Em um mundo onde produtos e serviços digitais são cada vez mais indispensáveis, a proteção de dados se tornou uma prioridade para vários países e regiões. Como resultado, muitos países estabeleceram regulamentos de privacidade rigorosos e vinculativos, que todas as empresas devem cumprir.
Na maioria dos casos, a não conformidade com estes regulamentos pode gerar não apenas sérias consequências econômicas, mas também danos significativos e de longo prazo à reputação e confiança na organização. Portanto, é essencial garantir que sua empresa cumpra as obrigações legais.
De acordo com a grande maioria das legislações, se os dados pessoais são tratados, é necessário informar o usuário sobre as atividades realizadas por meio de uma política de privacidade clara e completa, garantindo também a aplicação de medidas de segurança eficazes para proteger os dados pessoais e métodos de implementação de coleta do consentimento do usuário, e facilitando a possibilidade de revogação.
Estas informações sobre privacidade devem ser atualizadas, compreensíveis, inequívocas e de fácil acesso por meio do website ou app. Os requisitos podem variar de acordo com as atividades de tratamento de dados, a região, a idade do usuário ou o tipo de empresa. Desta forma, é importante observar que além dos princípios gerais ilustrados a seguir, você pode ter obrigações adicionais a serem respeitadas dependendo da legislação aplicável. Você pode ler mais informações específicas nas seções abaixo.
De forma geral, usuários devem ser informados sobre:
Você também pode ser responsável por fornecer informações adicionais a usuários, terceiros e à autoridade reguladora de acordo com a legislação aplicável.
Uma destas leis é a Lei de Privacidade do Consumidor da Califórnia (CCPA). De acordo com a CCPA, os usuários devem ser informados da possibilidade de seus dados serem vendidos (“vendido” é aqui entendido como “compartilhado com terceiros para obter alguma forma de benefício, de natureza econômica ou de outra natureza”). As informações já devem estar visíveis na página inicial do website e devem incluir um link de opt-out (DNSMPI). Leia o guia completo para obter mais informações sobre a CCPA e seu escopo.
Consentimento aqui se refere à aceitação voluntária e informada de um usuário para se envolver em um determinado evento ou processo.
De maneira geral, usuários precisam ter a possibilidade de negar, revogar ou conceder (dependendo da regra local) o consentimento. O consentimento pode ser adquirido por qualquer método que exija que o usuário tenha uma ação positiva, direta e verificável, como checkboxes, campos de texto, botões de alternância, e-mail de confirmação etc.
De maneira geral, as leis de uma região específica se aplicam quando:
Isto efetivamente significa que regulamentações regionais podem se aplicar a você e/ou a sua empresa ainda que você esteja localizado nesta região ou não. Por esta razão, é sempre recomendável que você trate suas atividades de tratamento de dados de acordo com as regulamentações mais rigorosas. Você pode ler mais sobre quais leis se aplicam a você aqui.
Nos Estados Unidos, não existe uma única estrutura nacional para a regulamentação do tratamento de dados nos Estados Unidos. No entanto, existem leis em nível estadual, diretrizes da indústria e leis federais específicas. Uma vez que a atividade online de um website/app raramente é limitada a um único estado, é sempre melhor cumprir os regulamentos mais rígidos. A estrutura regulatória mais robusta para proteção de dados foi implementada pelo Estado da Califórnia. A Lei de Proteção à Privacidade Online da Califórnia (CalOPPA), em vigor desde 2004, foi a primeira lei estadual a introduzir a obrigação de estabelecer uma política de privacidade e se aplica a indivíduos ou empresas cujo website/app trata dados pessoais de cidadãos da Califórnia.
Além das informações geralmente solicitadas, que foram mencionadas acima, o CalOPPA também exige que você:
Em relação ao consentimento, a lei dos EUA geralmente exige que seja fornecida uma opção clara por meio da qual os usuários podem revogar seu consentimento (opt-out). No entanto, regras diferentes se aplicam em casos que envolvem o tratamento de “dados sensíveis” (como informações de saúde, informações de crédito, dados de estudantes, dados pessoais de crianças menores de 13 anos). Nesses casos, uma ação de “aceitação” clara e verificável deve ser fornecida, por exemplo, marcando uma checkbox ou outra ação positiva semelhante para o consentimento.
Se seu serviço coletar, usar ou divulgar intencionalmente informações pessoais de crianças menores de 13 anos, você estará sujeito à aplicação de normas especiais de proteção de menores.
Lei de Proteção à Privacidade Online infantil (COPPA) é uma lei federal dos EUA implementada para melhor proteger os dados pessoais e os direitos de crianças menores de 13 anos.
De acordo com esta lei, se você opera um website ou qualquer outro serviço online voltado para crianças menores de 13 anos, ou se está realmente ciente de que está coletando informações pessoais relacionadas a crianças menores de 13 anos, você deve comunicar isso aos pais e obter seu consentimento verificável antes de coletar, usar ou compartilhar essas informações. Também é necessário garantir a segurança dos dados coletados.
“Verificável” neste contexto implica a necessidade de usar um método para obter consentimento que não seja facilmente falsificável por uma criança, provando que tal consentimento foi fornecido por um adulto (por exemplo, através da verificação de um documento de identidade oficial).
“Dados pessoais”, neste contexto, significam informações relacionadas a crianças, como:
💡Para mais informações sobre isso, leia este artigo ou leia mais sobre a COPPA.
O Regulamento Geral Europeu de Proteção de Dados (GDPR) foi elaborado para centralizar a proteção de dados de usuários europeus e é totalmente aplicável a partir de 25 de maio de 2018. Em poucas palavras, o GDPR esclarece como os dados pessoais devem ser tratados, (incluindo a forma de coleta, uso e proteção ou interação em geral).
O GDPR se aplica quando:
Esse amplo escopo cobre praticamente todas as atividades e, portanto, pode-se concluir que o GDPR se aplica independentemente de sua organização estar localizada na União Europeia ou não.
Importante: As proteções do GDPR também se estendem aos usuários fora da UE se o controlador de dados estiver sediado na UE. Portanto, se você for um processador de dados na UE, deverá aplicar os padrões GDPR a todos os seus usuários.
As condições de aplicabilidade do GDPR são definidas de um ponto de vista material e territorial. Para determinar se uma atividade está isenta de sua aplicabilidade, devemos considerar ambos os aspectos.
O GDPR se aplica ao tratamento de dados pessoais. Por isso, não se aplica aos dados da empresa, como razão social e endereço da empresa. Atenção nos casos de “pessoas físicas” que trabalham em uma empresa: quaisquer dados que se referem a elas são considerados “pessoais”, independentemente de serem tratados em um contexto Business to Customer (B2C) ou Business to Business (B2B).
Adicionalmente, existem vários outros cenários em que os dados pessoais não se enquadram no âmbito do GDPR, por exemplo, quando são tratados por uma pessoa física para uma atividade puramente pessoal ou doméstica. Para saber mais sobre o escopo do GDPR, leia o guia indicado aqui.
Além do exposto acima, nós já mencionamos em quais condições o GDPR é aplicado do ponto de vista territorial. Consequentemente, para uma atividade de tratamento não estar submetida ao GDPR, as seguintes condições devem ser atendidas de forma cumulativa:
Veja exemplos no guia específico aqui.
View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.
Attend our free webinarsDe maneira geral, o GDPR exige que você:
Tenha uma base legal. O GDPR exige que você tenha ao menos uma base legal para tratamento de dados dos usuários. De acordo com o GDPR, existem 6 bases legais.
Você deve obter consentimento verificável. De acordo com o GDPR, o consentimento é uma das bases legais para o tratamento de dados, e deve ser “livre, específico, informado e explícito”. É necessário que seu método de aquisição seja inequívoco e preveja uma ação de “opt-in” clara (a regulamentação proíbe especificamente checkboxes pré-selecionadas e outros mecanismos de “opt-out” similares).
O regulamento também estabelece um direito específico de revogação do consentimento, devendo ser tão fácil revogar quanto dar o consentimento. Uma vez que o consentimento segundo o GDPR é uma questão primordial, é obrigatório que você mantenha o registro dos consentimentos obtidos.
Os registros de consentimento devem incluir ao menos as seguintes informações:
O consentimento não é a única base legal pela qual uma organização pode tratar os dados do usuário, é apenas uma das bases legais de tratamento dentro do escopo do GDPR. Dito isto, cabe esclarecer que, para algumas atividades de tratamento de dados, o consentimento ainda é a melhor solução.
De acordo com o GDPR, os usuários possuem direitos sobre seus dados. Como controlador de dados, você deve atender e informar os Titulares de Dados sobre seus direitos. Esses direitos incluem:
Você deve atender aos requisitos específicos impostos em caso de transferência de dados fora do Espaço Econômico Europeu. O GDPR permite a transferência de dados de cidadãos da UE fora do Espaço Econômico Europeu (EEE) somente quando determinadas condições forem atendidas.
Implementação de privacy by design e privacy by default. De acordo com o GDPR, a proteção de dados deve ser considerada desde a concepção e desenvolvimento dos processos de negócios e de infraestrutura.
Informação sobre violação de segurança. De acordo com o GDPR, você deve notificar a autoridade reguladora dentro de 72 horas após tomar conhecimento da ocorrência de violação de dados pessoais. Em muitos casos, você também deverá notificar os usuários afetados.
Nomeação de um EPD (em determinadas situações). Pode ser necessário nomear um Encarregado de Proteção de Dados (EPD) que será responsável por supervisionar todas as atividades de tratamento e monitorar o cumprimento da legislação aplicável. Alguns casos em que é necessária a nomeação de um EPD são as situações em que ocorre o tratamento sistemático e em grande escala dos dados do usuário e que diz respeito a categorias especiais de dados (por exemplo, dados sensíveis).
Manter registros de atividades de tratamento. Conforme estabelecido pelo Artigo 30, o GDPR exige que você mantenha o registro atualizado “completo e exaustivo” das atividades de tratamento de dados. O registro completo e exaustivo é expressamente exigido nos casos em que suas atividades de tratamento não sejam ocasionais, quando podem resultar ou envolver riscos aos direitos e liberdades de terceiros, quando incluam o tratamento de “categorias especiais de dados” ou quando sua organização tiver mais de 250 funcionários — o que de fato se aplica para quase todos os controladores e processadores de dados. Entretanto, ainda que suas atividades de tratamento não se encaixem nestas situações, sua obrigação de informar os usuários exige que você mantenha um registro básico contendo os dados coletados, a finalidade, todas as partes envolvidas e o período de retenção dos dados — isso é obrigatório para todos. Confira nosso guia GDPR para saber como manter registros em conformidade para controladores e processadores.
Você deve realizar processos AIPD (em determinadas situações). Nos casos em que é provável que a atividade de tratamento de dados envolva um alto risco para os usuários, o GDPR introduz a necessidade de realizar uma avaliação de impacto, ou Relatório de Impacto à Proteção de Dados (AIPD).
💡Você pode ler mais sobre o GDPR aqui.
Uma vez que o uso de cookies envolve tanto o tratamento de dados do usuário quanto a instalação de tecnologias de rastreamento, este se torna um fator considerável no contexto da proteção dos dados pessoais dos usuários. A Diretiva de Privacidade Eletrônica (ou “Lei dos Cookies”) foi criada para resolver este problema.
De acordo com a Lei dos Cookies, as organizações que visam os cidadãos da UE devem informar os usuários sobre suas atividades de coleta de dados e dar-lhes a oportunidade de escolher se consentem ou não. Isto significa que se seu website/app (ou qualquer serviço de terceiros usado pelo seu website/app) utiliza cookies, você deve obter um consentimento válido antes da instalação desses cookies, exceto quando esses cookies se encaixarem na categoria de cookies isentos.
💡Para aprender mais sobre o tema, veja nossa tabela que compara as regras de coleta de consentimento para cookies entre os países da UE.
Na prática, você precisará mostrar um banner na primeira visita do usuário, definir uma política de cookies que contenha todas as informações solicitadas e fornecer aos usuários os meios ou informações para recusar o tratamento (ou revogar seu consentimento). Antes de obter o consentimento informado e explícito, não é possível instalar cookies, com exceção de cookies isentos.
Conforme mencionado acima, o “consentimento” é uma das seis bases legais permitidas pelo GDPR, devendo ser expresso e documentado de maneira muito específica para ser considerado válido.
Uma dúvida que você pode ter é: devo tratar o consentimento para o uso de cookies da mesma forma que o consentimento “normal” para atividades específicas de tratamento de dados, como por exemplo o envio de newsletters?
Se a resposta for “sim”, isso significa que todos os requisitos de validade do consentimento devem ser respeitados, mesmo durante a instalação de cookies. No entanto, neste momento, a maioria dos comentaristas da lei concordam que isso não seria viável e que não faz parte dos planos do legislador da UE. Portanto, os requisitos de consentimento simplificado da diretiva de privacidade eletrônica ainda são considerados aplicáveis para a instalação de cookies, devido ao Artigo 95 do GDPR. Esta é uma questão muito debatida e provavelmente só será resolvida quando o Regulamento de Privacidade Eletrônica, atualmente em discussão, for aprovado.
Este banner deve:
A Política de Cookies deve:
O bloqueio preventivo de cookies permite a você cumprir o princípio geral pelo qual a instalação de cookies só pode ocorrer após obtenção do consentimento, em conformidade com o disposto na legislação de privacidade. Isso implica a necessidade de bloquear os códigos que instalam cookies antes de obter o consentimento do usuário.
Dependendo das autoridades locais, as ações de consentimento podem incluir a navegação continuada, cliques em links ou rolagem de página. Em muitos casos, clicar em “ok”, fechar o banner de cookies ou continuar a navegar pode ser considerado consentimento por meio de um comportamento ativo — desde que os usuários tenham sido previamente e claramente informados da instalação subsequente de cookies.
O consentimento já não é válido na presença de alguns tipos de cookies que não estão sujeitos à obrigação de bloqueio prévio (mesmo que ainda tenha a obrigação de informar os usuários sobre a utilização de cookies – veja a caixa abaixo). Os cookies isentos são os seguintes:
*Esta isenção pode não se aplicar em todos os países, podendo variar dependendo da legislação local específica.
A isenção do requisito de consentimento aplica-se apenas aos cookies técnicos que não realizem rastreio e que sejam estritamente necessários para o funcionamento dos serviços solicitados pelo usuário.
