Cibersegurança LGPD Segurança da Informação
Política de privacidade conforme a LGPD

Política de privacidade conforme a LGPD

O que é LGPD e dados pessoais?

LGPD é a abreviatura da Lei Geral de Proteção de Dados do Brasil, que estabelece regras para a coleta, armazenamento, processamento e compartilhamento de dados pessoais, impondo mais proteções e penalidades, caso tais regras não sejam cumpridas.

Para entender melhor sobre o que trata a LGPD, é importante saber o que são dados pessoais. Dados pessoais são qualquer informação relativa a uma pessoa física identificada ou identificável, conforme estabelecido pela lei. Já o processamento de dados, são todas as operações realizadas com os dados pessoais, tais como aquelas relacionadas à coleta, classificação, uso, acesso, reprodução, processamento, armazenamento, descarte, controle de informações, entre outras.

Saiba mais sobre o que é e os princípios da Lei Geral de Proteção de Dados do Brasil, em nosso outro artigo LGPD: o que é?

Além de trazer sobre os dados e seu processamento, a lei especifica as funções de quatro agentes diferentes, que fazem parte dessas operações: proprietário, controlador, intermediário e gestor. O proprietário é a pessoa física a quem pertencem os dados pessoais e que são coletados pelo controlador, sendo este último uma empresa ou pessoa física, responsável pela forma como os dados serão recebidos e destinados, além de quanto tempo ficarão guardados. O intermediário, pessoa física ou jurídica, processa os dados de acordo com as diretrizes do controlador. Já o gestor, é a pessoa que coordena a comunicação entre as partes (proprietário, controlador e autoridade) e direciona os funcionários do controlador quanto ao processamento de dados.

Para formular uma política de privacidade, é necessário compreender o ambiente em que os dados são processados ​​e cumprir os princípios elencados pela LGPD no sistema ou serviço. Assim, é fundamental mapear todos os dados pessoais, a finalidade, os fundamentos legais que justificam o tratamento e a forma de cumprimento dos direitos do proprietário, tais como acesso, retificação, exclusão, retirada de consentimento, objeção, informações sobre possível divulgação a terceiros e portabilidade.
Durante o processo, é imprescindível dispor de assistência jurídica, a fim de verificar se se a política de privacidade está adequada às definições de tratamentos de dados da LGPD, bem como se está legítima e amparada por fundamentação legal. Além da LGPD, é importante considerar outros regulamentos e leis, que se apliquem ao ramo de atuação da empresa.

A LGPD determina em seu artigo 7º, inciso I, que “o tratamento de dados pessoais poderá ser realizado mediante o fornecimento de consentimento pelo titular”. Ainda, conforme artigo 8º, esse consentimento “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”, que poderá revogar seu consentimento a qualquer momento, mediante manifestação expressa. Essa revogação deve acontecer com um procedimento gratuito e facilitado, e os dados que anteriormente foram processados e tratados com consentimento assim permanecerão, até que o titular requisite sua eliminação (art. 8°, §5º).

Existem algumas exceções, ou seja, situações de legítimo interesse, nas quais não há necessidade de consentimento expresso. Nesses casos, de acordo com a lei, leva-se em consideração a legítima expectativa, que dispensa o uso de perguntas ao cidadão, se o tratamento dos dados é previamente autorizado. Instituições bancárias, por exemplo, fazem uso de dados dos seus clientes para evitar fraudes (como perfil de gastos), sem haver autorização.
O uso apropriado da hipótese do legítimo interesse, deve ser demonstrado pelo responsável de forma equilibrada entre seus interesses próprios e os direitos dos titulares. O abuso potencial pode ser limitado pelas autoridades de proteção de dados.

Sobretudo, é recomendado ponderar que as pessoas têm preocupações diferentes sobre privacidade. Logo, na ótica empresarial, deve-se manter atitudes transparentes e explícitas quanto aos dados coletados, para que o titular decida como os mesmos serão utilizados. Da mesma forma, no caso de serviços online, deve-se oferecer ferramentas e configurações, que possibilitem implementações práticas das definições do titular.

