Segurança

WordPress e RGPD: conformidade em sites de clientes para agências

· Beatriz Rodrigues · 13 min de leitura

O RGPD (Regulamento Geral sobre a Protecção de Dados) aplica-se a qualquer site que processe dados de residentes europeus — o que inclui praticamente todos os sites com formulário de contacto, analytics, ou cookies de terceiros. Para agências que gerem sites de clientes, perceber o que é responsabilidade técnica da agência e o que é responsabilidade legal do cliente é essencial.

Quem é responsável por quê: agência vs cliente

Uma das confusões mais comuns é sobre responsabilidade. O framework geral:

  • O cliente é o Responsável pelo Tratamento (data controller) — decide para que fins são tratados os dados dos seus utilizadores, define políticas de privacidade, e é o responsável legal perante a CNPD e os utilizadores.
  • A agência pode ser Subcontratante (data processor) — se processa dados do cliente para prestar serviços (hospedagem, backups, acesso ao wp-admin). Neste caso, deve existir um contrato de subcontratação de dados.

Em termos práticos: a agência é responsável pelas escolhas técnicas (que ferramentas usa, como configura o site, que dados passa a terceiros); o cliente é responsável pelas decisões de negócio (para que recolhe dados, por quanto tempo os guarda, como responde a pedidos de acesso).

Cookies e consentimento: o básico que muitos sites ainda erram

O RGPD exige consentimento explícito e informado antes de colocar cookies não essenciais (analytics, marketing, personalização). Os erros mais frequentes em sites WordPress:

Banner de cookies que não bloqueia scripts

Ter um banner de cookies que aparece mas não impede o Google Analytics ou o Facebook Pixel de disparar antes do consentimento é uma violação — e é o erro mais comum. O banner precisa de bloquear activamente os scripts de terceiros até o utilizador aceitar.

Plugins que resolvem isto correctamente em WordPress: Complianz GDPR, CookieYes, ou Usercentrics. Estes plugins integram com GTM ou bloqueiam scripts directamente para garantir que nenhum cookie não-essencial é colocado antes do consentimento.

Banner sem opção de recusa fácil

O botão "Aceitar todos" não pode ser mais proeminente do que a opção de recusar ou configurar. Designs que escondem a recusa numa sub-página de preferências violam o princípio de consentimento livre.

Registos de consentimento

O RGPD requer que o responsável pelo tratamento consiga provar que obteve consentimento válido. As plataformas de gestão de consentimento (CMP) registam automaticamente data, hora, versão da política e escolha do utilizador para cada sessão.

Formulários e recolha de dados

Cada formulário que recolhe dados pessoais (nome, email, telefone) deve:

  • Indicar claramente para que fim os dados são recolhidos
  • Ter checkbox de consentimento explícito para newsletter (se aplicável) — não pré-seleccionada
  • Ter link para a política de privacidade acessível
  • Os dados enviados pelo formulário devem ser armazenados de forma segura e eliminados quando o prazo de retenção termina

Plugins como WPForms ou Gravity Forms têm funcionalidades RGPD que ajudam a configurar estes requisitos.

Google Analytics e dados de utilizador

O Google Analytics 4 envia dados de comportamento de utilizadores para servidores Google nos EUA. Em 2023, a CNIL francesa (e outras autoridades europeias) declarou o GA3 incompatível com o RGPD sem medidas adicionais. O GA4 melhorou a situação, mas a conformidade requer:

  • Anonymização de IP activa (no GA4 é por defeito)
  • Desactivar partilha de dados com Google para fins de publicidade nas definições da propriedade
  • Consentimento antes do disparo do script GA4
  • Actualização dos termos de processamento de dados com Google

Para organizações com requisitos mais estritos, alternativas self-hosted como Matomo processam dados em servidores europeus sem transferência para os EUA.

Backups e retenção de dados

Os backups de sites WordPress contêm dados pessoais — emails de utilizadores, dados de encomendas, submissões de formulários. As implicações RGPD:

  • Os backups devem ser encriptados em trânsito e em repouso
  • O período de retenção dos backups deve ser justificável — backups de 3 anos atrás com dados de clientes desactivos podem ser problemáticos
  • Se o cliente pedir eliminação dos seus dados, os backups históricos são um complicador — é necessário definir uma política de retenção

Obrigações quando há uma quebra de segurança

Se o site de um cliente for comprometido e dados pessoais forem acedidos, existe obrigação legal de notificar a CNPD dentro de 72 horas da detecção. Se a quebra representar elevado risco para os titulares dos dados, estes também devem ser notificados.

A agência deve ter um processo claro de detecção e notificação de incidentes que inclua este requisito. Para detalhes sobre como gerir incidentes WordPress, ver o artigo sobre gestão de incidentes WordPress.

Lista de verificação RGPD para sites WordPress

  • Plataforma de gestão de consentimento (CMP) activa e a bloquear scripts antes do consentimento
  • Política de privacidade actualizada e acessível em todas as páginas com formulário
  • Formulários com consentimento explícito e propósito declarado
  • Google Analytics com anonymização de IP e consentimento pré-disparo
  • SSL activo (HTTPS) em todo o site
  • Backups encriptados e política de retenção definida
  • Processo de resposta a pedidos de acesso e eliminação de dados
  • Contrato de subcontratação de dados entre agência e cliente

Quer uma auditoria de conformidade RGPD do site do seu cliente?

O nosso serviço de suporte WordPress especializado inclui auditoria de conformidade técnica RGPD e implementação das medidas necessárias.

Auditar conformidade RGPD