RegulamentoGeral deProteção de Dados(RGPD)
Guia do Odoo para as regras européias de proteção de dados
Visão geral
Novas leis de privacidade e melhores práticas com o Odoo
Desde 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (RGPD) entra em vigor, abrindo uma nova era de proteção e privacidade de dados para todos. Embora certamente tenha ouvido e lido muita informação sobre o RGPD, pode ser difícil compreender exatamente o que significa para o seu negócio, na prática, e o que deve fazer para estar em conformidade com as novas regras.
Na Odoo, estamos comprometidos em seguir as melhores práticas em termos de segurança e privacidade. Esforçamo-nos por fornecer o mesmo nível de proteção a todos os utilizadores e clientes, sem distinção quanto à sua localização ou nacionalidade. E aplicamos essas melhores práticas a todos os dados, não apenas aos dados pessoais.
Assim, a Odoo SA e as suas subsidiárias estão em conformidade com o RGPD.
O que precisa de saber sobre o RGDP
Dica
Se puder, a melhor forma de compreender o RGPD é ler o texto oficial.
É um pouco longo (99 artigos em 88 páginas), mas bastante legível para não especialistas.
Trata-se de um regulamento da UE, que tem como objetivo harmonizar e modernizar a legislação de privacidade existente, como a Diretiva de Proteção de Dados da UE que substitui. Estabelece regras para a proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais, bem como para a livre circulação de dados pessoais na Europa.
Trata-se de um regulamento, e não de uma diretiva, sendo portanto aplicável imediatamente em todos os estados-membros da UE, sem necessidade de transposição para a legislação nacional de cada país. Os países da UE têm uma margem de interpretação limitada para os detalhes, mas as regras fundamentais serão as mesmas para todos, em toda a UE.
O RGPD também leva a legislação para o próximo nível, tendo em conta as redes sociais, a computação em nuvem, o cibercrime e os grandes desafios que estes colocam em termos de privacidade e segurança de dados pessoais.
Em resumo: não entre em pânico!
O RGPD não é uma legislação revolucionária a nível mundial e é, fundamentalmente, uma coisa positiva para os cidadãos e para as empresas.
Também tem vantagens!
Queremos enfatizar que o RGPD pode ser vantajoso para si e para os seus clientes. Cumprir o RGPD pode inicialmente representar muito trabalho, mas existem benefícios nas novas regras:
- Maior confiança por parte dos seus clientes e utilizadores.
- Simplificação: as mesmas regras são aplicadas em todos os países da UE
- Racionalização e centralização dos seus processos organizacionais.
O objetivo do RGPD é dar aos indivíduos um maior controlo sobre os seus dados pessoais. Se a sua empresa implementar as estratégias e sistemas corretos, será mais fácil de gerir, mais seguro e protegido nos anos vindouros.
Quais são os riscos de não estar em conformidade?
A penalização máxima por não conformidade é uma coima administrativa de 20 milhões de euros, ou 4 % do seu volume de negócios anual global, consoante o que for mais elevado. Um máximo menor de 10 milhões de euros ou 2 % do volume de negócios anual global é aplicável para infrações menos graves.
Estes limites máximos destinam-se a ser disuasivos para empresas de todas as dimensões, mas o RGPD também exige que as coimas sejam proporcionais.
As autoridades de supervisão (também conhecidas como Autoridades de Proteção de Dados: APDs) devem ter em conta as circunstâncias de cada caso, incluindo a natureza, gravidade e duração da infração. Estas APDs têm também poderes para investigar e impor ações corretivas, que podem incluir a limitação das atividades infratoras, sem necessidade de aplicar uma coima.
Outro risco, caso não cumpra, é a perda de confiança dos seus clientes e potenciais clientes, que se preocupam com a forma como processa os seus dados.
Por fim, muitas autoridades de proteção de dados sugeriram que não irão aplicar coimas em 2018, mas esperam que as empresas demonstrem que estão a trabalhar para cumprir o regulamento.
Princípios-chave do RGPD
Âmbito
O regulamento aplica-se a qualquer tratamento de dados pessoais por qualquer organização:
- Se a organização responsável pelo tratamento ou o operador de dados estiver localizada na UE
- Se a organização não estiver localizada na UE, mas o tratamento envolver dados pessoais de titulares de dados localizados na UE e estiver relacionado com ofertas comerciais ou monitorização de comportamento.
O âmbito inclui, portanto, empresas fora da UE, o que não acontecia com a legislação anterior.
Funções
O regulamento distingue dois tipos principais de entidades:
- Responsável pelo tratamento de dados: qualquer entidade que determine os fins e os meios do tratamento de dados pessoais, isoladamente ou em conjunto. Como regra geral, toda a organização é responsável pelos seus próprios dados.
- Subcontratante de dados: qualquer entidade que trate dados em nome de um responsável pelo tratamento.
Por exemplo, se a sua empresa possui uma base de dados alojada na Odoo Cloud, é o responsável pelo tratamento dessa base de dados, e a Odoo SA é apenas um operador de dados. Se, por outro lado, utilizar a Odoo localmente, é simultaneamente responsável pelo tratamento e operador de dados dos dados.
Dados pessoais
O RGPD fornece uma definição ampla de dados pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável. Uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, por meio do seu nome, email, número de telefone, informações biométricas, dados de localização, dados financeiros, etc. Identificadores online (endereços IP, IDs de dispositivos, …) também estão incluídos.
Isto aplica-se também em contextos empresariais: [info@odoo.com](mailto:info@odoo.com) não é considerado pessoal, mas [john.smith@odoo.com](mailto:john.smith@odoo.com) é, porque pode ser usado para identificar uma pessoa singular dentro de uma empresa.
O RGPD exige também um nível mais elevado de proteção para os dados sensíveis, que incluem categorias específicas de dados pessoais, como informações sobre saúde, dados genéticos, origem racial ou crenças religiosas.
Princípios de tratamento de dados
Para estar em conformidade, as atividades de tratamento devem observar as seguintes regras:
(conforme listado no Artigo 5.º do RGPD)
-
Licitude, equidade e transparência: para recolher dados, deve existir uma base legal, um objectivo claro, e deve informar o titular sobre tal.
- Tenha uma política de privacidade simples e clara, e faça referência a ela sempre que recolher dados.
- Verifique a base legal de cada uma das suas atividades de tratamento de dados.
-
Limitação de finalidade: uma vez recolhidos para um determinado fim, solicite permissão se desejar utilizá-los para outro fim.
Ex. – Não pode decidir vender os dados dos seus clientes se estes não tiverem sido recolhidos para esse fim.
-
Minimização: deve recolher apenas os dados necessários para a sua finalidade.
-
Exatidão: devem ser tomadas medidas razoáveis para garantir que os dados se mantenham atualizados, em relação ao seu propósito.
Ex. – Certifique-se de gerir os e-mails devolvidos e de corrigir ou eliminar os endereços.
-
Limitação da conservação: os dados pessoais devem ser conservados apenas durante o período necessário para cumprir a sua finalidade principal.
Defina prazos para a eliminação ou revisão dos dados pessoais que processa, consoante a sua finalidade.
-
Integridade e confidencialidade: os operadores de dados devem implementar controlos de acesso, segurança e medidas de prevenção de perda de dados adequados, em conformidade com os tipos e a abrangência dos dados a processar.
Ex. – Certifique-se de que o seu sistema de cópias de segurança está a funcionar, tenha os controlos de segurança adequados implementados, utilize encriptação para proteger dados sensíveis, como palavras-passe, ...
-
Responsabilização: os responsáveis pelo tratamento de dados são responsáveis e devem ser capazes de demonstrar conformidade com todos os princípios de tratamento acima mencionados.
- Estabeleça e mantenha uma referência de mapeamento de dados para a sua organização, descrevendo a conformidade das suas atividades de tratamento.
- Informe os seus clientes através de uma política de privacidade clara.
Base legal
Para ser lícito ao abrigo do RGPD (primeiro princípio), o tratamento de dados pessoais deve basear-se em uma das seis bases legais possíveis, conforme listado no Artigo 6.º (1):
- Consentimento. Válido quando o titular dos dados deu o seu consentimento de forma explícita e livre, após ter sido devidamente informado, incluindo um propósito claramente indicado e específico. O ónus da prova de tudo isto recai sobre o responsável pelo tratamento.
- Necessário para a execução de um contrato, ou para cumprir pedidos do titular dos dados, em preparação para um contrato.
- Conformidade com uma obrigação legal que é imposta ao responsável pelo tratamento.
- Proteção de um interesse vital. Quando o tratamento é necessário para salvar uma vida.
- Interesse público ou autoridade oficial.
- Interesse legítimo. Aplicável quando o responsável pelo tratamento tem um interesse legítimo que não é sobreposto pelos interesses e direitos fundamentais do titular dos dados.
Uma das principais mudanças introduzidas pelo RGPD em relação à legislação anterior de privacidade de dados são os requisitos mais rigorosos para obter um consentimento válido.
Direitos do titular dos dados
Os direitos de privacidade de dados já existentes para os indivíduos são ainda ampliados pelo RGPD. As organizações devem estar preparadas para tratar os pedidos dos titulares dos dados de forma atempada (no prazo de 1 mês), sem custos:
- Direito de acesso - Indivíduos tem direito de saberquais os dados e tambémcomo os seus dados pessoais são processados, com total transparência;
- Direito de retificação - Os indivíduos têm o direito de obter a retificação ou completamento dos seus dados pessoais;
- Direito ao apagamento - Os indivíduos têm o direito de obter o apagamento dos seus dados pessoais por motivos legítimos (retirada do consentimento, dados já não necessários para o fim, etc.);
- Direito à limitação do tratamento - Os indivíduos podem solicitar que o responsável pelo tratamento suspenda o tratamento dos seus dados pessoais, caso não pretendam ou não possam solicitar a eliminação total;
- Direito de oposição - Os indivíduos têm o direito de se opor a determinados tratamentos dos seus dados pessoais a qualquer momento, por exemplo para efeitos de marketing direto;
- Portabilidade de Dados - Os indivíduos têm o direito de solicitar que os dados pessoais detidos por um responsável pelo tratamento lhes sejam fornecidos, ou a outro responsável pelo tratamento.
Como deve preparar-se para o RGPD
Aviso legal
Não podemos fornecer aconselhamento jurídico; esta secção destina-se apenas a fins informativos. Por favor, contacte o seu advogado para determinar exatamente como o RGPD afeta a sua empresa.
Aqui estão os principais passos que sugerimos para um plano de conformidade com o RGPD:
-
Estabeleça um mapeamento de dados das atividades de tratamento de dados da sua organização para obter uma visão clara da situação. As autoridades de proteção de dados costumam disponibilizar modelos de folhas de cálculo para auxiliar nesta tarefa. Para cada processo, documente o tipo de dados pessoais e como foram recolhidos; o objectivo, a base legal e a política de eliminação do tratamento; as medidas de segurança técnicas e organizacionais implementadas; e os subcontratados (operadores de dados) envolvidos.
Será necessário manter este mapeamento de dados de forma regular, à medida que os seus processos evoluem. - Com base no passo 1, escolha uma Estratégia de Remediação para qualquer tratamento em que não possua uma base legal (por exemplo, falta de consentimento) ou em que não existam medidas de segurança adequadas. Adapte os seus processos, procedimentos internos, regras de controlo de acesso, cópias de segurança, monitorização, etc.
- Atualize e publique uma Política de privacidade clara no seu site. Explique que dados pessoais processa, de que forma o faz e quais são os direitos dos indivíduos relativamente aos seus dados.
- Revise os seus contratos com um consultor jurídico e adapte-os ao RGPD.
- Decida como irá responder aos diversos tipos de pedidos do titular dos dados.
- Prepare o seu Procedimento de resposta a incidentes em caso de violação de dados.
Consoante a sua situação, outros elementos poderão ser adicionados à lista, como a nomeação de um encarregado de proteção de dados (DPO). Consulte os seus especialistas internos em tratamento de dados e os seus assessores jurídicos para determinar quaisquer outras medidas relevantes.
Lembre-se!
Definir um mapeamento claro dos seus processos tornará todo o percurso rumo à conformidade mais simples!
Como a Odoo está em conformidade com o RGPD
Na Odoo, implementar as melhores práticas de privacidade e segurança não é uma ideia nova. Como empresas de alojamento na nuvem, estamos constantemente a rever e a melhorar os nossos sistemas, ferramentas e processos, de forma a manter uma plataforma segura e de excelência.
As nossas funções do RGPD
As nossas responsabilidades em termos de proteção de dados pessoais dependem das nossas várias atividades de tratamento de dados:
| As nossas funções | Processamento de dados | Tipo de dados |
|---|---|---|
| Responsável pelo tratamento e operador de dados | No Odoo.com | Dados pessoais fornecidos pelos nossos clientes e potenciais clientes diretos, pelos nossos parceiros e por todos os utilizadores diretos do Odoo.com (nomes, e-mails, moradas, palavras-passe ...) |
| Operador de dados |
Na Odoo Cloud
(Odoo Online, Odoo.sh e outros serviços Odoo Enterprise) |
Quaisquer dados pessoais armazenados nas bases de dados dos nossos clientes, alojadas na Odoo Cloud ou transferidas para nós com o objetivo de utilizar um dos nossos serviços. O proprietário da base de dados é o responsável pelo tratamento. |
| Nenhuma | On-Premise | Qualquer dado localizado em bases de dados da Odoo alojadas localmente ou em qualquer serviço de alojamento não gerido por nós. |
Os nossos documentos do RGPD
Como responsável pelo tratamento, as nossas atividades estão abrangidas na nossa Política de privacidade, que foi atualizada para cumprir o RGPD. Esta política explica de forma tão clara quanto possível que dados tratamos, porquê os tratamos e como o fazemos. Estreitamente relacionado com isto, a nossa Política de segurança explica as melhores práticas de segurança que implementámos na Odoo, em todos os níveis (técnico e organizacional), de forma a garantir que os seus dados são processados de maneira segura.
Para além dessas políticas, as nossas atividades enquanto operador de dados estão sujeitas à aceitação das nossas Contrato de subscrição do Odoo Enterprise.
Este acordo foi atualizado para incluir as cláusulas de proteção de dados necessárias (frequentemente designadas como "Acordo de Tratamento de Dados"),
conforme exigido pelo RGPD.
Como cliente da Odoo S.A., não precisa de fazer nada para aceitar estas alterações, já beneficia das novas garantias,
e consideraremos que concorda se não recebermos qualquer resposta da sua parte!
Além destes documentos, atualizámos também o nosso site para inserir avisos de privacidade em todos os locais relevantes, de forma a manter os nossos utilizadores informados em todos os momentos.
Como a Odoo o ajuda a implementar as melhores práticas do RGPD
Utilizar a Odoo para gerir o seu negócio não é suficiente para cumprir o RGPD, porque o regulamento se aplica a toda a sua organização. No entanto, uma vez que a Odoo centraliza os seus dados, reduz a redundância de dados e implementa direitos de acesso granulares e controlos de segurança, pode ser uma grande ajuda para cumprir o RGPD.
Aqui estão algumas formas pelas quais acreditamos que a Odoo pode ajudá-lo no contexto do RGPD, tanto para bases de dados Odoo alojadas localmente como na nuvem.
Direito de acesso (Art. 15) e direito à portabilidade dos dados (Art. 20)
- O Odoo fornece algumas ferramentas para que os titulares dos dados acedam e atualizem as suas informações pessoais no modo de autoatendimento:
- O portal do cliente permite aos utilizadores consultar documentos contratuais: moradas e contactos, faturas, orçamentos, encomendas, tarefas, tickets de suporte, compras, subscrições, guias de entrega, pagamentos, bem como comunicações relacionadas com estes documentos.
- A página de listas de distribuição permite aos utilizadores rever e gerir as suas subscrições (p. ex. para o odoo.com https://www.odoo.com/groups)
- O perfil do fórum permite aos seus utilizadores do fórum rever todas as suas atividades de forma rápida.
- Se precisar de exportar todos os dados ou de comunicar dados privados que não estejam acessíveis através do portal, serão necessários alguns passos manuais.
Normalmente, pode aceder a todos os documentos relevantes diretamente a partir da barra superior do formulário de contacto dos utilizadores, onde estão ligados. Pode então exportar todas as informações utilizando a funcionalidade “Imprimir em PDF” do seu navegador ou através do menu ação>exportar, a partir da lista de contactos ou da lista dos seus documentos.
Ambas as opções fornecem formatos eletrónicos compatíveis com o RGPD. - Além disso, poderá ter informações não ligadas ao formulário de contacto, que o titular dos dados poderá ter inserido num contexto separado. Deve também rever esses dados, pesquisando, por exemplo, pelo nome ou endereço de e-mail.
- Subscrições de eventos
- Leads e oportunidades no seu CRM
Lembrete: Para além de poder exportar em PDF através do seu navegador, o Odoo disponibiliza uma ferramenta para exportar qualquer registo, ou lista de registos, para um ficheiro CSV ou Excel, incluindo também os documentos associados a esse registo. Para a utilizar, aceda à vista de lista de qualquer ecrã, selecione o(s) registo(s) e clique em Ação > Exportar, depois escolha "Exportar todos os dados". A ferramenta permite-lhe então selecionar os campos que pretende exportar.
Direito ao esquecimento (art. 17)
O RGPD concede aos titulares dos dados o direito de solicitar a eliminação dos seus dados pessoais, em condições específicas, tais como:
- Os dados já não são necessários de acordo com oobjectivo.
- Revogam o consentimento para um tratamento que se baseava apenas em consentimento;
- O tratamento é, de outra forma, ilegal.
Se determinar que o pedido é legítimo e tiver confirmado a identidade do titular, pode tentar eliminar o contacto correspondente no Odoo. Esta operação é segura: o sistema irá bloquear a ação se algum documento comercial ainda fizer referência ao contacto (fatura, contacto, ordem de entrega, publicação no fórum, etc.). Nesse caso, deve decidir se tem outras obrigações para conservar esses documentos e deverá recusar o pedido de eliminação.
Se não tiver uma razão legal para conservar os dados pessoais, mas não puder ou não quiser eliminar um documento ou contacto, considere anonimizá-lo. Pode renomear o contacto e alterar os seus dados identificáveis (e-mail, morada, etc.), ou pode reatribuir os documentos a um contacto genérico Anónimo. Uma vez devidamente anonimizados, estes dados deixam de ser dados pessoais.
Limitação do tratamento (Art. 18) e revogação do consentimento (Art. 7)
Os utilizadores solicitam frequentemente a remoção das suas subscrições de e-mails comerciais. Se os seus envios forem feitos através do Odoo, os utilizadores podem fazê-lo por si, utilizando o link de cancelamento de subscrição no rodapé. Mas também pode assinalar manualmente o campo "Cancelar subscrição" num contacto ou lead/oportunidade. Os registos marcados como “Cancelar subscrição” são automaticamente excluídos das campanhas de envio massivo, mas ainda podem receber mensagens diretas de utilizadores (por exemplo, orçamentos, faturas).
Direito à retificação (art. 16) e exatidão dos dados (art. 5.º (1) d)
Endereços de e-mail inválidos ou que mudam com frequência são uma fonte comum de erros de dados. Quando a integração de e-mail está corretamente configurada (por defeito na Odoo Cloud), o Odoo gere os e-mails devolvidos nas suas campanhas e incrementa um campo devolução com o número de mensagens devolvidas. Pode periodicamente rever os seus contactos ou potenciais clientes com uma pesquisa personalizada em "devolução superior a 0" e limpar/eliminar esses registos.
Os seguidores dos canais do Odoo Discuss são automaticamente removidos após 10 devoluções de e-mail.
No que diz respeito à retificação, os utilizadores e clientes também podem corrigir os seus próprios dados pessoais (nome, e-mail, morada) através do portal da Odoo.