É o caso, por exemplo, de um site de e-commerce que permite que usuários mantenham itens no carrinho durante a visita. Neste caso, os cookies técnicos, necessários ao processo de compra, são solicitados explicitamente pelo usuário quando este adiciona um artigo ao carrinho. No entanto, é importante observar que esses são cookies técnicos de sessão e não cookies de rastreamento.
Outros exemplos de cookies técnicos são os cookies de sessão utilizados para detectar violações dos procedimentos de autenticação, cookies de balanceamento de carga e cookies para sessão ‘Multimedia player’, ou seja, cookies necessários para a prestação dos serviços solicitados pelo usuário.
Isso significa que, nesses casos, não é obrigatório mostrar o banner de cookies?
Primeiramente, é importante ressaltar que mesmo que esta exceção ao consentimento se aplique, você ainda terá de informar o usuário sobre a utilização de cookies através de uma política de cookies. Neste caso específico, o banner de cookies não é estritamente necessário se a política de cookies estiver facilmente acessível a partir de todas as páginas do website.
No futuro, a Diretiva de Privacidade Eletrônica será revogada pelo Regulamento de Privacidade Eletrônica que, como tal, funcionará em conjunto com o GDPR. Em qualquer caso, é muito provável que o regulamento confirme disposições semelhantes às da diretiva, aplicando as mesmas orientações em sua maioria.
💡Você pode ler mais sobre a Lei dos Cookies aqui.
Originalmente instituída em 1992 e parcialmente atualizada em 2019, a FADP regulamenta a privacidade de dados na Suíça. A recente revisão, aprovada em 25 de setembro de 2020 e em vigor desde setembro de 2023, integra disposições mais recentes semelhantes ao GDPR, mas mantém seus princípios suíços específicos.
💡 Saiba mais sobre a Lei Federal de Proteção de Dados da Suíça revisada aqui →
Embora existam diversas nuances entre as duas leis, há algumas diferenças notáveis:
Em suma, as empresas, especialmente aquelas que operam na Suíça ou com a Suíça, precisam se familiarizar com as novas disposições da FADP. Plataformas como a iubenda podem ajudar a garantir a conformidade, inclusive com uma política robusta de privacidade e cookies. Como as normas internacionais de proteção de dados continuam evoluindo, manter-se atualizado e em conformidade é fundamental para as organizações do mundo todo.
🚀 Veja como estar em conformidade com a FADP aqui →
Estes requisitos são geralmente atendidos pelos termos e condições, também conhecidos como termos de serviço (ToS), termos de uso ou contrato de licença de usuário final (EULA).
Além das obrigações de informação e outros requisitos mencionados acima (de acordo com a legislação aplicável a seu caso), se você gerencia um app ou website de comércio eletrônico, você também está sujeito às leis comerciais e outras regras aplicáveis do setor.
Em geral, as partes envolvidas em transações comerciais entre empresas (B2B) estarão sujeitas a todos os contratos e todas as diretrizes aplicáveis em nível nacional e setorial. No entanto, o comércio entre empresas (B2B) geralmente requer o tratamento de dados pessoais (sendo de funcionários ou de outros indivíduos). Nestes casos, se o tratamento estiver dentro de seu escopo, o GDPR será a aplicado.
De acordo com a maioria das leis de proteção ao consumidor, ao realizar uma venda, além do que é normalmente exigido sobre as informações de privacidade, você deve fornecer aos consumidores as seguintes informações:
Nos Estados Unidos, não existe uma lei única sobre devoluções/reembolsos para compras feitas online, pois na maioria dos casos essa lei é implementada por cada estado. No entanto, de acordo com várias leis estaduais, se os consumidores não forem notificados com qualquer informação sobre reembolsos ou devoluções antes da compra, é automaticamente aplicada uma extensão de prazo para que os consumidores possam exercer o direito de devolução/reembolso. Caso o item comprado esteja com defeito, uma garantia implícita pode ser aplicada no lugar de uma garantia por escrito. Quanto às garantias por escrito, estas devem ao menos atender aos padrões da indústria.
Embora os requisitos de informações de comércio eletrônico permaneçam amplamente aplicáveis nos Estados Unidos por cada estado, em muitos casos é uma prática comum incluir tais informações no documento de Termos e Condições; informações sobre devoluções e reembolsos também são frequentemente incluídas em áreas específicas do website/app sendo facilmente acessíveis na página de descrição do produto/serviço.
O Direito do Consumidor da UE aplica-se a contratos ou outras relações jurídicas entre consumidores (por um lado) e profissionais, empresas do outro (B2C). Não se aplica a relacionamentos B2B (ex. um supermercado faz um pedido a seu fornecedor de frutas) ou relacionamentos C2C entre duas pessoas físicas (ex. vender sua bicicleta antiga no eBay).
De acordo com a lei de proteção ao consumidor da UE, os consumidores têm um direito incondicional de arrependimento (“prazo de revogação”) de 14 dias. Isso significa que o consumidor pode cancelar ou revogar contratos firmados à distância (vendas feitas online, por telefone, por correio) por qualquer motivo até no máximo 14 dias a partir do recebimento do produto (no caso de mercadorias).
