Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Como adaptar um site WordPress ao GDPR

O WordPress introduziu algumas mudanças significativas em relação ao GDPR. Essas atualizações fazem parte do esforço da empresa para facilitar o cumprimento da legislação por parte de seus usuários. No entanto, o simples uso dessas ferramentas não é suficiente para garantir o cumprimento do GDPR.

A seguir, analisaremos como esses recursos podem ajudar você a cumprir o GDPR, quais suas vantagens e como lidar com as limitações. Vamos lá.

Página de Política de Privacidade do WordPress

ferramenta de privacidade wordpress

O WordPress agora facilita para os proprietários de sites configurarem uma página de política de privacidade; basta acessar Settings > Privacy no seu dashboard. Agora, você pode selecionar uma página já existente ou criar uma nova para ser designada como a sua página de política de privacidade.

Enquanto este recurso facilita a designação de uma página, ele não fornece um texto completo e aplicável, o que é absolutamente compreensível: para estar em conformidade, o texto da política de privacidade deve referir-se ao caso específico do usuário e incluir informações relevantes aos dados processados. O que o WordPress fornece ao clicar no botão “Criar nova página”, é uma espécie de modelo básico.

Como isso é benéfico

Limitações e como lidar com elas

Limitação principal

Conforme mencionado, a ferramenta não gera nenhuma política de privacidade compatível e utilizável. O texto do modelo, embora seja um ponto de partida para ajudá-lo a pensar sobre o tipo de informação que deve incluir, está longe de estar em conformidade.

No guia de Política de Privacidade, o WordPress informa aos usuários o seguinte:

Edite o conteúdo de sua política de privacidade, certificando-se de excluir os resumos e adicionando qualquer informação sobre o tema e plugins. . . É responsabilidade do usuário escrever uma política de privacidade abrangente e que reflita todos os requisitos legais nacionais e internacionais sobre privacidade, além de sua responsabilidade de manter a política de privacidade sempre atualizada.

Uma análise completa do texto introdutório fornecido exigiria um artigo separado, mas à primeira vista é claro que algumas seções estão incorretas ou incompletas (por exemplo, os direitos do usuário sobre seus dados), se você estiver processando dados pessoais de acordo com o GDPR.

Segundo o GDPR e a maioria das leis de privacidade, é obrigatório que sua política de privacidade esteja acessível em todas as páginas do site, o que o WordPress não faz automaticamente.

Soluções

  • Desenvolva uma política de privacidade abrangente e fácil de ler e que atenda aos requisitos legais. Você pode contratar um advogado para cuidar disso, ou simplesmente criar aqui uma política de privacidade elaborada por nossa equipe de advogados e totalmente customizável através do nosso gerador de política de privacidade e cookies. Começar é muito fácil. Insira o nome do seu site no nosso gerador de política de privacidade e cookies, selecione o idioma desejado e clique em “Criar agora”.
    Introdução ao gerador

    Depois selecione os serviços que se aplicam a você:

    Serviços

    Customize de acordo com as suas necessidades, salve e pronto. Para obter mais detalhes, consulte o guia Como gerar uma política de privacidade, aqui.

  • Você pode tornar a sua política de privacidade visível e facilmente acessível em todas as páginas do site. Você pode fazer isso de várias formas como visto na imagem abaixo:
    métodos de integração

    O método mais simples é colocar o link para a sua política de privacidade no rodapé (como um item de menu ou um widget de texto). Você pode ler o guia de integração para WordPress, que contém todas as informações sobre a integração aqui.

Comentários

Os visitantes agora têm a opção de habilitar ou desabilitar o armazenamento de dados pessoais (nome, e-mail, site) em um cookie em seu navegador.

caixa de comentário de cookie wordpress

Você pode ativar esta opção em Settings > Discussion.

configurações de comentários de cookie

Como isso é benéfico

  • Para melhorar a experiência do usuário, esse recurso oferece a oportunidade de coletar consentimento granular específico por meio de um cookie.
  • Isso oferece então outra oportunidade de obter consentimento específico, mesmo se o usuário se recusou anteriormente a permitir cookies através do mecanismo de gerenciamento principal (assumindo que o usuário não configurou o sistema de gerenciamento de cookies separadamente para bloquear estes cookies em particular).
  • Isso também ajuda os usuários a entender o propósito da coleta no contexto.

Limitações e como lidar com elas

Limitação principal

A nova função de comentário aborda apenas um tipo de cookie. De acordo com o GDPR e, mais importante, a Lei dos Cookies ainda em vigor (pode-se pensar que ela se aplica em suporte ao GDPR), seus usuários devem ser informados por uma interrupção, como um banner, sobre todos os fins para os quais seu site usa cookies (por exemplo, exceto aqueles isentos), bem como devem ser capazes de (por meio de uma checkbox, botão, alternância e etc) dar, recusar e retirar o consentimento para o uso de cookies.

Solução

Independente de usar ou não esse novo recurso de comentário, você precisa ter certeza de que possui uma solução de gerenciamento de cookies que atenda aos requisitos legais, ou não será compatível.

O Privacy Controls and Cookie Solution da iubenda está em conformidade com todas as disposições legais, é customizável e otimizado para a coleta de consentimento, inclui métricas e muito mais. Configurar o Privacy Controls and Cookie Solution é ainda mais fácil através do nosso plugin WordPress. Para obter mais informações sobre como integrar o Privacy Controls and Cookie Solution ao seu site WordPress, consulte o guia de instalação do plugin.

Processamento de dados

Os novos recursos de processamento de dados permitem que você exporte um arquivo ZIP com dados pessoais coletados pelo WordPress e plugins participantes. Ao mesmo tempo, você pode excluir esses dados permanentemente.

O recurso de exportar envia um arquivo zip com “mini website” com uma página index HTML contendo os dados pessoais do usuário segmentados em grupos; os dois recursos também oferecem um novo método para confirmar solicitações através do e-mail para usuários registrados e comentaristas.

Como isso é benéfico

  • Este recurso simplifica a conformidade com os requisitos do Direito de Acesso (Artigo 15) do GDPR, permitindo que você exporte e forneça dados do usuário em um formato compatível.
  • Esta função simplifica o cumprimento dos requisitos do Direito à Exclusão (Artigo 17) do GDPR.
  • Você pode pedir a confirmação de ações, como solicitações de exclusão de dados por e-mail.

Limitações e como lidar com elas

Limitação principal

Embora as atualizações de processamento de dados sejam algumas das mais bem-vindas (especialmente pelo tempo que economizam), elas apresentam algumas limitações sérias das quais você deve estar ciente. A primeira é que ele exporta automaticamente apenas os dados coletados pelos plugins participantes. Isso significa que a operação deles depende inteiramente se os plugins que você está usando estão conectados à nova função exportar/excluir. Em outras palavras, esse recurso não funciona com plugins que não foram adaptados para suportá-lo, ou com versões desatualizadas que você pode usar em seu site (neste caso, você pode simplesmente atualizar esses plugins específicos para a versão mais recente).

O verdadeiro problema é que (até o momento) não existe um repositório que lista claramente quais plugins integram essa funcionalidade. Além disso, os desenvolvedores não foram incentivados a implementar esta função, com o resultado de que muito poucos códigos provavelmente foram alterados para inclusão destes recursos.

Por último, mesmo que cada plugin do site WordPress suporte esses recursos, nem todos os dados do usuário processados ​​são necessariamente gerenciados por plugins. Por exemplo, se você estiver usando um serviço de nuvem ou sistema de gerenciamento externo de lista de e-mails, os dados gerenciados por eles não serão inseridos automaticamente no novo sistema de gerenciamento de dados WordPress. Este é um ponto muito importante a ser observado, pois o Direitos de Acesso e Exclusão se aplicam a todos os dados de usuário aplicáveis, não apenas a alguns. Contar com um mecanismo incompleto ou fornecer apenas alguns dos dados significa não estar em conformidade.

Dito isso, esses novos recursos provavelmente serão suficientes se você for o único a lidar com os dados pessoais dos usuários por meio dos recursos integrados à própria plataforma WordPress. Dessa forma, sua conformidade não dependerá se os plugins de terceiros foram ou não integrados com a nova funcionalidade.

Soluções:

Atualmente, a melhor opção para resolver esses problemas envolve principalmente medidas preliminares e esforço manual.

Medidas preliminares

  • Escolha parceiros que reconhecem o GDPR: certifique-se de que os controladores de dados com os quais você trabalha sejam compatíveis com o GDPR e tenham os meios para facilitar as solicitações do usuário, como solicitações de acesso ou exclusão. Essas informações devem ser indicadas no Acorcdo de Processamento de Dados (APD) que você fará com eles.
  • Fique atento aos seus processos: avalie seus ciclos e seus sistemas de processamento de dados e tente configurá-los para facilitar o atendimento dessas solicitações. Aqui estão algumas perguntas para se fazer:
    • Como posso exportar facilmente os dados de um determinado usuário de meus bancos de dados? Esse problema é resolvido pela atualização do WordPress, pois está relacionado aos dados armazenados em seus bancos de dados.
    • Como posso acessar facilmente os dados de um determinado usuário e excluí-los completamente (também facilitado graças à nova função de processamento de dados)?
    • Que dados devo fornecer a terceiros para serem processados? Devem ser considerados dados pessoais?
  • Esteja ciente dos dados que você processa – implemente o princípio GDPR de minimização de dados. Aqui estão algumas perguntas para se fazer:
    • Quais dados estou processando?
    • Eles são considerados dados pessoais?
    • Eles são estritamente necessários para a prestação do serviço?

Esforço manual
Com o sistema atual, se você usar serviços de terceiros para processar seus dados pessoais, fora do que é coberto pelas ferramentas de gerenciamento de dados do WordPress, algum esforço manual é necessário para identificar, exportar de bancos de dados relevantes e disponibilizar os dados (ou excluir). Com algumas exceções, você normalmente tem um mês para atender a essas solicitações.

Observação: ao atender à solicitação de login de um usuário, você deve fornecer os dados em um formato comum e de fácil acesso (como uma planilha).

Além disso, no caso de um pedido de cancelamento, é útil informar claramente ao usuário com antecedência que, ao atender a sua solicitação, todos os seus dados serão removidos e que será impossível para ele exercer outros direitos sobre eles ao ser removido de seus sistemas (a menos que você o adicione novamente).

Para obter mais informações sobre esses recursos do WordPress, leia a seção “Privacidade” do guia de plugins aqui.


Essas novas adições ao WordPress indicam a ênfase no reconhecimento da conformidade e a disposição da empresa em auxiliar seus usuários no cumprimento dos requisitos legais. Em última análise, no entanto, a conformidade é uma questão pessoal e é sua responsabilidade e dos controladores de dados avaliar suas atividades e sistemas de processamento e garantir a conformidade.

Procedimentos como manter um registro do processamento e realizar uma avaliação do impacto da proteção de dados (AIPD) podem ser muito úteis para a compreensão desses aspectos.

Com base em nosso trabalho no GDPR nos últimos meses, compilamos uma lista de recursos e artigos para ajudá-lo a cumprir a lei.

Veja também