Consentimento (Art. 7)
Quando recolhe dados pessoais através dos mecanismos padrão da Odoo (por exemplo, formulário de contacto, subscrição em listas de distribuição, subscrição em eventos), deve definir um objectivo e uma base legal para o tratamento. Isto depende fortemente da forma como irá utilizar os dados.
Se a finalidade for específica e evidente (por exemplo, armazenar os participantes registados num evento para os manter informados sobre a sua duração; subscrever alguém na lista de distribuição que escolheu), não é necessário solicitar o seu consentimento explícito (os dados pessoais são necessários para a execução de um contrato - Art. 6.º (1) b)). No entanto, deve ainda assim tornar a finalidade clara para o utilizador e fazer referência à sua página de política de privacidade, onde fornece mais informações. Pode utilizar o construtor de sites do Odoo para editar os formulários e adicionar as menções necessárias.
No entanto, se pretende utilizar os dados recolhidos para outros fins, deve obter o consentimento explícito do utilizador para cada finalidade. A forma recomendada é adicionar caixas de verificação ao seu formulário para obter o consentimento para cada finalidade específica (por exemplo, "Por favor, envie-me descontos e promoções sobre produtos semelhantes por e-mail"). Para o fazer com a Odoo, pode:
- Utilize o Odoo Studio para adicionar um campo de seleção (booleano) no documento que recolhe dados pessoais (por exemplo, leads/oportunidades), para representar o consentimento para este fim.
- Adicione a caixa de verificação no formulário do seu site através do criador de sites do Odoo.
- Utilize este campo ao processar dados para este fim, por exemplo nos filtros de segmentação das suas campanhas de marketing.
Privacidade pelo design (Art. 25)
A segurança desde a conceção está no centro do nosso trabalho de I&D na Odoo, e aplicamos as melhores práticas de segurança para tornar o nosso software. seguro, robusto e resistente para todo o mundo.
Controlo de acesso - O mecanismo de controlo de acesso baseado em grupos predefinidos do Odoo permite restringir o acesso a dados pessoais de acordo com a função e as necessidades de cada utilizador (ex.: um gestor de projeto pode não precisar de aceder a candidaturas). Se rever as atribuições de grupos de utilizadores e as mantiver corretamente quando os papéis mudam na sua organização, dispõe de uma base sólida de privacidade. Pode facilmente adicionar ou modificar grupos de utilizadores para os adaptar à sua organização.
Regras de registo - Para ajustar de forma mais precisa o acesso a dados pessoais, pode utilizar o conceito de regras de registo, que permitem restringir o acesso a documentos com base em critérios definidos pelos valores dos campos. As regras de registo podem bloquear operações de leitura e/ou escrita e funcionam ao nível de cada documento. Para mais informações, consulte a nossa documentação.
Palavras-passe - A Odoo armazena as palavras-passe dos utilizadores com hash seguro de acordo com os padrões da indústria. É também possível utilizar sistemas de autenticação externos, como OAuth 2.0 ou LDAP, para evitar armazenar as palavras-passe dos utilizadores.
Dados de colaboradores - Uma área onde as bases de dados do Odoo provavelmente contêm dados pessoais sensíveis é o separador informações privadas do formulário do colaborador e os seus contratos. Esta parte do diretório de colaboradores é visível apenas ao pessoal de RH (grupo "Oficial de RH"), que necessita desta informação para desempenhar as suas funções. Esta proteção estende-se ao endereço pessoal dos colaboradores: do Odoo 12 ao Odoo 17, é armazenado como Contactos do tipo "privado", visíveis apenas para o pessoal de RH. A partir da versão 17.0, passa a ser armazenado diretamente no registo do colaborador.
Segurança do tratamento (Art. 25 e 32)
Se utilizar os serviços Odoo Online ou Odoo.sh, implementamos as melhores práticas de segurança e privacidade em todos os níveis. Pode saber mais sobre isto na nossa Políticas de segurança.
Se utilizar o Odoo on-premise, é responsável por seguir as melhores práticas de segurança. Pode começar pelas recomendações de segurança da nossa documentação de implementação. recomendações de segurança na nossa documentação de implementação.