Um guia prático de checklist de conformidade com o GDPR

Este guia explica checklist de conformidade com o GDPR na prática, com foco em decisões de analytics que respeitam a privacidade.

Uma lista de verificação GDPR não substitui o aconselhamento jurídico, mas é uma maneira prática de encontrar lacunas antes que clientes, reguladores ou incidentes o façam. O GDPR é construído em torno da responsabilização: as organizações devem ser capazes de mostrar o que processam, por quê, sob qual base jurídica, com que salvaguardas e por quanto tempo.

Use esta lista de verificação como uma revisão operacional para sites, produtos SaaS, sistemas de marketing e ferramentas internas.

1. Mapeie seus dados

Crie um registro dos dados pessoais que você processa. Incluir:

• Formulários de contato.
• Ferramentas analíticas.
• Registros de CRM.
• Listas de e-mail marketing.
• Conversas de suporte.
• Dados de cobrança.
• Eventos de uso do produto.
• Registros do servidor.
• Sistemas de autenticação.
• Scripts e pixels de terceiros.

Para cada atividade de processamento, registre as categorias de dados, finalidade, base legal, retenção, destinatários, local de armazenamento e proprietário responsável. O Artigo 30 do GDPR exige registros de atividades de processamento para muitas organizações e, mesmo quando um registro formal do Artigo 30 não é exigido, o exercício é essencial.

2. Identifique uma base jurídica

Cada atividade de processamento precisa de uma das seis bases jurídicas do Artigo 6 do GDPR: consentimento, contrato, obrigação legal, interesses vitais, tarefa pública ou interesses legítimos. Consulte o texto do Artigo 6 do GDPR.

Não use o consentimento como padrão. O consentimento deve ser dado livremente e retirável. O contrato aplica-se apenas quando o processamento é necessário para o contrato. Os interesses legítimos exigem um teste de equilíbrio e não podem sobrepor-se aos direitos das pessoas.

Para análises de sites públicos, muitas equipes dependem do consentimento para ferramentas baseadas em cookies ou optam por análises sem cookies que minimizam os dados pessoais e evitam o armazenamento no dispositivo.

3. Revise as regras de cookies e rastreamento

O GDPR é apenas parte da imagem. Na Europa, as regras ePrivacy regem o armazenamento ou acesso a informações no dispositivo de um usuário. Cookies analíticos, pixels de publicidade, identificadores de armazenamento local e alguns links de rastreamento podem exigir consentimento.

Audite seu site em um perfil de navegador limpo:

• Quais scripts são carregados antes do consentimento?
• Quais cookies são definidos antes do consentimento?
• Rejeitar todo rastreamento não essencial funciona?
• Os eventos analíticos ainda são enviados após a recusa?
• Os valores dos formulários ou dados pessoais são enviados aos fornecedores de análise?

Se você puder atender às necessidades de negócios com análises agregadas sem cookies, poderá remover uma importante fonte de complexidade de consentimento.

4. Torne os avisos de privacidade precisos

Os artigos 13 e 14 do GDPR exigem informações transparentes sobre o processamento. Seu aviso de privacidade deve explicar:

• Quem é o controlador.
• Quais dados são coletados.
• Por que é coletado.
• Bases jurídicas.
• Destinatários e fornecedores.
• Transferências internacionais.
• Períodos de retenção.
• Direitos e como exercê-los.
• Direitos de reclamação.
• Detalhes de contato para solicitações de privacidade.

O aviso deve corresponder à realidade. Se o seu site carregar Google Analytics, Meta Pixel, uma ferramenta de mapa de calor, um widget de bate-papo e um manipulador de formulário CRM, a política precisará refletir isso. Melhor ainda, remova as ferramentas desnecessárias.

5. Prepare-se para os direitos do titular dos dados

As pessoas podem solicitar acesso, correção, exclusão, restrição, portabilidade, objeção ou retirada de consentimento. Crie um fluxo de trabalho antes da chegada da primeira solicitação.

Lista de verificação:

• E-mail ou formulário de entrada.
• Regras de verificação de identidade.
• Etapas de pesquisa do sistema.
• Etapas de solicitação do fornecedor.
• Modelos de resposta.
• Acompanhamento de prazos.
• Registro do resultado.

Os dados analíticos costumam ser difíceis de conectar a uma pessoa se forem bem projetados. Isso é um benefício. Se a sua ferramenta de análise não conseguir identificar os visitantes, muitas solicitações de direitos se tornarão mais fáceis porque não há perfil de análise em nível de pessoa para recuperar.

6. Proteja os dados

O artigo 32 do GDPR exige medidas técnicas e organizacionais adequadas. Para a maioria das equipes, isso significa:

• Autenticação multifator.
• Acesso com privilégios mínimos.
• Criptografia em trânsito e em repouso, quando apropriado.
• Registros e trilhas de auditoria.
• Controles de acesso do fornecedor.
• Proteção de backup.
• Planos de resposta a incidentes.
• Treinamento de pessoal.

Não se esqueça das exportações. Arquivos CSV, capturas de tela do painel e extrações BI geralmente se tornam o ponto de privacidade mais fraco.

7. Revise fornecedores e contratos

Para cada fornecedor que processa dados pessoais, identifique se é um processador, controlador ou controlador conjunto. Os processadores precisam dos termos de processamento de dados do Artigo 28. Verifique subprocessadores, mecanismos de transferência, termos de exclusão, medidas de segurança e direitos de auditoria.

Os fornecedores de análise merecem atenção especial porque ficam em páginas públicas e podem receber endereços IP, agentes de usuário, URLs, dados de campanha e detalhes de eventos de cada visitante.

8. Verifique transferências internacionais

As transferências fora do EEE precisam de um mecanismo legal, como uma decisão de adequação, cláusulas contratuais padrão, regras corporativas vinculativas ou outra rota do Capítulo V do GDPR. A Data Privacy Framework UE-EUA alterou as opções de transferência para organizações dos EUA participantes, mas não elimina a necessidade de entender a participação do fornecedor, o escopo, as transferências posteriores e a configuração do produto.

9. Minimizar e excluir

Defina a retenção por propósito. A análise de sites pode não precisar de anos de dados brutos de eventos. Os logs do servidor podem levar apenas semanas ou meses, a menos que sejam necessários para segurança. Listas de leads antigas devem ser limpas. As contas inativas devem ser revisadas.

A minimização de dados é um dos princípios do Artigo 5 do GDPR. É também a maneira mais fácil de reduzir o impacto da violação.

10. Documentar decisões

Guarde evidências:

• Mapas de dados.
• Avaliações de interesse legítimo.
• Registros de consentimento.
• Avaliações de fornecedores.
• DPIAs quando necessário.
• Controles de segurança.
• Cronogramas de retenção.
• Versões do aviso de privacidade.

Os programas de privacidade mais maduros não são aqueles com mais burocracia. São aqueles onde a coleta de dados é intencional e fácil de explicar.

Quando executar esta lista de verificação

Execute a lista de verificação antes de lançar um novo site, adicionar uma ferramenta de rastreamento, alterar CRM ou plataformas de e-mail, entrar em um novo mercado UE ou conectar análises à publicidade. Execute-o também após incidentes: uma planilha vazada, um banner de consentimento quebrado, uma integração surpresa com um fornecedor ou uma reclamação de um cliente geralmente revelam uma lacuna no processo que vale a pena corrigir.

Verificação final de lançamento

Antes de iniciar uma nova configuração de rastreamento, anote cada evento coletado, a decisão que cada evento suporta, se usa armazenamento ou identificadores, quais fornecedores os recebem e quando os registros brutos expiram. Em seguida, teste a página em um perfil de navegador limpo e compare o que carrega com o aviso de privacidade.

Se o navegador ainda mostrar chamadas não planejadas de terceiros, identificadores persistentes ou dados pessoais em URLs, a lista de verificação ainda não está completa. Corrija a implementação primeiro e depois atualize a papelada.