Em março de 2018, quando o fiasco de dados Cambridge Analytica-Facebook se tornou de conhecimento geral, criou ondas em todo o mundo. Governos de vários países tomaram conhecimento do clamor público e começaram a lançar as bases para a proteção de dados e privacidade de seus cidadãos.

Os legisladores da União Europeia (UE) lideraram a acusação. Inúmeras leis e diretivas foram criadas enquanto algumas das leis desatualizadas foram revisitadas, impondo novas obrigações e responsabilidades aos controladores e processadores de dados.

Neste guia informativo, apresentamos nossa pesquisa sobre as regulamentações e leis europeias de comércio eletrônico que um proprietário de empresa deve conhecer antes de iniciar seu mercado de comércio eletrônico, como Flubit, ASOS ou Allegro. Vamos começar com o amplamente aceito e implementado; GDPR.

Índice

• Noções básicas do GDPR
• O GDPR é importante para o setor de comércio eletrônico. Aqui está o porquê!
• E-Commerce, VAT & Brexit e sua harmonia de trabalho
• Gateways de pagamento e pagamentos online
• Diretiva de Vendas à Distância
• Setor de Cartões de Pagamento - Conformidade com o Padrão de Segurança de Dados (PCI DSS)
• Diretiva Europeia WEEE
• Conclusão

Noções básicas do GDPR

O Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em 25 de maio de 2018, é um regulamento sobre proteção e privacidade de dados na União Europeia (UE) e sua área econômica. É para proteger os dados dos residentes da UE.

Dados pessoais referem-se a qualquer informação que possa ser rastreada até uma pessoa identificável. Pode incluir nome, endereço de e-mail, endereço IP, etc.

O GDPR se aplica a qualquer negócio ou empresa, independentemente de sua localização e/ou da cidadania ou residência dos titulares dos dados (indivíduos). Se você estiver processando as informações pessoais de indivíduos dentro do Espaço Econômico Europeu (EEE) ou se tiver clientes da UE, você precisa estar ciente disso. Existem seis bases legais especificadas pelo GDPR (consentimento, contrato, tarefa pública, interesse vital, interesse legítimo ou requisito legal).

Para além da base legal, existem certos direitos conferidos aos titulares dos dados da UE ao abrigo do novo regulamento, que são os seguintes:

• Direito de acesso significa que os clientes têm o direito de saber como seus dados são usados. Portanto, as empresas precisam avaliar os indivíduos com essas informações.
• Direito de transferência afirma que os clientes ou titulares de dados têm o direito de transferir seus dados de uma empresa para outra.
• O direito ao esquecimento implica que se um cliente pretender que todos os seus dados sejam apagados, as empresas devem cumprir o pedido.
• O direito de ser informado reforça que os clientes precisam ser explicitamente informados de que seus dados estão sendo coletados e o consentimento livre deve ser obtido.
• Direito a ser corrigido dá aos clientes o direito de atualizar seus dados se estiverem desatualizados ou incorretos.
• O direito de não processar implica que um cliente pode optar por não ter seus dados processados, mas seus registros podem permanecer no sistema.
• Direito de oposição significa que um cliente pode optar por não processar seus dados para Marketing Direto.

Além disso, existem certos deveres e direitos que as empresas devem cumprir de acordo com as novas diretrizes do GDPR:

• Em caso de violação de dados, uma empresa deve divulgá-la e denunciá-la dentro de 72 horas às Autoridades Supervisoras Nacionais.
• Todas as empresas devem nomear um Data Protection Officer (DPO) em caso de manipulação de dados em massa.
• Para manter os dados protegidos, as empresas devem tomar as medidas necessárias.
• Mesmo que as empresas precisem coletar dados, deve ser a quantidade mínima necessária.
• As empresas/empresas devem obter consentimento explícito antes de coletar dados pessoais.
• Se as empresas internacionais ou nacionais não cumprirem o regulamento de proteção de dados, podem ser multadas em até € 20 milhões ou 4% do seu faturamento anual mundial do exercício anterior, o que for maior.

Devido à dependência da União Europeia no GDPR, tornou-se um modelo para outros países e estados seguirem. Países como Chile, Japão, Brasil, Quênia e Estados Unidos da América têm muitas semelhanças com seus regulamentos, tornando-se uma regra global para empresas e empresas seguirem e cumprirem.

O GDPR é importante para o setor de comércio eletrônico. Aqui está o porquê!

