por isso, não se aplica aos dados da empresa, como razão social e endereço da empresa. Atenção nos casos de “pessoas físicas” que trabalham em uma empresa: quaisquer dados que se referem a elas são considerados “pessoais”, independentemente de serem tratados em um contexto Business to Customer (B2C) ou Business to Business (B2B).

Adicionalmente, existem vários outros cenários em que os dados pessoais não se enquadram no âmbito do GDPR, por exemplo, quando são tratados ​​por uma pessoa física para uma atividade puramente pessoal ou doméstica. Para saber mais sobre o escopo do GDPR, leia o guia indicado aqui.

Ponto de vista territorial

Além do exposto acima, nós já mencionamos em quais condições o GDPR é aplicado do ponto de vista territorial. Consequentemente, para uma atividade de tratamento não estar submetida ao GDPR, as seguintes condições devem ser atendidas de forma cumulativa:

  • o controlador (ou processador) não está localizado na União Europeia. Importante: Lembre-se de que o controlador (ou processador) pode também ser uma filial na União Europeia de uma empresa que seja de fora da UE: neste caso, o GDPR se aplicaria ainda que a filial não tenha uma personalidade jurídica;
  • o tratamento não se relaciona à oferta de bens e serviços (ainda que gratuitamente) aos titulares de dados na União Europeia ou ao monitoramento de seus comportamentos desde que isto ocorra dentro da UE;
  • o controlador não está localizado em um local onde as leis da União Europeia se apliquem em razão do direito internacional público.

Veja exemplos no guia específico aqui.

🎙️
Ask our experts live

View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.

Attend our free webinars

Requisitos do GDPR

De maneira geral, o GDPR exige que você:

Tenha uma base legal. O GDPR exige que você tenha ao menos uma base legal para tratamento de dados dos usuários. De acordo com o GDPR, existem 6 bases legais.

Você deve obter consentimento verificável. De acordo com o GDPR, o consentimento é uma das bases legais para o tratamento de dados, e deve ser “livre, específico, informado e explícito”. É necessário que seu método de aquisição seja inequívoco e preveja uma ação de “opt-in” clara (a regulamentação proíbe especificamente checkboxes pré-selecionadas e outros mecanismos de “opt-out” similares).

O regulamento também estabelece um direito específico de revogação do consentimento, devendo ser tão fácil revogar quanto dar o consentimento. Uma vez que o consentimento segundo o GDPR é uma questão primordial, é obrigatório que você mantenha o registro dos consentimentos obtidos.

Os registros de consentimento devem incluir ao menos as seguintes informações:

  • A identidade do usuário que deu o consentimento;
  • Quando o consentimento foi dado;
  • As informações que foram fornecidas ao usuário quando ele consentiu com o tratamento dos dados;
  • Os métodos usados ​​para obter consentimento (por exemplo, via formulário de assinatura, newsletter, durante o checkout, etc.);
  • Uma indicação se houve revogação do consentimento ou não.

O consentimento não é a única base legal pela qual uma organização pode tratar os dados do usuário, é apenas uma das bases legais de tratamento dentro do escopo do GDPR. Dito isto, cabe esclarecer que, para algumas atividades de tratamento de dados, o consentimento ainda é a melhor solução.

Direito dos titulares de dados

De acordo com o GDPR, os usuários possuem direitos sobre seus dados. Como controlador de dados, você deve atender e informar os Titulares de Dados sobre seus direitos. Esses direitos incluem:

  • O direito de ser informado
    Além das obrigações de informação mencionadas acima, o GDPR exige que você tenha uma política de privacidade concisa, compreensível e de fácil acesso em todas as páginas do website/app.
  • O direito de acesso
    Os usuários têm o direito de acessar seus dados pessoais e informações sobre o modo como são tratados.
  • O direito de retificação
    Os usuários têm o direito de solicitar a retificação de seus dados pessoais, caso estejam inexatos ou incompletos.
  • O direito de oposição
    Segundo o GDPR, usuários têm o direito de oposição a certas atividades relacionadas a seus dados pessoais.
  • O direito à portabilidade
    Em certas condições, os usuários têm o direito de obter (em formato eletrônico legível), usar e dispor de seus dados pessoais.
  • O direito à exclusão
    Quando os dados deixam de ser úteis para os fins para os quais foram coletados ou em caso de revogação do consentimento, o usuário tem o direito de solicitar seu cancelamento, bem como a suspensão de qualquer outra forma de divulgação.
  • O direito à limitação do tratamento
    Usuários têm o direito de limitar o tratamento de seus dados pessoais em casos específicos.
  • Direitos relacionados à tomada de decisão automatizada e definição de perfis (“profiling”)
    Os usuários têm o direito de não serem submetidos a processos de tomada de decisão baseada no tratamento ou definição de perfis automatizados, e que produzam efeitos jurídicos ou quaisquer efeitos igualmente significativos ao usuário.

Você deve atender aos requisitos específicos impostos em caso de transferência de dados fora do Espaço Econômico Europeu. O GDPR permite a transferência de dados de cidadãos da UE fora do Espaço Econômico Europeu (EEE) somente quando determinadas condições forem atendidas.

Implementação de privacy by design e privacy by default. De acordo com o GDPR, a proteção de dados deve ser considerada desde a concepção e desenvolvimento dos processos de negócios e de infraestrutura.

Informação sobre violação de segurança. De acordo com o GDPR, você deve notificar a autoridade reguladora ​​dentro de 72 horas após tomar conhecimento da ocorrência de violação de dados pessoais. Em muitos casos, você também deverá notificar os usuários afetados.

Nomeação de um EPD (em determinadas situações). Pode ser necessário nomear um Encarregado de Proteção de Dados (EPD) que será responsável por supervisionar todas as atividades de tratamento e monitorar o cumprimento da legislação aplicável. Alguns casos em que é necessária a nomeação de um EPD são as situações em que ocorre o tratamento sistemático e em grande escala dos dados do usuário e que diz respeito a categorias especiais de dados (por exemplo, dados sensíveis).

Manter registros de atividades de tratamento. Conforme estabelecido pelo Artigo 30, o GDPR exige que você mantenha o registro atualizado “completo e exaustivo” das atividades de tratamento de dados. O registro completo e exaustivo é expressamente exigido nos casos em que suas atividades de tratamento não sejam ocasionais, quando podem resultar ou envolver riscos aos direitos e liberdades de terceiros, quando incluam o tratamento de “categorias especiais de dados” ou quando sua organização tiver mais de 250 funcionários — o que de fato se aplica para quase todos os controladores e processadores de dados. Entretanto, ainda que suas atividades de tratamento não se encaixem nestas situações, sua obrigação de informar os usuários exige que você mantenha um registro básico contendo os dados coletados, a finalidade, todas as partes envolvidas e o período de retenção dos dados — isso é obrigatório para todos. Confira nosso guia GDPR para saber como manter registros em conformidade para controladores e processadores.

Você deve realizar processos AIPD (em determinadas situações). Nos casos em que é provável que a atividade de tratamento de dados envolva um alto risco para os usuários, o GDPR introduz a necessidade de realizar uma avaliação de impacto, ou Relatório de Impacto à Proteção de Dados (AIPD).

💡Você pode ler mais sobre o GDPR aqui.

Uma vez que o uso de cookies envolve tanto o tratamento de dados do usuário quanto a instalação de tecnologias de rastreamento, este se torna um fator considerável no contexto da proteção dos dados pessoais dos usuários. A Diretiva de Privacidade Eletrônica (ou “Lei dos Cookies”) foi criada para resolver este problema.

De acordo com a Lei dos Cookies, as organizações que visam os cidadãos da UE devem informar os usuários sobre suas atividades de coleta de dados e dar-lhes a oportunidade de escolher se consentem ou não. Isto significa que se seu website/app (ou qualquer serviço de terceiros usado pelo seu website/app) utiliza cookies, você deve obter um consentimento válido antes da instalação desses cookies, exceto quando esses cookies se encaixarem na categoria de cookies isentos.

💡Para aprender mais sobre o tema, veja nossa tabela que compara as regras de coleta de consentimento para cookies entre os países da UE.

Cookie Banner

Na prática, você precisará mostrar um banner na primeira visita do usuário, definir uma política de cookies que contenha todas as informações solicitadas e fornecer aos usuários os meios ou informações para recusar o tratamento (ou revogar seu consentimento). Antes de obter o consentimento informado e explícito, não é possível instalar cookies, com exceção de cookies isentos.

Consentimento para o uso de cookies vs. consentimento “regular”

Conforme mencionado acima, o “consentimento” é uma das seis bases legais permitidas pelo GDPR, devendo ser expresso e documentado de maneira muito específica para ser considerado válido.

Uma dúvida que você pode ter é: devo tratar o consentimento para o uso de cookies da mesma forma que o consentimento “normal” para atividades específicas de tratamento de dados, como por exemplo o envio de newsletters?

Se a resposta for “sim”, isso significa que todos os requisitos de validade do consentimento devem ser respeitados, mesmo durante a instalação de cookies. No entanto, neste momento, a maioria dos comentaristas da lei concordam que isso não seria viável e que não faz parte dos planos do legislador da UE. Portanto, os requisitos de consentimento simplificado da diretiva de privacidade eletrônica ainda são considerados aplicáveis ​​para a instalação de cookies, devido ao Artigo 95 do GDPR. Esta é uma questão muito debatida e provavelmente só será resolvida quando o Regulamento de Privacidade Eletrônica, atualmente em discussão, for aprovado.

Este banner deve:

  • conter uma breve explicação das finalidades de instalação dos cookies utilizados pelo website;
  • ser suficientemente visível durante a navegação no website;
  • conter um link para uma política de cookies com o detalhamento das finalidades, o uso e as atividades de terceiros relacionadas aos cookies;
  • estabelecer claramente quais ações indicarão consentimento.

