Como fazer uma política de privacidade?

com-fazer-uma-política-de-privacidade

Vamos explicar como fazer uma política de privacidade de acordo com as diretrizes da Lei Geral de Proteção de Dados Pessoais – LGPD – Lei nº 13.709/2018.

(Antes de tudo, se você não conhece os principais conceitos e definições da LGPD, recomendamos a leitura deste Guia LGPD).

De inicio, é preciso fazer um alertar para aqueles que pretendem criar uma política de privacidade: não há um modelo padrão que enquadre todas as empresas, pois para formulá-la de forma adequada é necessário conhecer o contexto em que os dados são processados.

Por outro lado, elaborar uma política de privacidade de  forma correta é um dos principais passos para quem pretende adequar a sua empresa à LGPD.

Nesse sentido, vamos fazer um checklist dos principais itens que devem constar em um política de privacidade.

1. Identificar o controlador dos dados

O controlador, em resumo, é quem define como os dados pessoais serão tratados (utilizados).

Por exemplo:

  • a empresa X (controladora) que para formalizar uma compra coleta (tratamento) dados pessoais do consumidor (titular de dados)

Logo, deve constar na política de privacidade que a empresa X é a controladora e responsável pelo tratamento de dados.

Como já tido, tudo dependerá do contexto da relação entre as partes.

2. Informar quais são os dados coletados e para qual finalidade

O controlador deve esclarecer ao titular de forma transparente quais são os dados que estão sendo coletados e para quais finalidades serão utilizados.

Por exemplo:

  • Uma loja (controladora) solicita o e-mail de um cliente (titular) para enviar  propaganda com promoções de seus produtos (finalidade).

Nesse caso, se a loja utilizar o e-mail do titular para outra finalidade, em tese, estaria infringindo a LGPD.

3. Destacar quais são as bases legais utilizadas para o tratamento de dados

De acordo com a LGPD, deve ser informado ao titular qual ou quais bases legais estão sendo utilizadas para tratar dados pessoais.

Portanto, recomenda-se adicioná-las na política de privacidade.

3.1 Como saber em qual base legal devemos ou podemos fundamentar?

Essa pergunta só pode ser respondida dentro de um contexto, por exemplo:

  • Em um contrato de compra e venda, normalmente, é necessário que as partes informem seus dados para formalizar o negócio.

Nesse contexto, a base legal deverá ser execução de contrato – art. 7, inciso V.

No entanto, ainda nesse exemplo, é possível fundamentar o tratamento de dados em outra base, como por exemplo o cumprimento de obrigação legal – art. 7, inciso II, visto que surgem também obrigações fiscais decorrentes do contrato mencionado.

Contudo, ainda nesse mesmo caso, se a loja resolver utilizar o endereço eletrônico do cliente para enviar e-mails com ofertas de seus produtos, em tese, ela poderá fundamentar o uso dos dados com a base legal do legítimo interesse.

4. Do compartilhamento de dados

A empresa que coleta as informações do titular deve informá-lo se há compartilhamento desses dados com outras empresas.

Por exemplo:

  • uma empresa/controladora contrata uma agência de marketing/operadora para promover seus produtos.

Nesse caso, deve ficar bem especificado na política de privacidade que existe o compartilhamento de dados para finalidade de marketing, inclusive, indicando quais dados são utilizados para esse finalidade.

Também deve ser informado se há transferência internacional de dados e para qual finalidade.

Como por exemplo, nos casos de backup em servidores internacionais – google drive, onedrive, dropbox etc.

5. Em situações específicas, destaque a necessidade de obter o consentimento do titular ou do responsável

Nos casos que envolvam tratamento de dados sensíveis e/ou dados de menores de idade, ou ainda, em alguma situação peculiar que envolva algum risco ao titular, é fundamental que seja destacado na política de privacidade que somente serão processados os dados mediante a obtenção prévia do consentimento do titular ou do responsável.

Nesse sentido, recomendamos a leitura deste artigo sobre como obter de forma adequada o consentimento do titular de dados.

6. Explicar ao cliente/usuário por quanto tempo seus dados serão armazenados

O controlador pode reter os dados do titular de dados, contudo, deve informar a finalidade da retenção e o respectivo prazo.

Por exemplo:

  • A empresa X pode reter as informações do seu cliente para executar um contrato ou uma obrigação fiscal que surgiu em decorrência dessa relação jurídica entre as partes.

Dessa forma, recomenda-se informar ao titular sobre a retenção e dentro da possibilidade informar também o prazo que os dados permaneceram armazenados.

7. Informar quais sãos os direitos dos titulares de dados

É fundamental que na política de privacidade seja destacado os direitos dos titulares de dados.

Em resumo, esses direitos são:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Eliminação dos dados pessoais tratados com o consentimento do titular
  • Informação sobre compartilhamento de dados
  • Informação sobre a possibilidade de não fornecer consentimento
  • Revogação do consentimento
  • Reclamação perante a Agência Nacional de Proteção de Dados
  • Oposição
8. Indicar um meio de comunicação para que o titular possa exerceu seus direitos

O ideal é que a empresa tenha um encarregado de dados, ou seja, um colaborador que tenha a função de atuar como um canal de comunicação entre a empresa e os titulares.

Caso não seja possível contratar alguém para essa função, é aconselhável que a empresa insira na política de privacidade algum meio de comunicação para que o titular possa exercer os direitos, como por exemplo um e-mail institucional.

9. Respeitar os princípios da LGPD

A LGPD elenca os princípios que devem ser respeitados ao processar dados pessoais.

Na recente nota técnica da Autoridade Nacional de Proteção de Dados ANPD (no caso envolvendo a política de privacidade do WhatsApp), foi destacado a importância de respeitar o princípio da transparência.

Em apertada síntese, de acordo com o princípio da transparência deve, de forma clara, precisa e acessível, informar aos titulares como e para qual finalidade seus dados foram coletados e, também,  esclarecer se haverá compartilhamento de dados com outras empresas/operadoras.

Por exemplo:

  • uma empresa/controlador elabora uma política de privacidade que não deixa claro para o titular se seus dados poderão ser compartilhados com terceiros.

Nesse exemplo, a empresa feriu o princípio da transparência, visto que ela não esclareceu ao titular se suas informações estão sendo compartilhas com outras operadoras,  podendo, inclusive,  acarretar punições

10. A política de privacidade deve ser respeitada na prática

Parece óbvio, mas é preciso fazer este alerta: de nada adianta elaborar um política de privacidade com todos os requisitos aqui elencados, se na prática a empresa não respeita os direitos dos titulares de dados e demais determinações legais  da LGPD.

Vale mencionar também que, de acordo com o princípio da responsabilização e prestação de contas, é obrigação da empresa/controladora provar que está agindo de acordo coma LGPD.

Informações adicionais

Por último, esperamos que esse artigo tenha conseguido auxiliá-lo a elaborar a sua política de privacidade.

Em tempo, recomendamos a leitura deste artigo no qual apontamos os principais benefícios da implementação da LGPD na sua empresa.

 

 

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!