Alguma vez tiveste a sensação de que algo está à tua espera para te morder?
Você tem certeza de que não é seu aniversário?
O recital de piano do seu filho?
Talvez seja a conta da TV a cabo.
Maldição.
Você não pode adivinhar o que é, mas algo fica te agitando como uma bandeira vermelha.
Para os blogueiros, esse verme cerebral pode ser apenas o LGPD ou GDPR.
De certa forma, isso é bom: você saber o suficiente sobre a GDPR / LGPD ara não se preocupar mais.
Mas no caso de você estar na categoria de “bem-aventurado e inconsciente”, vamos dar uma olhada no que é a LGPD.
Por que isso pode absolutamente afetar você e seu blog.
O LGPD está assustando a Europa
É o Regulamento Geral de Proteção de Dados, uma nova lei de privacidade de dados que está sendo introduzida pela União Europeia, e é um pouco uma mudança de paradigma.
Entrou plenamente em vigor em 25 de maio de 2018.
Afeta as pessoas em todo o mundo, e não apenas na Europa. E algumas pessoas com visão de futuro têm estado a trabalhar na sua preparação para o último ano ou dois.
Mas a verdade é que muitas pessoas têm feito um pouco “mi mi mi” sobre tudo isso.
Agora que a contagem regressiva pode ser medida em dias, algumas pessoas estão ficando em pânico.
É como aquele trabalho escolar que você teve um ano para escrever.
E isso se deve, em grande parte, ao fato de que a LGPD parece complexa, e ainda há algumas áreas cinzentas.
Todos nós estamos lutando para interpretar alguns dos detalhes do regulamento.
Mas algumas coisas são claras, por isso, caso o LGPD seja inteiramente novo para você, vamos começar pelo básico.
Os 5 Princípios básicos do LGPD que você deve conhecer
- Aplica-se a qualquer pessoa que use “dados pessoais“. Mais obviamente, são coisas como nomes, endereços de e-mail e outros tipos de “informações pessoalmente identificáveis”;
- Isso cria novas responsabilidades significativas. Se você processar dados pessoais, agora você é responsável pela sua segurança e pela forma como eles são usados;
- Tem um alcance global. Pode ser uma lei da UE, mas pode aplicar-se a qualquer pessoa, independentemente da sua localização;
- Não se aplica apenas às empresas. Os princípios dizem respeito ao que se faz com os dados de outras pessoas, e não a quem se é ou por que se faz;
- Há multas por incumprimento. Até 20 milhões de euros (24 milhões de dólares) ou 4% das receitas globais, consoante o que for mais elevado.
Assim, o âmbito do LGPD é surpreendentemente amplo. Poderia facilmente aplicar-se a si.
Dá aos reguladores de dados poderes para aplicar sanções financeiras sem precedentes.
E, crucialmente, está se tornando extremamente importante. O escândalo Facebook/Cambridge Analytica, por si só, elevou o tema da privacidade de dados para o debate principal.
Portanto, vale a pena gastar um pouco de tempo para tentar entender os princípios fundamentais que o LGPD está tentando alcançar.
Os 5 Princípios Fundamentais do LGPD
Os princípios centrais do LGPD não são novos.
Eles se expandem sobre os regulamentos de proteção de dados existentes na União Européia, e a maioria das pessoas pode geralmente considerá-los como pertencendo à categoria de “uma ideia muito boa, realmente” (do ponto de vista do consumidor, pelo menos).
Então, vamos dividi-los um a um.
Princípio #1: Legalidade, Equidade e Transparência
Você deve processar os dados pessoais de forma lícita, justa e transparente.
A “licitude” tem um significado específico no âmbito do LGPD. Existem seis motivos legítimos e legais para o processamento de dados pessoais. Você deve satisfazer pelo menos um desses seis critérios antes que seu processamento de dados seja “legal”.
