Artigo

Como elaborar uma política de privacidade aderente à LGPD?

Carla Freitas, gestora de Segurança da Informação, compartilha recomendações e frisa que a política deve refletir todos os tratamentos de dados pessoais que são feitos pela organização em seus sistemas, serviços e sites

Ilustração com tela de computador e desenho de uma chave e de um cadeado, remetendo à segurança da informação e privacidade

 

11/10/2019

A política de privacidade é um dos instrumentos de implementação do privacy by design1 e faz parte da estrutura de documentos para a proteção de dados. A política objetiva dar visibilidade ao tratamento de dados pessoais em um determinado serviço, atendendo princípios da Lei Geral de Proteção de Dados Pessoais (LGPD).

É um documento endereçado aos usuários de um site, serviço ou sistema (titulares de dados) e, normalmente, é público. Neste artigo são apresentadas algumas dicas para a elaboração de uma política de privacidade aderente aos requisitos da LGPD.

Antes da elaboração

Para a elaboração da política de privacidade, é fundamental entender o contexto do tratamento de dados pessoais e como os princípios da LGPD são atendidos no sistema ou serviço. Para tanto, é necessário mapear todos os dados pessoais, a finalidade, as bases legais que legitimam o tratamento e a forma de atendimento aos direitos do titular como acesso, retificação, exclusão, revogação de consentimento, oposição, informação sobre possíveis compartilhamentos com terceiros e portabilidade.

Esse processo deve contar com o aconselhamento da área jurídica para verificar a adequação das definições do tratamento de dados à LGPD, e da base legal para legitimar o processamento. É necessário também avaliar outras legislações e regulamentações relacionadas ao tema e aplicáveis ao setor de atuação da organização.

Para apoiar o levantamento e a análise das informações, recomenda-se criar um formulário que registre as informações acima. Quaisquer alterações nesse formulário devem ser refletidas em versões futuras da política.

Conteúdo da política de privacidade

A política de privacidade é única e orientada ao serviço e à organização responsável, inclusive no que tange à linguagem utilizada, algumas mais formais, outras informais. Não importa a forma, é preciso garantir que o conteúdo seja conciso, de fácil acesso e compreensão. Utilizar aspectos visuais, como vídeos e imagens, pode ser um bom instrumento para facilitar o entendimento da política.

"É  importante garantir que a política esteja facilmente disponível. Dessa forma, a organização demonstra profissionalmente seu compromisso com a transparência no tratamento dos dados  pessoais. E  o usuário deve demonstrar seu expresso  consentimento e concordância com os termos da política antes do início desse tratamento"

Com relação ao conteúdo, é importante observar a presença das seguintes informações, que devem estar de modo claro e preciso:
    • Informações sobre a organização responsável pelo tratamento;
    • Dados pessoais e respectivas finalidades do tratamento, inclusive os dados não informados pelo usuário (exemplo: IP, localização, etc);
    • Base jurídica do tratamento;
    • Prazo de retenção dos dados pessoais;
    • Informações de contato do Data Protection Officer (DPO) ou encarregado de proteção de dados da organização.

A política de privacidade também deve orientar como são atendidos os direitos do titular de dados pessoais, apresentando como ele pode acessar, retificar, solicitar a exclusão de dados, transferir, limitar ou se opor ao tratamento, e retirar o consentimento. No caso da inviabilidade de alguma operação, é necessário deixar claro o motivo. Entretanto, aconselha-se que esses casos sejam avaliados e autorizados pela área jurídica, sendo justificados por algum outro requisito legal.

As seguintes informações, quando aplicáveis, também devem estar presentes:
    • Sobre compartilhamento dos dados com terceiros e qual a finalidade, inclusive redes sociais;
    • Sobre transferência internacional e qual a finalidade;
    • Sobre o tratamento por legítimo interesse;
    • Sobre o envio de e-mail marketing e como remover o consentimento, quando autorizado inicialmente pelo titular;
    • Sobre decisões automatizadas;
    • Sobre a proteção de dados de menores de idade;
    • Sobre a proteção dos dados sensíveis.

Entretanto, mesmo que não se apliquem os itens acima, orienta-se deixar explícito esse fato, como informar que os dados serão tratados apenas pela organização sem o compartilhamento com pessoas físicas ou jurídicas externas.

A política de privacidade também pode mencionar o uso de cookies, identificando quais e para qual finalidade. Mas esse conteúdo também pode estar disponível em um documento separado conhecido como política de cookies.

Após a elaboração

A política de privacidade deve estar disponível ao titular dos dados antes do início do tratamento do dado pessoal dele, permitindo, quando aplicável, que o mesmo avalie os termos do site ou serviço.

É importante garantir que a política esteja facilmente disponível, em uma linguagem apropriada ao seu público-alvo e com o conteúdo suficiente, claro e preciso para declarar todas as informações necessárias. Dessa forma, a organização demonstra profissionalmente seu compromisso com a transparência no tratamento dos dados pessoais. E o usuário deve demonstrar seu expresso consentimento e concordância com os termos da política antes do início desse tratamento.

Por fim, não esqueça de colocar a versão e a data de atualização da política de privacidade, com um registro das principais alterações, quando aplicável. Além de disponibilizar um repositório com as versões anteriores ao público-alvo e também em um sistema interno de controle de políticas. Essa é a dica de ouro para finalizar esse artigo que aborda aspectos práticos para a conformidade com a LGPD.

Referências
1  Resumidamente, privacy by design, ou privacidade desde a concepção, é uma abordagem ligada à Engenharia de Sistemas e que preza pela privacidade do usuário durante todo o processo de construção de uma solução.


É formada em Ciências da Computação pela Universidade Federal da Bahia (UFBA), pós-graduada em Segurança da Informação pela Faculdade Ruy Barbosa, e cursa o MBA em Liderança, Inovação e Gestão 3.0 pela PUC do Rio Grande do Sul. Foi analista de Segurança da Informação na UFBA e, atualmente, é coordenadora de Segurança da Informação na Rede Nacional de Ensino e Pesquisa (RNP). Possui certificados em proteção de dados e privacidade pela Exin, de professional scrum master pela Scrum.org Certification e de lead auditor pela British Standards Institution (Bsi).

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação