Proteção de dados de clientes de comércio eletrônico: conformidade com GDPR

Introdução

A proteção dos dados dos clientes constitui uma questão estratégica importante para qualquer player de comércio eletrônico. Desde a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) em 25 de maio de 2018, os sites comerciais, as aplicações móveis de vendas e os marketplaces devem respeitar um quadro jurídico rigoroso, sob pena de sanções até 20 milhões de euros ou 4% do volume de negócios global anual. Para além das restrições regulamentares, a conformidade com o RGPD representa uma verdadeira alavanca de confiança do cliente: 87% dos consumidores europeus afirmam que não comprarão num site onde duvidem da segurança dos dados. Este artigo pilar detalha as obrigações concretas dos retalhistas eletrónicos em termos de consentimento, cookies, newsletters e segurança dos dados de pagamento.

Consentimento: pedra angular da conformidade com o RGPD

O consentimento constitui uma das seis bases jurídicas para o tratamento previstas no artigo 6.º do RGPD. Para ser válido, deve cumprir quatro critérios cumulativos definidos no artigo 7.º: ser livre, específico, informado e inequívoco. No contexto do comércio eletrónico, isto significa que um utilizador da Internet não pode ter o seu consentimento condicionado à compra de um produto (princípio da liberdade), e que deve poder consentir separadamente para cada finalidade (perfil de marketing, partilha com parceiros, newsletter, etc.).

A CNIL reforçou consideravelmente os seus requisitos desde 2020 com as suas diretrizes sobre cookies e rastreadores. O botão “Aceitar todos” deve agora ser acompanhado de um botão “Recusar todos” de acessibilidade e visibilidade equivalentes. As caixas pré-marcadas são estritamente proibidas (acórdão Planet49 do TJUE, 1 de outubro de 2019). Os comerciantes eletrônicos também devem reter a prova de consentimento com registro de data e hora durante o processamento e permitir a retirada tão simples quanto a concessão inicial.

Gerenciamento de cookies e rastreadores em sites comerciais

Sites de comércio eletrônico usam em média 40 a 60 cookies de terceiros: análises, retargeting de publicidade, redes sociais, chatbots, testes A/B. O Artigo 82 da Lei de Proteção de Dados alterada exige consentimento prévio para qualquer rastreador não estritamente necessário para a operação do serviço. Apenas cookies de carrinho de compras, sessão de autenticação e balanceamento de carga estão isentos.

Configurar uma Plataforma de Gerenciamento de Consentimento (CMP) compatível tornou-se essencial. Deve permitir ao visitante ser granular nas suas escolhas: aceitação por finalidade (medição de audiência, personalização, publicidade direcionada) e por destinatário. As sanções estão a chover: Google (150 milhões de euros), Amazon (35 milhões de euros), Facebook (60 milhões de euros) em 2022 pela falta de um botão de recusa tão acessível como o botão de aceitar.

Newsletter e prospeção comercial: opt-in rigoroso

O envio de newsletters e emails promocionais enquadra-se no artigo L.34-5 do Código Postal e das Comunicações Eletrónicas, que transpõe a diretiva Privacidade Eletrónica. O princípio é o da adesão prévia explícita para clientes potenciais individuais (B2C). Uma notável exceção existe para clientes que já tenham efetuado uma compra: é autorizada a prospecção de produtos ou serviços similares, desde que tenham sido informados durante a recolha e possam opor-se a cada envio.

Concretamente, a caixa “Gostaria de receber ofertas comerciais de [marca]” deve estar desmarcada por padrão e distinta da aceitação dos T&Cs. Cada e-mail deve incluir um link funcional de cancelamento de assinatura com um clique, a identidade do remetente e um endereço de contato válido.

Proteção de dados de pagamento

O processamento de dados bancários se enquadra tanto no GDPR (artigo 32 sobre segurança) quanto no padrão PCI-DSS (padrão de segurança de dados da indústria de cartões de pagamento). Os comerciantes eletrônicos devem favorecer a tokenização por meio de um provedor de serviços de pagamento (PSP) certificado pelo PCI-DSS nível 1, evitando assim o armazenamento direto de números de cartão. A autenticação forte (3D Secure v2) é obrigatória desde 15 de maio de 2021 em aplicação da diretiva DSP2.

É estritamente proibido manter o criptograma visual (CVV) após a transação. Os números dos cartões só podem ser conservados com consentimento expresso para facilitar compras posteriores (deliberação CNIL n.º 2018-303).

Conclusão

A conformidade com o GDPR no comércio eletrônico não é apenas uma lista de verificação legal: ela estrutura todo o relacionamento digital com o cliente. Entre o consentimento granular, a gestão de cookies, o rigor na prospecção e os pagamentos seguros, os retalhistas eletrónicos devem adotar uma abordagem de “privacidade desde a conceção” ao conceberem as suas viagens. Esta abordagem, longe de ser um obstáculo comercial, torna-se um argumento diferenciador num mercado onde a confiança digital condiciona a taxa de conversão e a fidelização.