A primeira e mais óbvia base legal para o processamento de dados pessoais é o consentimento, ou seja, quando o indivíduo concordou especificamente (geralmente através de uma ou mais caixas verificáveis) que você pode usar seus dados de uma maneira específica. Mais sobre consentimento mais tarde.
A maioria dos outros fundamentos legais será menos relevante para os blogueiros. Eles incluem situações em que é essencial para você processar dados pessoais para cumprir um contrato com o consumidor, ou se você for obrigado por lei a coletar dados específicos (como informações exigidas para registros fiscais).
Mas a sexta e última base legal é relevante:
Pode ser lícito processar dados pessoais sem o consentimento do indivíduo se for do seu interesse legítimo como Controlador.
Isto é objeto de um debate, porque parece constituir uma solução prática para os responsáveis pelo tratamento de dados. (Mais sobre controladores mais tarde, mas assuma por agora que o controlador é você!)
Bem, certamente não é isso, mas é um reconhecimento de que a privacidade dos dados não é absoluta.
Deve haver um equilíbrio entre o direito do indivíduo à privacidade de dados e o interesse legítimo do controlador em administrar seu blog, negócio ou qualquer outra coisa.
Exemplos podem incluir:
- Armazenamento de endereços IP nos logs do servidor para detecção e prevenção de fraudes.
- Uso de cookies não invasivos de privacidade (como o Google Analytics).
- Armazenamento de dados pessoais em backups para permitir que um blog seja restaurado após um problema técnico.
Estes cenários mostram que, em algumas situações (como a prevenção da fraude), os consumidores não devem ser autorizados a impedir o processamento. Em outras, seria simplesmente impraticável tentar obter o consentimento prévio.
Normalmente aplica-se quando o seu processamento de dados envolve um risco ou impacto mínimo para a privacidade do indivíduo, e é de um tipo que o indivíduo pode razoavelmente esperar que você realize.
Dito isso, podemos ter certeza de que “interesse legítimo” não é:
- Carta branca para fazer o que você quiser sem o conhecimento dos consumidores.
- Uma justificativa para a coleta de dados que você conhece muito bem que seus consumidores não consentiriam.
- Esses cenários não seriam legais, justos ou transparentes.
Qualquer pessoa que pretenda confiar na base legal do “interesse legítimo” terá de se familiarizar com os pormenores do regulamento, uma vez que existem requisitos específicos, como a necessidade de realizar uma Avaliação de Interesses Legítimos.
A “equidade” não é especificamente definida no regulamento, mas em qualquer definição sobrepõe-se significativamente à legalidade e à transparência.
Todas as orientações do regulamento sugerem que o processamento justo implica garantir que não tem quaisquer efeitos adversos injustificados sobre o indivíduo e que os dados são utilizados de formas que o indivíduo pode razoavelmente esperar, dada a sua relação com eles.
Em suma, se você está sendo aberto e transparente sobre como você processa os dados, então você quase inevitavelmente os estará processando de forma “justa”.
Exemplos de processamento injusto podem incluir:
- Enganar os consumidores sobre a sua verdadeira identidade.
- Tentar esconder a verdadeira finalidade do seu processamento de dados por trás de letras pequenas ou linguagem jurídica desnecessariamente formal.
- Tentar enganar os consumidores de alguma forma para que eles forneçam seus dados.
- A “transparência” é um tema fundamental e recorrente em toda a regulamentação. Espera-se que você seja conspirativamente aberto e honesto sobre quais dados você coleta e o que se propõe a fazer com eles.
Falaremos mais sobre transparência mais tarde.
Princípio #2: Os dados só são usados para fins específicos e legítimos
Você só deve usar os dados pessoais para os fins específicos que você declarou.
Estreitamente relacionado com o conceito de transparência, este princípio exige que não se possam recolher dados para uma finalidade e, em seguida, utilizá-los de uma forma diferente.
Vejamos o exemplo de uma oferta “Inscreva-se para receber este e-book gratuito”.
À primeira vista, o indivíduo está fornecendo seu endereço de e-mail para que você possa enviar o e-book. É isso mesmo.
Você não pode então adicionar seu e-mail à sua lista de discussão e enviar-lhes outro material promocional, a menos que você tenha deixado claro no momento da inscrição que é isso que você pretende fazer.
Princípio #3: Limitado ao que é necessário para alcançar os propósitos estipulados
Você deve coletar apenas a quantidade mínima de dados pessoais necessários para atingir seu objetivo declarado.
Este é o conceito de minimização de dados.
Se você coletar dados pessoais para permitir que você envie notificações de blogs por e-mail, então a informação mínima que você precisa é um endereço de e-mail. O “Nome” também é provavelmente bom (para fins de personalização de seus e-mails), mas a coleta de qualquer outra coisa pode ser considerada excessiva.
Portanto, se, no mesmo cenário, você também coletar número de telefone celular, sexo e idade, então você precisa ser muito claro por que essa informação é necessária para permitir que você envie notificações de blogs.
Princípio #4: Preciso e Atualizado
Você deve tomar todas as medidas razoáveis para garantir que quaisquer dados que você coletar sejam precisos e mantidos atualizados.
Os riscos para a privacidade dos dados pessoais são claramente aumentados quando esses dados contêm imprecisões. Endereços de e-mail incorretos são um excelente exemplo de como outros dados pessoais podem ser inadvertidamente divulgados ou vazados.
Você é, portanto, obrigado a abordar as imprecisões de dados sem demora – dados incorretos devem ser retificados ou excluídos.
Na prática, se alguém entrar em contato com você para atualizar seu endereço de e-mail, você deve agir sem demora.
Mas ser proativo também é importante, por exemplo, se você estiver recebendo devoluções regulares de endereços em sua lista de endereços, então isso deve estar lhe dizendo algo. Verificar periodicamente a sua lista e remover endereços devolvidos é altamente recomendado.
Princípio #5: Tempo Limitado
Os dados pessoais só devem ser conservados durante o tempo necessário para atingir o objetivo declarado.
É fundamental para o conceito de justiça que os dados não sejam retidos por mais tempo do que o necessário para atingir a finalidade para a qual você os coletou.
A retenção de dados também tem implicações para a precisão. Se você ainda estiver armazenando dados de endereços de clientes que você coletou há cinco anos, há chances de que uma proporção significativa desses dados obsoletos esteja agora imprecisa.
Princípio #6: Os dados devem ser processados com segurança
O usuário deve processar os dados pessoais de forma a garantir a segurança adequada.
A segurança dos dados em seu poder é claramente fundamental para todo o objetivo do LGPD. O usuário é responsável por garantir que existam medidas técnicas e organizacionais apropriadas para proteger contra acesso, perda, alteração e divulgação não autorizados.
Espera-se que você tome medidas que sejam proporcionais à sensibilidade dos dados que você coleta, e o risco para os indivíduos em questão era a perda ou divulgação dos dados.
As precauções básicas incluem:
- Não armazenar os dados dos consumidores em um dispositivo portátil como um smartphone (especialmente se você for do tipo que os deixa regularmente em um táxi em uma sexta-feira à noite).
- Nunca compartilhe detalhes de login do sistema com outras pessoas.
- Proteja com senha quaisquer arquivos de escritório que contenham dados pessoais.
- Usar conexões criptografadas (https) para seu blog (embora isso não seja especificamente exigido pelo LGPD, é uma boa idéia).
- Isso obviamente não é uma lista exaustiva, mas você tem o ponto.
Todos os requisitos específicos contidos no LGPD são baseados nestes seis princípios.
Ao manter estes princípios em mente, você nunca deve se desviar muito longe do que o LGPD espera de você, mesmo que você não seja um especialista nos detalhes do regulamento.
O problema é que há uma certa quantidade de informação errada sobre o LGPD por ai.
Aviso: Cuidado com esses três mitos perigosos sobre o LGPD
O LGPD é novo, e há uma enorme especulação sobre como será aplicado na prática.
Portanto, vamos lidar com alguns dos mitos emergentes.
Mito #1: Não estou baseado na UE, por isso não me afeta
Não te deixes enganar. Essa não é a questão.
O regulamento protege os consumidores na UE, independentemente do local do mundo onde se encontra a pessoa que recolhe os seus dados.
Qualquer pessoa que crie um blogue e o disponibilize aos consumidores em qualquer um dos Estados-Membros da UE é potencialmente afetada.
Existem regras subtilmente diferentes para os controladores fora da UE, mas, independentemente de operarem a partir de Londres, Milão ou Nova Iorque, o LGPD tem de estar no seu radar.
No mínimo, terá de tomar uma posição informada sobre o assunto, o que significa ter um plano.
Mito # 2: Eu sou um blogueiro, não uma empresa, por isso não se aplica.
Embora existam algumas disposições destinadas especificamente às organizações, a responsabilidade principal aplica-se a qualquer pessoa considerada um “Controlador de Dados”.
Um Controlador de Dados é a pessoa responsável por “determinar o objetivo” do processamento.
E ele pode ser qualquer um, um indivíduo ou um negócio.
Resumindo, se você é a pessoa que decide coletar os dados, ou decide quais dados são coletados e por quê, então você é um Controlador de Dados, independentemente de você estar operando como um negócio no sentido normal da palavra.
Bloggers, Microempresas, Sem fins lucrativos, Caridades, etc.
Todos potencialmente cobertos. Eu vou entrar em porque eu digo “potencialmente” mais tarde.
Mito #3: Há uma isenção para qualquer pessoa com menos de 250 funcionários
Já vi este assunto muitas vezes, baseia-se numa interpretação muito preguiçosa das regras.
Se você processar dados pessoais e tiver menos de 250 funcionários, você pode ter uma isenção de um requisito de relatório administrativo muito específico.
Não se trata, de forma alguma, de uma isenção geral.
O LGPD pode ser aplicado mesmo se você não tiver nenhum funcionário.
Quatro atividades comuns de blogs que se prevenir do LGPD
Como blogueiro, você pode sentir que não tem o hábito de coletar dados pessoais das pessoas.
A partir daí, é uma caminhada muito curta para se convencer de que o LGPD não é sua preocupação.
Mas pense melhor, há uma série de atividades de blogs muito comuns que podem colocá-lo na linha de frente com o LGPD.
1. Coletando endereços de e-mail
Sem dúvida, este é o cenário mais claro em que o LGPD pode ser aplicado aos blogueiros.
Claro que ovos são ovos, nomes e endereços de e-mail são dados pessoais.
Se você convidar pessoas para lhe dar essas informações, como por exemplo, em uma lista de discussão ou através de um formulário de contato online, então você tem a responsabilidade por esses dados.
Como veremos mais adiante, isto não garante por si só que a força total do LGPD será aplicada, mas significa que você está potencialmente afetado.
2. Usando WordPress (ou Outro Sistema de Gerenciamento de Conteúdo)
Não me interprete mal, sou um grande fã do WordPress.
Pode ser uma faca de dois gumes, você saberia dizer se o WordPress estivesse coletando/processando dados pessoais em segundo plano?
Possivelmente não.
Bem, ele pode, e ele faz:
- Com os comentários de blogs ativados, o WordPress irá, por padrão, exigir que todos os comentaristas enviem seus nomes e endereços de e-mail antes que eles possam comentar. Isto são dados pessoais.
- O WordPress irá definir cookies da web para qualquer pessoa que faça login no seu site ou envie um comentário. O LGPD declara especificamente que os cookies são potencialmente dados pessoais.
- Todos os plugins que você instala em seu site do WordPress oferecem funcionalidade adicional (é por isso que você os usa) e cada um desses plugins tem o potencial de coletar dados pessoais.
3. Usando qualquer tipo de Web Tracking
Use o pixel do Facebook para rastrear visualizações e conversões de páginas?
Acompanha quem abre seus e-mails de campanha do MailChimp ou LeadLovers?
Usa o Google Analytics para entender o tráfego da web?
Cada um deles, de uma forma ou de outra, envolve a definição de perfis de comportamento de indivíduos identificáveis, e está potencialmente dentro do âmbito do LGPD.
4. Usando um host web que registra os endereços IP dos visitantes
É extremamente comum que o seu servidor web registre, em seus logs de servidor, os endereços IP de qualquer pessoa que visite o seu blog.
Agora não há nada a ver com isso, porque ele pode realmente ajudar a proteger contra ataques maliciosos e acesso não autorizado.
Mas os endereços IP são dados pessoais no que diz respeito ao LGPD.
Assim, embora você possa não se considerar ativamente coletando dados pessoais, há uma grande chance de que, na realidade, você esteja.
3 Abordagens Totalmente Legítimas para Combater o LGPD (Incluindo Uma Que É Super Fácil)
Vamos assumir que o LGPD se aplica a você e ao seu blog.
E agora?
Surpreende-me que as pessoas vão adotar uma das três abordagens que vão além de simplesmente fingir que não está acontecendo.
Abordagem #1: Não fazer nada (senta e espera)
Deixe-me ser claro aqui: “Não fazer nada” não é o mesmo que “ignorar”.
Ignorá-lo seria mau. Precisa estar no seu radar.
Mas, dependendo de sua abordagem ao risco, você pode muito bem escolher o método “esperar para ver”.
Pode acontecer, que você não chame à atenção dos reguladores de dados, a menos que você realmente faça uma violação de dados ou alguém opte por fazer uma reclamação contra você.
Com isto, alguns dos riscos podem ser mitigados, o que me leva à segunda abordagem.
Abordagem #2: Mostrar boa vontade implementando alguns recursos
Embora o cumprimento integral do LGPD venha a ser complexo para alguns, é provável que haja alguns frutos.
Isso não só o colocará no caminho para a conformidade total, como também demonstrará um compromisso com a privacidade de dados, e você pode se surpreender com o quanto já está fazendo.
Se você não fizer nada mais do que revisitar seus processos de consentimento e publicar uma política de privacidade em seu blog, você ainda estará dando um passo significativo rumo à conformidade.
Abordagem # 3: Entrar em conformidade completa LGPD
Ele minimiza o risco e para aqueles que sabem o que procurar demonstra a sua credibilidade e profissionalismo.
Para blogs simples e pequenas empresas online, a conformidade total pode ser perfeitamente alcançável, porque a simplicidade é seu amigo.
Vai exigir tempo e esforço para entender todos os requisitos do LGPD. Pode envolver custos para alinhar processos e tecnologia.
7 passos simples para o cumprimento do LGPD
O próprio regulamento LGPD é um documento horrivelmente impenetrável.
Tem mais de 250 páginas, com 99 disposições principais (“artigos”) e 173 “considerandos” suplementares.
E perguntam porque é que as pessoas não o lêem.
A menos que você seja um advogado, você provavelmente sairá dela sentindo-se um pouco sobrecarregado.
Mas se você conseguir dominar os conceitos e os seis princípios fundamentais, verá que há uma série de coisas discretas e tangíveis que você pode fazer para cumprir.
E algumas delas são bastante indolores.
1. Fazer um Inventário de Dados Pessoais
Passe 30 minutos apenas fazendo brainstorming e documentando os tipos de dados pessoais que você coleta.
Em seguida, você começará a entender onde estão as suas responsabilidades reais.
Certifica-te de que consideras:
- As informações que você realmente pede às pessoas, em particular nomes e e-mails através de formulários de contato e assinaturas de blogs.
- As informações que podem ser coletadas por seus sistemas, se você usar o Google Analytics ou o remarketing do Facebook, você terá algumas dúvidas sobre o fato de que esses aplicativos usam cookies. Se você usar o WordPress ou outro CMS, vale a pena investigar se você está configurando cookies que não conhece.
Somente quando você tiver identificado como coletar dados é que poderá começar a abordar a necessidade de tomar outras medidas.
2. Publique uma Política de privacidade em conformidade com LGPD
Publicar uma política de privacidade é a coisa mais tangível que você pode fazer para demonstrar seu compromisso com a privacidade de dados.
É a sua oportunidade de o fazer:
- Descreva os tipos de dados que você coleta e, especificamente, como pretende usá-los, incluindo com quem esses dados podem ser compartilhados.
- Detalha que tipos de cookies são usados em seu blog.
- Descreva as medidas que você toma para garantir que os dados sejam seguros.
- Destaque exatamente o que as pessoas estão consentindo, como elas fornecem consentimento e, mais importante, como elas podem retirar seu consentimento no futuro.
- Explique os direitos que as pessoas têm sobre os seus dados (o LGPD dá às pessoas uma série de novos direitos, incluindo os direitos de acesso e os dados e o “direito a ser esquecido”).
- Se você já tem uma política de privacidade, você já pode ter muito disso coberto. Mas é improvável que a sua política esteja em conformidade com o LGPD sem alguma forma de alteração. Se nada mais, você precisará adicionar a gama de direitos de acesso a dados que os consumidores têm.
Apenas publicar sua política de privacidade não é suficiente.
Você precisa se ater a ela.
E certifique-se de que qualquer outra pessoa que trabalhe em seu nome também se apegue a ela.
A sua proteção LGPD é tão forte quanto o seu elo mais fraco.
Sinta-se livre para verificar a minha própria política de privacidade como um guia para o que deve ser incluído. Você encontrará outros grandes exemplos na web, mas estou confiante de que o meu está correto.
3. Seja claro quanto ao Consentimento
Muitas pessoas que falam sobre o LGPD parecem pensar que o consentimento é a bala de prata para todos os problemas do RGPD.
Não é.
O consentimento é apenas um dos seis motivos legais para a recolha de dados pessoais ao abrigo do LGPD, e nem sempre será o mais apropriado para confiar.
Dito isto, é importante.
Nos casos em que os consumidores fornecem voluntariamente informações pessoais (por exemplo, formulários de contato em linha e inscrições em blogues), é necessário solicitar o seu consentimento específico, caso não exista outro fundamento jurídico para o tratamento desses dados.
Isso implicará normalmente a existência de uma ou mais caixas de “consentimento” verificáveis em todos os formulários de inscrição.
Aspectos importantes a considerar:
- As pessoas devem ser capazes de dizer o que estão consentindo, declarações vagas e generalizadas sobre o que você pretende fazer com os dados não irão cortá-los. (Os dias de “nós coletamos dados para melhorar sua experiência” se foram!).
- Sua política de privacidade é o lugar para esta informação, e seus leitores devem ter a oportunidade de ler a política antes que eles sejam solicitados a consentir.
- O consentimento deve ser dado como uma “ação afirmativa”, por isso não é aceitável usar uma caixa de consentimento pré-selecionada. Qualquer caixa de seleção de consentimento deve ser desmarcada por padrão (Alguns provedores de e-mail como MailChimp facilitam isso com recursos internos de LGPD).
- Você só deve usar as informações obtidas através do consentimento pelas razões que você deu quando o consentimento foi dado.
- Você deve sempre tirar vantagem das opções de “double opt-in” que são encontradas em ferramentas de gerenciamento de campanhas como MailChimp. O double opt-in requer que o indivíduo confirme seu pedido inicial antes que seus dados sejam adicionados à sua lista de discussão. Ele também normalmente lhe dará um meio de demonstrar quando o consentimento foi dado.
4. Pare de coletar dados que você não precisa
A minimização dos dados é o caminho a seguir.
Você realmente precisa do número de celular de alguém para enviar atualizações de blogs?
Provavelmente não.
Quanto mais dados você coleta, mais dados você é responsável por eles.
