Com a promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018, o tema da Política de Privacidade se demonstrou em evidência. Trata-se de um instrumento legal importantíssimo para garantir a oferta de um ambiente mais seguro para os titulares dos dados em atendimento principalmente aos princípios da transparência e finalidade da coleta.
Porém, a temática já era abordada antes mesmo da edição da LGPD.
O Código de Defesa do Consumidor – Lei n° 8.078/1990 evidencia em seu texto que o consumidor terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. Além disso, exige que os cadastros sejam objetivos, claros, verdadeiros e de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos (art. 43 caput e § 1º).
De forma, o art. 7° do Marco Civil da Internet (Lei nº 12.965/14):
O Marco Civil da Internet diz que o acesso à internet é essencial ao exercício da cidadania, e garante ao usuário o direito à publicidade e à clareza de eventuais políticas de uso de organizações que fornecem serviços através da internet (art. 7, XI, MCI).
A LGPD, por sua vez, em seu art. 50, reforça que as empresas poderão formular regras de boas práticas e adotar programa de governança em privacidade para que estejam adequadas e atestem o comprometimento do controlador de tratar adequadamente os dados pessoais a partir de processos e políticas internas que assegurem o cumprimento de normas.
Ainda, o art. 6º, inc. VI, do diploma, informa que o tratamento de dados pessoais deve ocorrer com informações claras, precisas e facilmente acessíveis – o que, inclusive, é reverbera em outros dispositivos legais que garantem ao titular dos dados ter informações sobre como seus dados são tratados.
Sabe-se que o conceito de proteção de dados pessoais surgiu no âmbito da sociedade da informação como uma possibilidade de garantir direitos fundamentais do cidadão contra os crescentes riscos nas relações de consumo e à privacidade das pessoas, que podem ser ocasionados pelo tratamento de dados pessoais inadequado. Não por outra razão, como vimos, os dados pessoais são bens jurídicos tutelados por uma pluralidade de normas do ordenamento jurídico, previstas na Constituição Federal, no Código de Defesa do Consumidor, no próprio Código Civil e, mais recentemente, na LGPD.
Neste contexto, o documento comumente conhecido como “Política de Privacidade” se destina externar o compromisso da empresa com o tratamento de dados pessoais adequado, tornando transparente como ele ocorrerá e, consequentemente, atendendo às previsões legais.
Uma “Política de Privacidade” adequada deve atender a uma série de requisitos, quais sejam:
- Explicação sobre quem é a empresa e qual é o serviço/produto oferecido ou qual é o tratamento realizado;
- Explicar para quais fins os dados pessoais serão utilizados, incluindo base(s) legal(is) da LGPD que amparam o tratamento;
- Abordar quais são as informações coletadas do titular dos dados pessoais diretamente ou indiretamente (dados diretos são aqueles fornecidos pelo titular e dados indiretos são aqueles acessados pela aplicação ou coletados de outra forma, por exemplo, lista de contatos, fotos da câmera, login e etc.);
- Esclarecer quais informações são coletadas apenas quando a aplicação está sendo utilizada. Exemplo: geolocalização, cookies, endereço IP, navegação/buscas e etc.;
- Deverá informar ao seu leitor de maneira clara e acessível o tratamento que é dispensado para os seus dados;
- Especificar a finalidade da coleta dos dados pessoais;
- Identificar quais os dados sensíveis coletados (opinião política, origem racial ou étnica, biometria, dados referentes à saúde ou vida sexual, filiação de caráter religioso, filosófico ou político), quando aplicável;
- Informar quais são as responsabilidades do controlador, quais as medidas de segurança tomadas e como será realizado o armazenamento e processamento dos dados e por quanto tempo eles serão mantidos;
- Esclarecer se os dados pessoais poderão ser compartilhados com terceiros e quem são parceiros e se há transferência internacional desses dados;
- Quando aplicável, avisar se a aplicação/dispositivo irá monitorar os dados dos usuários para garantir o seu bom uso e como serão comunicadas as atualizações da Política;
- Disponibilizar maneiras para se entrar em contato com o encarregado pelo tratamento de dados pessoais para tratar dos assuntos relacionados à Política de Privacidade.
Além desses requisitos, é pertinente que na Política de Privacidade sejam informados os direitos do titular que estão dispostos no art. 18 da LGPD, vejamos:
- A confirmação da existência de tratamento;
- O acesso aos dados;
- A correção de dados incompletos, inexatos ou desatualizados;
- A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- A portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial, quando aplicável;
- A eliminação dos dados pessoais tratados com o consentimento do titular;
- A informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- A informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando aplicável;
- A possibilidade de revogação do consentimento, quando esta for a base legal utilizada;
- A possibilidade do titular peticionar em relação ao seus dados contra o controlador perante a autoridade nacional.
Registre-se ainda que, embora as políticas de privacidade sejam habitualmente adotadas para aplicação a clientes de produtos/serviços, elas também devem ser estabelecidas em relação aos outros tipos de tratamento de dados pessoais realizados pela empresa, como o tratamento de dados pessoais de empregados e outros públicos que a organização tenha contato.
Veja que a política de privacidade é um documento legal, uma espécie de contrato, e deve ser elaborada de acordo com a realidade empresarial, sobretudo porque será uma importante aliada na defesa de qualquer discussão que ocorra sobre o tratamento de dados pessoais.
Sobre a autora:
JÉSSICA FERNANDES HONDA DE SOUZA: advogada inscrita na OAB/PR sob o n° 105.775. Especialista em Direito Processual Civil pela Faculdade Damásio de Jesus/SP, pós-graduanda em Direito Digital e Compliance pelo Ibmec/SP. Membro do Comitê Público da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Atuou como Secretária-Geral da Comissão de Direito Digital, Startups e Inovação da OAB/AM. Possui curso de extensão em Direito do Consumidor pela Escola Superior de Advocacia da OAB/AM e diversos cursos nas áreas de Privacidade/Proteção de Dados Pessoais e Design Thinking/User Experience (UX). Atualmente é advogada no escritório Moreno Moro Advogados e atua na implementação de Programas de Compliance e Governança em Privacidade no âmbito empresarial.
E-mail: jessica.honda@morenomoro.com.br