Toda empresa que tenha presença online, através de um site ou aplicativo deve possuir o documento Política de Privacidade. Esse documento deve conter as diretrizes sobre o tratamento de dados pessoais dos usuários.
Ainda, mesmo as empresas que não tenham presença online precisam do documento Política de Privacidade. O documento irá detalhar como será realizado o tratamento dos dados pessoais internamente.
Por exemplo, os dados pessoais de seus funcionários, candidatos entrevistados durante processos seletivos e prestadores de serviços.
Qual o objetivo da política de privacidade?
O documento Política de Privacidade tem o objetivo de demonstrar como os dados pessoais de titulares serão tratados.
Diferença entre política de privacidade e termos de uso:
Os Termos de Uso é um documento em que a empresa dirá as condições de utilização da plataforma, aplicativo ou site.
Sendo assim, esse documento explica suas funcionalidades, sistemas e ferramentas disponíveis.
O que deve conter na política de privacidade?
A Política de Privacidade deve ser um documento enxuto e de fácil leitura.
Indicamos que o documento comece com as definições dos principais termos utilizados no documento.
Por exemplo: o que é um dado pessoal; o que é um dado pessoal sensível; quem é o titular; o que é considerado um tratamento de dado pessoal; anonimização; consentimento, etc.
Ademais, deverá conter, no mínimo, as seguintes informações: i) finalidade específica do tratamento dos dados pessoais; ii) forma e duração do tratamento, observados os segredos comerciais e industriais; iii) informações acerca do uso compartilhado de dados pelo Controlador e a finalidade; iv) responsabilidades dos Agentes de Tratamento; v) direitos do Titular de dados pessoais; e vi) identificação do Controlador, com detalhes de contato.
Os dados coletados e o motivo da coleta (finalidade do tratamento)
Nessa parte da Política de Privacidade, é importante explicar ao titular de dados quais são seus dados pessoais que são coletados e o motivo da coleta, ou seja, a finalidade do tratamento dos dados, como por exemplo:
- Para o cadastro na plataforma: Nome completo, endereço, telefone, e-mail;
- Uma observação importante que deve conter na Política é que a empresa poderá solicitar o envio de fotos dos documentos contendo as informações mencionadas acima, a fim de comprovação dessas informações fornecidas diretamente pelo titular;
- Dados de transações financeiras para pagamentos;
- Quanto aos dados financeiros, caso a empresa não trate nenhum desses dados (por exemplo, as transações bancárias ocorrem através do PagSeguro), é importante informar o titular;
- Dados coletados pela plataforma/site, como por exemplo, dados de localização;
- Dados do dispositivo eletrônico: neste caso, informar ao titular se serão coletados dados mínimos para cumprimento da lei 12.965/2014, conhecida como Marco Civil da Internet (neste caso, serão coletados endereço IP, data e horário dos acessos).
Como é realizado o tratamento e duração
Nessa parte da Política de Privacidade, a empresa deve informar ao titular como os dados pessoais são tratados e descartados.
Assim, deve ficar claro ao titular de dados os períodos em que determinados documentos deverão permanecer armazenados, bem como o prazo e momento em que serão descartados.
Deve estabelecer, ainda, a forma de descarte, de acordo com o grau de sensibilidade das informações.
Ademais, a empresa deve informar se manterá as informações dos titulares para promoção de seus serviços e produtos. Neste caso, o titular poderá solicitar a exclusão dos seus dados pessoais diretamente nos canais de comunicação da empresa Controladora.
No entanto, vale lembrar que mesmo diante de solicitação de exclusão dos dados, a empresa Controladora manter algumas informações, nos termos da legislação em vigor. Ainda, poderá manter seus dados de forma anonimizada e para uso exclusivo da empresa.
Compartilhamento dos dados
Nesse trecho da Política de Privacidade o titular de dados pessoais deve ser informado sobre a existência ou não de compartilhamento de seus dados com terceiros, com as respectivas finalidades de tratamento.
Por exemplo, sua empresa compartilhará informações com prestadores de serviço e parceiros comerciais? Em caso positivo, isso deve ser informado ao titular.
Direitos dos titulares
Como dono(a) de seus próprios dados pessoais, o titular possui diversos direitos que podem ser exercidos a qualquer tempo e mediante requisição direta direcionada para a empresa, são eles (art. 18 da LGPD):
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- Portabilidade dos dados a outro fornecedor de serviço ou produto;
- Eliminação dos dados pessoais tratados com o consentimento do titular;
- Informação das entidades públicas e privadas com as quais compartilhamos seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
- Revogação do consentimento.
Segurança do aplicativo ou site
Nessa parte do documento, informar os sistemas de segurança da informação utilizados, como exemplo, criptografias, controles de acesso, firewalls, registros de criação e acesso de contas, dentre outras.
Dessa forma, caso quaisquer dados pessoais sejam expostos de alguma forma, a empresa deve enviar um comunicado com as seguintes informações:
- descrição da natureza dos dados pessoais afetados;
- indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
- riscos relacionados ao incidente;
- motivos da demora, no caso de a comunicação não ter sido imediata; e
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.