1. O documento discute o estado da implementação do Regulamento Geral de Proteção de Dados (RGPD) no WordPress. 2. O RGPD introduz novos princípios, conceitos e direitos para titulares de dados que significam novos deveres para empresas. Sua implementação envolve equipes de compliance, direito e tecnologia. 3. O documento destaca pontos como coleta de dados em comentários e códigos embutidos, plugins, direitos dos titulares, anonimização e ferramentas no WordPress para facilitar a conformidade

1. O ESTADO DO RGPD
NO WORDPRESS
Pedro Fonseca / Meetup WordPress Porto
26 de abril de 2018

2. PEDRO FONSECA

3. PEDRO FONSECA
O tipo dos
vídeos do RGPD

4. PROGRAMA DE HOJE
• O que é o RGPD

5. O RGPD E O WORDPRESS
• Pontos de recolha
• Plugins
• Direitos dos titulares dos dados
• Privacidade
• Datas
• Próximos passos

6. O QUE É O
RGPD?

7. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
regula a proteção das pessoas singulares
nos que diz respeito ao
• tratamento de dados pessoais
• e à livre circulação desses dados

8. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Já está em vigor e passa a ser de
aplicação obrigatória a 25 de maio de
2018
Revoga a Diretiva Comunitária 95/46/CE

9. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Introduz, novos princípios e conceitos, novos
direitos para os titulares de dados que
significam novos deveres para as empresas
que com eles lidam.
A avaliação de impacto, a privacidade na
conceção de novos produtos ou serviços
com dados e a privacidade por defeito, as
notificações das violações de segurança, e a
figura do encarregado de proteção de
dados.

10. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Será um trabalho tripartido.
Envolve equipas de compliance, direito,
e informática

11. GLOSSÁRIO RGPD
Accountability, Consentimento, Dados
Pessoais, DPO - Data Protection Officer,
Limitação do Tratamento, Data
Minimisation, Oposição ao Profiling,
Privacy by Design, Privacy by Default,
Impacto, Data Processor, Tratamento,
Violação de Dados Pessoais, Violação de
Segurança, Notificação, etc….

12. GLOSSÁRIO RGPD
Dados Pessoais

13. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento

14. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento

15. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Definição de perfis

16. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Definição de perfis
Violação de dados pessoais

17. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
As coimas poderão:
• atingir 4% da faturação anual ou
• 20 milhões de euros
A CNPD estará atenta!

18. O QUE MUDA COM O RGPD
ONDE SE APLICA O RGPD
A QUEM SE APLICA O RGPD

19. A QUEM SE APLICA O
RGPD?
A todas as pessoas singulares e coletivas
que efetuem tratamento de dados
pessoais de residentes na União
Europeia.
Estas entidades podem ser aquelas que
determinam as finalidades e os meios de
tratamento de dados pessoais, mas
também as que efetuam esse tratamento
em regime de subcontratação.

20. ONDE SE APLICA O
RGDP?
O RGDP aplica-se em todo o território
da União Europeia, contudo com uma
importante inovação, pois se uma
empresa estiver estabelecida fora da
geografia da UE, isto é, sem presença na
UE mas a realizar serviços ou negócios
que envolvam algum género de
tratamento de dados pessoais, o
Regulamento é aplicável.

21. O RGPD APLICA-SE A
TODOS POR IGUAL?
Não.
A aplicação do regulamento aplica-se a
todos, mas dependendo da natureza do
processamento, da avaliação do impacto
ou do tamanho da organização, algumas
exceções podem ser aplicadas.

22. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
O tipo e a quantidade de dados pessoais
que podemos processar depende do
motivo (razão jurídica usada) e o que
desejamos fazer com os dados.
Devemos respeitar várias regras:

23. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Os dados pessoais devem ser
processados de forma legal e
transparente, garantindo justiça para
com os indivíduos cujos dados pessoais
você está processando

24. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos ter fins específicos para o
processamento dos dados e devemos
indicar esses propósitos para os titulares
dos dados ao recolher os dados
pessoais.
Não podemos simplesmente recolher
dados pessoais para fins indefinidos
("limitação de propósito").

25. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos recolher e processar apenas os
dados pessoais necessários para cumprir
esse objetivo ("minimização de dados")

26. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos garantir que os dados pessoais
são precisos e estão atualizados, tendo
em conta os propósitos para os quais
são processados ("precisão").

27. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Não podemos usar os dados pessoais
para outros fins que não são compatíveis
com o propósito original da recolha.

28. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos garantir que os dados pessoais
são armazenados por um período não
superior ao necessário para os fins para
os quais foram recolhidos ("limitação de
armazenamento").

29. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos adotar as medidas técnicas e
operacionais adequadas que assegurem
a segurança dos dados pessoais,
incluindo a proteção contra o
processamento não autorizado ou ilegal
e contra perdas, destruições ou danos
acidentais, usando tecnologia
apropriada ("integridade e
confidencialidade").