Vale ressaltar que 14 dias é o prazo mínimo exigido por lei – em alguns países as leis locais podem prever um prazo maior, e fornecedores podem também estender este prazo contratualmente.
O direito de arrependimento não se aplica em todas as situações.
Algumas exceções mais comuns são:
Os consumidores residentes na UE também estão protegidos por uma garantia legal de 2 anos sobre os bens adquiridos sem quaisquer custos adicionais. Novamente, vale ressaltar que a garantia de 2 anos é o mínimo: em alguns países a duração pode ser maior ou estendida contratualmente.
Essas regras geralmente se aplicam a todas as empresas que vendem para cidadãos europeus, mas podem variar para os vendedores internacionais, dependendo do caso específico. Entretanto, vale ressaltar que, em alguns casos recentes, os tribunais dos Estados Unidos optaram por defender como lei aplicável a lei europeia.
Qual a diferença entre a devolução de um produto em caso de arrependimento e a devolução em caso de garantia?
| Direito de arrependimento | Garantia legal |
|---|---|
| Válido por 14 dias a partir do recebimento do produto ou da assinatura do contrato | Válido por 24 meses a partir do recebimento do produto |
| Você não precisa ter nenhum motivo para exercer este direito – você pode apenas mudar de ideia | Você pode devolver um produto sob garantia porque ele está com defeito ou inadequado aos fins para os quais foi vendido e comprado |
| Você pode ter que arcar com os custos de devolução do produto (mas isso deve ser especificado) | Você provavelmente não deve ter que arcar com quaisquer custos (é “responsabilidade do vendedor” se o produto estiver com defeito) |
| Aplica-se com algumas exceções (algumas mencionadas acima) | Sempre se aplica a produtos, nunca se aplica a serviços |
A legislação europeia também exige que os vendedores informem os consumidores sobre a plataforma europeia de resolução de conflitos online (ODR) por meio de um link direto. O ODR (Online Dispute Resolution, em inglês), é uma ferramenta que permite que consumidores localizados na UE possam apresentar facilmente reclamações (relativas a vendas online) contra empresas também estabelecidas na UE. Isso significa que os requisitos de ODR também podem ser aplicados a empresas dos EUA com presença física na União Europeia.
Observação: após o Brexit, empresas e consumidores do Reino Unido não podem mais acessar a plataforma ODR.
Geralmente, sites privados (ou perfis privados em redes sociais, blogs, etc.) com fins puramente pessoais não estão sujeitos às regulamentações adicionais. No entanto, diversos atos normativos nacionais e da UE exigem que operadores de comércio online divulguem certas informações.
Para ser considerado “comercial”, você não precisa “vender” algo – um site pessoal pode ser considerado comercial se, por exemplo, gerar tráfego significativo e obtiver receita com publicidade relevante (ex. “influenciadores”) – no entanto, se você “vende” produtos ou serviços, as obrigações de informar seus usuários aumentam.
Se você vender diretamente aos consumidores (B2C), você deve observar obrigações adicionais que incluem, entre outras, as citadas acima, como conectar-se à plataforma de resolução de disputas online da UE, listar prazos de entrega e fornecer informações sobre preços e impostos aplicáveis, conforme indicado na Diretiva 83/2011 da UE.
O endereço de e-mail é considerado um dado pessoal. Portanto, quando se trata de endereços de e-mail, a lei de privacidade se aplica. Conforme já mencionado, a maioria das legislações exige que os usuários sejam informados detalhadamente sobre seus direitos, as atividades de tratamento de seus dados e suas finalidades.
Geralmente, essas leis se aplicam a qualquer serviço dirigido a residentes de um determinado país: na prática, elas podem se aplicar a seu negócio, independentemente de estar ou não no país de referência. Isso é ainda mais importante se você estiver usando uma lista de e-mail comprada, pois pode não ser possível saber o país de residência dos destinatários neste caso.
Por este motivo, é sempre aconselhável lidar com as atividades de tratamento de dados em conformidade com os regulamentos aplicáveis mais rigorosos.
De acordo com o CAN-SPAM Act, você não precisa obter consentimento antes de adicionar usuários dos EUA à sua lista de e-mails ou enviar mensagens comerciais. Entretanto, é obrigatório fornecer aos usuários um mecanismo claro para retirar o consentimento ao recebimento de comunicações futuras.
Segundo a legislação da UE (em particular o GDPR), é obrigatório obter o consentimento informado do usuário antes de ele assinar o serviço. De acordo com a legislação da UE, a obtenção do consentimento pode ser entendida como um processo em duas etapas que inclui informar o usuário e obter o consentimento verificável através de uma ação positiva.
💡Para mais informações, consulte o Guia sobre marketing por e-mail e envio de newsletters.
