Como criar um site de acordo com as leis alemãs

Neste guia você descobrirá tudo que é necessário saber para criar um site legalmente na Alemanha. Bem-vindos sejam ao mundo absurdo e surreal das normas européias. Nós seremos o seu guia nesta jornada. A caminhada será longa e perigosa…

Conformidade com RGPD / DSGVO

O Regulamento Geral de Proteção de Dados entrou em vigor em 25 de maio de 2018. Ele estabelece regras estritas sobre como os sites devem coletar dados pessoais dos cidadãos da União Europeia. Os dados pessoais incluem qualquer coisa que possa identificar pessoalmente um usuário: nome, email, número de telefone, dados de localização, cookies, endereço IP e assim por diante.

Os princípios básicos do RGPD são o seguinte:

• Colete apenas os dados que você realmente precisa - Tenha cuidado com os dados coletados acidentalmente, como logs do servidor.
• Não armazene dados por mais tempo que o necessário -  Defina políticas de retenção apropriadas para os dados que você coleta sobre seus usuários e exclua-os quando não forem mais necessários.
• Não armazene dados pessoais sem o consentimento do usuário -  Obtenha consentimento explícito de seus usuários antes de coletar seus dados. A única exceção é para dados que são absolutamente necessários para fazer seu serviço funcionar.
• Seja transparente sobre os dados que você coleta de seus usuários - Divulgue os dados que você coleta, por que você os coleta e para quem os coleta. Coloque essas informações em sua política de privacidade (Datenschutzerklärung).
• Use apenas os dados para a finalidade para a qual foram coletados.
• Armazene os dados sobre seus usuários com segurança.
• Dê a seus usuários uma maneira de excluir suas contas e apagar seus dados.

Algumas referências que usamos para entender esta lei:

• O que são dados pessoais
• O RGPD em português
• Visão geral do regulamento
• Guia RGPD para desenvolvedores (Inglês)

A quem se aplica este Regulamento?

Basicamente a qualquer site ou serviço online que receba visitantes da União Europeia. O Regulamento também se aplica a sites pessoais e blogs. Neste link você encontrará mais informações sobre para quem o Regulamento serve.

Base Legal

O Regulamento Geral sobre a Proteção de Dados (RGPD) está disponível aqui.

Como proceder

1. Leia e entenda o regulamento
2. Colete apenas os dados que você realmente precisa
3. Divulgue quais dados você coleta sobre seus usuários
4. Defina uma data de validade para os dados que você coleta sobre seus usuários
5. Permita que seus usuários excluam os dados coletados sobre eles

Exemplo

No BATATOLANDIA, nós coletamos dados sobre cookies, o endereço IP e data de visita dos nossos leitores. Além disso, coletamos o email, nome e foto dos usuários cadastrados no site. Nós utilizamos estes dados para melhor entender e identificar a preferência dos nossos usuários e direcionar o conteúdo de acordo.  O tempo de vida dos cookies é de 6 meses a 1 ano. Todos os dados coletados são apagados permanentemente com a remoção de cadastro. Além do mais, nós informamos sobre todos os dados coletados em nossa política de privacidade.

Cookies

Se você usa cookies no seu site, existem algumas regras que você deve seguir:

• Você não pode definir nenhum cookie de rastreamento até que os usuários dêem seu consentimento explícito - Isso significa que os cookies de marketing e rastreamento devem ser aceitos. Isso inclui cookies definidos pelo Google Analytics.
• Você não pode forçar os usuários a aceitar cookies de rastreamento para usar seu site.
• Você não pode tornar os cookies de rastreamento uma condição para usar seu serviço - Você não pode dizer "ao usar este site, você concorda em aceitar nossos cookies".
• Você não pode forçar os usuários a aceitar cookies de rastreamento nos seus termos e condições.
• Você deve permitir que os usuários optem por desativar os cookies de rastreamento - Os usuários devem ter uma maneira de optar por não seguir os cookies de rastreamento, exceto os cookies necessários para fazer o site funcionar.
• Os cookies necessários não precisam de consentimento -  Você não precisa do consentimento do usuário para definir cookies que não contêm informações de identificação pessoal e que são necessários para fazer o site funcionar. Você não precisa permitir que os usuários optem por esses cookies.
• Sua política de privacidade deve explicar claramente quais cookies você define e para que são usados.
• Tenha cuidado com o conteúdo incorporado -  Vídeos do YouTube, comentários do Disqus, botões de like do Facebook e outros widgets de terceiros geralmente definem cookies de rastreamento. Você pode desativar esses widgets até obter o consentimento de seus usuários ou parar de usá-los completamente.

Algumas referências que usamos para entender esta lei

• Cookies e o RGPD
• Cookie consent | How do I comply with the GDPR?