Política de Cookies

A Política de Cookies deve:

  • descrever em detalhes as finalidades para as quais os cookies são instalados;
  • indicar todos os terceiros que instalam ou podem instalar cookies através do website, com um link para a respectiva política de privacidade, para a política de cookies e para quaisquer formulários de consentimento;
  • informar o usuário sobre como exercer o direito de negar/revogar o consentimento.

Bloqueio preventivo de cookies

O bloqueio preventivo de cookies permite a você cumprir o princípio geral pelo qual a instalação de cookies só pode ocorrer após obtenção do consentimento, em conformidade com o disposto na legislação de privacidade. Isso implica a necessidade de bloquear os códigos que instalam cookies antes de obter o consentimento do usuário.

O consentimento para cookies pode ser fornecido de várias formas

Dependendo das autoridades locais, as ações de consentimento podem incluir a navegação continuada, cliques em links ou rolagem de página. Em muitos casos, clicar em “ok”, fechar o cookie banner ou continuar a navegar pode ser considerado consentimento por meio de um comportamento ativo — desde que os usuários tenham sido previamente e claramente informados da instalação subsequente de cookies.

Cookies isentos ao requisito de consentimento

O consentimento já não é válido na presença de alguns tipos de cookies que não estão sujeitos à obrigação de bloqueio prévio (mesmo que ainda tenha a obrigação de informar os usuários sobre a utilização de cookies – veja a caixa abaixo). Os cookies isentos são os seguintes:

  • Cookies técnicos estritamente necessários para a prestação do serviço. Isso inclui cookies de preferência, cookies de sessão, balanceamento de carga, etc.
  • Cookies estatísticos gerenciados diretamente por você (não por terceiros), desde que os dados não sejam usados ​​para perfilamento (“profiling”)*
  • Cookies estatísticos de terceiros desde que anonimizados, como o Google Analytics*

*Esta isenção pode não se aplicar em todos os países, podendo variar dependendo da legislação local específica.

Atenção

A isenção do requisito de consentimento aplica-se apenas aos cookies técnicos que não realizem rastreio e que sejam estritamente necessários para o funcionamento dos serviços solicitados pelo usuário.
É o caso, por exemplo, de um site de e-commerce que permite que usuários mantenham itens no carrinho durante a visita. Neste caso, os cookies técnicos, necessários ao processo de compra, são solicitados explicitamente pelo usuário quando este adiciona um artigo ao carrinho. No entanto, é importante observar que esses são cookies técnicos de sessão e não cookies de rastreamento.

Outros exemplos de cookies técnicos são os cookies de sessão utilizados para detectar violações dos procedimentos de autenticação, cookies de balanceamento de carga e cookies para sessão ‘Multimedia player’, ou seja, cookies necessários para a prestação dos serviços solicitados pelo usuário.

Isso significa que, nesses casos, não é obrigatório mostrar cookie banner?

Primeiramente, é importante ressaltar que mesmo que esta exceção ao consentimento se aplique, você ainda terá de informar o usuário sobre a utilização de cookies através de uma política de cookies. Neste caso específico, o cookie banner não é estritamente necessário se a política de cookies estiver facilmente acessível a partir de todas as páginas do website.

No futuro, a Diretiva de Privacidade Eletrônica será revogada pelo Regulamento de Privacidade Eletrônica que, como tal, funcionará em conjunto com o GDPR. Em qualquer caso, é muito provável que o regulamento confirme disposições semelhantes às da diretiva, aplicando as mesmas orientações em sua maioria.


Requisitos legais aplicáveis ​​em situações específicas

E-commerce

Estes requisitos são geralmente atendidos pelos termos e condições, também conhecidos como termos de serviço (ToS), termos de uso ou contrato de licença de usuário final (EULA).

Além das obrigações de informação e outros requisitos mencionados acima (de acordo com a legislação aplicável a seu caso), se você gerencia um app ou website de comércio eletrônico, você também está sujeito às leis comerciais e outras regras aplicáveis ​​do setor.

B2B

Em geral, as partes envolvidas em transações comerciais entre empresas (B2B) estarão sujeitas a todos os contratos e todas as diretrizes aplicáveis ​​em nível nacional e setorial. No entanto, o comércio entre empresas (B2B) geralmente requer o tratamento de dados pessoais (sendo de funcionários ou de outros indivíduos). Nestes casos, se o tratamento estiver dentro de seu escopo, o GDPR será a aplicado.

B2C

De acordo com a maioria das leis de proteção ao consumidor, ao realizar uma venda, além do que é normalmente exigido sobre as informações de privacidade, você deve fornecer aos consumidores as seguintes informações:

  • Devoluções e informações de reembolso;
  • Informações de garantia, quando aplicável;
  • Informações de Segurança, incluindo condições de uso (quando aplicável);
  • Condições de entrega do produto/serviço;
  • Informações de identificação como endereço e nome da empresa;
  • Direitos do consumidor (como o direito de arrependimento), quando aplicável;
  • Detalhes de contato do vendedor (por exemplo, o endereço de e-mail).

