MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Política de privacidade - O que é e como criar esse documento

Política de privacidade - O que é e como criar esse documento

Com o advento da lei Geral de Proteção de Dados (lei 13.709/18), as atividades de tratamento de dados pessoais pelas empresas, tanto públicas quanto privadas, deverão observar a boa-fé e alguns princípios trazidos pela lei.

quinta-feira, 12 de agosto de 2021

Atualizado em 13 de agosto de 2021 14:33

(Imagem: Arte Migalhas)

Toda empresa que tenha presença online, através de um site ou aplicativo deve possuir o documento Política de Privacidade. Esse documento deve conter as diretrizes sobre o tratamento de dados pessoais dos usuários.

Ainda, mesmo as empresas que não tenham presença online precisam do documento Política de Privacidade. O documento irá detalhar como será realizado o tratamento dos dados pessoais internamente.

Por exemplo, os dados pessoais de seus funcionários, candidatos entrevistados durante processos seletivos e prestadores de serviços.

Qual o objetivo da política de privacidade?

O documento Política de Privacidade tem o objetivo de demonstrar como os dados pessoais de titulares serão tratados.

Diferença entre política de privacidade e termos de uso:

Os Termos de Uso é um documento em que a empresa dirá as condições de utilização da plataforma, aplicativo ou site.

Sendo assim, esse documento explica suas funcionalidades, sistemas e ferramentas disponíveis.

O que deve conter na política de privacidade?

A Política de Privacidade deve ser um documento enxuto e de fácil leitura.

Indicamos que o documento comece com as definições dos principais termos utilizados no documento.

Por exemplo: o que é um dado pessoal; o que é um dado pessoal sensível; quem é o titular; o que é considerado um tratamento de dado pessoal; anonimização; consentimento, etc. 

Ademais, deverá conter, no mínimo, as seguintes informações: i) finalidade específica do tratamento dos dados pessoais; ii) forma e duração do tratamento, observados os segredos comerciais e industriais; iii) informações acerca do uso compartilhado de dados pelo Controlador e a finalidade; iv) responsabilidades dos Agentes de Tratamento; v) direitos do Titular de dados pessoais; e vi) identificação do Controlador, com detalhes de contato.

Os dados coletados e o motivo da coleta (finalidade do tratamento)

Nessa parte da Política de Privacidade, é importante explicar ao titular de dados quais são seus dados pessoais que são coletados e o motivo da coleta, ou seja, a finalidade do tratamento dos dados, como por exemplo:

  • Para o cadastro na plataforma: Nome completo, endereço, telefone, e-mail;
  • Uma observação importante que deve conter na Política é que a empresa poderá solicitar o envio de fotos dos documentos contendo as informações mencionadas acima, a fim de comprovação dessas informações fornecidas diretamente pelo titular;
  • Dados de transações financeiras para pagamentos;
  • Quanto aos dados financeiros, caso a empresa não trate nenhum desses dados (por exemplo, as transações bancárias ocorrem através do PagSeguro), é importante informar o titular;
  • Dados coletados pela plataforma/site, como por exemplo, dados de localização;
  • Dados do dispositivo eletrônico: neste caso, informar ao titular se serão coletados dados mínimos para cumprimento da lei 12.965/2014, conhecida como Marco Civil da Internet (neste caso, serão coletados endereço IP, data e horário dos acessos).

Como é realizado o tratamento e duração

Nessa parte da Política de Privacidade, a empresa deve informar ao titular como os dados pessoais são tratados e descartados.

Assim, deve ficar claro ao titular de dados os períodos em que determinados documentos deverão permanecer armazenados, bem como o prazo e momento em que serão descartados.

Deve estabelecer, ainda, a forma de descarte, de acordo com o grau de sensibilidade das informações.

Ademais, a empresa deve informar se manterá as informações dos titulares para promoção de seus serviços e produtos. Neste caso, o titular poderá solicitar a exclusão dos seus dados pessoais diretamente nos canais de comunicação da empresa Controladora.

No entanto, vale lembrar que mesmo diante de solicitação de exclusão dos dados, a empresa Controladora manter algumas informações, nos termos da legislação em vigor. Ainda, poderá manter seus dados de forma anonimizada e para uso exclusivo da empresa.

Compartilhamento dos dados

Nesse trecho da Política de Privacidade o titular de dados pessoais deve ser informado sobre a existência ou não de compartilhamento de seus dados com terceiros, com as respectivas finalidades de tratamento.

Por exemplo, sua empresa compartilhará informações com prestadores de serviço e parceiros comerciais? Em caso positivo, isso deve ser informado ao titular.

Direitos dos titulares

Como dono(a) de seus próprios dados pessoais, o titular possui diversos direitos que podem ser exercidos a qualquer tempo e mediante requisição direta direcionada para a empresa, são eles (art. 18 da LGPD):

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto;
  • Eliminação dos dados pessoais tratados com o consentimento do titular;
  • Informação das entidades públicas e privadas com as quais compartilhamos seus dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
  • Revogação do consentimento.

Segurança do aplicativo ou site

Nessa parte do documento, informar os sistemas de segurança da informação utilizados, como exemplo, criptografias, controles de acesso, firewalls, registros de criação e acesso de contas, dentre outras.

Dessa forma, caso quaisquer dados pessoais sejam expostos de alguma forma, a empresa deve enviar um comunicado com as seguintes informações:

  • descrição da natureza dos dados pessoais afetados;
  • indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
  • riscos relacionados ao incidente;
  • motivos da demora, no caso de a comunicação não ter sido imediata; e
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Luciana Ferreira Bortolozo

Luciana Ferreira Bortolozo

Especialista em Direito em Startups pelo Insper. Especialista em Direito e Processo Civil pela EPD. Certificada em Propriedade Intelectual pela Universidade de Genebra em parceria com a WIPO. Atuação consultiva e contenciosa com ênfase em Direito Digital, Propriedade Intelectual e Direito das Startups; Elaboração de Contratos, Acordos de Confidencialidade, Memorandos de Entendimento, Termos de Uso e Políticas de Privacidade. Investigação de crimes e fraudes cibernéticas, remoção de conteúdo ilícito na internet. Sócia do escritório Bortolozo Advogados.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca