Perguntas frequentes sobre o GDPR

Saiba mais sobre as perguntas frequentes relacionadas ao GDPR. Essas explicações são apenas para fins informativos e não constituem aconselhamento jurídico profissional. Por favor, busque aconselhamento jurídico independente para obter informações específicas do seu país e circunstâncias.

Por que a Shopify não inclui uma caixa de seleção "Aceitar os Termos e Condições e a Política de Privacidade" no checkout?

A Shopify pensou com muito cuidado sobre o GDPR e nós projetamos nossa plataforma para fornecer aos nossos comerciantes uma experiência comercial de primeira classe que possa cumprir as leis de privacidade e proteção de dados como o GDPR.

A obtenção de consentimento explícito e afirmativo dos clientes para processar seus dados pode, quando implementada adequadamente, ser uma maneira útil de fornecer transparência e conquistar a confiança do cliente. Mas, quando não implementadas adequadamente, as caixas de seleção podem ser confusas para o cliente, podem criar expectativas incompatíveis e podem até criar problemas legais para os comerciantes no âmbito do GDPR. Optamos por não modificar nosso fluxo de trabalho de checkout para incluir uma caixa de seleção "Aceitar os Termos e Condições e a Política de Privacidade" durante a finalização da compra devido a essas preocupações.

Em particular, o GDPR deixa claro que os lojistas podem coletar e processar os dados pessoais do cliente por vários motivos, inclusive se o cliente tiver fornecido seu consentimento informado. Mas o GDPR reconhece que pode haver muitas circunstâncias nas quais os dados pessoais podem precisar ser processados separadamente e separados do consentimento do cliente, como:

É provável que os lojistas dependam de muitos desses fundamentos jurídicos com relação às diferentes maneiras de processar os dados de seus clientes. Por exemplo, um lojista pode precisar usar o endereço de entrega do cliente para realmente atender ao pedido e atender ao contrato do lojista com o cliente. Da mesma forma, um lojista pode ser legalmente obrigado a processar dados pessoais para responder a uma intimação ou no contexto de uma auditoria fiscal. E um lojista pode processar dados pessoais para qualquer número de outros interesses legítimos.

Ao mesmo tempo, os reguladores europeus deixaram claro que o consentimento é a mais importante dessas diferentes justificativas. Em particular, os reguladores sugeriram que, uma vez que um lojista peça o consentimento para processar dados para uma finalidade específica, eles não poderão mais contar com as bases legais acima (como contratos ou interesses legítimos). Além disso, os reguladores alertaram que o consentimento não pode ser feito para receber bens ou serviços.

Por que tudo isso importa? Vamos pensar sobre o que aconteceria se um lojista adicionasse uma caixa de seleção "Aceitar os Termos e Condições e a Política de Privacidade" no checkout. Se o cliente não optar por consentir (ou, se o cliente consentir e depois retirar o seu consentimento - que é um direito fornecido a pessoas sob o GDPR), um lojista não poderá mais contar com as outras justificativas listadas acima. Assim, o lojista pode estar em uma posição onde, sob o GDPR, não possa legalmente processar os dados pessoais do cliente para processar ou cumprir um pedido. Ao mesmo tempo, se o lojista modificar o checkout de modo que essa caixa de seleção seja obrigatória para concluir a transação, o consentimento seria uma condição prévia para o recebimento dos produtos ou serviços e, portanto, pode não ser válido no GDPR.

Essa complexidade levou vários reguladores a se precaver contra pedir ou confiar no consentimento quando isso não for apropriado. Por exemplo, o Gabinete do Comissário de Informação do Reino Unido aconselhou:

"O consentimento é apropriado se você puder oferecer às pessoas escolhas reais e controle sobre como você usa seus dados, e quer construir sua confiança e engajamento. Mas se você não puder oferecer uma escolha genuína, o consentimento não é apropriado. Se você processasse dados pessoais de qualquer forma, mas sem consentimento, pedir consentimento é enganoso e inerentemente injusto.

Se você fizer do consentimento uma pré-condição de um serviço, é improvável que esta seja a base legal mais apropriada.

Autoridades públicas, empregadores e outras organizações em posição de poder sobre os indivíduos devem evitar confiar no consentimento, a menos que estejam confiantes de que podem demonstrar que isso é dado livremente.".

