Toda empresa que tenha presença online, através de um site ou aplicativo deve possuir o documento Política de Privacidade. Esse documento deve conter as diretrizes sobre o tratamento de dados pessoais dos usuários.
Ainda, mesmo as empresas que não tenham presença online precisam do documento Política de Privacidade. O documento irá detalhar como será realizado o tratamento dos dados pessoais internamente.
Por exemplo, os dados pessoais de seus funcionários, candidatos entrevistados durante processos seletivos e prestadores de serviços.
O que é política de privacidade?
O documento Política de Privacidade tem o objetivo de demonstrar como os dados pessoais de titulares serão tratados.
Diferença entre política de privacidade e termos de uso
Os Termos de Uso é um documento em que a empresa dirá as condições de utilização da plataforma, aplicativo ou site.
Sendo assim, esse documento explica suas:
- funcionalidades,
- sistemas e
- ferramentas disponíveis
Para saber mais sobre os Termos de Uso, clique aqui.
O que deve conter na política de privacidade?
A Política de Privacidade, assim como os Termos de Uso, deve ser um documento enxuto e de fácil leitura.
Indicamos que o documento comece com as definições dos principais termos utilizados no documento.
Por exemplo:
- o que é um dado pessoal
- o que é um dado pessoal sensível
- quem é o titular
- o que é considerado um tratamento de dado pessoal
- anonimização
- consentimento, etc.
Ademais, deverá conter, no mínimo, as seguintes informações:
- finalidade específica do tratamento dos dados pessoais
- forma e duração do tratamento, observados os segredos comerciais e industriais
- informações acerca do uso compartilhado de dados pelo Controlador e a finalidade
- responsabilidades dos Agentes de Tratamento
- direitos do Titular de dados pessoais
- identificação do Controlador, com detalhes de contato
Os dados coletados e o motivo da coleta (finalidade do tratamento)
Nessa parte da Política de Privacidade, é importante explicar ao titular de dados quais são seus dados pessoais que são coletados e o motivo da coleta, ou seja, a finalidade do tratamento dos dados, como por exemplo:
- Para o cadastro na plataforma: Nome completo, endereço, telefone, e-mail
- Uma observação importante que deve conter na Política é que a empresa poderá solicitar o envio de fotos dos documentos contendo as informações mencionadas acima, a fim de comprovação dessas informações fornecidas diretamente pelo titular
- Dados de transações financeiras para pagamentos
- Quanto aos dados financeiros, caso a empresa não trate nenhum desses dados (por exemplo, as transações bancárias ocorrem através do PagSeguro), é importante informar o titular
- Dados coletados pela plataforma/site, como por exemplo, dados de localização
- Dados do dispositivo eletrônico: neste caso, informar ao titular se serão coletados dados mínimos para cumprimento da Lei n. 12.965/2014, conhecida como Marco Civil da Internet (neste caso, serão coletados endereço IP, data e horário dos acessos)
Como é realizado o tratamento e duração
Nessa parte da Política de Privacidade, a empresa deve informar ao titular como os dados pessoais são tratados e descartados.
Assim, deve ficar claro ao titular de dados os períodos em que determinados documentos deverão permanecer armazenados, bem como o prazo e momento em que serão descartados.
Deve estabelecer, ainda, a forma de descarte, de acordo com o grau de sensibilidade das informações.
Ademais, a empresa deve informar se manterá as informações dos titulares para promoção de seus serviços e produtos. Neste caso, o titular poderá solicitar a exclusão dos seus dados pessoais diretamente nos canais de comunicação da empresa Controladora.
No entanto, vale lembrar que mesmo diante de solicitação de exclusão dos dados, a empresa Controladora manter algumas informações, nos termos da legislação em vigor. Ainda, poderá manter seus dados de forma anonimizada e para uso exclusivo da empresa.
Compartilhamento dos dados
Nesse trecho da Política de Privacidade o titular de dados pessoais deve ser informado sobre a existência ou não de compartilhamento de seus dados com terceiros, com as respectivas finalidades de tratamento.
Por exemplo, sua empresa compartilhará informações com prestadores de serviço e parceiros comerciais? Em caso positivo, isso deve ser informado ao titular.
Direitos dos titulares
Como dono(a) de seus próprios dados pessoais, o titular possui diversos direitos que podem ser exercidos a qualquer tempo e mediante requisição direta direcionada para a empresa, são eles (art. 18 da LGPD):
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei
- Portabilidade dos dados a outro fornecedor de serviço ou produto
- Eliminação dos dados pessoais tratados com o consentimento do titular
- Informação das entidades públicas e privadas com as quais compartilhamos seus dados
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
- Revogação do consentimento
Segurança do aplicativo ou site
Nessa parte do documento, informar os sistemas de segurança da informação utilizados, como exemplo, criptografias, controles de acesso, firewalls, registros de criação e acesso de contas, dentre outras.
Dessa forma, caso quaisquer dados pessoais sejam expostos de alguma forma, a empresa deve enviar um comunicado com as seguintes informações:
- descrição da natureza dos dados pessoais afetados
- indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados
- riscos relacionados ao incidente
- motivos da demora, no caso de a comunicação não ter sido imediata e
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo
Procure um advogado
Um advogado especializado em Direito Digital e Proteção de Dados poderá ajudar sua empresa na elaboração das Políticas de Privacidade necessárias.
Entre em contato conosco: luciana@bortolozoadv.com.br