Lei dos EUA

Nos Estados Unidos, não existe uma lei única sobre devoluções/reembolsos para compras feitas online, pois na maioria dos casos essa lei é implementada por cada estado. No entanto, de acordo com várias leis estaduais, se os consumidores não forem notificados com qualquer informação sobre reembolsos ou devoluções antes da compra, é automaticamente aplicada uma extensão de prazo para que os consumidores possam exercer o direito de devolução/reembolso. Caso o item comprado esteja com defeito, uma garantia implícita pode ser aplicada no lugar de uma garantia por escrito. Quanto às garantias por escrito, estas devem ao menos atender aos padrões da indústria.

Embora os requisitos de informações de comércio eletrônico permaneçam amplamente aplicáveis ​​nos Estados Unidos por cada estado, em muitos casos é uma prática comum incluir tais informações no documento de Termos e Condições; informações sobre devoluções e reembolsos também são frequentemente incluídas em áreas específicas do website/app sendo facilmente acessíveis na página de descrição do produto/serviço.

Lei da UE

O Direito do Consumidor da UE aplica-se a contratos ou outras relações jurídicas entre consumidores (por um lado) e profissionais, empresas do outro (B2C). Não se aplica a relacionamentos B2B (ex. um supermercado faz um pedido a seu fornecedor de frutas) ou relacionamentos C2C entre duas pessoas físicas (ex. vender sua bicicleta antiga no eBay).

De acordo com a lei de proteção ao consumidor da UE, os consumidores têm um direito incondicional de arrependimento (“prazo de revogação”) de 14 dias. Isso significa que o consumidor pode cancelar ou revogar contratos firmados à distância (vendas feitas online, por telefone, por correio) por qualquer motivo até no máximo 14 dias a partir do recebimento do produto (no caso de mercadorias).

Vale ressaltar que 14 dias é o prazo mínimo exigido por lei – em alguns países as leis locais podem prever um prazo maior, e fornecedores podem também estender este prazo contratualmente.

O direito de arrependimento não se aplica em todas as situações.

Algumas exceções mais comuns são:

  • Bilhetes para eventos ou viagens e reserva ou aluguel de carros (geralmente qualquer contrato relacionado com atividades de lazer, se houver uma data ou duração específica);
  • Objetos e dispositivos de multimídia lacrados (por exemplo, CDs), uma vez abertos pelo destinatário;
  • Conteúdo digital já baixado pelo consumidor;
  • Itens elaborados sob medida ou personalizados (por exemplo, um terno sob medida);
  • Qualquer contrato relacionado à prestação de um serviço, sob algumas condições adicionais.

Os consumidores residentes na UE também estão protegidos por uma garantia legal de 2 anos sobre os bens adquiridos sem quaisquer custos adicionais. Novamente, vale ressaltar que a garantia de 2 anos é o mínimo: em alguns países a duração pode ser maior ou estendida contratualmente.

Essas regras geralmente se aplicam a todas as empresas que vendem para cidadãos europeus, mas podem variar para os vendedores internacionais, dependendo do caso específico. Entretanto, vale ressaltar que, em alguns casos recentes, os tribunais dos Estados Unidos optaram por defender como lei aplicável a lei europeia.

Qual a diferença entre a devolução de um produto em caso de arrependimento e a devolução em caso de garantia?

Direito de arrependimentoGarantia legal
Válido por 14 dias a partir do recebimento do produto ou da assinatura do contratoVálido por 24 meses a partir do recebimento do produto
Você não precisa ter nenhum motivo para exercer este direito – você pode apenas mudar de ideiaVocê pode devolver um produto sob garantia porque ele está com defeito ou inadequado aos fins para os quais foi vendido e comprado
Você pode ter que arcar com os custos de devolução do produto (mas isso deve ser especificado)Você provavelmente não deve ter que arcar com quaisquer custos (é “responsabilidade do vendedor” se o produto estiver com defeito)
Aplica-se com algumas exceções (algumas mencionadas acima)Sempre se aplica a produtos, nunca se aplica a serviços

A legislação europeia também exige que os vendedores informem os consumidores sobre a plataforma europeia de resolução de conflitos online (ODR) por meio de um link direto. O ODR (Online Dispute Resolution, em inglês), é uma ferramenta que permite que consumidores localizados na UE possam apresentar facilmente reclamações (relativas a vendas online) contra empresas também estabelecidas na UE. Isso significa que os requisitos de ODR também podem ser aplicados a empresas dos EUA com presença física na União Europeia.

Geralmente, sites privados (ou perfis privados em redes sociais, blogs, etc.) com fins puramente pessoais não estão sujeitos às regulamentações adicionais. No entanto, diversos atos normativos nacionais e da UE exigem que operadores de comércio online divulguem certas informações.

Para ser considerado “comercial”, você não precisa “vender” algo – um site pessoal pode ser considerado comercial se, por exemplo, gerar tráfego significativo e obtiver receita com publicidade relevante (ex. “influenciadores”) – no entanto, se você “vende” produtos ou serviços, as obrigações de informar seus usuários aumentam.

