Nos últimos meses muito provavelmente você deve ter reparado que ao acessar sites brasileiros muitas empresas passaram a destacar a existência de uma Política de Privacidade. E não só nessa situação, mas também ao realizar cadastros você tem sido noticiado de que a empresa possui Política de Privacidade e até mesmo em alguns casos as empresas têm enviado e-mails para sua lista de contatos os informando acerca da Política.
Diante dessa situação, fica a dúvida: por que as empresas brasileiras têm dado tanto destaque às suas Políticas de Privacidade? A resposta é simples, mas a solução pode ser um pouco mais complicada… Dessa forma, o presente artigo visa ajudar você, caro leitor, a entender melhor a Política de Privacidade e a ter as informações necessárias para elaborá-la na prática.
Primeiramente, cumpre destacar que desde 18 de setembro de 2020 encontra-se vigente a Lei nº 13.709, de 14 de agosto de 2018, conforme alterada (“LGPD” ou “Lei Geral de Proteção de Dados”), a qual dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Dito isso, o art. 9º da LGPD determina que o titular, ou seja, a pessoa física detentora do dado pessoal, tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva pelas pessoas jurídicas ou físicas que realizam operações com dados pessoais.
Então, somando-se referido artigo ao princípio da transparência (art. 6º, VI, LGPD), ou seja, a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, temos a obrigação legal das empresas de informar seus clientes e usuários sobre as operações que realiza com seus dados pessoais e, consequentemente, surgem as Políticas de Privacidade.
Idealmente, a Política de Privacidade deve ser um documento com linguagem simples e clara, de fácil acesso aos titulares. Por isso, quase todas as empresas optam por incluir o documento em seus sites e, até mesmo, destacar sua existência para os usuários quando realizam o primeiro acesso.
Adicionalmente, a Política de Privacidade deve, minimamente, conter as informações exigidas pelos incisos do art. 9º da Lei Geral de Proteção de Dados, quais sejam:
- finalidade específica do tratamento;
- forma e duração do tratamento, observados os segredos comercial e industrial;
- identificação do controlador;
- informações de contato do controlador;
- informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
- responsabilidades dos agentes que realizarão o tratamento; e
- direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.
Para ajudá-los na elaboração da Política de Privacidade, passamos a explorar com maiores detalhes cada um dos tópicos acima destacados.
– Finalidade específica do tratamento
Os titulares devem ser informados sobre os motivos que levam as empresas a coletar e utilizar seus dados pessoais, ou seja, todas as finalidades que justificam a operação de tratamento de dados pessoais. Por exemplo, podemos ter a realização de cadastro ou então a operacionalização de uma venda de produto.
Recomenda-se que para cada dado pessoal coletado seja indicada a finalidade específica para que os titulares possam entender de forma completa a utilização de seus dados.
– Forma e Duração do Tratamento
O objetivo desta regra é mostrar para o titular como e por quanto tempo os dados pessoais coletados são utilizados. Ou seja, a empresa deve demonstrar se utiliza sistemas específicos, se emprega medidas de segurança da informação, como os dados são trabalhados internamente (e.g., direito de acesso), bem como por quanto tempo será realizada a operação com dados pessoais e até quando os dados armazenados.
Cumpre destacar que a LGPD expressamente destaca a proteção dos segredos comercial e industrial das empresas, de modo que as informações prestadas devem resguardar segredos muitas vezes primordiais para os negócios.
– Identificação do Controlador
As empresas devem se identificar, idealmente trazendo sua qualificação completa, ou seja, razão social, CNPJ e sede.
– Informações de Contato do Controlador
Em complemento à regra acima, as empresas devem trazer dados de contato para que os titulares possam tirar dúvidas e obter esclarecimentos sobre seus dados pessoais. O contato indicado neste caso, pode ser o do Encarregado da empresa ou do setor responsável pela privacidade e proteção de dados pessoais.
– Informações Acerca do Uso Compartilhado de Dados pelo Controlador e a Finalidade
Sabemos que grande parte das operações com dados pessoais realizadas pelas empresas contam com a participação de terceiros, tais como prestadores de serviço e/ou fornecedores de softwares e soluções tecnológicas.
Dessa forma, através da regra acima a LGPD visa trazer transparência para os titulares acerca de eventuais compartilhamentos de seus dados pessoais com terceiros que não sejam a empresa com a qual mantém relacionamento direto.
Portanto, para atendimento deste inciso, as empresas devem indicar com quem compartilham dados pessoais e qual o objetivo/finalidade que exigem o compartilhamento dos dados.
– Responsabilidades dos Agentes que Realizarão o Tratamento
Para atendimento do dispositivo acima, as empresas devem identificar quais são as responsabilidades de todos os agentes de tratamento de dados pessoais envolvidos nas operações de tratamento de dados, indicando qual será a função de cada agente.
Como definido pela LGPD (art. 5º), os agentes de tratamento são o controlador e o operador. O controlador é a entidade a quem competem as decisões referentes ao tratamento de dados pessoais, enquanto o operador é a entidade que realiza o tratamento de dados pessoais em nome do controlador.
Para fins de esclarecimento, via regra geral, o controlador é a empresa que disponibiliza a Política de Privacidade e o operador é o terceiro que auxilia o controlador nas operações de tratamento destacadas na Política.
– Direitos do Titular, com menção explícita aos direitos contidos no art. 18 da LGPD
Um dos principais pontos da LGPD é a garantia de uma série de direito para os titulares acerca de seus dados pessoais, todos dispostos no art. 18 da Lei (e.g., direito de acesso aos dados, eliminação dos dados, correção dos dados, confirmação da existência de tratamento).
Dessa forma, ao criar sua Política de Privacidade as empresas devem incluir explicitamente os direitos indicados no art. 18. Para tanto, recomenda-se a indicação e menção explícita a todos os direitos, indicando qual o canal de comunicação adequado para que o atendimento de eventuais solicitações possa ser realizado.
Ante todo o exposto, seguindo as diretrizes acima destacadas, temos uma Política de Privacidade completa e que segue os requisitos da Lei Geral de Proteção de Dados exigidos pelo art. 9º. Não obstante, as empresas são livres para adicionar novas informações em suas políticas, haja visto que um dos princípios basilares da LGPD é a transparência. Apenas não podemos deixar de incluir algum dos requisitos mínimos.
A construção de uma Política de Privacidade pode ser um trabalho simples com a orientação adequada, então caso tenha qualquer dúvida ou precise de alguma ajuda com esse documento ou qualquer outro ponto da LGPD, todo o time da B.onuz está à inteira disposição para atende-los em nossos canais de contato.
Por Marcelo Brisolla Jordão Filho
O que achou deste artigo? Deixe nos comentários abaixo!
Conheça a plataforma da Bonuz e fique ligado em nossas redes sociais para não perder nenhum informativo!
