Como criar uma Política de Privacidade em conformidade com a LGPD

A política de privacidade é um documento que expõe todas as medidas e boas práticas ligadas à privacidade e à segurança da informação que são adotadas por uma empresa.

Ela cumpre a função de deixar claro como a empresa colhe, utiliza, armazena e protege as informações pessoais com que precisa lidar cotidianamente.

Assim, os titulares dos dados pessoais ficam a par de tudo o que ocorre desde o momento em que esses dados são fornecidos.

Essa transparência na utilização de dados tornou-se uma necessidade sobretudo após a vigência da Lei Geral de Proteção de Dados, a LGPD.

A nova lei define uma série de obrigações ligadas à coleta, ao armazenamento e ao tratamento de dados pessoais pelas empresas, englobando tanto as ações realizadas online quanto as offline.

É claro que a criação de uma política de privacidade já era uma possibilidade para as organizações antes mesmo do advento da LGPD, mas a Lei trouxe consigo uma ênfase muito grande neste tema.

Adotar boas práticas relacionadas à privacidade e à segurança de dados é sempre uma atitude sensata da gestão.

Contudo, em muitos casos, essas medidas não ficam organizadas e não são devidamente expostas para os clientes, o que pode gerar problemas para o negócio como um todo.

Por isso é tão importante a adoção de uma política de privacidade, já que ela também tem tudo a ver com as estratégias de marketing e de vendas.

Ao ler os próximos tópicos deste artigo, você vai entender melhor o que é uma política de privacidade, qual é a sua importância e como criar a sua em consonância com a LGPD.

Se a sua meta de gestão atual é implementar uma política de privacidade eficiente, não deixe de continuar a leitura.

O que é política de privacidade?

Como já adiantamos, a política de privacidade é um documento que contém as medidas relacionadas à privacidade e à segurança adotadas no âmbito de uma organização.

No momento de elaborar deste documento, é importante ter em mente que ele deve explicitar de forma clara como os dados são obtidos, tratados e compartilhados, além das ações tomadas visando à proteção dessas informações.

Além de atender aos requisitos da LGPD, a política de privacidade deve cumprir a meta de ser transparente com os seus clientes e parceiros, para ganhar confiança e credibilidade.

A LGPD trouxe mais visibilidade às políticas de privacidade, mas sua importância já vem sendo reconhecida pelas empresas desde o Marco Civil da Internet, em vigor a partir de 2014.

Isso porque o Marco Civil, além de dizer que o acesso à Internet é fundamental para o exercício da cidadania, também garante ao usuário o direito à publicidade e à clareza sobre a utilização de seus dados pessoais por organizações que fornecem serviços através da internet.

A LGPD, vigente desde agosto de 2021, veio reforçar e especificar o que já era previsto no Marco Civil da Internet.

De acordo com o princípio da transparência, que perpassa todo o texto da Lei, as empresas precisam fornecer informações claras, precisas e de fácil acessibilidade aos titulares dos dados tratados por elas.

Ainda segundo a Lei, para manterem-se em consonância com o princípio da transparência, as empresas podem implementar programas de governança em privacidade.

Esses programas servem para demonstrar o comprometimento do negócio com a adoção de processos e políticas internas que assegurem o cumprimento de normas e práticas ligadas à proteção de dados.

Daí o grande destaque dado à importância da adoção de uma política de privacidade interna dentro das organizações desde então.

Contar com este documento é um sinal de que sua empresa cumpre as devidas obrigações relacionadas à transparência e às boas práticas ao lidar com dados pessoais.

Não é preciso dizer que este é um requisito essencial na atualidade, não só por conta da LGPD, mas também em sinal de respeito aos seus clientes.

Assim, a política de privacidade não pode ser apenas um documento formal guardado em uma gaveta ou pasta online.

Ela deve estar presente no cotidiano da empresa e ser facilmente acessada pelos clientes, esclarecendo exatamente quais são os dados pessoais coletados, como e para que eles serão utilizados.

É a explicitação do conteúdo da política de privacidade que vai dar aos clientes o conhecimento necessário para que eles decidam se vão ou não autorizar a utilização dos dados.

Qual é a importância de ter uma política de privacidade?

Como documento que contém as informações sobre o tratamento de dados pessoais e reflete as práticas e processos da organização, a política de privacidade tem um efeito direto nas ações de marketing e vendas, já que expõe como se dará o tratamento de dados pessoais dos leads e clientes.

Assim, além da função mais evidente de ajudar no cumprimento das regras estabelecidas na LGPD, esse documento também é importante na conquista de credibilidade para o negócio.

É a partir da política de privacidade adotada que os consumidores vão decidir se realmente se sentem seguros ou não para fornecerem seus dados.

Além disso, uma política de privacidade bem escrita ajuda a prevenir litígios jurídicos, já que o detalhamento das práticas da empresa em relação aos dados pessoais permite a clareza necessária para que o cliente identifique possíveis itens com os quais discorda antes de aceitar fornecer suas informações.

Em síntese, a política de privacidade é importante porque mostra profissionalismo e cria credibilidade para a empresa, além de evitar as consequências do descumprimento da Lei, como as multas.

Temos que citar também o diferencial competitivo que um negócio ganha quando adota com seriedade uma política de privacidade bem elaborada.

As regras da LGPD não podem ser vistas como mais uma burocracia a ser cumprida. A política de privacidade deve demonstrar uma real preocupação e zelo com a segurança dos dados dos clientes.

Quando isso acontece, o negócio alcança um patamar de maior confiabilidade e sai à frente da concorrência.

Por isso, cada termo deve ser elaborado criteriosamente e com o envolvimento dos diferentes setores do empreendimento, sobretudo aqueles que lidam diretamente com o tratamento de dados.

Os modelos prontos devem ser evitados, pois o documento deve se adequar às especificidades da empresa e funcionar devidamente na prática cotidiana.

No próximo tópico, vamos detalhar o passo a passo para que você crie uma política de privacidade clara, funcional e em conformidade com a LGPD.

Como criar uma política de privacidade de acordo com a LGPD?

Não existe um padrão fixo a ser seguido quando a missão é elaborar uma política de privacidade, mas para que o documento atenda aos requisitos da LGPD, a presença de alguns itens são recomendáveis e os principais entre eles dizem respeito aos dados coletados — sobre os quais falaremos adiante.

A seguir, vamos detalhar o passo a passo para a criação da sua política de privacidade, mas antes é preciso lembrar que ela deve guiar os processos e procedimentos internos da organização, mas seu endereçamento é ao usuário do serviço, site ou sistema.

Ou seja, os termos utilizados não devem ser técnicos e a linguagem deve ser muito clara, de modo que não gere dúvidas aos diversos perfis de usuários.

Após a sua elaboração, a política precisa ficar disponível para os titulares dos dados antes do início do tratamento dos mesmos, permitindo a avaliação prévia dos seus termos.

E sempre que houver alguma alteração na política de privacidade, é importante destacar as principais mudanças e explicitar a versão e a data de atualização do documento.

Além disso, é preciso compreender previamente como o seu sistema ou serviço pode atender a cada um dos princípios da LGPD.

Para isso, você deve mapear os dados pessoais tratados, a finalidade de sua coleta, as bases legais legitimadoras do tratamento e a forma como os direitos do titular serão atendidos.

Feita esta introdução, vamos ao passo a passo para a criação de uma boa política de privacidade.

1º passo: organização das informações reunidas sobre o negócio e sobre os dados utilizados

Como a clareza é um requisito da política de privacidade, antes da redação do documento é fundamental a reunião de informações específicas, como citamos anteriormente.

De posse dessas informações, você deve agrupá-las de modo a responder às seguintes questões:

• Quais dados serão coletados, incluindo aqueles que o cliente não informa ativamente, como a localização e o IP?
• Qual é a fonte onde os dados serão coletados?
• Para qual finalidade os dados serão utilizados?
• Onde os dados serão armazenados?
• Por quanto tempo os dados serão armazenados?
• Há uso de cookies ou tecnologias do mesmo segmento?
• Quem terá acesso aos dados, no caso de compartilhamento com parceiros ou fornecedores?
• Como os dados serão tratados?
• Quais são as medidas de segurança adotadas pela empresa, sobretudo no que diz respeito à identificação e prevenção de vulnerabilidades?
• Como o titular dos dados pode fazer solicitações e exercer seus direitos?
• Quais são as informações de contato do encarregado da proteção de dados na organização?
• Qual é o seu modelo de negócio? (A política de Privacidade deve fazer sentido dentro da área de atuação);

Como a organização dessas informações deve ser feita de modo a demonstrar que a empresa cumpre os requisitos expostos na LGPD, é fundamental também o conhecimento prévio sobre a Lei.

2º passo: escolha de uma linguagem simples e clara

Como a principal função da política de privacidade é deixar claro para os usuários como os dados são tratados em uma empresa, a linguagem do documento não pode ser complicada.

Qualquer pessoa que leia a sua política de privacidade precisa compreender os seus detalhes. Portanto, evite a linguagem pomposa ou rebuscada.

A regra é ser simples, claro e direto ao redigir o texto, mas sem resumir ou deixar de lado nenhum detalhe relevante.

3º passo: explicitar informações necessárias ao consentimento

A LGPD determina que os dados pessoais de um cliente só podem ser coletados e utilizados pela empresa mediante o consentimento do mesmo.

Essa autorização deve ser obtida de forma específica para cada finalidade e, por isso, a política de privacidade deve especificar todas as possíveis finalidades do tratamento de dados.

Além disso, o documento também precisa informar as consequências caso o usuário dê a autorização necessária e quais são os procedimentos para a revogação do consentimento, que pode se dar a qualquer tempo.

4º passo: apresentação dos direitos do titular dos dados conforme a LGPD

Depois de especificar como se dá a coleta e o tratamento de dados no âmbito da sua empresa, é hora de apresentar os direitos do titular conforme a LGPD.

Essa legislação traz uma lista de direitos, como o acesso aos dados tratados e armazenados e a solicitação de revogação do consentimento a qualquer tempo.

Como nem todos os seus clientes vão conhecer a fundo a LGPD e a lista de direitos, é importante explicitá-los no texto da sua política de privacidade.

5º passo: explicar se os dados serão compartilhados e quem terá acesso a eles

Já que o documento que você está elaborando gira em torno da privacidade, é preciso demonstrar a devida preocupação com a questão do acesso aos dados coletados.

Portanto, faça uma lista de todas as pessoas que terão contato com os dados dos usuários. E quando várias equipes forem participar do processo, explique como elas atuam e quais são as limitações de cada uma.

Nos casos em que for necessário o compartilhamento dos dados com parceiros ou outras instituições, é fundamental que todos eles sejam citados.

Caso esses possíveis parceiros tenham suas próprias políticas de privacidade, você pode, inclusive, anexá-las ao seu documento.

6º passo: explicar como se dará o armazenamento de dados e quais são as medidas de segurança adotadas pela empresa

Sempre mantendo o foco na simplicidade da linguagem utilizada, ainda que esteja mencionando medidas mais técnicas, você deve demonstrar aos usuários como os dados deles estarão seguros com você.

Explique claramente como os dados são armazenados, quais protocolos são seguidos e quais medidas a empresa toma em situações de emergência, como um possível vazamento ou ataque cibernético.

Ainda que as soluções tecnológicas utilizadas com o objetivo de identificar e mitigar possíveis vulnerabilidades não estejam explicitadas detalhadamente no documento, é preciso contar com elas e informar aos usuários que elas existem.

Você pode e deve contar com uma solução que possibilite a gestão contínua do monitoramento de vulnerabilidades.

Assim, será mais fácil assumir a total responsabilidade sobre a segurança dos dados dos clientes e atender aos requisitos da LGPD.

7º passo: citar política de cookies

Os cookies são pequenos arquivos de texto utilizados para capturar informações sobre os visitantes de um site.

Eles são usados principalmente para entender o comportamento do usuário e personalizar sua experiência.

Mas como eles são uma ferramenta de coleta e armazenagem de dados, é preciso deixar os usuários informados a respeito de sua utilização.

Você pode, inclusive, contar com uma política específica de cookies para a qual o usuário pode ser direcionado ao ler a política de privacidade.

8º passo: disponibilização de canais para responder a dúvidas e atender a solicitações

Depois de explicar o seu processo de tratamento de dados e apresentar os direitos do titular, é necessário disponibilizar um canal acessível para o atendimento ao usuário.

É através dele que os visitantes vão tirar suas dúvidas e fazer solicitações ligadas ao exercício de seus direitos como titular.

9º passo: atualização da política de privacidade

A política de privacidade não é um documento estagnado. Depois de pronta, certamente ela precisará passar por atualizações.

Ela é o principal meio pelo qual você informa aos seus clientes quais são as finalidades do tratamento dos dados coletados.

Sendo assim, sempre que houver mudanças em virtude, por exemplo, de novas leis ou da atualização dos processos internos, o documento precisará se adequar à nova realidade.

E sempre que houver alguma mudança no conteúdo da política, os usuários devem ser avisados.

10º passo: indicação do encarregado de proteção de dados dentro da empresa

Por fim, a política de privacidade deve indicar quem é a pessoa encarregada pela proteção de dados e como o usuário pode contatá-la.

Esse profissional é o responsável por auxiliar o cumprimento das obrigações legais da empresa ligadas à privacidade.

Ele atua como uma ponte entre o empreendimento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Como dissemos, o conhecimento da LGPD é fundamental para a elaboração da política de privacidade. Por isso, se você ainda não conhece os detalhes da Lei, recomendamos que acesse nosso artigo sobre Lei Geral de Proteção de Dados. Boa leitura!