Se você vender diretamente aos consumidores (B2C), você deve observar obrigações adicionais que incluem, entre outras, as citadas acima, como conectar-se à plataforma de resolução de disputas online da UE, listar prazos de entrega e fornecer informações sobre preços e impostos aplicáveis, conforme indicado na Diretiva 83/2011 da UE.

E-mails e Newsletters

O endereço de e-mail é considerado um dado pessoal. Portanto, quando se trata de endereços de e-mail, a lei de privacidade se aplica. Conforme já mencionado, a maioria das legislações exige que os usuários sejam informados detalhadamente sobre seus direitos, as atividades de tratamento de seus dados e suas finalidades.

Geralmente, essas leis se aplicam a qualquer serviço dirigido a residentes de um determinado país: na prática, elas podem se aplicar a seu negócio, independentemente de estar ou não no país de referência. Isso é ainda mais importante se você estiver usando uma lista de e-mail comprada, pois pode não ser possível saber o país de residência dos destinatários neste caso.

Por este motivo, é sempre aconselhável lidar com as atividades de tratamento de dados em conformidade com os regulamentos aplicáveis ​​mais rigorosos.

Lei dos EUA

De acordo com o CAN-SPAM Act, você não precisa obter consentimento antes de adicionar usuários dos EUA à sua lista de e-mails ou enviar mensagens comerciais. Entretanto, é obrigatório fornecer aos usuários um mecanismo claro para retirar o consentimento ao recebimento de comunicações futuras.

Lei da UE

Segundo a legislação da UE (em particular o GDPR), é obrigatório obter o consentimento informado do usuário antes de ele assinar o serviço. De acordo com a legislação da UE, a obtenção do consentimento pode ser entendida como um processo em duas etapas que inclui informar o usuário e obter o consentimento verificável através de uma ação positiva.

💡Para mais informações, consulte o Guia sobre marketing por e-mail e envio de newsletters.

Menores de idade

Lei dos EUA

A Lei de Proteção de Privacidade Online Infantil (COPPA) é uma lei federal dos EUA implementada para proteger os dados pessoais e os direitos de crianças menores de 13 anos. Segundo a COPPA, os operadores de sites ou serviços online direcionados a usuários menores de 13 anos, ou que estejam coletando intencionalmente dados pessoais de crianças menores de 13 anos, devem notificar os pais e obter seu consentimento verificável antes de coletar, usar ou divulgar tais dados pessoais, comprometendo-se também a proteger as informações relativas a menores.

Um dos requisitos centrais desta lei é ter uma política de privacidade em conformidade com a COPPA. Para obter mais informações, consulte este artigo dedicado à COPPA.

Lei da UE

Conforme o GDPR, o consentimento é uma das bases legais para o tratamento de dados de crianças. Se você usar esta base legal para tratar os dados de crianças menores de 13 anos, você deve obter o consentimento verificável de um dos pais ou responsável, a menos que o serviço oferecido seja um serviço de prevenção ou aconselhamento em serviços sociais.

? Para obter mais informações sobre os requisitos legais relativos a menores, leia aqui.


Outras Considerações Legais

Defina os termos de serviço para proteger sua empresa

Embora nem sempre seja exigido por lei, um documento de Termos e Condições (também conhecido como T&C, Termos de Serviço (ToS), Contrato de Licença de Usuário Final (EULA) ou Termos de Uso) é normalmente necessário para sua praticidade e segurança. O documento ajuda você a regular sua relação contratual com seus usuários e por isso é fundamental para definir os termos de uso e para proteger você contra eventuais responsabilidades.

O documento de Termos e Condições é um contrato juridicamente vinculativo e, não só é importante ter um, mas também é necessário certificar-se de que ele está em conformidade com os requisitos legais.

Em geral, as condições contratuais padrão devem ser aplicadas, e conforme previsto pela maioria das leis, os contratos devem ser justos. Isso significa que o documento deve estar sempre atualizado no que diz respeito às normas aplicáveis, e deve ser preciso, visível e compreensível para que os usuários possam facilmente consultá-lo e concordar com seu conteúdo.

A ação de consentimento deve ser realizada de forma inequívoca (ex. clicando em uma caixa de seleção com um link visível para o documento antes de criar uma conta ou usar o serviço).

Embora alguns conteúdos possam variar com base nas características específicas de sua empresa, os Termos e Condições devem incluir pelo menos o seguinte:

  • Informações para identificação da empresa
  • Descrição do serviço oferecido por seu site/app
  • Informações sobre alocação de risco, responsabilidade e isenções de responsabilidade
  • Informações de Garantias (se aplicável)
  • A existência do direito de arrependimento (se aplicável)
  • Informações de segurança, incluindo termos e instruções de uso (se aplicável)
  • Condições de entrega do produto/serviço
  • Direitos de uso (se aplicável)
  • Condições de uso ou compra (como requisitos de idade, restrições por localização, etc.)
  • Políticas de reembolso/substituição/encerramento do serviço e informações relacionadas
  • Informações sobre métodos de pagamento
  • Outras condições aplicáveis

? Você pode ler mais sobre Termos e Condições aqui e descobrir como criá-los.