30. POR QUANTO TEMPO OS DADOS
PODEM SER MANTIDOS E É
NECESSÁRIO ATUALIZÁ-LOS?
Devemos armazenar dados pelo menor
tempo possível.
Deve estabelecer limites de tempo para
apagar ou rever os dados armazenados.
Também devemos garantir que os dados
mantidos sejam precisos e atualizados.

31. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas

32. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical

33. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical
• dados genéticos/ biométricos

34. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical
• dados genéticos/ biométricos
• dados relacionados à saúde

35. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas ou
filosóficas
• filiação sindical
• dados genéticos/ biométricos
• dados relacionados à saúde
• dados relativos à vida/orientação sexual

36. O QUE MUDA?
• One document to rule them all
•

37. O QUE MUDA?
• One document to rule them all
• O consentimento
•

38. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
•

39. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
•

40. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
•

41. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
• DPO - Encarregado Proteção de Dados
•

42. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
• DPO - Encarregado Proteção de Dados
• Notificações de violações

43. RESUMINDO
Se o teu negócio recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar

44. RESUMINDO
Se o teu negócio recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar
• Obter um consentimento claro antes
da recolha dos dados

45. RESUMINDO
Se o teu negócio recolhe, guarda ou usa
dados de cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os
irás disponibilizar
• Obter um consentimento claro antes da
recolha dos dados
• Permitir o acesso aos dados

46. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados
de cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os irás
disponibilizar
• Obter um consentimento claro antes da recolha
dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar

47. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes dados,
por quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos
dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar

48. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar
• Informar quando existir uma violação de segurança

49. ALGUMA COISA TINHA
DE SER FEITA

50. DISCUSSÃO NO SLACK
https://wordpress.slack.com
#GDPR-COMPLIANCE

51. MAKE.WORDPRESS.ORG
https://make.wordpress.org/core/
2018/03/28/roadmap-tools-for-gdpr-
compliance/

52. MAKE.WORDPRESS.ORG
Adicionar ferramentas para uma Política
de Privacidade

53. MAKE.WORDPRESS.ORG
Adicionar ferramentas para uma Política
de Privacidade
Criar guidelines para autores de plugins
para estarem conformes com o RGPD

54. MAKE.WORDPRESS.ORG
Adicionar ferramentas para uma Política
de Privacidade
Criar guidelines para autores de plugins
para estarem conformes com o RGPD
Adicionar ferramentas ao Core para
facilitar a conformidade e privacidade
de forma generalizada

55. MAKE.WORDPRESS.ORG
Adicionar ferramentas para uma Política
de Privacidade
Criar guidelines para autores de plugins
para estarem conformes com o RGPD
Adicionar ferramentas ao Core para
facilitar a conformidade e privacidade
de forma generalizada
Adicionar documentação aos donos dos
sites para ajudar a usar as ferramentas

56. TICKETS WORDPRESS
RGPD
https://core.trac.wordpress.org/query?
status=!closed&keywords=~gdpr

57. 1 - PONTOS DE RECOLHA

58. 1 - PONTOS DE RECOLHA
• Comentários

59. 1 - PONTOS DE RECOLHA
• Comentários
• Código embedded ou iframe

60. 1 - PONTOS DE RECOLHA
• Comentários #43436
• Código embedded ou iframe #43713

61. 2 - RECOLHA VIA PLUGINS

62. 2 - RECOLHA VIA PLUGINS
• Formulários

63. 2 - RECOLHA VIA PLUGINS
• Formulários
• Páginas de checkout

64. 2 - RECOLHA VIA PLUGINS
• Formulários
• Páginas de checkout
Página de Privacidade
Nativa, com UI em definição, texto pré-definido
e ajustado aos plugins, definível no Personalizar
e acessível a partir do footer
#43435 #43473 #43481 #43549 #43620 #43750

65. 2 - RECOLHA VIA PLUGINS
Página de Privacidade
Tradução?
Dia do contribuidor no #WCPorto

66. 3 - DIREITOS DOS
TITULARES DE DADOS
• Acesso
• Correção/Apagamento
• Portabilidade
• Notificação

70. 4 - ANONIMIZAÇÃO
Em discussão.
Junta-te à conversa #43175

71. WORDPRESS 4.9.6
Beta: Tuesday, May 1st.
RC: Tuesday, May 8th.
Release: Tuesday, May 15th.

72. WORDPRESS 4.9.6
A VERSÃO 4.9.5 NÃO
TERÁ FUNCIONALIDADES
RGPD

73. O QUE FAZER?
Junta-te ao Slack

74. O QUE FAZER?
Junta-te ao Slack
Segue a Comunidade

75. O QUE FAZER?
Junta-te ao Slack
Segue a Comunidade
Vai ao WordCamp Porto

76. O RGPD PODE FAZER
MUITO PELA TUA
IMAGEM ENQUANTO
PROFISSIONAL