Quais dados pessoais estão envolvidos em uma transação UCP?

Uma transação UCP envolve dados de Identity Linking (nome, endereço, telefone, e-mail), token AP2 (pseudônimo criptográfico de método de pagamento), dados do pedido (produtos, valor, data), logs de transação (timestamp, agente de IA, endpoint) e dados de entrega (transportadora, número de rastreamento, status).

Qual é a base legal para o processamento de dados de Identity Linking?

A base legal primária é a execução do contrato de venda (Artigo 6.1.b GDPR), pois os dados são necessários para o envio do pedido.

O comerciante precisa coletar consentimento para os dados de Identity Linking?

Não, o consentimento inicial é coletado pelo agente de IA. O comerciante deve verificar a certificação UCP do agente e não usar os dados além da finalidade do pedido sem consentimento adicional.

Como os direitos do titular dos dados se aplicam no contexto UCP?

O comerciante deve ser capaz de fornecer acesso aos dados (Artigo 15 GDPR) e apagar dados (Artigo 17 GDPR), exceto onde houver obrigações legais de retenção.

Com quem o comerciante precisa assinar um DPA no ecossistema UCP?

DPAs são necessários com o processador de pagamento, a transportadora e, se aplicável, com o serviço de terceiros que gerencia os endpoints UCP. Não é necessário DPA com o agente de IA, pois são terceiros independentes.

O que deve ser atualizado na política de privacidade?

A política de privacidade deve explicar que o comerciante aceita pedidos via agentes de IA (canal UCP), quais dados são recebidos via Identity Linking e como são processados, que os dados de pagamento são gerenciados via protocolo AP2 e como exercer os direitos para compras agênticas.

UCP e GDPR: guia de conformidade para comerciantes europeus

Dados pessoais envolvidos em uma transação UCP

Uma transação Universal Commerce Protocol envolve várias categorias de dados pessoais:

Dados de Identity Linking: nome, sobrenome, endereço de entrega, número de telefone, e-mail, transmitidos do agente de IA para o comerciante por pedido
Token AP2: pseudônimo criptográfico vinculado a um método de pagamento real, processado pelo processador de pagamento
Dados do pedido: produtos comprados, valor, data, retidos pelo comerciante
Logs de transação: timestamp, agente de IA usado, endpoint chamado, dados técnicos da transação
Dados de entrega: transportadora, número de rastreamento, status, compartilhados com a transportadora

Todos esses dados estão sujeitos ao GDPR assim que o comerciante ou comprador estiver localizado no Espaço Econômico Europeu.

Bases legais para o processamento de dados UCP

Execução de contrato (Artigo 6.1.b GDPR)

A base legal primária para o processamento de dados de Identity Linking é a execução do contrato de venda. Sem nome e endereço de entrega, o comerciante não pode enviar o pedido. Este processamento é necessário para o contrato celebrado entre o comprador e o comerciante via agente de IA.

Importante: esta base legal cobre apenas o que é estritamente necessário para a entrega. O uso do endereço de entrega para newsletters ou ofertas promocionais requer uma base legal separada (consentimento, Artigo 6.1.a).

Obrigação legal (Artigo 6.1.c GDPR)

A retenção de dados de transação (pedidos, faturas, valores) para fins contábeis (geralmente 7 a 10 anos, dependendo dos requisitos do estado membro) é justificada por obrigação legal.

Interesse legítimo (Artigo 6.1.f GDPR)

A retenção de logs de transações agênticas para segurança e prevenção de fraudes pode ser baseada no interesse legítimo do comerciante, com justificativa documentada e período de retenção limitado (geralmente 12 a 24 meses).

Identity Linking e consentimento: onde reside a responsabilidade?

O consentimento inicial do usuário para o compartilhamento de dados via Identity Linking é coletado pelo agente de IA (Google Gemini, ChatGPT, etc.), não pelo comerciante. O comerciante recebe dados pessoais cujo consentimento foi coletado por um terceiro (o agente de IA). O comerciante deve, portanto:

Verificar se o agente de IA transmissor é certificado UCP (garantindo que o consentimento foi coletado corretamente)
Documentar em seu registro de atividades de processamento que a fonte dos dados é UCP Identity Linking
Não usar esses dados além da finalidade do pedido sem coletar consentimento direto adicional do comprador

Direitos do titular dos dados no contexto UCP

Direito de acesso (Artigo 15 GDPR)

Se um usuário solicitar acesso aos dados que você possui sobre ele (incluindo dados de Identity Linking), você deve ser capaz de fornecê-los dentro de um mês. Certifique-se de que seu sistema possa identificar e extrair todos os dados vinculados a um indivíduo, incluindo dados do canal agêntico.

Direito de apagamento (Artigo 17 GDPR)

O usuário pode solicitar o apagamento de seus dados, exceto onde se aplicam obrigações legais (retenção de faturas). Distinga claramente em seus sistemas dados "apagáveis" (dados de perfil, histórico de navegação) de dados "com retenção obrigatória" (dados de transação legalmente exigidos).

Acordos de Processamento de Dados: com quem assiná-los?

No ecossistema UCP, você tem vários processadores no sentido do GDPR:

Seu processador de pagamento (Stripe, Adyen): um DPA deve ser assinado, tipicamente incluído nos T&Cs do processador, mas verifique se existe um adendo específico para GDPR
Sua transportadora: DPA exigido para o compartilhamento do endereço de entrega
Infraestrutura UCP: se você usa um serviço de terceiros para gerenciar seus endpoints UCP, DPA exigido
O agente de IA: tecnicamente, Google (Gemini) ou OpenAI (ChatGPT) são terceiros independentes, não processadores. Nenhum DPA é necessário, mas documente que você verificou a certificação UCP deles.

Atualização da política de privacidade

Adicione uma seção em sua política de privacidade explicando:

Que você aceita pedidos via agentes de IA (canal UCP)
Quais dados são recebidos via Identity Linking e como são processados
Que os dados de pagamento são gerenciados via protocolo AP2 (pseudonimização)
Como exercer os direitos para dados de compras agênticas