Artigos
Como fazer uma política de privacidade?

com-fazer-uma-política-de-privacidade

Vamos explicar como fazer uma política de privacidade de acordo com as diretrizes da Lei Geral de Proteção de Dados Pessoais – LGPD – Lei nº 13.709/2018.

De inicio, é importante destacar que a criação de uma política de privacidade é um dos principais passos para quem pretende adequar a sua empresa à LGPD.

Contudo,  é necessário ter cautela para elaborá-la, pois não há um modelo padrão que enquadre todas as empresas.

Em resumo, a política de privacidade privacidade é o documento que esclarece como e por quem os dados dos titulares são utilizados.

Para elaborá-la é necessário conhecer os conceitos, normas e diretrizes previstos na LGPD.

Nesse sentido, vamos fazer um checklist dos principais pontos que devem constar em um política de privacidade.

1. Identificar o controlador dos dados

O controlador é quem define como os dados pessoais serão tratados (utilizados).

Por exemplo:

  • a empresa X (controladora) que para formalizar uma compra coleta (tratamento) dados pessoais do consumidor (titular de dados)

Logo, deve constar na política de privacidade que a empresa X é a controladora e também responsável pelo tratamento de dados.

2. Informar quais são os dados coletados e para qual finalidade

O controlador deve esclarecer ao titular de forma transparente quais são os dados que estão sendo coletados e para quais finalidades serão utilizados.

Por exemplo:

  • Uma loja (controladora) solicita o e-mail de um cliente (titular) para enviar  propaganda com promoções de seus produtos (finalidade).

Nesse caso, se a loja utilizar o e-mail do titular para outra finalidade, em tese, estaria infringindo a LGPD.

3. Destacar quais são as bases legais utilizadas para o tratamento de dados

De acordo com a LGPD, deve ser informado ao titular qual ou quais bases legais estão sendo utilizadas para tratar dados pessoais.

Portanto, recomenda-se adicioná-las na política de privacidade.

3.1 Como saber em qual base legal devemos ou podemos fundamentar?

Essa pergunta só pode ser respondida dentro de um contexto, por exemplo:

  • Em um contrato de compra e venda, normalmente, é necessário que as partes informem seus dados para formalizar o negócio.

Nessa relação jurídica, a base legal deverá ser execução de contrato – art. 7, inciso V da LGPD.

No entanto, ainda nesse caso, é possível fundamentar o tratamento de dados em outra base: cumprimento de obrigação legal – art. 7, inciso II da LGPD, visto que também poderão surgir obrigações fiscais decorrentes do contrato firmado.

Portanto, é necessário analisar – dentro do contexto – a relação jurídica entre o titular dos dados e o controlador para definir a base legal mais adequada.

 

4. Do compartilhamento de dados

A empresa que coleta as informações do titular deve informá-lo se há compartilhamento desses dados com outras empresas.

Por exemplo:

  • uma empresa/controladora contrata uma agência de marketing/operadora para promover seus produtos.

Nesse caso, deve ficar bem especificado na política de privacidade que existe o compartilhamento de dados para finalidade de marketing, inclusive, indicando quais dados são utilizados para esse finalidade.

Também deve ser informado se há transferência internacional de dados e para qual finalidade.

Como por exemplo, nos casos de backup em servidores internacionais – google drive, onedrive, dropbox etc.

5. Em situações específicas, destaque a necessidade de obter o consentimento do titular ou do responsável

Nos casos que envolvam tratamento de dados sensíveis e/ou dados de menores de idade, ou ainda, em alguma situação peculiar que envolva algum risco ao titular, é fundamental que seja destacado na política de privacidade que somente serão processados os dados mediante a obtenção prévia do consentimento do titular ou do responsável.

Nesse sentido, recomendamos a leitura deste artigo sobre como obter de forma adequada o consentimento do titular de dados.

6. Explicar ao cliente/usuário por quanto tempo seus dados serão armazenados

O controlador pode reter os dados do titular de dados, contudo, deve informar a finalidade e o respectivo prazo.

Por exemplo:

  • A empresa X pode reter as informações do seu cliente para executar um contrato ou uma obrigação fiscal que surgiu em decorrência dessa relação jurídica entre as partes.

Dessa forma, recomenda-se informar ao titular sobre a retenção – e dentro da possibilidade – também esclarecer qual será o prazo que os dados permaneceram armazenados.

7. Informar quais sãos os direitos dos titulares de dados

É fundamental que na política de privacidade seja destacado os direitos dos titulares de dados.

Em resumo, esses direitos são:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Eliminação dos dados pessoais tratados com o consentimento do titular
  • Informação sobre compartilhamento de dados
  • Informação sobre a possibilidade de não fornecer consentimento
  • Revogação do consentimento
  • Reclamação perante a Agência Nacional de Proteção de Dados
  • Oposição
8. Indicar um meio de comunicação para que o titular possa exerceu seus direitos

Em regra, é obrigatório a indicação do Encarregado (DPO) – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação do DPO para os agentes de tratamento de pequeno porte.

Todavia, a empresa no mínimo deve indicar na sua política de privacidade um meio de comunicação para que o titular possa exercer seus direitos.

Por exemplo:

  • um e-mail institucional, “fale conosco”, WhatsApp, etc.
9. Respeitar os princípios da LGPD

A LGPD elenca os princípios que devem ser respeitados ao processar dados pessoais.

Na recente nota técnica da Autoridade Nacional de Proteção de Dados ANPD (no caso envolvendo a política de privacidade do WhatsApp), foi destacado a importância de respeitar o princípio da transparência.

Em resumo, a empresa controladora deve de forma clara, precisa e acessível, informar aos titulares como e para qual finalidade seus dados foram coletados e, também,  esclarecer se haverá compartilhamento de dados com outras empresas/operadoras.

Por exemplo:

  • uma empresa/controlador elabora uma política de privacidade que não deixa claro para o titular se seus dados poderão ser compartilhados.

Nesse exemplo, a empresa feriu o princípio da transparência, visto que ela não esclareceu ao titular se suas informações estão sendo compartilhas com outras operadoras,  podendo, inclusive,  acarretar punições

10. A política de privacidade deve ser respeitada na prática

Parece óbvio, mas é preciso fazer este alerta: de nada adianta elaborar um política de privacidade com todos os requisitos aqui elencados, se na prática a empresa não respeita os direitos dos titulares de dados e demais determinações legais da LGPD.

Vale mencionar também que, de acordo com o princípio da responsabilização e prestação de contas, é obrigação da empresa/controladora provar que está em conformidade com a LGPD.

CONCLUSÃO

Como podemos ver, é de suma importância a criação de uma política de privacidade para quem busca adequar a sua empresa à LGPD.

Porém, para elaborá-la devemos conhecer os conceitos, normas e diretrizes previstos na LGPD.,

Além disso, deve ser analisado o contexto em que os dados são tratados.

Nesse sentido, recomendamos que as empresa busquem auxílio de profissionais especializados para elaborar um política de forma adequada.

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!