O GDPR reformulou o setor de comércio eletrônico na Europa e em outros continentes. Considerando que as empresas que operam no domínio do comércio eletrônico precisam lidar com os dados pessoais dos clientes e coletar, armazenar ou usar os dados, elas precisam seguir uma infinidade de regulamentos por causa do manuseio de dados dos clientes da UE.

• Uma empresa deve divulgar os detalhes de contato de sua loja de comércio eletrônico.
• Mesmo que você não tenha um escritório físico na Europa, mas tenha clientes na UE, terá que cumprir o GDPR.

Embora uma empresa não precise fazer nada fora do comum para garantir que sua empresa esteja em conformidade com o GDPR, ela ainda precisa garantir que seus T&C e Política de Privacidade, juntamente com as configurações de cookies, estejam atualizados.

Observação: de 1 a 10.000 funcionários, o GDPR se aplica a todos, mas a manutenção de registros é necessária apenas para empresas com mais de 250 funcionários.

Existem alguns aspectos que você precisa levar em consideração para estar em conformidade com o GDPR:

• Dê aos usuários escolha e controle sobre se eles dão consentimento ou não
• Pedir aos usuários opt-in significa que as caixas pré-marcadas não contam como consentimento, portanto, o usuário deve "opt-in" por si mesmo
• Destacar explicitamente o que o indivíduo está consentindo
• As solicitações de consentimento devem ser separadas de outros termos de serviço
• Seja específico; não use uma maneira de guarda-chuva para pegar tudo de uma vez
• Seja claro e conciso: não há espaço para duplas negativas
• Os terceiros que contarão com o consentimento devem ser nomeados
• Retirada de consentimento fácil e como fazer isso é importante
• Documentar e manter a prova do consentimento em termos de quem consentiu, quando, como e o que foi a mensagem comunicada naquele momento
• Revise o consentimento que você recebeu e atualize-o se algo mudar
• Evite fazer do consentimento uma pré-condição para usar seu serviço

Pagamentos transfronteiriços e riscos de conversão de moeda:

Os encargos de pagamento transfronteiriço em toda a Europa são intercambiáveis, independentemente da sua participação na área do euro. Além disso, os pagamentos domésticos em euros são muito onerosos, permitindo aos prestadores de serviços de pagamento (PSPs) cobrar de forma variável.

Para atender a esta questão, o Parlamento Europeu atualizou seus regulamentos de pagamento. O CBPR2 ou Regulamento Transfronteiriço planeja introduzir mais transparência nas taxas de conversão de moeda e estabelecer padrões em POS (Point of Sale) e caixas eletrônicos.

Os PSPs devem fornecer o seguinte aos usuários que iniciam uma transferência direta por cartão de crédito online:

• uma taxa de conversão estimada
• um valor total estimado na moeda da conta do pagador
• um valor total estimado a ser pago ao usuário do serviço de pagamento na moeda da conta do pagador
• taxa de transação, se houver
• taxa de conversão de moeda, se houver

O CBPR2 exige ainda que, antes do início de qualquer transação baseada em cartão que envolva uma conversão de moeda em um caixa eletrônico ou POS, os PSPs devem divulgar as seguintes informações ao usuário/beneficiário do serviço de pagamento:

Declaração:

• Taxas de conversão de moeda, bem como as taxas de câmbio utilizadas.

Conformidade Fiscal:

• A margem de lucro percentual sobre a taxa de câmbio do euro mais recente emitida pelo Banco Central Europeu
• O montante total a pagar na moeda utilizada pelo beneficiário e na moeda da conta PSP do ordenante

Preenchimentos de segurança:

• A possibilidade de pagar na moeda utilizada pelo beneficiário e de ter a conversão cambial realizada posteriormente pelo PSP do ordenante.
• O direito do beneficiário de recusar o serviço de conversão de moeda e pagar na moeda utilizada pelo beneficiário.

Originalmente compartilhado aqui

Lei de comércio eletrônico na Europa e conversões de moeda:

Devido à conversão de moeda, surgem vários riscos devido à constante troca de dinheiro. De acordo com os novos regulamentos, a taxa de câmbio utilizada será sempre a taxa no momento da transação. Três tipos de moedas associadas a uma loja online são :

• Moeda da loja – É a moeda que aparece nos relatórios e é do administrador que é usada para definir os preços dos seus produtos e suas variantes.
• Moeda Local – É a moeda que o cliente usa para pagar seu pedido no checkout e também é visível em sua loja.
• Moeda de pagamento – É a moeda utilizada para depositar dinheiro na conta bancária de um usuário que pode ser atendida pelo Admin ou diretamente pelos lojistas.

Riscos:

• Em caso de atrasos no processamento ou reembolsos, existe a possibilidade de você perder ou ganhar dinheiro devido à flutuação contínua das taxas de câmbio.
• Se sua loja negociar em várias moedas, os preços são convertidos e atualizados automaticamente com as taxas de mercado (também há uma pequena taxa de conversão envolvida).

E-Commerce, VAT & Brexit e sua harmonia de trabalho

A Grã-Bretanha consiste na Inglaterra, País de Gales e Escócia, e tem novas regras de IVA para os bens importados do Reino Unido desde o dia do ano novo de 2021. A Irlanda do Norte agora tem status duplo pós-Brexit, então eles farão parte do território alfandegário do Reino Unido, mas também faz parte do mercado único da UE para efeitos de IVA.

A partir de agora, as empresas de comércio eletrônico precisam cuidar de certos aspectos técnicos para garantir que não fiquem com os pés pendurados em águas turbulentas:

• Em primeiro lugar, solicite o número de IVA do Reino Unido em cada país para o qual você está vendendo, pois a regra do balcão único entrou em vigor a partir de 1º de julho de 2021.
• Recolher o IVA em encomendas enviadas para o Reino Unido com menos de 135 libras,
• No caso de um mercado online, a responsabilidade passa para a plataforma.
• Arquive e envie o IVA ao HMRC a cada trimestre.
• Solicitar um número de Registro e Identificação Econômica (EORI); é utilizado nas declarações aduaneiras, o que auxilia na identificação dos exportadores nos procedimentos e documentação aduaneira.
• Reavaliar e atualizar suas configurações fiscais; se você usar o Avalara, isso será feito automaticamente.
• As regras variam para B2B e B2C, e os códigos de mercadorias são vitais, considerando que se você receber os códigos errados, poderá acabar pagando as tarifas erradas ou ter suas mercadorias bloqueadas pela alfândega.

Necessidade de Representante Fiscal Local:

Embora ainda não tenha se tornado oficial, acredita-se que 19 dos 27 países da Europa sejam obrigados a ter um representante local do IVA de acordo com o novo Regulamento do IVA e da UE de comércio eletrônico. Noruega, Austrália, Japão ou Coréia do Sul já estão seguindo este acordo onde o Representante Fiscal local é geralmente um advogado ou um contador.

A não nomeação de um Representante Fiscal pode resultar em multas. Tendo em mente que esses representantes serão responsabilizados se sua plataforma não estiver em conformidade com os impostos, você pode ter que pagar a eles uma quantia considerável em dinheiro ou garantia bancária.

Gateways de pagamento e pagamentos online

Uma autenticação forte do cliente (SCA) é obrigatória para ajudar a reduzir os casos de fraude do cliente na Grã-Bretanha e na Europa. De acordo com a Silicon Canals, uma empresa de fintech, as empresas baseadas em comércio eletrônico devem crescer até US$ 1 trilhão até 2022 na Europa, e mais de US$ 1 bilhão é a fraude esperada nos cartões europeus de acordo com o BCE a cada ano.

O SCA é necessário para a maioria dos pagamentos com cartão. O não cumprimento do SCA pode levar a falhas nas transações de pagamentos e outras consequências dispendiosas. De acordo com o novo regulamento, a autenticação de dois fatores é obrigatória para que os clientes forneçam 2 de 3 informações importantes para provar sua identidade, que são as seguintes:

• algo que eles possuem (um celular, token ou cartão inteligente) ,
• algo que eles sabem (código PIN ou senha) ,
• algo que eles são (impressão digital ou padrão de voz) .

O advento de provedores terceirizados aumentou ainda mais a concorrência e a complexidade. Desde 2018, existem dois tipos de provedores de open banking, ambos com finalidades diferentes.

• Provedores de Serviços de Iniciação de Pagamento (PISP)
• Provedores de Serviços de Informações de Contas (AISP)

Os PISPs estão autorizados a iniciar pagamentos dentro e fora da conta de um usuário, enquanto os AISPs têm o poder de recuperar as informações da conta fornecidas pelos bancos e instituições.

Esses dois lidam com os consentimentos do cliente necessários para acessar os dados do Open Baking. Em termos simples, eles explicam aos clientes o que será acessado, por quanto tempo e com quem será compartilhado.

As coisas podem ser esmagadoras para as empresas que não tiveram exposição a esse nível de dados antes, no entanto, entender as nuances e as leis em questão devem ser implementadas pelas organizações para proteger seus interesses e de seus acionistas.

Benefícios para os comerciantes online:

• Redução das taxas de fraude e aumento da confiança nos clientes
• Autenticação de dois fatores para facilitar o processo.
• Mais opções para os consumidores de comércio eletrônico

O que as empresas de internet podem fazer:

Mostre os métodos de pagamento apropriados dependendo do contexto e certifique-se de que sua plataforma tenha um padrão de 2 fatores seguro 3D.

Além dos itens obrigatórios, existem algumas isenções também para os regulamentos de autenticação forte do cliente que foram explicados pelo Stripe , que faz uma análise em tempo real para determinar se deve ou não aplicar o SCA a uma transação.

Operações de baixo risco:

As transações de baixo risco são consideradas válidas para SCA somente se o provedor de pagamento julgar necessário, após análise em tempo real. No entanto, existem algumas isenções que são possíveis se os pagamentos com cartão das taxas gerais de fraude do provedor de pagamento ou do banco não excederem os seguintes limites:

• 0,13% para transações isentas abaixo de € 100
• 0,06% para transações isentas abaixo de € 250
• 0,01% para transações isentas abaixo de € 500

Pagamentos abaixo de 30 euros:

As transações inferiores a 30 euros são consideradas de baixo valor e, portanto, podem estar isentas de SCA , no entanto, se este cenário se repetir mais de 5 vezes e o valor ultrapassar os 100 euros, os bancos terão de solicitar autenticação. Além disso, os bancos são obrigados a manter um controle sobre o número de transações.

Assinatura de valor fixo:

Neste caso, o primeiro pagamento do cliente requer SCA, podendo, no entanto, ser dispensado o pagamento subsequente.

Beneficiários confiáveis:

Ao concluir a autenticação de um pagamento , os clientes têm a opção de adicionar uma empresa à lista de permissões, que será adicionada à lista de “beneficiários confiáveis” do banco. Isso garantirá que ocorram menos falhas de autenticação.

Vendas por telefone:

Os detalhes do cartão do cliente coletados por telefone estão isentos de SCA e não requerem autenticação.

Pagamento corporativo:

Os pagamentos feitos por meio de números de cartões virtuais, comumente usados ​​pelo setor de viagens, também estão fora da SCA.

Pagamentos iniciados pelo comerciante:

Quando um cartão é salvo no sistema do lojista e o pagamento é feito com os cartões salvos, ele fica isento da autenticação, pois tecnicamente esses pagamentos estão fora do escopo dos SCAs.

Diretiva de Vendas à Distância

A venda à distância é, em termos simples, vender através de qualquer meio, incluindo digital, online, correio, entre outros. Se o seu negócio na Internet registrado no IVA vende para, digamos, na Grã-Bretanha, mas você não está registrado lá, mas em algum outro país da Europa, você está vendendo à distância. Não é fácil de entender, mas muito importante para as empresas que têm seus clientes e potenciais clientes na Europa.

Antes de vender a um cliente à distância, certifique-se de que inclui as seguintes informações:

• Nome, detalhes de contato e endereço da sua empresa
• Uma descrição detalhada do seu negócio
• Preço total incluindo todos os impostos e instruções sobre como pagá-los.
• Pagamento de entrega, cronograma e custo
• Período de cobrança e duração mínima do contrato
• Condições de depósitos, garantias financeiras e rescisão de contratos
• Critérios de cancelamento de pedidos juntamente com um formulário, quaisquer custos de cancelamento se houver e um prazo até quando eles têm o direito de cancelar

Todas essas informações devem ser fornecidas em um formato fácil de entender.

De acordo com essa diretiva, as empresas de comércio eletrônico devem informar a seus clientes que podem cancelar seu pedido dentro de 14 dias após a entrega, e nenhum motivo para cancelamento é necessário.

Estas regras de comércio eletrónico na UE aplicam-se às empresas que vendem serviços digitais em linha e devem ser seguidas com diligência.

Setor de Cartões de Pagamento - Conformidade com o Padrão de Segurança de Dados (PCI DSS)

Se sua empresa de comércio eletrônico aceita pagamentos com cartão de crédito, você precisa estar ciente de como o PCI DSS funciona e, mais importante, como isso afetará seus negócios.

Embora em muitos aspectos, o escopo do PCI e do GDPR se sobreponha, a diferença, no entanto, está em seu propósito. O GDPR atua como um meio para que os usuários entendam seus direitos e deveres quando um negócio na Internet coleta seus dados, mas não fornece segurança.

O PCI, por outro lado, lida diretamente com os aspectos de segurança e proteção dos dados do titular do cartão. Perda de dados, violações, roubo de identidade, entre outros, estão sob PCI. Embora neste padrão os clientes não tenham muito controle sobre seus dados, o PCI se concentra em manter os servidores seguros, limitando o acesso e focando na mitigação e gerenciamento de riscos.

Diretiva Europeia WEEE

Esta diretiva é especialmente importante para empresas que lidam com a venda e compra de produtos eletrônicos. A diretiva Waste Electrical and Electronic Equipment (ou WEEE) estabelece metas de coleta, reciclagem e recuperação para todos os tipos de produtos eletrônicos.

De acordo com os REEE, todos os equipamentos elétricos colocados no mercado devem estar registados no respetivo país, sendo ainda dadas as instruções para manter um diretório dos mesmos.

Todos os estados membros são obrigados a manter relatórios anuais de todos os equipamentos elétricos que são colocados no mercado, e todos os equipamentos registrados devem ser rotulados de acordo.

Isto torna-se um desafio para os vendedores que pretendem vender os seus produtos em vários países da UE, uma vez que terão de ser registados individualmente em cada país para garantir que estão em conformidade com as obrigações dos fabricantes locais. Se as organizações não cumprirem esta diretiva, multas pesadas podem ser impostas.

Embora esta diretiva tenha mais trabalho a fazer para os fabricantes, as empresas de internet ainda precisam garantir que seus produtos estejam sob os regulamentos fornecidos.

Alguns jargões comuns usados ​​na Europa que você precisa conhecer.

Vamos definir alguns dos principais termos que você verá ao pesquisar o GDPR.

• Titular dos Dados: A pessoa cujos dados privados estão sendo armazenados, coletados, compartilhados ou descartados.
• Dados Privados e Pessoais: Qualquer informação que identifique direta ou indiretamente uma pessoa viva. Por exemplo, informações da conta, informações de saúde, idade, sexo, endereço de e-mail, data de nascimento, endereço, endereço IP etc.
• Controlador de dados: É uma pessoa ou pessoas que determina como os dados pessoais são processados.
• Processador de dados: é uma pessoa ou pessoas que processam esses dados em nome do controlador.
• Obrigações dos processadores - Os processadores devem seguir as instruções do controlador de dados e devem ser capazes de mostrar conformidade com o GDPR
• Diretor de Proteção de Dados – Para supervisionar o GDPR, a conformidade geral de gerenciamento de privacidade e as práticas de proteção de dados, as empresas podem precisar nomear um membro da equipe ou um provedor de serviços para supervisionar o GDPR.
• Avaliações de impacto de privacidade (PIA) – As avaliações de impacto de privacidade devem ser realizadas no processamento de dados em larga escala para minimizar os riscos e identificar medidas para mitigá-los.
• Notificação de violação – As partes interessadas devem ser notificadas pelo Controlador dentro de 72 horas após tomar conhecimento de uma violação.

Fonte de informação

Outras diretivas e regulamentos a serem considerados:

Diretiva Europeia de Direitos Autorais (não uma lei, mas uma estrutura para ajudar os estados membros a redigir e redigir suas leis)

• Envie um aviso de pagamento aos clientes assim que o pagamento for feito.
• Certifique-se de que sua empresa está registrada na Câmara de Comércio.

Dê aos seus usuários Sem caixas pré-marcadas

• Aviso de pagamento obrigatório
• Conversões de moeda
• Gestão de inventário

Conclusão

Dado o escrutínio que uma empresa pode enfrentar se não seguir os regulamentos legais para comércio eletrônico no Espaço Econômico Europeu (EEE), é aconselhável entender as leis que os dizem respeito. Além disso, é importante que os novos empresários se certifiquem de que não estão negligenciando seus direitos e deveres básicos como prestadores de serviços e cidadãos globais. Além disso, o impacto pode ser mais severo em pequenas e médias empresas ou startups do que nas grandes empresas.