O WordPress introduziu algumas mudanças significativas em relação ao GDPR. Essas atualizações fazem parte do esforço da empresa para facilitar o cumprimento da legislação por parte de seus usuários. No entanto, o simples uso dessas ferramentas não é suficiente para garantir o cumprimento do GDPR.
A seguir, analisaremos como esses recursos podem ajudar você a cumprir o GDPR, quais suas vantagens e como lidar com as limitações. Vamos lá.
O WordPress agora facilita para os proprietários de sites configurarem uma página de política de privacidade; basta acessar Settings > Privacy no seu dashboard. Agora, você pode selecionar uma página já existente ou criar uma nova para ser designada como a sua página de política de privacidade.
Enquanto este recurso facilita a designação de uma página, ele não fornece um texto completo e aplicável, o que é absolutamente compreensível: para estar em conformidade, o texto da política de privacidade deve referir-se ao caso específico do usuário e incluir informações relevantes aos dados processados. O que o WordPress fornece ao clicar no botão “Criar nova página”, é uma espécie de modelo básico.
Conforme mencionado, a ferramenta não gera nenhuma política de privacidade compatível e utilizável. O texto do modelo, embora seja um ponto de partida para ajudá-lo a pensar sobre o tipo de informação que deve incluir, está longe de estar em conformidade.
No guia de Política de Privacidade, o WordPress informa aos usuários o seguinte:
Edite o conteúdo de sua política de privacidade, certificando-se de excluir os resumos e adicionando qualquer informação sobre o tema e plugins. . . É responsabilidade do usuário escrever uma política de privacidade abrangente e que reflita todos os requisitos legais nacionais e internacionais sobre privacidade, além de sua responsabilidade de manter a política de privacidade sempre atualizada.
Uma análise completa do texto introdutório fornecido exigiria um artigo separado, mas à primeira vista é claro que algumas seções estão incorretas ou incompletas (por exemplo, os direitos do usuário sobre seus dados), se você estiver processando dados pessoais de acordo com o GDPR.
Segundo o GDPR e a maioria das leis de privacidade, é obrigatório que sua política de privacidade esteja acessível em todas as páginas do site, o que o WordPress não faz automaticamente.
Depois selecione os serviços que se aplicam a você:
Customize de acordo com as suas necessidades, salve e pronto. Para obter mais detalhes, consulte o guia Como gerar uma política de privacidade, aqui.
O método mais simples é colocar o link para a sua política de privacidade no rodapé (como um item de menu ou um widget de texto). Você pode ler o guia de integração para WordPress, que contém todas as informações sobre a integração aqui.
Os visitantes agora têm a opção de habilitar ou desabilitar o armazenamento de dados pessoais (nome, e-mail, site) em um cookie em seu navegador.
Você pode ativar esta opção em Settings > Discussion.
A nova função de comentário aborda apenas um tipo de cookie. De acordo com o GDPR e, mais importante, a Lei dos Cookies ainda em vigor (pode-se pensar que ela se aplica em suporte ao GDPR), seus usuários devem ser informados por uma interrupção, como um banner, sobre todos os fins para os quais seu site usa cookies (por exemplo, exceto aqueles isentos), bem como devem ser capazes de (por meio de uma checkbox, botão, alternância e etc) dar, recusar e retirar o consentimento para o uso de cookies.
Independente de usar ou não esse novo recurso de comentário, você precisa ter certeza de que possui uma solução de gerenciamento de cookies que atenda aos requisitos legais, ou não será compatível.
O Privacy Controls and Cookie Solution da iubenda está em conformidade com todas as disposições legais, é customizável e otimizado para a coleta de consentimento, inclui métricas e muito mais. Configurar o Privacy Controls and Cookie Solution é ainda mais fácil através do nosso plugin WordPress. Para obter mais informações sobre como integrar o Privacy Controls and Cookie Solution ao seu site WordPress, consulte o guia de instalação do plugin.