Se você não consegue justificar por que está pedindo um determinado dado, não peça por ele.
E se você já tem dados que não precisa (ou não pode justificar), agora é a hora de descartá-los. (Seguramente, é claro!)
5. Certifique-se de que seu blog é super seguro
Um dos principais objectivos do LGPD é manter a segurança dos dados pessoais.
Você pode influenciar isso diretamente, certificando-se de que está tomando precauções de segurança básicas e de bom senso, como por exemplo:
- Nunca compartilhe as credenciais de login do seu blog com ninguém.
- Sempre usando senhas fortes.
- Remover a conta de usuário “admin” padrão nos blogs WordPress.
- Usar um plugin de segurança respeitável para evitar acesso não autorizado.
- Proteger fisicamente os dados armazenados em armazenamento removível, tais como pen drives USB e discos rígidos externos.
- Todas estas coisas formam a base da seção “como protegemos seus dados” de uma política de privacidade.
6. Usar um servidor de hospedagem com boa reputação
É mais provável que você esteja usando alguma forma de hospedagem web de terceiros para o seu blog, ou hospedagem compartilhada ou talvez VPS.
Ao fornecer os servidores em que o seu blog funciona, essa empresa de hospedagem de terceiros torna-se um “Processador de Dados” em termos de LGPD, porque eles estão processando dados em seu nome.
Você está efetivamente subcontratando as atividades de hospedagem técnica para eles.
Como resultado, eles têm acesso a todos os dados pessoais que estão armazenados no seu blog, e são, portanto, perfeitamente capazes de ser o elo fraco da cadeia.
Um web host respeitável terá muito prazer em falar com você sobre os processos de segurança que eles têm em vigor, suas acreditações de segurança, e assim por diante.
Os melhores já têm condições compatíveis com LGPD dentro de seus termos de serviço padrão, ou oferecerão a você um acordo de processamento de dados personalizado mediante solicitação.
Isto é importante, porque o LGPD espera que você tenha um acordo escrito com qualquer pessoa que aja como Processador de Dados em seu nome, especialmente se isso envolver um processamento que ocorra fora da UE.
Por isso, escolha o seu host de forma sensata.
E esteja preparado para encontrar um fornecedor diferente se não obtiver as respostas de que necessita.
7. Verifique a configuração do Google Analytics
Ok, isso é um pouco específico, mas pode ser a diferença entre conformidade e não conformidade para alguns blogs simples.
O Google Analytics usa cookies para rastrear quando as pessoas visitam seu blog. Eles permitem que a GA distinga um visitante de outro.
Mas, quando configurados corretamente, os cookies da GA provavelmente serão vistos como “não invasivos de privacidade”, o que significa que você não precisa obter consentimento específico prévio para usá-los (o que, acredite, seria um campo minado técnico).
Para que essa exclusão se aplique, no entanto, você precisa ter cuidado:
- É importante que você não tenha implementado a funcionalidade (opcional) User ID dentro do GA. User ID permite que você identifique um determinado indivíduo, mesmo que eles vejam seu blog de diferentes dispositivos. Você deve saber se você está usando essa funcionalidade, porque ele não está habilitado por padrão, e você teria que implementá-lo manualmente.
- Você deve aproveitar a função “anonimizar o IP” que o GA fornece, que tem o efeito de ocultar parte dos endereços IP dos visitantes quando os dados são armazenados no Google. Note que isto está desligado por padrão, mas pode ser ativado adicionando um parâmetro simples ao seu código de rastreamento GA (o código exato depende de qual versão do código do Google Analytics você está usando – analytics.js ou gtag.js). Se você estiver usando um plugin para análise, você pode encontrar essa opção nas configurações do plugin.
- Você deve certificar-se de nunca (intencionalmente ou inadvertidamente) incluir dados pessoais nos URLs das páginas que são enviados ao GA. Isso não só é ruim para a GDPR, como também é uma violação dos Termos de serviço do Google.