A Lei de Proteção de Privacidade Online Infantil (COPPA) é uma lei federal dos EUA implementada para proteger os dados pessoais e os direitos de crianças menores de 13 anos. Segundo a COPPA, os operadores de sites ou serviços online direcionados a usuários menores de 13 anos, ou que estejam coletando intencionalmente dados pessoais de crianças menores de 13 anos, devem notificar os pais e obter seu consentimento verificável antes de coletar, usar ou divulgar tais dados pessoais, comprometendo-se também a proteger as informações relativas a menores.
Um dos requisitos centrais desta lei é ter uma política de privacidade em conformidade com a COPPA. Para obter mais informações, consulte este artigo dedicado à COPPA.
Conforme o GDPR, o consentimento é uma das bases legais para o tratamento de dados de crianças. Se você usar esta base legal para tratar os dados de crianças menores de 13 anos, você deve obter o consentimento verificável de um dos pais ou responsável, a menos que o serviço oferecido seja um serviço de prevenção ou aconselhamento em serviços sociais.
? Para obter mais informações sobre os requisitos legais relativos a menores, leia aqui.
Embora nem sempre seja exigido por lei, um documento de Termos e Condições (também conhecido como T&C, Termos de Serviço (ToS), Contrato de Licença de Usuário Final (EULA) ou Termos de Uso) é normalmente necessário para sua praticidade e segurança. O documento ajuda você a regular sua relação contratual com seus usuários e por isso é fundamental para definir os termos de uso e para proteger você contra eventuais responsabilidades.
O documento de Termos e Condições é um contrato juridicamente vinculativo e, não só é importante ter um, mas também é necessário certificar-se de que ele está em conformidade com os requisitos legais.
Em geral, as condições contratuais padrão devem ser aplicadas, e conforme previsto pela maioria das leis, os contratos devem ser justos. Isso significa que o documento deve estar sempre atualizado no que diz respeito às normas aplicáveis, e deve ser preciso, visível e compreensível para que os usuários possam facilmente consultá-lo e concordar com seu conteúdo.
A ação de consentimento deve ser realizada de forma inequívoca (ex. clicando em uma caixa de seleção com um link visível para o documento antes de criar uma conta ou usar o serviço).
Embora alguns conteúdos possam variar com base nas características específicas de sua empresa, os Termos e Condições devem incluir pelo menos o seguinte:
? Você pode ler mais sobre Termos e Condições aqui e descobrir como criá-los.
Os aplicativos e serviços de terceiros também devem cumprir a lei. Como qualquer organização, eles também estão expostos ao risco de danos à reputação e de sanções em caso de não conformidade com as obrigações legais. Por esse motivo, é possível que os próprios terceiros possam exigir que sites e apps que os utilizam estejam em conformidade com certas normas regulamentares.
Em geral, as organizações que utilizam seus serviços devem ter uma política de privacidade compatível (e uma política de cookies no caso de uso de cookies) que divulgue todos os detalhes relativos ao relacionamento e aos serviços prestados.
Os aplicativos e serviços de terceiros também devem cumprir a lei. Por este motivo, normalmente é obrigatório que todos os parceiros e clientes que usam seus serviços estejam em conformidade com as normas regulamentares.
Um exemplo é o Google. Para usar determinados serviços e ferramentas (como AdSense, Google Analytics, Google Play Store), o Google exige que você tenha uma política de privacidade completa e atualizada em vigor. Segue abaixo um trecho dos Termos de uso do Google Analytics:
Você precisa publicar uma Política de privacidade, e ela deve obrigatoriamente fornecer um aviso sobre cookies que são usados para coletar dados” e “Você não tem permissão para burlar nenhum recurso de privacidade (por exemplo, uma desativação) que faça parte do Serviço.”
Outro exemplo é a Amazon. Veja um trecho do que eles dispõem:
Estendemos a obrigação de divulgar nossa relação de afiliação em todos os casos em que o conteúdo dos Associados esteja sendo usado.“
Ocasionalmente, as exigências de terceiros mudam em resposta a regulamentações nacionais ou internacionais. Por isso, para evitar a interrupção do serviço, muitas vezes as políticas de privacidade devem atender aos requisitos mais recentes.
Aqui estão algumas possíveis consequências ao não cumprimento dos requisitos legais:
O não cumprimento do CalOPPA ou COPPA pode fazer com que autoridades do governo acionem você judicialmente ou busquem danos civis contra sua empresa. Por exemplo, os proprietários do site Imbee foram multados em US$130.000 por permitir que crianças menores de 13 anos se registrassem sem o consentimento dos pais.
Algumas penalidades semelhantes podem ser impostas na forma de outras leis estaduais e federais. O não cumprimento dos requisitos do GDPR pode levar a multas de até 20 milhões de euros ou até 4% do faturamento anual mundial (o que for maior).
