Em primeiro lugar, é importante destacar que a criação de uma política de privacidade é um dos principais passos para quem pretende adequar a sua empresa à LGPD. Contudo, é necessário elaborá-la com cautela, pois não há um modelo padrão que enquadre todas as empresas. Em resumo, a política de privacidade esclarece como e por quem os dados dos titulares são utilizados e compartilhados. E para elaborá-la é necessário conhecer os conceitos, normas e diretrizes previstos na LGPD.
Nesse sentido, vamos fazer um checklist dos principais pontos que devem constar em um política de privacidade.
O que deve constar em uma política de privacidade?
1. Identificar o controlador dos dados
O controlador é quem define como os dados pessoais serão tratados. Por exemplo, a empresa X coleta dados pessoais para formalizar uma compra, nesta caso, ela é a controladora dos dados. Portanto, deve constar na politica de privacidade a identificação do controlador.
2. Dados coletados e finalidade de tratamento
O controlador deve esclarecer ao titular de forma transparente quais são os dados que estão sendo coletados e para quais finalidades serão utilizados. Por exemplo, uma loja solicita o e-mail de um cliente para enviar promoções de seus produtos (finalidade). Nesse caso, se a loja utilizar o e-mail para outra finalidade, em tese, estaria infringindo a LGPD.
3. Bases legais utilizadas para o tratamento de dados
De acordo com a LGPD, devemos informar ao titular qual ou quais bases legais estamos utilizando para tratar os dados pessoais. Portanto, recomenda-se adicioná-las na política de privacidade.
3.1 Qual base legal devemos ou podemos fundamentar?
Precisamos analisar o contexto do tratamento de dados, como, por exemplo, em um contrato de compra e venda, onde as partes precisam informar seus dados para formalizar o negócio. Nessa relação jurídica, a base legal deverá ser execução de contrato – art. 7, inciso V da LGPD.
No entanto, ainda nesse caso, é possível fundamentar o tratamento de dados em outra base: cumprimento de obrigação legal – art. 7, inciso II da LGPD, visto que também poderão surgir obrigações fiscais decorrentes do contrato firmado.
Portanto, é necessário analisar – dentro do contexto – a relação jurídica entre o titular dos dados e o controlador para definir a base legal mais adequada.
4. Compartilhamento de dados
A empresa que coleta as dados pessoais deve informar se há compartilhamento com outras empresas. Por exemplo, uma empresa contrata uma agência de marketing operadora para promover seus produtos. Nesse caso, a política de privacidade deve especificar claramente o compartilhamento de dados para fins de marketing, incluindo a indicação dos dados utilizados para essa finalidade.
Além disso, deve ser informado se há transferência internacional de dados e para qual finalidade, como, por exemplo, nos casos de backup em servidores internacionais – google drive, onedrive, dropbox etc.
5. Consentimento do titular ou do responsável
Nos casos que envolvam tratamento de dados sensíveis e/ou dados de menores de idade, ou ainda, em alguma situação peculiar que possa gerar algum risco ao titular, é fundamental que seja destacado na política de privacidade que somente serão processados os dados mediante a obtenção prévia do consentimento do titular ou do responsável.
Nesse sentido, recomendamos a leitura deste artigo sobre como obter de forma adequada o consentimento do titular de dados.
6. Tempo de armazenamento de dados
O controlador pode reter os dados do titular de dados, contudo, deve informar a finalidade e o respectivo prazo. Por exemplo, a empresa X pode reter as informações do seu cliente para executar um contrato ou uma cumprir uma obrigação fiscal que surgiu em decorrência dessa relação jurídica.
Dessa forma, recomenda-se informar ao titular sobre a retenção – e também esclarecer qual será o prazo que os dados permanecerão armazenados.
7. Direitos dos titulares de dados
É fundamental destacar os direitos dos titulares de dados na política de privacidade, vejamos:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação;
- Portabilidade;
- Eliminação dos dados pessoais tratados com o consentimento do titular;
- Informação sobre compartilhamento de dados;
- Informação sobre a possibilidade de não fornecer consentimento;
- Revogação do consentimento;
- Reclamação perante a Agência Nacional de Proteção de Dados;
- Oposição.
8. Meios de comunicação com titular
As empresas devem, no mínimo, indicar na sua política de privacidade um meio de comunicação para que o titular possa exercer seus direitos. Por exemplo, um e-mail institucional, “fale conosco”, WhatsApp, etc.
9. Respeitar os princípios da LGPD
A LGPD elenca os princípios que devem ser respeitados ao processar dados pessoais.
Na recente nota técnica da Autoridade Nacional de Proteção de Dados ANPD (no caso do grupo META), foi destacado a importância de respeitar o princípio da transparência, ou seja, a empresa controladora deve de forma clara, precisa e acessível, informar aos titulares como e para qual finalidade seus dados foram coletados e, também, esclarecer se haverá compartilhamento de dados com outras empresas/operadoras.
10. Conformidade da Política de Privacidade
Parece óbvio, mas é preciso fazer este aviso: de nada adianta elaborar um política de privacidade robusta, se, na prática, a empresa não respeita os direitos dos titulares demais determinações legais da LGPD.
Vale mencionar também que, de acordo com o princípio da responsabilização e prestação de contas, é obrigação da empresa/controladora provar que está em conformidade com a LGPD.
Dúvidas sobre como adequar-se à LGPD?
Para facilitar a implementação da LGPD em sua empresa, preparamos um checklist com os principais passos que você deve seguir para garantir a conformidade legal.
