Política de Privacidade: O que não pode faltar

A política de privacidade é o documento jurídico por meio do qual uma organização explica, de forma pública e acessível, como realiza as operações de tratamento de dados pessoais no seu site, aplicativo ou sistema. O seu principal objetivo é conferir transparência à operação, permitindo que os usuários compreendam de antemão quais dados estão sendo coletados, por quais motivos e como podem exercer controle sobre eles.

É comum confundir a política de privacidade com os termos de uso. Enquanto os termos de uso funcionam como um contrato que dita as regras de navegação e as obrigações entre o usuário e a plataforma, a política de privacidade cuida especificamente da governança e do fluxo dos dados sob as regras da Lei Geral de Proteção de Dados (LGPD).

Muitas empresas copiam modelos prontos encontrados na internet, acreditando que a mera presença do texto no site resolve o problema regulatório. Essa conduta gera um desalinhamento perigoso, pois caso a sua empresa afirme no documento que não compartilha dados com terceiros, mas utilize ferramentas de análise de tráfego que enviam dados para servidores externos, o documento se torna falso, caracterizando descumprimento direto do dever de transparência imposto por lei.

O primeiro elemento que deve constar no início da sua política de privacidade é a identificação clara de quem é o controlador dos dados pessoais. O controlador é a pessoa física ou jurídica a quem competem as decisões sobre o tratamento de dados pessoais. É necessário incluir a razão social da empresa, o número do CNPJ e o endereço físico da sede corporativa.

A lei também exige que o controlador indique os meios de contato para que o titular dos dados possa sanar dúvidas ou fazer solicitações. Para além disso, dependendo do porte da empresa, é preciso nomear o Encarregador de Dados, também conhecido no mercado como DPO (Data Protection Officer), indicando o seu nome ou a empresa contratada, acompanhado de um e-mail de contato exclusivo.

As microempresas e empresas de pequeno porte possuem regras de simplificação editadas pela ANPD que flexibilizam a obrigatoriedade de indicação de um DPO, porém, mesmo essas empresas de menor porte continuam obrigadas a disponibilizar un canal facilitado para receber as reclamações e comunicações dos titulares de dados.

A política precisa descrever exatamente quais dados pessoais são coletados e como isso ocorre na prática. Isso inclui tanto os dados fornecidos ativamente pelo usuário quanto os dados coletados de forma automática pela plataforma durante a navegação.

A descrição deve segmentar a coleta por fluxos de experiência do usuário dentro do site ou aplicativo. Por exemplo, em um formulário de contato, são coletados nome, e-mail e telefone. Em um fluxo de compras, são adicionados o endereço residencial, CPF e dados de pagamento. Já na navegação geral, podem ser coletados o endereço IP, dados de localização geográfica e o comportamento de clique.

Cada dado coletado precisa estar atrelado a uma finalidade específica. A coleta genérica de dados sob o pretexto de uso futuro é proibida pela LGPD, que consagra o princípio da necessidade. A empresa só deve tratar os dados estritamente necessários para atingir os objetivos propostos ao usuário no momento do cadastro.

Todo tratamento de dados pessoais no Brasil precisa estar amparado por uma das dez bases legais previstas no artigo 7º da LGPD. Uma política de privacidade robusta não deve apenas listar os dados, mas apontar formalmente qual justificativa jurídica legitima aquele tratamento.

Muitas organizações acreditam que o consentimento do usuário é a única forma de coletar dados na internet. Esse é um equívoco técnico comum. Para processar uma compra e entregar um produto no comércio eletrônico, por exemplo, a base legal correta é a execução de contrato. Para emitir a respectiva nota fiscal de venda, a base legal é o cumprimento de obrigação legal ou regulatória.

O legítimo interesse é outra base legal aplicável a atividades de marketing e melhoria de serviços, desde que respeitados os direitos fundamentais do cidadão e realizada uma avaliação de impacto antes do início do tratamento. O consentimento deve ser reservado para finalidades que não se enquadram nas demais hipóteses legais, como o envio de mensagens de novidades não solicitadas por e-mail.

Dizer que os dados nunca são compartilhados é, na maioria das vezes, uma inverdade operacional. Os sites e sistemas modernos dependem de infraestruturas compartilhadas para funcionar. Os dados pessoais dos usuários passam por servidores de hospedagem em nuvem, plataformas de intermediação de pagamentos, empresas de logística e ferramentas de análise estatística de marketing.

O dever de informação obriga a empresa a declarar com quais categorias de parceiros os dados são compartilhados. Não é obrigatório expor o nome comercial de todos os prestadores se isso envolver segredo de negócio, mas é indispensável explicar que os dados são repassados a empresas de tecnologia de hospedagem, gateways de pagamento e transportadoras parceiras.

A política deve assegurar que todos os operadores e terceiros contratados assumem compromissos contratuais equivalentes de segurança e proteção de dados, agindo apenas conforme as instruções do controlador principal.

Caso os dados dos seus usuários sejam armazenados em servidores localizados fora do território brasileiro (como ocorre ao contratar serviços de nuvem populares sediados nos Estados Unidos ou na Europa), isso configura transferência internacional de dados.

Essa circunstância deve ser informada expressamente na política de privacidade, indicando que a empresa adota salvaguardas contratuais para garantir que os dados continuem protegidos sob os padrões exigidos pela legislação nacional.

Da mesma forma, a política de privacidade deve explicitar o tempo que as informações permanecem guardadas. A regra geral determina que os dados pessoais devem ser eliminados após o término de seu tratamento. No entanto, a lei autoriza a conservação para cumprimento de obrigações legais, como os dados de conexão que o Marco Civil da Internet obriga a guardar por sei meses, ou documentos fiscais que exigem guarda por cinco anos.

A LGPD confere aos cidadãos uma série de direitos sobre os seus dados pessoais, previstos principalmente no artigo 18. O documento de privacidade precisa listar esses direitos de forma simples e de fácil compreensão pelo leigo.

Os titulares de dados têm o direito de confirmar a existência de tratamento, obter acesso às suas informações, corrigir dados incompletos ou inexatos, solicitar a anonimização ou bloqueio de dados desnecessários, revogar o consentimento fornecido anteriormente e pedir a portabilidade para outro prestador de serviços.

Para além de apenas listar, a política de privacidade deve informar o caminho exato para exercer esses direitos. A empresa precisa descrever o procedimento de requisição, informando os canais específicos para o envio da demanda e o prazo médio que levará para analisar e responder ao pedido do titular.

Cookies são pequenos arquivos de texto enviados pelo site e gravados no navegador do usuário para lembrar preferências, autenticar sessões de acesso e rastrear comportamentos de navegação para fins publicitários.

A política de privacidade deve conter uma seção dedicada aos cookies, detalhando os diferentes tipos utilizados pela plataforma. Os cookies estritamente necessários são aqueles indispensáveis para o site carregar e permitir a navegação básica. Os cookies analíticos servem para medir a audiência e o desempenho das páginas. Os cookies de marketing rastreiam o histórico de navegação para exibir anúncios personalizados.

O texto deve explicar como o usuário pode configurar as suas preferências de rastreamento, seja por meio de um banner de consentimento exibido na entrada do site ou alterando as opções diretamente nas configurações do seu navegador de internet.

Informar as medidas técnicas e administrativas empregadas para proteger os dados pessoais é outro item obrigatório no documento de privacidade. O usuário precisa ter a segurança de que a empresa investe em proteção contra acessos não autorizados e situações acidentais de destruição ou perda de dados.

Devem ser mencionadas práticas de segurança comuns como criptografia de tráfego (uso de certificados digitais), controle rígido de acesso a sistemas por níveis de privilégio, uso de senhas fortes e rotinas de backup periódico.

O documento deve declarar que, em caso de incidente de segurança que represente risco relevante para os direitos dos titulares, a empresa notificará os envolvidos e a ANPD dentro dos prazos estabelecidos pela regulamentação vigente, prestando orientações sobre como os usuários podem se proteger de eventuais danos.

Um dos erros mais comuns de empresas na internet é a falta de atualização periódica do documento. A política de privacidade deve ser encarada como um documento dinâmico. Sempre que a empresa adotar uma nova ferramenta de marketing, mudar o banco de dados ou passar a compartilhar informações com um novo fornecedor, a política deve ser atualizada para refletir essas mudanças.

Outro erro é a linguagem excessivamente técnica ou jurídica, repleta de termos latinos e referências herméticas que impedem a compreensão do usuário médio. A transparência exige linguagem clara, direta e objetiva.

Uma assessoria jurídica de proteção de dados avalia as especificidades operacionais de cada negócio para traduzi-las em um documento preciso. Isso garante a proteção da empresa contra sanções administrativas e constrói confiança com os clientes e parceiros de negócios.