Existem sanções adicionais que podem ser aplicadas contra organizações que violam regulamentações. Essas medidas incluem (entre outras) notificações oficiais (para o primeiro caso de violação) e auditorias periódicas de proteção de dados. O GDPR dá aos usuários o direito explícito de apresentar uma reclamação a uma autoridade reguladora se eles acreditarem que o tratamento de seus dados pessoais foi realizado em desacordo com as disposições do regulamento.
Por exemplo, se for feita uma notificação à autoridade sobre um caso de violação da lei, a autoridade pode optar por realizar uma auditoria sobre os processos de tratamento de dados realizados pela organização. Se for verificado que algumas atividades de tratamento foram realizadas ilegalmente, não só será aplicada uma sanção financeira, mas a organização também poderá ser proibida de recorrer aos dados objeto da reclamação. Isso significa que se o uso indevido envolver, por exemplo, a coleta de um endereço de e-mail, a organização arrisca não poder usar toda a lista de e-mails em sua posse.
O não cumprimento com as leis do consumidor ou de proteção à concorrência (por atos de concorrência desleal) também pode levar a sanções financeiras por parte das autoridades competentes (a maioria delas autoridades nacionais).
Um princípio geral do Direito Civil é que qualquer dano injusto causado a outra pessoa deve ser indenizado, especialmente se ocorrer por violação de lei. Tanto o GDPR quanto o CalOPPA garantem aos usuários individuais o direito de buscar indenização por danos resultantes da violação de seus direitos. O mesmo raciocínio se aplica a qualquer outro ato ou lei aplicável, como as disposições da UE com relação à proteção do consumidor.
Lembre-se de que a responsabilidade por danos se aplica a todos os relacionamentos: mesmo um parceiro de negócios pode ter direito a uma indenização se você violar uma disposição legal. Por exemplo, a venda de produtos falsificados por meio da plataforma de um parceiro como a Amazon pode levar a empresa e os compradores a tomarem medidas legais contra você.
Alguns serviços de terceiros (incluindo marketplaces e lojas de aplicativo) podem incluir a conformidade com regulamentos específicos em seus termos de uso; a violação destes termos pode conduzir, nestes casos, à suspensão do serviço ou, potencialmente, a proibições permanentes.
Aqui está um exemplo dos Termos e Condições da Amazon Web Services com relação ao consentimento:
Para quaisquer dados de terceiros fornecidos à AWS, você declara e garante que recebeu todos os consentimentos necessários para (a) compartilhar esses dados de terceiros com a AWS e suas afiliadas, e (b) usar esses dados de terceiros para entrar em contato com seus titulares a fim de comercializar nossos produtos e serviços, e o Programa.“
Por fim, mas talvez o aspecto mais importante: em certas ocasiões, também pode haver consequências criminais. Por exemplo, se você violar ou ignorar intencionalmente as disposições de proteção de dados para fins comerciais (por exemplo, você vende dados pessoais de pessoas sem informá-las), poderá sofrer consequências graves. No entanto, o Direito Penal é, em geral, uma questão nacional: as condições e as consequências devem ser verificadas caso a caso.
Acreditamos na importância de uma abordagem abrangente e compreensiva para o cumprimento da legislação de proteção de dados pessoais. Monitoramos as principais normas internacionais e desenvolvemos soluções que atendem às mais rígidas disposições, oferecendo serviços completos e customizáveis de acordo com suas necessidades.
Desta forma, você pode cumprir as obrigações legais (independentemente de onde seus usuários estejam localizados), e reduzir o risco de litígios, protegendo seus clientes e consolidando seu negócio com confiança e credibilidade.
Monitoramos as principais normas internacionais e desenvolvemos soluções que atendem às regulamentações mais rígidas.
Abaixo está uma lista do que é necessário para se adaptar:
Conforme previsto, os usuários devem ser informados sobre como seus dados pessoais são usados. Por esse motivo, as políticas de privacidade são exigidas por lei em quase todos os lugares do mundo. Este documento legal deve indicar como seu site ou app coleta, trata, armazena, compartilha e protege os dados do usuário, as finalidades do tratamento e os direitos dos usuários a esse respeito.
O nosso Gerador de Políticas de Privacidade é acessível, disponível em vários idiomas, desenvolvido por uma equipe de advogados, personalizável e atualizado automaticamente (sendo controlado remotamente por nossos advogados). Ele permite que você crie facilmente uma política de privacidade impecável, precisa e perfeitamente integrada com seu site ou app. Basta adicionar qualquer uma das diversas cláusulas pré-configuradas disponibilizadas com um simples clique ou incluir facilmente suas próprias cláusulas personalizadas.
Você também tem a opção de incluir uma política de cookies (necessária se seu site ou app usa cookies). As políticas de cookies são adaptadas a suas necessidades e gerenciadas remotamente por nossa equipe jurídica.
? Para mais informações sobre como gerar sua política de privacidade, clique aqui
Dado que o uso de cookies envolve tanto o tratamento de dados do usuário quanto a instalação de tecnologias de rastreamento, este se torna um fator considerável no contexto da proteção dos dados pessoais dos usuários. Por esse motivo, se você opera na União Europeia ou se seu público-alvo são usuários europeus, você deve cumprir a Lei dos Cookies.