Requisitos de terceiros

Os aplicativos e serviços de terceiros também devem cumprir a lei. Como qualquer organização, eles também estão expostos ao risco de danos à reputação e de sanções em caso de não conformidade com as obrigações legais. Por esse motivo, é possível que os próprios terceiros possam exigir que sites e apps que os utilizam estejam em conformidade com certas normas regulamentares.

Em geral, as organizações que utilizam seus serviços devem ter uma política de privacidade compatível (e uma política de cookies no caso de uso de cookies) que divulgue todos os detalhes relativos ao relacionamento e aos serviços prestados.

Os aplicativos e serviços de terceiros também devem cumprir a lei. Por este motivo, normalmente é obrigatório que todos os parceiros e clientes que usam seus serviços estejam em conformidade com as normas regulamentares.

Um exemplo é o Google. Para usar determinados serviços e ferramentas (como AdSense, Google Analytics, Google Play Store), o Google exige que você tenha uma política de privacidade completa e atualizada em vigor. Segue abaixo um trecho dos Termos de uso do Google Analytics:

Você precisa publicar uma Política de privacidade, e ela deve obrigatoriamente fornecer um aviso sobre cookies que são usados para coletar dados” e “Você não tem permissão para burlar nenhum recurso de privacidade (por exemplo, uma desativação) que faça parte do Serviço.”

Outro exemplo é a Amazon. Veja um trecho do que eles dispõem:

Estendemos a obrigação de divulgar nossa relação de afiliação em todos os casos em que o conteúdo dos Associados esteja sendo usado.

Ocasionalmente, as exigências de terceiros mudam em resposta a regulamentações nacionais ou internacionais. Por isso, para evitar a interrupção do serviço, muitas vezes as políticas de privacidade devem atender aos requisitos mais recentes.

? Você pode ler mais sobre Exigências do Google aqui, e Amazon aqui.


Consequências da não conformidade

Aqui estão algumas possíveis consequências ao não cumprimento dos requisitos legais:

Multas

O não cumprimento do CalOPPA ou COPPA pode fazer com que autoridades do governo acionem você judicialmente ou busquem danos civis contra sua empresa. Por exemplo, os proprietários do site Imbee foram multados em US$130.000 por permitir que crianças menores de 13 anos se registrassem sem o consentimento dos pais.

Algumas penalidades semelhantes podem ser impostas na forma de outras leis estaduais e federais. O não cumprimento dos requisitos do GDPR pode levar a multas de até 20 milhões de euros ou até 4% do faturamento anual mundial (o que for maior).

Medidas disciplinares

Existem sanções adicionais que podem ser aplicadas contra organizações que violam regulamentações. Essas medidas incluem (entre outras) notificações oficiais (para o primeiro caso de violação) e auditorias periódicas de proteção de dados. O GDPR dá aos usuários o direito explícito de apresentar uma reclamação a uma autoridade reguladora se eles acreditarem que o tratamento de seus dados pessoais foi realizado em desacordo com as disposições do regulamento.

Por exemplo, se for feita uma notificação à autoridade sobre um caso de violação da lei, a autoridade pode optar por realizar uma auditoria sobre os processos de tratamento de dados realizados pela organização. Se for verificado que algumas atividades de tratamento foram realizadas ilegalmente, não só será aplicada uma sanção financeira, mas a organização também poderá ser proibida de recorrer aos dados objeto da reclamação. Isso significa que se o uso indevido envolver, por exemplo, a coleta de um endereço de e-mail, a organização arrisca não poder usar toda a lista de e-mails em sua posse.

O não cumprimento com as leis do consumidor ou de proteção à concorrência (por atos de concorrência desleal) também pode levar a sanções financeiras por parte das autoridades competentes (a maioria delas autoridades nacionais).

Danos por Responsabilidade Civil

Um princípio geral do Direito Civil é que qualquer dano injusto causado a outra pessoa deve ser indenizado, especialmente se ocorrer por violação de lei. Tanto o GDPR quanto o CalOPPA garantem aos usuários individuais o direito de buscar indenização por danos resultantes da violação de seus direitos. O mesmo raciocínio se aplica a qualquer outro ato ou lei aplicável, como as disposições da UE com relação à proteção do consumidor.

Lembre-se de que a responsabilidade por danos se aplica a todos os relacionamentos: mesmo um parceiro de negócios pode ter direito a uma indenização se você violar uma disposição legal. Por exemplo, a venda de produtos falsificados por meio da plataforma de um parceiro como a Amazon pode levar a empresa e os compradores a tomarem medidas legais contra você.

Interrupções de serviço e penalidades contratuais

Alguns serviços de terceiros (incluindo marketplaces e lojas de aplicativo) podem incluir a conformidade com regulamentos específicos em seus termos de uso; a violação destes termos pode conduzir, nestes casos, à suspensão do serviço ou, potencialmente, a proibições permanentes.

