Artigos
Como fazer uma Política de Privacidade?

com-fazer-uma-política-de-privacidade

Vamos explicar como fazer uma política de privacidade de acordo com as diretrizes da Lei Geral de Proteção de Dados Pessoais – LGPD – Lei nº 13.709/2018.

De inicio, é importante destacar que a criação de uma política de privacidade é um dos principais passos para quem pretende adequar a sua empresa à LGPD.

Contudo,  é necessário ter cautela para elaborá-la, pois não há um modelo padrão que enquadre todas as empresas.

Em resumo, a política de privacidade privacidade é o documento que esclarece como e por quem os dados dos titulares são utilizados.

Para elaborá-la é necessário conhecer os conceitos, normas e diretrizes previstos na LGPD.

Nesse sentido, vamos fazer um checklist dos principais pontos que devem constar em um política de privacidade.

1. Identificar o controlador dos dados

O controlador é quem define como os dados pessoais serão tratados (utilizados).

Por exemplo:

  • a empresa X (controladora) que para formalizar uma compra coleta (tratamento) dados pessoais do consumidor (titular de dados)

Logo, deve constar na política de privacidade que a empresa X é a controladora e também responsável pelo tratamento de dados.

2. Informar quais são os dados coletados e para qual finalidade

O controlador deve esclarecer ao titular de forma transparente quais são os dados que estão sendo coletados e para quais finalidades serão utilizados.

Por exemplo:

  • Uma loja (controladora) solicita o e-mail de um cliente (titular) para enviar  propaganda com promoções de seus produtos (finalidade).

Nesse caso, se a loja utilizar o e-mail do titular para outra finalidade, em tese, estaria infringindo a LGPD.

3. Destacar quais são as bases legais utilizadas para o tratamento de dados

De acordo com a LGPD, deve ser informado ao titular qual ou quais bases legais estão sendo utilizadas para tratar dados pessoais.

Portanto, recomenda-se adicioná-las na política de privacidade.

3.1 Como saber em qual base legal devemos ou podemos fundamentar?

Essa pergunta só pode ser respondida dentro de um contexto, por exemplo:

  • Em um contrato de compra e venda, normalmente, é necessário que as partes informem seus dados para formalizar o negócio.

Nessa relação jurídica, a base legal deverá ser execução de contrato – art. 7, inciso V da LGPD.

No entanto, ainda nesse caso, é possível fundamentar o tratamento de dados em outra base: cumprimento de obrigação legal – art. 7, inciso II da LGPD, visto que também poderão surgir obrigações fiscais decorrentes do contrato firmado.

Portanto, é necessário analisar – dentro do contexto – a relação jurídica entre o titular dos dados e o controlador para definir a base legal mais adequada.

4. Do compartilhamento de dados

A empresa que coleta as informações do titular deve informá-lo se há compartilhamento desses dados com outras empresas.

Por exemplo:

  • uma empresa/controladora contrata uma agência de marketing/operadora para promover seus produtos.

Nesse caso, deve ficar bem especificado na política de privacidade que existe o compartilhamento de dados para finalidade de marketing, inclusive, indicando quais dados são utilizados para esse finalidade.

Também deve ser informado se há transferência internacional de dados e para qual finalidade.

Como por exemplo, nos casos de backup em servidores internacionais – google drive, onedrive, dropbox etc.

5. Em situações específicas, destaque a necessidade de obter o consentimento do titular ou do responsável

Nos casos que envolvam tratamento de dados sensíveis e/ou dados de menores de idade, ou ainda, em alguma situação peculiar que envolva algum risco ao titular, é fundamental que seja destacado na política de privacidade que somente serão processados os dados mediante a obtenção prévia do consentimento do titular ou do responsável.

Nesse sentido, recomendamos a leitura deste artigo sobre como obter de forma adequada o consentimento do titular de dados.

6. Explicar ao cliente/usuário por quanto tempo seus dados serão armazenados

O controlador pode reter os dados do titular de dados, contudo, deve informar a finalidade e o respectivo prazo.

Por exemplo:

  • A empresa X pode reter as informações do seu cliente para executar um contrato ou uma obrigação fiscal que surgiu em decorrência dessa relação jurídica entre as partes.

Dessa forma, recomenda-se informar ao titular sobre a retenção – e dentro da possibilidade – também esclarecer qual será o prazo que os dados permaneceram armazenados.

7. Informar quais sãos os direitos dos titulares de dados

É fundamental que na política de privacidade seja destacado os direitos dos titulares de dados.

Em resumo, esses direitos são:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Eliminação dos dados pessoais tratados com o consentimento do titular
  • Informação sobre compartilhamento de dados
  • Informação sobre a possibilidade de não fornecer consentimento
  • Revogação do consentimento
  • Reclamação perante a Agência Nacional de Proteção de Dados
  • Oposição
8. Indicar um meio de comunicação para que o titular possa exerceu seus direitos

Em regra, é obrigatório a indicação do Encarregado (DPO) – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação do DPO para os agentes de tratamento de pequeno porte.

Todavia, a empresa no mínimo deve indicar na sua política de privacidade um meio de comunicação para que o titular possa exercer seus direitos.

Por exemplo:

  • um e-mail institucional, “fale conosco”, WhatsApp, etc.
9. Respeitar os princípios da LGPD

A LGPD elenca os princípios que devem ser respeitados ao processar dados pessoais.

Na recente nota técnica da Autoridade Nacional de Proteção de Dados ANPD (no caso envolvendo a política de privacidade do WhatsApp), foi destacado a importância de respeitar o princípio da transparência.

Em resumo, a empresa controladora deve de forma clara, precisa e acessível, informar aos titulares como e para qual finalidade seus dados foram coletados e, também,  esclarecer se haverá compartilhamento de dados com outras empresas/operadoras.

Por exemplo:

  • uma empresa/controlador elabora uma política de privacidade que não deixa claro para o titular se seus dados poderão ser compartilhados.

Nesse exemplo, a empresa feriu o princípio da transparência, visto que ela não esclareceu ao titular se suas informações estão sendo compartilhas com outras operadoras,  podendo, inclusive,  acarretar punições

10. A política de privacidade deve ser respeitada na prática

Parece óbvio, mas é preciso fazer este alerta: de nada adianta elaborar um política de privacidade com todos os requisitos aqui elencados, se na prática a empresa não respeita os direitos dos titulares de dados e demais determinações legais da LGPD.

Vale mencionar também que, de acordo com o princípio da responsabilização e prestação de contas, é obrigação da empresa/controladora provar que está em conformidade com a LGPD.

CONCLUSÃO

Como podemos ver, é de suma importância a criação de uma política de privacidade para quem busca adequar a sua empresa à LGPD.

Porém, para elaborá-la devemos conhecer os conceitos, normas e diretrizes previstos na LGPD.,

Além disso, deve ser analisado o contexto em que os dados são tratados.

Nesse sentido, recomendamos que as empresa busquem auxílio de profissionais especializados para elaborar um política de forma adequada.

____________________________

Dúvidas sobre como adequar a sua empresa à LGPD?

Entre em contato conosco via WhatsApp ou e-mail: contato@giarllarielli.adv.br

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!