Descubra porque as empresas utilizam uma nomenclatura equivocada a respeito da Política de Privacidade e quais informações devem constar em cada documento.
Sumário
Introdução
Um dos documentos mais conhecidos quando o assunto é Lei Geral de Proteção de Dados – LGPD, é sobre a elaboração de uma Política de Privacidade.
Ao contrário do que muitos pensam, uma única Política de Privacidade anexada a um site não serve, tão somente, para comprovar que uma empresa está realmente adequada à LGPD. É preciso muito mais do que isso.
Porém, apesar de muito comum a Política de Privacidade possui algumas especificações próprias, determinados requisitos e informações que precisam estar contidas nela para ser realmente eficaz e cumprir o seu papel.
Além disso, embora seja muito comum vermos o termo de Política de Privacidade em sites, o termo correto não é esse. Existe uma diferença entre Política de Privacidade, que foge do comumente realizado pelas empresas no Brasil e o Aviso de Privacidade.
Isso porque a Política de Privacidade representa um documento destinado a própria empresa em seu ambiente interno.
Já o Aviso de Privacidade é o documento destinado ao público em geral, de forma exterior a empresa.
O que acontece é que a famosa Política de Privacidade que vemos anexa à diversos sites, na verdade, se refere a um Aviso de Privacidade. Porém, como esta prática equivocada já se tornou comum entre as empresas e, até mesmo com o público em geral (até mesmo os leigos), o termo não foi corrigido e até hoje consta a sua nomenclatura inadequada.
O termo permanece inadequado porque na prática o documento cumpre a sua principal função: a de dar transparência e de fornecer informações claras e acessíveis sobre como a empresa utiliza e trata os dados pessoais dos titulares de dados (clientes, usuários do site etc).
Para saber mais sobre este assunto e aprender a elaborar cada um dos documentos, continue lendo este post até o final.
A Política de Privacidade
A Política de Privacidade é a nomenclatura correta para se referir a um documento interno de uma empresa.
Segundo a Associação Internacional dos Profissionais da Privacidade (IAPP) uma Política de Privacidade deve ser endereçada aos colaboradores e visa atender todas as necessidades da organização com relação ao cumprimento das exigências legais.
Assim, o documento Política de Privacidade trata das informações a respeito de como determinada empresa realiza o tratamento de dados de forma interna, voltada a seus colaboradores.
Há uma certa divergência com relação as informações que devem estar contidas em uma Política de Privacidade, sobretudo porque algumas pessoas entendem e defendem que este documento é destinado para a empresa definir suas regras, princípios, proibições e sanções ao tratar dados pessoais, de forma vinculativa com cada colaborador, principalmente àqueles que atuam diretamente com dados pessoais.
Entretanto, há ainda, quem defenda que ao contrário do que foi dito anteriormente a Política de Privacidade se destina a informar como a empresa trata os dados pessoais de forma interna, servindo como um documento informacional para os colaboradores, que também são titulares de dados, sem o aspecto da vinculação na forma de realizar o tratamento, mas sim servindo unicamente como fonte de informações a respeito de seus direitos e dos deveres da empresa como agente controlador.
O que acontece é que no Brasil a grande maioria dos profissionais separam estes documentos da seguinte forma: destinam a Política de Privacidade como um documento informacional sobre os dados dos colaboradores que são tratados pela empresa como forma de dar a eles todas as informações necessárias sobre seus dados pessoais e os seus direitos.
Já com relação a elaboração de regras, obrigações, princípios, responsabilidades e sanções ao tratar dados pessoais, de forma vinculativa ao colaborador da empresa que irá desempenhar esta função, é elaborado um Código de Boas Práticas em Proteção de Dados, ou até mesmo documentos separados e específicos como Cartilhas Informacionais para determinados setores, exemplo: Cartilha sobre Proteção de Dados destinada ao setor de Recursos Humanos – RH, como também uma Política de Retenção e Descarte de Dados etc.
A definição trazida pela IAPP é no sentido de que a Política de Privacidade representa um documento interno que vai direcionar a empresa na forma como deve agir ao tratar os dados pessoais, por isso possui um caráter vinculativo com os colaboradores e tem eles como público alvo, porque são os responsáveis por realizar e desempenhar esta função na organização.
O Aviso de Privacidade
O Aviso de Privacidade é o documento destinado ao público externo, público em geral da empresa. Em razão disso, ele é o documento que deve ficar anexo aos sites porque se destina a todos os indivíduos externos: os consumidores, os clientes, os navegantes do site etc.
A função deste documento é a de fornecer informações claras e acessíveis para cada titular dos dados, para que eles possam conhecer e entender como a empresa trata os seus dados pessoais, para qual finalidade, qual a necessidade de fornecer determinados dados, como é realizado o armazenamento, se há ou não compartilhamento com terceiros, além de ter total conhecimento sobre os seus direitos como titular de dados e como pode exercê-los perante a organização.
O Aviso de Privacidade é um documento que cumpre de forma integral o Princípio da Transparência previsto na LGPD em seu artigo 6º, inciso VI.
Como este documento tem como público alvo todos os indivíduos externos a organização, sobretudo pessoais leigas, é extremamente importante que em caso de elaboração do documento de forma escrita a empresa opte por utilizar uma linguagem mais acessível, traga as informações de forma objetiva e incentive seus usuários do website a acessarem e lerem todo o conteúdo por completo, para que se possa realmente atingir a sua finalidade.
A única divergência que há a respeito deste documento é sobre a sua nomenclatura, que conforme já mencionado no início do artigo é utilizado de forma equivocada pelas empresas. Muitos elaboram o documento do Aviso de Privacidade, porém o nomeiam como “Política de Privacidade”.
Como elaborar uma Política de Privacidade
Para elaborar uma Política de Privacidade, antes de tudo o profissional deve decidir qual posicionamento irá adotar: de seguir com a separação dos documentos por assuntos, ou se irá adotar a definição trazida pela IAPP.
De qualquer forma é importante que conste neste documento: os princípios, as regras, as obrigações, as vedações, as sanções, as responsabilidades, as funções e os procedimentos internos ao tratar dados pessoais.
Como estamos diante de um documento interno é importante analisarmos o porte e a maturidade da empresa com o tema.
Isto é, se estamos diante de uma empresa que possui diversos setores segmentados, que possui um alto fluxo de dados pessoais é mais estratégico elaborar documentos segmentados como:
um Código de Boas Práticas de forma geral;
uma Política de Retenção e Descarte dos Dados apenas para lidar com a finalização do tratamento;
uma Cartilha especifica para os setores que possuem maiores atividades de tratamento de dados como o setor de Recursos Humanos – RH e o setor de Marketing;
um Código de Conduta específico para os colaboradores que atuam na linha de frente ao tratamento de dados pessoais;
uma Política Emergencial para o caso de incidentes de segurança, entre outros que possam se fazer necessários.
Como elaborar um Aviso de Privacidade
O Aviso de Privacidade deve ser elaborado contendo todas as informações úteis e claras para o titular dos dados, isso quer dizer que deve ficar expresso as responsabilidades da empresa ao tratar dados pessoais e todos os direitos dos titulares previstos na LGPD.
Deve conter em um Aviso de Privacidade as seguintes informações:
quem irá realizar o tratamento de dados;
se a empresa possui ou não um Encarregado de Dados (DPO);
de quem são os dados pessoais coletados;
a duração do tratamento de dados;
se há ou não o compartilhamento dos dados com terceiros;
quais dados a empresa coleta e qual a necessidade e a finalidade deles;
a utilização ou não de cookies durante a navegação no site;
a possibilidade de envio de mensagens publicitárias principalmente em sites que há cadastro para newsletter;
todos os direitos que o titular de dados possui, conforme o artigo 18 da LGPD;
a legislação aplicável com o respectivo foro para dirimir conflitos.
É essencial que ao final do Aviso de Privacidade conste a data da última modificação realizada pela empresa, para que o usuário sempre saiba se alguma informação foi alterada ou não.
Além disso, a empresa deve sempre deixar claro quais serão os canais de comunicação que o titular deve adotar para exercer os seus direitos, seja por e-mail, Whatsapp, Telegram etc.
Como citamos a elaboração de um Aviso de Privacidade direcionada para empresas que possuem sites, precisamos lembrar que nem sempre uma empresa terá esta atuação digital.
Assim, em caso de empresa física com atuação off-line o essencial é que se elabore este documento e deixe visível para os seus consumidores lerem sempre que possível.
Disposições Finais
Apesar de termos visto que a nomenclatura utilizada pelas empresas brasileiras com relação a Política de Privacidade que fica anexa e visível em seus sites é inadequada, uma vez que este documento se refere ao Aviso de Privacidade, outros fatos também são importantes para esta distinção.
Independentemente do nome que se utilize para se referir ao documento é preciso ter noção da diferença de público alvo, de finalidade e de informações que cada um deles deve conter.
É importante também mencionarmos que principalmente no caso do Aviso de Privacidade a sua forma de elaboração não precisa ser feita necessariamente de forma escrita, podendo a empresa utilizar de vários recursos para facilitar a compreensão pelo seu público externo: elementos visuais, vídeos interativos etc.
A maior relevância está com relação ao cumprimento do objetivo do documento, sendo a sua denominação e nomenclatura como algo meramente técnico sem grandes impactos na prática.
Para finalizar, é sempre bom ressaltar que apenas um Aviso de Privacidade não é suficiente para considerar uma empresa adequada à LGPD, tampouco há como se elaborar este documento sem antes termos realizado um mapeamento dos dados.
━━━
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comentários