Aqui está um exemplo dos Termos e Condições da Amazon Web Services com relação ao consentimento:

Para quaisquer dados de terceiros fornecidos à AWS, você declara e garante que recebeu todos os consentimentos necessários para (a) compartilhar esses dados de terceiros com a AWS e suas afiliadas, e (b) usar esses dados de terceiros para entrar em contato com seus titulares a fim de comercializar nossos produtos e serviços, e o Programa.

Legislação penal

Por fim, mas talvez o aspecto mais importante: em certas ocasiões, também pode haver consequências criminais. Por exemplo, se você violar ou ignorar intencionalmente as disposições de proteção de dados para fins comerciais (por exemplo, você vende dados pessoais de pessoas sem informá-las), poderá sofrer consequências graves. No entanto, o Direito Penal é, em geral, uma questão nacional: as condições e as consequências devem ser verificadas caso a caso.


Como a iubenda pode ajudá-lo

Acreditamos na importância de uma abordagem abrangente e compreensiva para o cumprimento da legislação de proteção de dados pessoais. Monitoramos as principais normas internacionais e desenvolvemos soluções que atendem às mais rígidas disposições, oferecendo serviços completos e customizáveis ​​de acordo com suas necessidades.

Desta forma, você pode cumprir as obrigações legais (independentemente de onde seus usuários estejam localizados), e reduzir o risco de litígios, protegendo seus clientes e consolidando seu negócio com confiança e credibilidade.

Monitoramos as principais normas internacionais e desenvolvemos soluções que atendem às regulamentações mais rígidas.

Abaixo está uma lista do que é necessário para se adaptar:

Informar os usuários sobre o tratamento de seus dados pessoais por meio de uma política de privacidade

Conforme previsto, os usuários devem ser informados sobre como seus dados pessoais são usados. Por esse motivo, as políticas de privacidade são exigidas por lei em quase todos os lugares do mundo. Este documento legal deve indicar como seu site ou app coleta, trata, armazena, compartilha e protege os dados do usuário, as finalidades do tratamento e os direitos dos usuários a esse respeito.

O nosso Gerador de Políticas de Privacidade é acessível, disponível em vários idiomas, desenvolvido por uma equipe de advogados, personalizável e atualizado automaticamente (sendo controlado remotamente por nossos advogados). Ele permite que você crie facilmente uma política de privacidade impecável, precisa e perfeitamente integrada com seu site ou app. Basta adicionar qualquer uma das diversas cláusulas pré-configuradas disponibilizadas com um simples clique ou incluir facilmente suas próprias cláusulas personalizadas.

Você também tem a opção de incluir uma política de cookies (necessária se seu site ou app usa cookies). As políticas de cookies são adaptadas a suas necessidades e gerenciadas remotamente por nossa equipe jurídica.

? Para mais informações sobre como gerar sua política de privacidade, clique aqui

Adequação à Lei dos Cookies da UE

Dado que o uso de cookies envolve tanto o tratamento de dados do usuário quanto a instalação de tecnologias de rastreamento, este se torna um fator considerável no contexto da proteção dos dados pessoais dos usuários. Por esse motivo, se você opera na União Europeia ou se seu público-alvo são usuários europeus, você deve cumprir a Lei dos Cookies.

Existem 4 aspectos fundamentais que você deve considerar:

  1. Adotar uma política de cookies, a qual você pode ativar com a opção específica disponível no Gerador de Política de Privacidade mencionado acima.
  2. Mostrar um Cookie Banner, que você pode configurar usando a iubenda Cookie Solution.
  3. Facilitar a coleta de consentimento, fornecendo aos usuários as informações apropriadas sobre como dar, negar ou revogar esse consentimento.
  4. Bloquear os códigos (bloqueio prévio) que instalam cookies mediante a obrigatoriedade de consentimento prévio.

A nossa Cookie Solution está em conformidade com as disposições da Diretiva de Privacidade Eletrônica (“Lei dos Cookies”). A solução permite que você informe os usuários facilmente e obtenha seus consentimentos, incluindo a capacidade de bloquear qualquer código que instale cookies antes da coleta do consentimento do usuário (conforme exigido em muitos países da UE). É fácil de usar, rápido e não requer investimentos caros.

→ Tenha suas perguntas respondidas em tempo real e aprenda mais sobre o Gerador de Política de Privacidade e de Cookies e sobre a Cookie Solution em um de nossos webinars gratuitos em inglês.

? Para mais informações sobre nossa Cookie Solution clique aqui.

Proteja sua empresa com um documento de Termos e Condições

Apesar de não ser sempre legalmente exigido, os termos e condições são um documento necessário sob uma perspectiva prática. O documento estabelece as regras que vão reger a relação contratual entre você e seus usuários e define a forma como seu produto, serviço e conteúdo pode ser usado, de uma maneira juridicamente vinculante.

Portanto, é vital que este contrato seja preciso e atualizado de acordo com todas as regulamentações aplicáveis. Ele deve também incluir as condições gerais para uso do serviço, com atenção especial às cláusulas de “limitação de responsabilidade”.

Nosso Gerador de Termos e Condições ajuda você a criar e gerenciar facilmente um documento de Termos e Condições profissional, personalizável com mais de 100 cláusulas pré-configuradas, disponível em 9 idiomas, elaborado por uma equipe jurídica internacional e sempre atualizado conforme os principais regulamentos internacionais.

É uma solução poderosa e precisa, capaz de lidar até mesmo com os cenários mais complexos.

A solução inclui:

  • configuração guiada;
  • milhares de personalizações possíveis;
  • monitoramento da legislação;
  • integrações “plug-and-go” para plataformas de comércio eletrônico mais populares, como Shopify e WooCommerce;
  • cenários predefinidos: blocos de texto para marketplace, programas de afiliados, direitos autorais, e-commerce, apps móveis e muito mais.

Nossa solução é otimizada para todo tipo de cenário: desde e-commerce, blogs, app, aos mais complexos como marketplace e SaaS.

Começar é muito fácil. Faça login em seu painel, ative os Termos e Condições (com 1 licença Ultra) em seu dashboard e comece a criar.

💡Para descobrir os recursos do Gerador de Termos e Condições clique aqui ou leia nosso guia aqui.

Gerenciar e arquivar consentimentos em detalhes

Para cumprir as leis de privacidade, especialmente o GDPR, as empresas precisam armazenar uma prova de consentimento para que possam demonstrar que o consentimento foi coletado.

Essas evidências devem incluir:

  • quando o consentimento foi dado;
  • quem deu o consentimento;
  • quais preferências foram expressas pelo titular dos dados no momento da coleta do consentimento;
  • quais documentos ou informações legais foram apresentados ao titular dos dados no momento da coleta do consentimento;
  • o formulário de consentimento que foi apresentado à parte interessada no momento em que o consentimento foi coletado.

Nossa solução de consentimento simplifica esse processo, permitindo que você registre e gerencie facilmente a prova de consentimento para cada um de seus usuários. A Consent Solution ajuda você a rastrear todos os aspectos do consentimento (incluindo documentos ou avisos legais e formulários de consentimento apresentados ao usuário no momento do consentimento), bem como as preferências expressas pelo usuário.

Para usá-lo, basta ativar a Consent Solution e obter sua chave API. Em seguida, prossiga com a configuração via API HTTP ou via widget JS. Você pode recuperar imediatamente os consentimentos salvos e mantê-los atualizados.

💡Veja a lista com todos os recursos da Consent Solution aqui ou leia o nosso guia.

Internal Privacy Management

A adaptação ao GDPR na prática representa um verdadeiro desafio. Isso se aplica principalmente no gerenciamento de conformidade de privacidade interna. Para estar em conformidade, você precisa rastrear e descrever:

  • quais dados você coleta;
  • para quais fins esses dados são coletados;
  • qual a base legal para o tratamento desses dados;
  • as políticas de retenção de dados para cada atividade de tratamento;
  • as partes envolvidas (dentro e fora de sua organização);
  • medidas de segurança;
  • transferências de dados para fora da UE, se este for o caso; e
  • outros detalhes da empresa, incluindo dados de funcionários.

Nossa solução ajuda você a registrar e gerenciar facilmente todas as atividades de tratamento de dados em sua organização, a fim de atender a todos os requisitos e cumprir as obrigações legais.

A solução permite que você crie um registro das atividades de tratamento de dados:

  • adicione as atividades de tratamento realizadas, escolhendo entre mais de 1600 opções pré-configuradas;
  • descreva suas próprias áreas de tratamento (ou seja, as áreas nas quais as atividades de tratamento de dados são homogêneas);
  • identifique os operadores e outros gestores; e
  • documente sua base legal e outras informações exigidas pelo GDPR.

Importante: Ainda que suas atividades de tratamento não se enquadrem nas situações mencionadas anteriormente neste guia, suas obrigações de informar os usuários (artigos 13 e 14) exigem que você mantenha um registro básico contendo os dados coletados por você, suas finalidades, todas as partes envolvidas e o prazo de retenção de dados — isso é obrigatório para todos.

Além disso, mesmo que o GDPR seja o principal motivo para incentivar o gerenciamento de privacidade interna nas empresas, nossa ferramenta não é feita apenas para o GDPR. Na verdade, ele pode ser usado para gerenciamento de privacidade interna em geral, mesmo por empresas fora da UE que não trabalham com usuários ou clientes europeus.

→ Tenha suas perguntas respondidas em tempo real e entenda melhor a Consent Solution e Internal Privacy Management Solution por meio de um de nossos webinars gratuitos em inglês.

Importante: de tempos em tempos, os requisitos legais mudam ou são atualizados. Portanto, é necessário garantir que seus documentos atendam aos requisitos mais recentes. Por esta razão, nós usamos a integração direta e não copiamos e colamos. Desta forma, você pode garantir que sua política de privacidade está atualizada e sendo gerenciada remotamente por nossa equipe jurídica.

Veja também