Política de Privacidade: o primeiro passo para a adequação à LGPD

 

Já analisamos aqui no blog todas as principais características da Lei Geral de Proteção de Dados (LGPD) e como ela, mais do que uma obrigação aplicável virtualmente a todas as empresas brasileiras, é uma excelente oportunidade comercial.

Hoje falaremos um pouco sobre um dos documentos mais importantes no caminho da adequação à LGPD, que é a Política de Privacidade.

Veremos para que ela serve, explicaremos seus principais pontos e traremos um passo a passo para ajudá-lo na elaboração da sua própria política.

Não podemos deixar de advertir, como sempre, que apesar de buscarmos traduzir em nosso blog vários conceitos técnicos do mundo jurídico, não é recomendável, se não possuir formação técnica, que você tente elaborar sozinho(a) qualquer documento jurídico, deixando essa função a cargo de um profissional especializado.

Se ficar em dúvida a respeito de qualquer conceito trazido neste artigo, consulte o primeiro texto produzido sobre a LGPD.

 

Política de Privacidade

 

A Política de Privacidade é o documento produzido pelo agente de tratamento (o controlador ou o operador de dados pessoais), que contém a descrição de todas as práticas e medidas de privacidade e segurança por ele adotadas no tratamento dos dados, em conformidade com o determinado pela LGPD.

O principal objetivo deste documento é garantir a transparência, um dos pilares da legislação de proteção de dados.

Pela necessidade de ser transparente, esse importante documento deve também ser acessível, tanto do ponto de vista técnico – uso de terminologia de fácil compreensão – quanto do ponto de vista do alcance; o documento deve estar facilmente disposto nos principais meios de comunicação do agente de tratamento, como site e redes sociais.

 

A política de privacidade na LGPD

 

O artigo 46 da LGPD abre o Capítulo sobre segurança e boas práticas e também abre a Seção I sobre segurança e sigilo dos dados. Sim, a LGPD se preocupa muito com a segurança dos dados pessoais dos titulares. Aliás, segurança é um dos princípios da LGPD!

Esse dispositivo determina que os agentes de tratamento devem implementar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais. Os agentes de tratamento, como abordamos no nosso artigo sobre conceitos da LGPD, são os controladores (aqueles a quem compete as decisões referentes ao tratamento de dados pessoais) e os operadores (aqueles que realizam o tratamento de dados pessoais em nome do controlador).

Observe que o artigo 46 fala em “medidas de segurança, técnicas e administrativas”.

Significa dizer, portanto, que o legislador considera que as medidas de segurança contemplam as medidas técnicas e as medidas administrativas.

Medidas técnicas de segurança, como o nome infere, são aquelas adotadas no contexto da Tecnologia da Informação (TI); trata-se de recursos informáticos dotados de funcionalidades voltadas à garantia da segurança da informação.

Podemos usar como exemplo de medidas técnicas de segurança as ferramentas de autenticação de acesso a sistemas, os mecanismos de segurança em softwares e hardwares, os recursos de controle de tráfego de dados em rede, os instrumentos detectores de invasões de sistemas, os recursos de criptografia, a segregação de servidores, as ferramentas de prevenção à perda de dados, os testes de vulnerabilidade, as cópias de segurança, dentre outros.

Já as medidas administrativas de segurança são as atividades que os agentes de tratamento realizam em âmbito administrativo-gerencial, o que inclui as atividades de caráter jurídico.

E é justamente aqui que entram as Políticas de Privacidade. Outros exemplos de medidas administrativas de segurança são os contratos de confidencialidade, a capacitação de colaboradores para que façam o uso regular de dados pessoais no exercício das suas atividades, controles de acesso aos arquivos físicos etc.

Dessa forma, as medidas de segurança que os agentes de tratamento devem adotar, assim como previsto no citado artigo 46 da LGPD, são de natureza híbrida, já que parte dos procedimentos estão relacionados à tecnologia da informação e parte dos procedimentos estão relacionados às questões administrativas-gerenciais, incluindo questões de ordem jurídica.

 

A política de privacidade é obrigatória?

 

A LGPD é aplicável a todas as pessoas físicas ou jurídicas de direito público ou privado que realizam qualquer tratamento de dados pessoais.

Ela só não se aplica a tratamento realizado para fins exclusivamente particulares e não econômicos ou tratamentos realizados para fins exclusivamente jornalísticos, artísticos ou acadêmicos.

Nesse sentido, portanto, todos aqueles sujeitos à LGPD devem observar seus ditames.

Fazendo referência novamente ao artigo 46 da LGPD, vemos que este prevê a adoção de medidas técnicas e administrativas de segurança nos seguintes termos:

 

“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. ”

 

O emprego do verbo “devem” no artigo 46 remete à imposição do dever dos agentes de tratamento de adoção das medidas técnicas e administrativas de segurança.

De acordo com Márcio Cots e Ricardo Oliveira, inicialmente, vale notar que o verbo ‘devem’ é impositivo da lei, ou seja, não se trata de faculdade: é uma obrigação legal que, se não cumprida poderá ensejar a aplicação de sanções administrativas e responsabilidade civil[1].

Importante ressaltar que tal dever é referente à implementação de medidas de segurança de natureza multidisciplinar, já que o artigo 46 emprega a conjunção aditiva “e”, expressando a ideia de adição quando se refere ao dever de adotar medidas de segurança, técnicas e administrativas.

Dessa forma, a garantia da segurança de dados que a LGPD requer não se limita à elaboração do documento ao qual este artigo se refere, a Política de Privacidade.

Trata-se de um modelo de governança a ser implementado pelos agentes de tratamento, que engloba soluções multidisciplinares.

A Política de Privacidade, nesse contexto, é apenas um dos instrumentos destinados a garantir a adequação da empresa à LGPD.

Veja, por exemplo, o caso da nova Política de Privacidade do WhatsApp, em que a ANPD considerou que “a política não estava adaptada em sua plenitude às disposições da LGPD nem aparentavam terem sido elaboradas especialmente para o público brasileiro.”

 

Clareza

 

Como mencionamos no nosso artigo sobre a LGPD, o titular (dono dos dados pessoais) está no centro das legislações de proteção de dados.

Portanto, todas as medidas de adequação da empresa à LGPD serão, em última instância, de alguma forma voltadas ao titular. Essa lógica deverá ser observada quando da elaboração da Política de Privacidade.

As informações levadas ao titular devem ser claras e de fácil acesso. De nada adiantará produzir um documento longo e denso, repleto de termos extremamente técnicos, unicamente compreensíveis por profissionais da área.

A política de privacidade dever ser de fácil leitura e compreensão.

Além disso, é importante disponibilizar a política de privacidade ao titular por meio de uma interface amigável e dinâmica, fazendo o uso das melhores técnicas de design legal.

No ambiente digital, o uso de uma política de privacidade segmentada permite que um usuário navegue até a seção específica, em vez de ser obrigado a percorrer grandes quantidades de texto pesquisando essas informações relevantes sobre seus dados pessoais.

A forma como a mensagem é passada para o titular é extremamente relevante para o cumprimento do disposto na LGPD.

Esta mensagem é fundamental: a política de privacidade é a responsável pelo diálogo aberto entre o agente de tratamento e o titular dos dados pessoais.

O estabelecimento da confiança entre as partes depende fortemente da política de privacidade.

 

Transparência

 

A transparência é um dos pilares da LGPD, e não poderia ser diferente. A transparência é necessária para garantir a confiança nos procedimentos, permitindo que o titular compreenda que, se necessário, poderá desafiar tais procedimentos.

Os agentes de tratamento devem sempre considerar os titulares vulneráveis quanto ao entendimento das infinitas possibilidades de tratamento, especialmente quando este tratamento for realizado em meios digitais.

Salomão George Leite e Ronaldo Lemos sustentam que “o meio virtual acentua a vulnerabilidade do consumidor, uma vez que ele tem acesso limitado às informações disponibilizadas pelo fornecedor, pois o usuário não ‘enxerga’ o fornecedor, não se relaciona pessoalmente com os vendedores. A relação ocorre por meio de cliques, numa conduta silenciosa. O consumidor precisa confiar nas informações prestadas pelo fornecedor e por isso elas precisam ser corretas, claras, precisas, ostensivas e no idioma do consumidor[2]”.

O princípio da transparência exige que as informações relacionadas ao tratamento de dados pessoais sejam concisas, de fácil acesso e compreensão, com uma linguagem clara e simples.

Assim, os agentes de tratamento devem apresentar informações aos titulares sobre o tratamento de seus dados pessoais de maneira eficaz e sucinta, a fim de evitar ou mitigar a fadiga informacional, diferenciando-as de outras informações não relacionadas à proteção de dados, como cláusulas contratuais.

 

Conteúdo da política de privacidade

 

O conteúdo da política de privacidade sofrerá algumas variações a depender do seu modelo de negócios. O documento deve ser pertinente para a sua área de atuação e estar em sintonia com o tipo de dados pessoais que são tratados, já que estas informações variam de um setor para outro.

Lembre-se de que os dados pessoais coletados no setor imobiliário não são os mesmos daqueles coletados no esporte, por exemplo; além disso, o uso e os demais tratamentos aplicados aos dados pessoais podem ser muito distintos.

Desta forma, a política de privacidade deve refletir o seu negócio e comunicar ao titular todas as informações relevantes concernentes aos seus dados pessoais.