Queremos fazer o melhor possível para apoiar nossos lojistas e ajudá-los a evitar consequências legais problemáticas. Mas, ao mesmo tempo, entendemos que os lojistas precisam se sentir à vontade para ter confiança em seus clientes. Como resultado, garantimos que os lojistas possam adicionar uma caixa de seleção "Aceitar termos e condições" à página Carrinho de compras (não à página "Checkout"). Para mais informações sobre como fazer isso, consulte nossos documentos de ajuda.

Obs.: Estas perguntas frequentes discutem uma caixa de seleção para obter o consentimento para concluir um checkout. Você também pode solicitar o consentimento por outras razões, por exemplo, marketing ou coleta de dados especialmente confidenciais.

Por que não posso assinar um contrato de processamento de dados (DPA) com a Shopify?

O GDPR exige que os processadores de dados sejam vinculados por um contrato por escrito (que inclui contratos em formatos eletrônicos) a cada controlador de dados para processar dados pessoais. Esses contratos devem especificar quais dados pessoais estão sendo processados e as obrigações e direitos do processador e do controlador. Esses contratos são geralmente chamados de contratos de processamento de dados (DPA). Em essência, um DPA é um acordo que a Shopify processará somente os dados pessoais dados a ela da maneira que o lojista especificar, porque o lojista é o controlador dos dados.

Para atender a esse requisito, a Shopify adicionou um Adendo ao Processamento de Dados aos nossos Termos de Serviço. (É chamado de 'Adendo' e não um 'Acordo' porque é adicionado aos Termos de Serviço e não é um acordo por si só.)

Como lojista, você concorda com os Termos de Serviço e, por extensão, com o Adendo de Processamento de Dados, quando se inscreve nos serviços da Shopify e concorda com quaisquer atualizações dos Termos de Serviço (por exemplo, nossa atualização que adicionou os Adendo de Processamento de Dados) ao continuar a usar os serviços.

É importante observar que os Termos de Serviço são regidos pela lei de Ontário e não pela lei da jurisdição em que você reside. Assim, enquanto outras leis regionais, como o GDPR, podem certamente cobrir seus negócios e como você processa dados, e podem exigir que você tenha um contrato vinculativo com seus provedores de serviços (como a Shopify), essas outras leis regionais não necessariamente ditam se um contrato é obrigatório ou não. No caso do seu contrato conosco, essa questão de saber se o DPA é um contrato obrigatório é determinada por referência à lei de Ontário.

Como resultado, mesmo se a sua jurisdição exigir que um contrato (como o DPA) seja assinado, isso pode não importar em relação ao seu DPA. De acordo com a lei de Ontário, acreditamos que, ao continuar a usar nosso serviço assim que nossos termos forem atualizados, tanto a Shopify quanto você estarão sujeitos aos novos Termos de Serviço modificados. Quando você continuar a usar a Shopify, acreditamos que você celebrou um contrato vinculativo conosco que inclui nosso Adendo de Processamento de Dados, conforme exigido pelo GDPR.

O que faço se tiver mais dúvidas sobre o GDPR ou sobre as leis de privacidade locais?

Entre em contato com um advogado local especializado em privacidade ou proteção de dados.

Quem posso contatar para mais informações sobre as práticas da Shopify?

Entre em contato com privacy@shopify.com para mais informações sobre as práticas da Shopify.

Se eu usar a Shopify para hospedar minha loja, minha empresa está em conformidade com o GDPR?

Não automaticamente. Embora as operações da Shopify estejam em conformidade com o GDPR, e a Shopify forneça ferramentas para ajudar seus lojistas a cumpri-lo, é responsabilidade de cada lojista garantir que seus negócios estejam em conformidade com as leis da jurisdição na qual opera.

Usar a plataforma da Shopify sozinha não garante que uma empresa esteja em conformidade com o GDPR.

A Shopify assinará cláusulas contratuais padrão?

Não. Conforme descrito na seção Transferências de dados de nosso whitepaper, a Shopify estruturou seus fluxos de dados para que os lojistas transfiram dados para a afiliada irlandesa da Shopify na Europa. Por esse motivo, as Cláusulas Contratuais Padrão não são apropriadas, pois são aprovadas para transferências entre uma parte européia e uma parte não européia.

Além disso, em relação às transferências diretamente para a Shopify Inc., a Shopify contaria, em tais casos, com a decisão de adequação da Comissão Europeia à lei de privacidade do Canadá, que se estende à Shopify Inc. como uma corporação canadense.

Pronto(a) para começar a vender com a Shopify?

Experimente de graça