Existem 4 aspectos fundamentais que você deve considerar:
O nosso Privacy Controls and Cookie Solution está em conformidade com as disposições da Diretiva de Privacidade Eletrônica (“Lei dos Cookies”). A solução permite que você informe os usuários facilmente e obtenha seus consentimentos, incluindo a capacidade de bloquear qualquer código que instale cookies antes da coleta do consentimento do usuário (conforme exigido em muitos países da UE). É fácil de usar, rápido e não requer investimentos caros.
→ Tenha suas perguntas respondidas em tempo real e aprenda mais sobre o Gerador de Política de Privacidade e de Cookies e sobre o Privacy Controls and Cookie Solution em um de nossos webinars gratuitos em inglês.
? Para mais informações sobre nosso Privacy Controls and Cookie Solution clique aqui.
Apesar de não ser sempre legalmente exigido, os termos e condições são um documento necessário sob uma perspectiva prática. O documento estabelece as regras que vão reger a relação contratual entre você e seus usuários e define a forma como seu produto, serviço e conteúdo pode ser usado, de uma maneira juridicamente vinculante.
Portanto, é vital que este contrato seja preciso e atualizado de acordo com todas as regulamentações aplicáveis. Ele deve também incluir as condições gerais para uso do serviço, com atenção especial às cláusulas de “limitação de responsabilidade”.
Nosso Gerador de Termos e Condições ajuda você a criar e gerenciar facilmente um documento de Termos e Condições profissional, personalizável com mais de 100 cláusulas pré-configuradas, disponível em 14 idiomas, elaborado por uma equipe jurídica internacional e sempre atualizado conforme os principais regulamentos internacionais.
É uma solução poderosa e precisa, capaz de lidar até mesmo com os cenários mais complexos.
A solução inclui:
Nossa solução é otimizada para todo tipo de cenário: desde e-commerce, blogs, app, aos mais complexos como marketplace e SaaS.
Começar é muito fácil. Faça login em seu painel, ative os Termos e Condições (com 1 licença Ultra) em seu dashboard e comece a criar.
💡Para descobrir os recursos do Gerador de Termos e Condições clique aqui ou leia nosso guia aqui.
Para cumprir as leis de privacidade, especialmente o GDPR, as empresas precisam armazenar uma prova de consentimento para que possam demonstrar que o consentimento foi coletado.
Essas evidências devem incluir:
Nossa solução de consentimento simplifica esse processo, permitindo que você registre e gerencie facilmente a prova de consentimento para cada um de seus usuários. A Consent Database ajuda você a rastrear todos os aspectos do consentimento (incluindo documentos ou avisos legais e formulários de consentimento apresentados ao usuário no momento do consentimento), bem como as preferências expressas pelo usuário.
Para usá-lo, basta ativar a Consent Database e obter sua chave API. Em seguida, prossiga com a configuração via API HTTP ou via widget JS. Você pode recuperar imediatamente os consentimentos salvos e mantê-los atualizados.
💡Veja a lista com todos os recursos da Consent Database aqui ou leia o nosso guia.
A adaptação ao GDPR na prática representa um verdadeiro desafio. Isso se aplica principalmente no gerenciamento de conformidade de privacidade interna. Para estar em conformidade, você precisa rastrear e descrever:
Nossa solução ajuda você a registrar e gerenciar facilmente todas as atividades de tratamento de dados em sua organização, a fim de atender a todos os requisitos e cumprir as obrigações legais.
A solução permite que você crie um registro das atividades de tratamento de dados:
Importante: Ainda que suas atividades de tratamento não se enquadrem nas situações mencionadas anteriormente neste guia, suas obrigações de informar os usuários (artigos 13 e 14) exigem que você mantenha um registro básico contendo os dados coletados por você, suas finalidades, todas as partes envolvidas e o prazo de retenção de dados — isso é obrigatório para todos.
Além disso, mesmo que o GDPR seja o principal motivo para incentivar o gerenciamento de privacidade interna nas empresas, nossa ferramenta não é feita apenas para o GDPR. Na verdade, ele pode ser usado para gerenciamento de privacidade interna em geral, mesmo por empresas fora da UE que não trabalham com usuários ou clientes europeus.
→ Tenha suas perguntas respondidas em tempo real e entenda melhor a Consent Database e o Registro das atividades de processamento de dados por meio de um de nossos webinars gratuitos em inglês.
Importante: de tempos em tempos, os requisitos legais mudam ou são atualizados. Portanto, é necessário garantir que seus documentos atendam aos requisitos mais recentes. Por esta razão, nós usamos a integração direta e não copiamos e colamos. Desta forma, você pode garantir que sua política de privacidade está atualizada e sendo gerenciada remotamente por nossa equipe jurídica.