Dito isso, há alguns tópicos que deverão estar presentes na política de privacidade da sua empresa para que o documento cumpra a LGPD. Vamos a eles?

 

Informações sobre o agente de tratamento

 

Neste tópico deverão constar as informações básicas sobre o agente de tratamento: nome, endereço da sede, tipo de serviços prestados, dentre outros.

Este é o espaço para que o titular conheça melhor o agente de tratamento, seja sobre aquele que toma as decisões sobre seus dados pessoais (controlador), seja sobre aquele que segue as orientações de outro agente (operador).

 

Definição de conceitos básicos

 

Neste tópicoo agente de tratamento deverá expor ao titular quais são os conceitos dos termos básicos que utilizará ao longo da política de privacidade.

É uma forma de o agente fazer-se entender, para que a compreensão do titular sobre o documento seja facilitada. Novamente, os conceitos a serem definidos neste tópico variarão a depender do tipo de negócio do agente de tratamento.

Entretanto, há conceitos básicos da LGPD que devem estar presentes no conteúdo deste tópico, tais como: dado pessoal, dado pessoal sensível, encarregado, controlador, operador, ANPD, titular, tratamento de dados, dentre outros. A definição destes conceitos deve ser a mesma encontrada na LGPD.

 

Informações sobre a forma de coleta dos dados pessoais

 

Neste tópico o agente de tratamento deve expor todas as informações relativas à coleta dos dados pessoais: de que forma são coletadas e quais dados são coletados para quais finalidades.

Os dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades.

É por isso que é importante que os agentes de tratamento definam, desde a concepção dos projetos que envolvem a coleta de dados, os propósitos específicos que almejam, já que tais propósitos servirão, ao longo do ciclo de transparência perante o titular, como fronteira de legalidade para seu uso.

 

Informações sobre quais dados pessoais serão coletados

 

Novamente há de se ressaltar que o rol de dados pessoais a serem coletados necessariamente variará de acordo com o ramo de negócios do agente de tratamento.

Contudo, é necessário frisar que, em observância ao princípio da necessidade, ao titular deve ser informado de que somente aqueles dados estritamente necessários à finalidade a ele informada serão coletados.

Adicionalmente, neste item o titular deverá ser informado sobre dados pessoais que são coletados sem que necessariamente o titular os forneça diretamente.

É o caso dos cookies, por exemplo. Os cookies são pequenos arquivos eletrônicos armazenados no dispositivo do titular, que permitem à plataforma distinguir o visitante em um novo acesso e manter as suas preferências ao longo da respectiva sessão.

Além disso, o titular precisa ser informado sobre eventual coleta de dados de IP, de localização, e outros. Há de se ressaltar que não basta informar o titular sobre a coleta de determinados dados; há de se dar ao titular a opção de não fornecer tais dados.

Caso o titular não tenha a opção de se recusar a fornecer seus dados pessoais, a coleta e qualquer outro tipo de tratamento será necessariamente irregular.

 

Informações sobre o armazenamento dos dados pessoais

 

Neste tópico, o titular deverá ser informado sobre a forma como seus dados pessoais são armazenados e quais as medidas de segurança são a eles aplicados.

É importante ressaltar que os agentes de tratamento devem adotar um conjunto de processos internos, controles tecnológicos, políticas coorporativas, regulamentos, contratos, que terão por missão principal a proteção de dados pessoais que estejam consigo armazenados.

O titular precisa ser informado sobre todas estas medidas por meio da política de privacidade.

Deverá ficar claro para o titular que seus dados pessoais estão armazenados de forma que garanta a segurança dos seus dados pessoais, especialmente a proteção contra acessos não autorizados (acesso aos dados pessoais realizado por pessoa que não detém permissão dos agentes de tratamento para tanto), situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.

 

Período de armazenamento dos dados pessoais (retenção)

 

Neste tópico, o titular deverá ser informado sobre a agenda de retenção dos seus dados pessoais.

Os dados pessoais deverão ser eliminados após o término do seu tratamento.

O término do tratamento se dará quando houver:

1) a verificação de que a finalidade especificada ao titular foi atingida ou quando os dados pessoais não forem mais necessários ou relacionados ao alcance das finalidades;

2) o fim do período do tratamento, nos casos em que houver especificação do período de guarda dos dados;

3) a revogação do consentimento do titular, e;

4) a determinação da ANPD, quando houver violação à LGPD.

Ressalta-se que a retenção de dados pessoais para além do necessário é uma infração à LGPD e a eliminação dos dados após o término do tratamento deve se operar de forma automática, não se fazendo necessário qualquer pedido expresso do titular de dados.

 

Informações sobre o compartilhamento de dados com terceiros

 

Neste tópico, o titular deve ser informado sobre eventual compartilhamento dos seus dados pessoais com terceiros.