Importante ressaltar que, da coleta à exclusão, todas as atividades de processamento de dados pessoais devem ser registradas, metodologia esta conhecida como data mapping.
Assim, deverão ser indicados os tipos de dados pessoais que serão coletados, a base legal para autorizar seu uso, sua finalidade, tempo de retenção, as práticas de segurança da informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados.

Exceto em casos de comprovado interesse público, é proibida a troca de informações entre varejistas e empresas especializadas em bancos de dados. Os regulamentos de dados pessoais trazidos pela LGPD, exigem que as empresas que coletam dados de usuários façam ajustes, especialmente em termos de consentimento explícito do usuário para a coleta, processamento, finalidade e transferência final de seus dados a terceiros.

Em resumo: Quais são os principais direitos do titular dos dados?

Confirmar a existência de tratamento de dados pessoais;
Acessar seus dados pessoais;
Corrigir dados pessoais incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Portabilidade de dados pessoais a outro fornecedor de produto ou serviço;
Requerer a eliminação de dados que foram tratados com o seu prévio consentimento;
Obtenção de informações sobre as entidades públicas e privadas, com as quais o controlador realizou o compartilhamento de dados pessoais;
Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências negativas;
Revogação do consentimento dado para o tratamento de dados pessoais;
Portabilidade dos seus dados entre diferentes empresas de telefonia e bancos, com direito a algumas peculiaridades definidas em lei.

Conteúdo da Política de Privacidade

A Política de Privacidade deve ser relacionada ao serviço prestado e à organização ofertante, com conteúdo claro e acessível, em idioma adequado ao seu público-alvo. Alguns recursos podem ajudar a descomplicar o entendimento, como os recursos visuais de imagens e vídeos.

Quanto ao conteúdo, algumas informações devem constar no documento, tais como:
• Informações sobre a organização responsável pelo tratamento;
• Dados pessoais e respectivas finalidades do tratamento, inclusive os dados não informados pelo usuário (exemplo: IP, localização, etc);
• Base jurídica do tratamento;
• Prazo de retenção dos dados pessoais;
• Informações de contato do Data Protection Officer (DPO) ou encarregado de proteção de dados da organização.
A Política de Privacidade também indica como os direitos do titular dos dados pessoais são respeitados, e a maneira como poderão acessar, retificar, solicitar exclusão, transferência, limitar ou contestar o processamento e retirar o consentimento. Se alguma operação não puder ser realizada, é necessário explicar o motivo. No entanto, é desejável que esses casos sejam apreciados e aprovados por um assessor jurídico, o que se justifica por outro requisito legal.
Quando aplicável, forneça as seguintes informações:
• Sobre compartilhamento dos dados com terceiros e qual a finalidade, inclusive redes sociais;
• Sobre transferência internacional e qual a finalidade;
• Sobre o tratamento por legítimo interesse;
• Sobre o envio de e-mail marketing e como remover o consentimento, quando autorizado inicialmente pelo titular;
• Sobre decisões automatizadas;
• Sobre a proteção de dados de menores de idade;
• Sobre a proteção dos dados sensíveis.

Outro ponto sobre a Política de Privacidade, é que pode se referir ao uso de cookies, determinando seu uso e a finalidade dos cookies, ou disponibilizar tais políticas em um documento separado, denominado Política de Cookies.

O titular dos dados deve ter acesso prévio à Política de Privacidade, permitindo a avaliação dos termos de utilização do site ou serviço, caso haja necessidade. Além disso, os usuários devem provar sua concordância com os termos da política, antes de iniciar o tratamento.
Por fim, é importante incluir a versão e a data de atualização da Política de Privacidade, bem como um registro das principais alterações, quando for o caso, bem como deixar disponível ao repositório a versão anterior, tanto para o público como para controle de políticas internas.

Sobre o Autor

Leandro Lima
Leandro Lima
Leandro Lima é entusiasta da Computação em Nuvem e apaixonado por disseminar conhecimento sobre inovação e novas tecnologias. Especialista em Cibersegurança e Cloud Computing Atualmente exerce a função de Head de Tecnologia e Transformação Digital na DCIT TECNOLOGIA. Possui mais de 25 certificações profissionais em TI, dentre elas, Cisco CCNA / CCNP / ITIL / AWS Technical Professional / AWS Business Professional e AWS Solutions Architect Associate.