Os novos recursos de processamento de dados permitem que você exporte um arquivo ZIP com dados pessoais coletados pelo WordPress e plugins participantes. Ao mesmo tempo, você pode excluir esses dados permanentemente.
O recurso de exportar envia um arquivo zip com “mini website” com uma página index HTML contendo os dados pessoais do usuário segmentados em grupos; os dois recursos também oferecem um novo método para confirmar solicitações através do e-mail para usuários registrados e comentaristas.
Embora as atualizações de processamento de dados sejam algumas das mais bem-vindas (especialmente pelo tempo que economizam), elas apresentam algumas limitações sérias das quais você deve estar ciente. A primeira é que ele exporta automaticamente apenas os dados coletados pelos plugins participantes. Isso significa que a operação deles depende inteiramente se os plugins que você está usando estão conectados à nova função exportar/excluir. Em outras palavras, esse recurso não funciona com plugins que não foram adaptados para suportá-lo, ou com versões desatualizadas que você pode usar em seu site (neste caso, você pode simplesmente atualizar esses plugins específicos para a versão mais recente).
O verdadeiro problema é que (até o momento) não existe um repositório que lista claramente quais plugins integram essa funcionalidade. Além disso, os desenvolvedores não foram incentivados a implementar esta função, com o resultado de que muito poucos códigos provavelmente foram alterados para inclusão destes recursos.
Por último, mesmo que cada plugin do site WordPress suporte esses recursos, nem todos os dados do usuário processados são necessariamente gerenciados por plugins. Por exemplo, se você estiver usando um serviço de nuvem ou sistema de gerenciamento externo de lista de e-mails, os dados gerenciados por eles não serão inseridos automaticamente no novo sistema de gerenciamento de dados WordPress. Este é um ponto muito importante a ser observado, pois o Direitos de Acesso e Exclusão se aplicam a todos os dados de usuário aplicáveis, não apenas a alguns. Contar com um mecanismo incompleto ou fornecer apenas alguns dos dados significa não estar em conformidade.
Dito isso, esses novos recursos provavelmente serão suficientes se você for o único a lidar com os dados pessoais dos usuários por meio dos recursos integrados à própria plataforma WordPress. Dessa forma, sua conformidade não dependerá se os plugins de terceiros foram ou não integrados com a nova funcionalidade.
Atualmente, a melhor opção para resolver esses problemas envolve principalmente medidas preliminares e esforço manual.
Medidas preliminares
Esforço manual
Com o sistema atual, se você usar serviços de terceiros para processar seus dados pessoais, fora do que é coberto pelas ferramentas de gerenciamento de dados do WordPress, algum esforço manual é necessário para identificar, exportar de bancos de dados relevantes e disponibilizar os dados (ou excluir). Com algumas exceções, você normalmente tem um mês para atender a essas solicitações.
Observação: ao atender à solicitação de login de um usuário, você deve fornecer os dados em um formato comum e de fácil acesso (como uma planilha).
Além disso, no caso de um pedido de cancelamento, é útil informar claramente ao usuário com antecedência que, ao atender a sua solicitação, todos os seus dados serão removidos e que será impossível para ele exercer outros direitos sobre eles ao ser removido de seus sistemas (a menos que você o adicione novamente).
Para obter mais informações sobre esses recursos do WordPress, leia a seção “Privacidade” do guia de plugins aqui.
Essas novas adições ao WordPress indicam a ênfase no reconhecimento da conformidade e a disposição da empresa em auxiliar seus usuários no cumprimento dos requisitos legais. Em última análise, no entanto, a conformidade é uma questão pessoal e é sua responsabilidade e dos controladores de dados avaliar suas atividades e sistemas de processamento e garantir a conformidade.
Procedimentos como manter um registro do processamento e realizar uma avaliação do impacto da proteção de dados (AIPD) podem ser muito úteis para a compreensão desses aspectos.
Com base em nosso trabalho no GDPR nos últimos meses, compilamos uma lista de recursos e artigos para ajudá-lo a cumprir a lei.