Para fins da LGPD, o compartilhamento de dados é (artigo 5º, XVI): “a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados”.

A relevância da definição do uso compartilhado de dados pessoais está umbilicalmente relacionada com os fundamentos, princípios e bases legais para o tratamento de dados previstos na LGPD.

Para saber mais sobre o tema não deixe de conferir o nossos artigos específicos sobre duas destas bases legais: o consentimento e o legítimo interesse.

O titular tem o direito ao acesso facilitado às informações acerca do uso compartilhado de dados pelo controlador e a sua finalidade, assim como tem o direito de obter junto ao controlador a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados.

 

Informações sobre o exercício de direitos

 

E por falar em direitos, deverá constar da política de privacidade todos os direitos que o titular possui em relação aos seus dados pessoais e, sobretudo, a forma de exercício destes direitos.

Os direitos dos titulares estão reconhecidos e elencados na LGPD e devem ser detalhados na política de privacidade.

O titular tem direito a obter do agente de tratamento, em relação aos dados pessoais por ele tratados, a qualquer momento e mediante requisição de:

 

1) confirmação da existência de tratamento;

2) acesso aos dados;

3) correção de dados incompletos, inexatos ou desatualizados;

4) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;

5) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

6) eliminação dos dados pessoais tratados com o consentimento do titular;

7) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

8) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e

9) revogação do consentimento.

 

Além de listar e detalhar tais direitos, a política de privacidade deverá expor a forma de exercício de tais direitos; dito de outro modo, a política de privacidade deverá fornecer todos os meios dos quais o titular poderá fazer uso para exercer tais direitos: e-mails, telefones, formulários, dentre outros.

Reitera-se que tais meios de contato devem ser disponibilizados de forma acessível e facilitada ao titular. Veja aqui como as empresas devem responder os titulares que solicitarem informações sobre os dados tratados.

 

Informações de contato do encarregado

 

Neste tópico, a política de privacidade deve indicar, com clareza, quem é o encarregado do agente de tratamento.

Também conhecido pelo seu nome europeu, DPO, o encarregado é, pela definição da LGPD (artigo 5º, VIII): “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD”.

Na realidade, contudo, seu papel vai além dessa atuação como canal de comunicação entre controlador, operador, titulares e ANPD.

O encarregado é responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

Além disso, é o encarregado que recebe as comunicações da ANPD e adota providências em relação a elas.

Esse profissional também orienta os funcionários e os contratados da entidade a respeito da proteção de dados pessoais, sendo a referência interna sobre o assunto.

Isso significa dizer que sempre que a empresa vai lançar um produto ou rever certos procedimentos internos, o encarregado deve ser consultado para que dê seu parecer sobre o tema de proteção de dados pessoais.

É, de fato, um profissional-chave. Portanto, as informações básicas sobre este profissional, em especial as informações de contato, devem constar da política de privacidade de forma clara. Veja aqui o nosso artigo específico sobre o DPO/Encarregado.

 

Um documento multidisciplinar

 

A política de privacidade é um documento multidisciplinar; este documento deve ser elaborado em colaboração com diversos setores de uma empresa.

Na política de privacidade serão refletidas as práticas e processos da empresa.

Também serão refletidas todas as formas que a empresa dispõe para proteger os dados pessoais com os quais trabalha, inclusive do ponto de vista técnico.

Envolver o setor de marketing e vendas na elaboração da política de privacidade é fundamental, já que este documento acabará por refletir muito sobre o perfil da empresa.

É importante ponderar sobre como este perfil será apresentado ao público externo (em especial ao titular de dados pessoais), de forma que combine conteúdo técnico e legal com uma apresentação harmônica.

 

Conclusão

 

A política de privacidade é um documento essencial no processo de adequação à LGPD.

É com a política de privacidade que empresa estabelecerá o primeiro contato com o titular para informá-lo sobre como realiza o tratamento dos seus dados pessoais e todas as informações pertinentes sobre a própria empresa.

É essencial que seja elaborado em colaboração com diversas áreas: jurídico, tecnologia da informação, marketing, vendas e outras, já que projetará, a mercado, a identidade da empresa.

Cada política de privacidade é única; sua elaboração deve ser cuidadosa e criteriosa, sempre com o auxílio de um corpo profissional.

Caso este conteúdo tenha sido útil, inscreva-se logo abaixo para receber em primeira mão as próximas publicações do escritório.

Você também poderá nos avaliar no Google, o seu feedback é o que nos motiva a continuar produzindo conteúdos de qualidade!

---

[1] COTS Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo: Ed. Thomson Reuters Brasil, 2018. Pág. 238.

[2] LEITE, Salomão George; LEMOS, Ronaldo. Marco Civil da Internet. São Paulo: Atlas, 2014. Pág. 484-485.