Política de privacidade - O que é e como criar esse documento

Toda empresa que tenha presença online, através de um site ou aplicativo deve possuir o documento Política de Privacidade. Esse documento deve conter as diretrizes sobre o tratamento de dados pessoais dos usuários.

Ainda, mesmo as empresas que não tenham presença online precisam do documento Política de Privacidade. O documento irá detalhar como será realizado o tratamento dos dados pessoais internamente.

Por exemplo, os dados pessoais de seus funcionários, candidatos entrevistados durante processos seletivos e prestadores de serviços.

Qual o objetivo da política de privacidade?

O documento Política de Privacidade tem o objetivo de demonstrar como os dados pessoais de titulares serão tratados.

Diferença entre política de privacidade e termos de uso:

Os Termos de Uso é um documento em que a empresa dirá as condições de utilização da plataforma, aplicativo ou site.

Sendo assim, esse documento explica suas funcionalidades, sistemas e ferramentas disponíveis.

O que deve conter na política de privacidade?

A Política de Privacidade deve ser um documento enxuto e de fácil leitura.

Indicamos que o documento comece com as definições dos principais termos utilizados no documento.

Por exemplo: o que é um dado pessoal; o que é um dado pessoal sensível; quem é o titular; o que é considerado um tratamento de dado pessoal; anonimização; consentimento, etc. 

Ademais, deverá conter, no mínimo, as seguintes informações: i) finalidade específica do tratamento dos dados pessoais; ii) forma e duração do tratamento, observados os segredos comerciais e industriais; iii) informações acerca do uso compartilhado de dados pelo Controlador e a finalidade; iv) responsabilidades dos Agentes de Tratamento; v) direitos do Titular de dados pessoais; e vi) identificação do Controlador, com detalhes de contato.

Os dados coletados e o motivo da coleta (finalidade do tratamento)

Nessa parte da Política de Privacidade, é importante explicar ao titular de dados quais são seus dados pessoais que são coletados e o motivo da coleta, ou seja, a finalidade do tratamento dos dados, como por exemplo:

• Para o cadastro na plataforma: Nome completo, endereço, telefone, e-mail;
• Uma observação importante que deve conter na Política é que a empresa poderá solicitar o envio de fotos dos documentos contendo as informações mencionadas acima, a fim de comprovação dessas informações fornecidas diretamente pelo titular;
• Dados de transações financeiras para pagamentos;
• Quanto aos dados financeiros, caso a empresa não trate nenhum desses dados (por exemplo, as transações bancárias ocorrem através do PagSeguro), é importante informar o titular;
• Dados coletados pela plataforma/site, como por exemplo, dados de localização;
• Dados do dispositivo eletrônico: neste caso, informar ao titular se serão coletados dados mínimos para cumprimento da lei 12.965/2014, conhecida como Marco Civil da Internet (neste caso, serão coletados endereço IP, data e horário dos acessos).

Como é realizado o tratamento e duração

Nessa parte da Política de Privacidade, a empresa deve informar ao titular como os dados pessoais são tratados e descartados.

Assim, deve ficar claro ao titular de dados os períodos em que determinados documentos deverão permanecer armazenados, bem como o prazo e momento em que serão descartados.

Deve estabelecer, ainda, a forma de descarte, de acordo com o grau de sensibilidade das informações.

Ademais, a empresa deve informar se manterá as informações dos titulares para promoção de seus serviços e produtos. Neste caso, o titular poderá solicitar a exclusão dos seus dados pessoais diretamente nos canais de comunicação da empresa Controladora.

No entanto, vale lembrar que mesmo diante de solicitação de exclusão dos dados, a empresa Controladora manter algumas informações, nos termos da legislação em vigor. Ainda, poderá manter seus dados de forma anonimizada e para uso exclusivo da empresa.

Compartilhamento dos dados

Nesse trecho da Política de Privacidade o titular de dados pessoais deve ser informado sobre a existência ou não de compartilhamento de seus dados com terceiros, com as respectivas finalidades de tratamento.

Por exemplo, sua empresa compartilhará informações com prestadores de serviço e parceiros comerciais? Em caso positivo, isso deve ser informado ao titular.

Direitos dos titulares

Como dono(a) de seus próprios dados pessoais, o titular possui diversos direitos que podem ser exercidos a qualquer tempo e mediante requisição direta direcionada para a empresa, são eles (art. 18 da LGPD):

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• Portabilidade dos dados a outro fornecedor de serviço ou produto;
• Eliminação dos dados pessoais tratados com o consentimento do titular;
• Informação das entidades públicas e privadas com as quais compartilhamos seus dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
• Revogação do consentimento.

Segurança do aplicativo ou site

Nessa parte do documento, informar os sistemas de segurança da informação utilizados, como exemplo, criptografias, controles de acesso, firewalls, registros de criação e acesso de contas, dentre outras.

Dessa forma, caso quaisquer dados pessoais sejam expostos de alguma forma, a empresa deve enviar um comunicado com as seguintes informações:

• descrição da natureza dos dados pessoais afetados;
• indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
• riscos relacionados ao incidente;
• motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.