Ferramentas como CookieBot, Consently e Cookie Consent podem ajudá-lo a implementar um aviso de cookie compatível com o RGPD.

Base Legal

Na União Europeia, os cookies deixaram de ser regulamentados pela Diretiva de Cookies e passaram a ser regulados pelo o Regulamento Geral de Proteção de Dados (RGPD), particularmente os artigos 6 e 7. § 15 Abs.3.

Como proceder

1. Se você utiliza cookies, informe seus usuários com um aviso detalhado sobre cookies.
2. Explique como e por que você usa cookies na política de privacidade do seu site.
3. Exija consentimento explícito de seus usuários antes de configurar os cookies de rastreamento e ofereça a eles uma maneira de optar por não usar cookies não essenciais.

Exemplo

O site PIWIK tem um sistema bem legal que permite o usuário escolher quais cookies ele deseja ativar. 

Google Analytics

Para usar o Google Analytics legalmente na Alemanha, será preciso executar os seguintes passos no painel administrativo do serviço:

1 . Aceite os termos de processamento de dados

Se você usa o Google Analytics em um site na União Europeia ou na Suíça, deve concordar com os Termos de processamento de dados do Google Analytic. Para fazer isso, abra o Google Analytics e, em Admin > Configurações da conta > Alteração no processamento de dados, clique em "Revisar alteração".

2. Anonimização de endereço IP do usuário

Um passo importantíssimo para a conformidade do seu site é  ativar o anonimização de endereço IP do usuário. Alguns sites já enfrentaram problemas por anonimizar incorretamente os endereços IP no Google Analytics, portanto, essa é uma etapa muito séria. Você anônima os endereços IP adicionando a seguinte linha no código de rastreamento do seu site:

ga ('set', 'anonymizeIp', true) 

Esta linha deve ser adicionada diretamente antes da linha ga ('send', 'pageview'). Observe que após concluir este passo, será necessário excluir todos os dados já salvos pelo Google Analytics. A única forma de fazê-lo, é removendo o seu site no painel administrativo do Google Analytics e criando-o novamente.

3. Exija consentimento antes de ativar os cookies do Google Analytics.

Você deve obter o consentimento de seus usuários antes de começar a rastreá-los. Isso significa que o Google Analytics deve permanecer desativado até que seus usuários concordem explicitamente em ser rastreados. Veja a seção sobre cookies para mais detalhes. Este guia explica como desativar o rastreamento do Google Analytics no seu site.

4. Atualize os termos de privacidade do seu site

Você precisa informar os usuários que eles estão sendo rastreados via Google Analytics. Esta informação deverá ser disponibilizada no texto dos Termos de Privacidade do seu site.

5. Defina o período de retenção de dados

No console do Google Analytics, é possível alterar o período de retenção de dados do usuário. Diminua este valor para 14 meses ou menos para estar em conformidade com o regulamento RGPD. Você também deverá desativar a opção de "Redefinir em nova atividade". Estas configurações podem ser encontradas em Admin > Configurações de conta > Informações de rastreamento.

A quem se aplica esta regra?

Qualquer indivíduo ou empresa que utilize o Google Analytics no seu site.

Base Legal

Veja o § 11 Bundesdatenschutzgesetz (BDSG), assim como o Datenschutz-Grundverordnung DSGVO.

Como proceder

1. Concorde com os Termos de processamento de dados do Google Analytics.
2. Configure o Google Analytics para anonimizar endereços IP.
3. Exclua os dados coletados pelo Google Analytics antes de anonimizar os endereços IP.
4. Informe seus usuários sobre os cookies do Google Analytics em seu aviso de cookie e em sua política de privacidade.
5. Ofereça aos usuários uma maneira de desativar os cookies do Google Analytics.
6. Defina o período de retenção de dados do Google Analytics para 14 meses ou menos e desative "Redefinir em nova atividade".

Política de Privacidade (Datenschutzerklärung)

Seu site precisa ter uma política de privacidade na qual você descreve como coleta, processa e usa dados sobre seus usuários. Se você não incluir uma política de privacidade em seu site, poderá receber uma multa (Abmahnung) (Fonte).

Caso, precise de ajuda na formulação da sua política de privacidade, contrate um advogado ou use um gerador de política de privacidade.

A quem se aplica esta regra?

Qualquer indivíduo ou empresa que opere um site, mesmo sendo um site sem fins lucrativos (Fonte).

Base Legal

A política de privacidade é obrigatória segundo o § 13 Abs. 1 Telemediengesetz (TMG).

Como proceder

1. Crie uma política de privacidade e link no site

Exemplos

• Política de privacidade do site BATATOLANDIA
• Política de privacidade do banco N26
• Política de privacidade do site Civitatis

Impressum

Se você frequenta sites alemães, então já deve ter se deparado com o link de Impressum presente no rodapé de todas as páginas. O Impressum é onde você lista suas informações de contato. Esta página é obrigatória para todos os sites comerciais operados por uma pessoa ou organização alemã, mesmo que o site esteja hospedado em outro país ou possua um domínio .com (Fonte). Um site pessoal e não comercial não precisa de um Impressum. Em outras palavras, se você mora na Alemanha e usa seu site para ganhar dinheiro ou promover um negócio, precisará adicionar uma página de Impressum.

Um Impressum deve ser "facilmente identificável, diretamente acessível e constantemente disponível". Isso geralmente significa colocar um link "Impressum" claramente identificado na parte inferior ou superior de todas as páginas.

Um Impressum precisa sempre apresentar:

• O nome completo da empresa ou do proprietário do site.
• Um endereço de email que pode ser usado para entrar em contato com o proprietário da empresa ou do site
• O endereço completo da empresa ou do proprietário do site. Você não pode usar uma caixa postal.
• O número de telefone e número de fax do proprietário do site. O Tribunal de Justiça Europeu afirma que um número de telefone não é obrigatório se o usuário tiver opções alternativas para contato rápido e comunicação direta e eficiente.

Caso aplicável, o Impressum também precisa apresentar:

• Detalhes de qualquer organização mãe do site ou empresa
• O número de IVA (Umsatzsteuer-Identifikationsnummer) da empresa
• O nome e endereço da câmara de comércio onde a empresa foi registrada e o seu Handelsregisternummer
• Nomes dos diretores e representantes legais da empresa

É importante ter um Impressum completo. Alguns advogados examinam agressivamente os sites dos concorrentes de seus clientes e reclamam danos quando encontram um site com Impressum ausente ou incompleto. É possível até que alguns proprietários de site recebem cartas de desistência por não terem um Impressum em sua página no Facebook.

A quem se aplica esta regra?

Qualquer indivíduo ou empresa alemã que administre um site comercial. Não importa se o site usa um domínio .com ou está hospedado em outro país.

Base Legal

§ 5 Telemediengesetz (TMG), § 55 Rundfunkstaatsvertrag (RStV) e § 2 DL-InfoV.

Como proceder

1. Adicione um Impressum ao seu site com todas as informações necessárias.
2. Adicione um Impressum à sua página de negócios do Facebook, se aplicável.
3. Torne o Impressum claramente visível e diretamente acessível em todas as páginas do seu site.

Exemplos

• Impressum do BATATOLANDIA
• Impressum da BMW
• Impressum do Lucias Studio

Logs de Servidor

De acordo com o RGPD, um endereço IP é considerado um dado pessoal (Fonte). Os logs do servidor provavelmente contêm os endereços IP dos visitantes, portanto, eles contêm dados pessoais. Isso significa que o RGPD também se aplica aos logs do servidor.

Abaixo, as diretrizes básicas para logs de servidor compatíveis com RGPD:

• Não colete logs, a menos que você precise - a maneira mais fácil de ter logs compatíveis com RGPD é simplesmente não manter nenhum registro.
• Não armazene logs por mais tempo do que o necessário - se você precisar coletar logs do servidor, mantenha-os pelo menor tempo possível (Fonte). Defina uma política de rotação de logs que exclua automaticamente os logs mais antigos do servidor.
• Se você coletar logs, não registre informações pessoais neles -  Endereços IP são dados pessoais. Como a maioria dos logs do servidor contém endereços IP, seus logs contém dados pessoais. Se você coletar logs sem endereços IP ou outros dados pessoais, eles estarão automaticamente compatíveis com o RGPD.
• Se você coletar endereços IP em seus logs, informe a seus usuários sua política de privacidade - você até pode coletar logs sem consentimento sob certas condições, mas, em qualquer caso, informe seus usuários em sua política de privacidade.

A quem se aplica esta regra?

Qualquer site que coleta logs contendo dados pessoais. A maioria dos servidores da Web coleta logs de acesso por padrão.

Base Legal

Os endereços IP são considerados dados pessoais de acordo com o RGPD.

Como proceder

1. Colete logs apenas se necessário
2. Excluir automaticamente logs antigos
3. Se possível, remova dados pessoais como endereços IP dos seus logs
4. Se seus registros contiverem dados pessoais, informe seus usuários em sua política de privacidade

Conteúdo patrocinado e links afiliados

A Telemediengesetz estipula que publicidade em sites precisa ser claramente identificada. Não é permitido disfarçar um anúncio como se fosse conteúdo genuíno. Caso contrário, é considerada publicidade clandestina e você pode receber um multa por "concorrência desleal".

Os links de afiliados precisam ser rotulados

Links de afiliados são considerados "comunicações comerciais" de acordo com o § 6 TMG, mas não de acordo com o § 3 MDStV, pois você colocou os links "independentemente e sem compensação financeira". Vários advogados sugerem marcar esses links de afiliados como publicidade mesmo se você não estiver recebendo diretamente uma compensação financeira pelo conteúdo do afiliado. 

O conteúdo patrocinado precisa ser rotulado

Se você for pago para colocar uma postagem patrocinada em seu blog, precisará informar claramente a seus usuários que essa postagem é um anúncio e informar quem está patrocinando o anúncio. Em outras palavras, você não pode disfarçar um anúncio como um texto editorial.

A quem se aplica esta regra?

Qualquer indivíduo ou empresa alemã que use links afiliados, conteúdo patrocinado ou anúncios em seu site.

Base Legal

De acordo com o § 6 Telemediengesetz (TMG), "as comunicações comerciais devem ser claramente identificadas como tais". As comunicações comerciais são ainda definidas pela § 3 do Mediendienstestaatsvertrag (MDStV).

Como proceder

1. Marque claramente o conteúdo patrocinado como anúncios
2. Marque claramente os links de afiliados como anúncios ou, pelo menos, divulgue que a postagem contém links de afiliados

Exemplos

Os seguintes posts do site BATATOLANDIA possuem links afiliados:

• 10 lugares para lua de mel na Alemanha
• 30 anos da queda do Muro de Berlim

Os seguintes posts do site BATATOLANDIA são posts patrocinados:

• Checklist - Estudar na Alemanha 2019

Imagens Creative Commons

Se você usar imagens com uma licença Creative Commons, certifique-se de atribuir o autor adequadamente. Na Alemanha, usar o formato de atribuição errado pode ser um erro caro. Alguns sites que conhecemos já tiveram que pagar centenas de euros em honorários de advogados por cometer esse erro.

Aqui estão as diretrizes básicas sobre o uso de imagens do Creative Commons em seu site:

• Preste atenção na licença das imagens que você utiliza no seu site - as imagens da Wikipedia nem sempre são gratuitas. Use imagens de domínio público que possam ser usadas sem restrições. Você pode encontrar imagens de domínio público em sites como  pxhere.com ou pixabay.com.
• Entenda que "imagens gratuitas" às vezes vêm com condições - Algumas variantes da licença Creative Commons requerem atribuição ao autor, proíbem o uso comercial e até proíbem trabalhos derivados. Confira esta página para mais detalhes.
• Use o formato correto ao dar crédito ao autor - O crédito adequado inclui o Título, o Autor, a Fonte e a Licença. Veja este guia (inglês) para mais detalhes.

A quem se aplica esta regra?

Qualquer pessoa que use a mídia Creative Commons em seu site. A maioria das imagens provenientes da Wikipedia está sob uma licença Creative Commons, portanto, você precisa dar crédito ao autor.

Base Legal

O requisito para a atribuição apropriada encontra-se na licença Creative Commons.

Como proceder

1. Verifique se você realmente tem o direito de usar as imagens em seu site.
2. Atribua as imagens Creative Commons que você já usa com o formato correto.

Sites geradores de renda

Se o seu site gera renda, é um negócio. Se não faz parte de uma empresa registrada, será necessário registrá-la no Gewerbeamt e no Finanzamt.

Se o seu site se qualificar como Gewerbe, você precisará de uma licença comercial (Gewerbeschein) - Você deve solicitar uma licença comercial no seu Gewerbeamt local. Em Berlim, isso pode ser feito online. Se você gerar mais de 24 500 € por ano em receita, você também precisará pagar o imposto comercial (Gewerbesteuer).

Se o seu site gera renda, você precisa registrá-lo no Finanzamt - Você se registra preenchendo o Fragebogen zur steuerlichen Erfassung. Você receberá um número de contribuinte (Steuernummer), que precisará inserir no seu Impressum.

Ganhar dinheiro com seu site é considerado trabalho autônomo -  Se você não tem permissão para trabalhar por conta própria na Alemanha, também precisará solicitar um visto freelance. Você pode obter um visto freelance além de um visto existente (fonte).

A quem se aplica esta regra?

Qualquer indivíduo que administra um site como empresa independente.

Como proceder

1. Antes de executar um site comercial na Alemanha, verifique se você tem permissão para trabalhar como freelancer neste país.
2. Se o seu site for uma empresa independente, solicite um Gewerbeschein no seu Gewerbeamt local.
3. Se o seu site for uma empresa independente, declare-o junto ao Finanzamt preenchendo o Fragebogen zur steuerlichen Erfassung.
4. Depois de receber um número de contribuinte (Steuernummer) do Finanzamt, adicione-o ao seu Impressum.