Lista de verificação RGPD para comércio eletrónico: 12 pontos que qualquer loja online deve cumprir
Uma lista de verificação curta e opinativa para operadores de comércio eletrónico na UE. Cada ponto remete para um artigo específico do RGPD ou para a Diretiva ePrivacy, e cada um é algo que uma autoridade reguladora poderia testar hoje no seu sítio em produção.
Lukas Kontur · · 2 min de leitura
Esta é uma lista de verificação para operadores de comércio eletrónico na União Europeia. Não substitui uma Avaliação de Impacto sobre a Proteção de Dados e não substitui aconselhamento de um Datenschutzbeauftragter alemão ou de um Délégué à la Protection des Données francês. É a lista curta dos pontos que, pela nossa experiência de scan da web europeia, estão suficientemente bem documentados para que um operador consiga responder às perguntas de uma autoridade reguladora sobre como o sistema tratou um pedido específico, com carimbos temporais.
Os itens constam do frontmatter e são renderizados pelo modelo da página de checklist. Cada um é uma afirmação discreta e testável, e cada um remete ou para o GDPR ou para a ePrivacy Directive. Onde o enquadramento jurídico é mais matizado — por exemplo, quanto aos mecanismos de transferência após a entrada em vigor do EU-US Data Privacy Framework — assinalámo-lo na linha de detalhe.
Os dois itens que mais frequentemente falham, com larga margem, são:
- Item 2: tracking antes do consentimento. É a mesma constatação que o nosso scanner etiqueta como pre_consent_tracking. Consulte o artigo de conhecimento sobre tracking antes do consentimento para os detalhes técnicos.
- Item 3: recusar não recusa. A nossa investigação mostrou que 80% dos botões de recusa em 28 891 sítios medidos não pararam efetivamente o tracking. O número ao nível do corpus é o título; o comportamento específico por setor em sítios de comércio eletrónico é algo que iremos medir separadamente, visto que a dinâmica de consentimento em páginas transacionais difere da de sítios de notícias ou de conteúdo.
Para uma demonstração ao vivo de como se parece um scan não conforme:
Uma pontuação de risco média nesta escala indica tipicamente que o banner está presente e o botão de recusa funciona, mas que pelo menos um tracker está a disparar antes do consentimento. Confirme que nenhum tracker não essencial dispara antes da decisão de consentimento.
A cadência recomendada é percorrer esta lista de verificação trimestralmente, conservar os resultados como prova de responsabilização nos termos do GDPR Art. 5(2) e tratar qualquer item que tenha falhado duas vezes consecutivas como um problema P1. A maioria dos operadores não terá um evento de aplicação. Aqueles que o tiverem ficarão contentes por terem mantido os registos.
Última atualização: