No artigo passado, falei sobre a importância de manter uma segurança na conexão entre seu site e quem está visitando, para que ninguém roube os dados deles. Chegou a hora de falar sobre a sua responsabilidade com esses dados, que se resume na Política de Privacidade.
No momento de lançamento desse artigo, o Brasil está passando por uma transição no tratamento dos dados. Em agosto de 2018, o Senado passou a Lei Geral de Proteção de Dados, mais conhecida como LGPD. Ela foi baseada na GDPR, que é o Regulamento Geral de Proteção de Dados da União Europeia.
Rápido parênteses sobre a GDPR: a legislação antiga sobre dados da União Europeia era de 1995, quando a internet ainda engatinhava. Em 2012, começaram a revisar a lei e, em 2013, o Edward Snowden dedurou para o mundo todo que os Estados Unidos espionavam geral. Aí os europeus falaram “a gente tem que apertar a lei”, mas só bateram o martelo em 2016, e as empresas tiveram dois anos para se adaptar (é por isso que, em 2018, as caixas de entrada de e-mails ao redor do mundo ficaram cheias de e-mails avisando que as políticas de privacidade tinham mudado e os usuários que continuassem a usar os serviços a partir de certa data estariam automaticamente de acordo).
Semelhanças e diferenças entre GDPR e LGPD
Tanto a GDPR quanto a LGPD têm o objetivo de dar aos usuários o controle dos próprios dados. Ambas definem que as empresas só podem armazenar dados relacionados aos serviços que elas prestam, e não podem vender para terceiros, como muitas já fizeram. Para coletar esses dados, precisam do consentimento do usuário, e ele tem o direito de pedir para a empresa enviar tudo que já coletou, além de poder pedir para deletar tudo.
Ambas também trabalham com a extraterritorialidade (que não tem nada a ver com ETs), ou seja: mesmo se os dados de europeus, no caso da GDPR, ou de brasileiros, no caso da LGPD, fossem armazenados em servidores fora dos países que seguissem essas normas, a empresa que armazena ainda precisa seguir essas regras, e as que não seguirem levam multas astronômicas. No caso brasileiro, a multa é de até 2% do faturamento daquele ano, com limite de R$50 milhões. A mudança que foi mais aparente é que os termos de serviço e as políticas de privacidade precisam ser escritos em linguagem clara.
Cargos responsáveis pela manutenção da privacidade
Agora, vamos focar na LGPD, afinal, estamos criando sites no Brasil. Ela criou quatro figuras: o titular, o controlador, o operador e o encarregado:
- Titular é o visitante do seu site, cujos dados estão sendo coletados.
- Controlador é quem decide tudo sobre como esses dados são coletados e armazenados, e fica responsável por eles.
- Operador é quem de fato trabalha com os dados
- Encarregado é quem cuida da comunicação entre os outros três e a autoridade nacional do assunto.
Quem será que faz todas as três funções em sites pequenos, cuidados por empreendedores? O próprio.
Tipos de dados do visitante para a LGPD
Mas o que, afinal, se pode fazer com dados coletados para incomodar tanta gente? Para entender isso, é preciso entender os tipos de dados que a lei separa:
- Dados pessoais, aqueles com que se consegue identificar a pessoa: nome, RG, CPF, e-mail, endereço, título de eleitor, número do passaporte, profissão ou informações financeiras.
- Dados pessoais sensíveis, os mais sérios. Eles incluem: religião, opinião política, filiação ou associação pessoal (por exemplo, a sindicatos), origem étnica, dados referentes à saúde e à vida sexual, incluindo informações genéticas e biométricas.
- Dados eletrônicos, aqueles que têm a ver com o aparelho ou a conexão: endereço IP (tem um link na descrição com uma explicação do que é isso), localização e cookies (vamos explicar o que são cookies e entrar em detalhes sobre as formas de coletar dados em outro artigo).
Agora que você já sabe de quais dados estão falando, saiba que a lei colocou 18 ações que podem ser feitas com esses dados: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência e difusão ou extração.
Recursos sobre política de privacidade
Eles queriam cobrir todas as bases, mas ainda não está muito claro como a fiscalização vai ficar e como ela conversa com outras leis. Caso você queira ler um pouco sobre o assunto, recomendo:
- esses slides de uma apresentação feita por Lucas de Barros Teixeira, um cientista de dados, para o meetup Nerdzão Day (que aconteceu em agosto de 2019 na Câmara Municipal de São Paulo).
- O site do Serviço Federal de Proteção de Dados, ou Serpro, que tem linguagem bem simples.
Temos um artigo com diretrizes para criar uma Política de Privacidade em um site WordPress. Não se esqueça de compartilhar, seja esse artigo ou o vídeo correspondente que está no canal de YouTube do WordPress sem Código:
E não se esqueça de seguir o WordPress sem Código nas redes sociais!
Pingback: Configurar WordPress: tour pelo painel – WordPress sem Código
Pingback: Como criar uma Política de Privacidade para seu site WordPress – WordPress sem Código