Dez perguntas que devem ser respondidas pela política de privacidade

A Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018) —, em vigor desde setembro de 2020, instituiu novas regras para o tratamento de dados pessoais em âmbito nacional, fazendo com que muitas empresas precisem adequar suas operações à legislação.

Um caso recente que gerou grande repercussão sobre o tema é a atualização da política de privacidade do WhatsApp, atualmente sendo apurada pela Agência Nacional de Proteção de Dados (ANPD), por meio do Processo Eletrônico SEI nº 00261.00002/2021-04. A empresa, em 4 de fevereiro deste ano, notificou os usuários sobre a alteração de sua política de privacidade, prevendo a possibilidade de compartilhamento dos dados pessoais coletados com empresas do mesmo grupo econômico do Facebook, do qual faz parte, sem permitir a recusa desse tratamento pelos titulares.

Em que pese o processo ainda estar em curso, a ANPD apresentou recomendações preliminares à empresa, por meio da Nota Técnica nº 02/2021/CGTP/ANPD [1], a fim de aprimorar a política de privacidade, assegurando a adoção de boas práticas de transparência e a simplificação dos canais de acesso disponibilizados aos titulares para o exercício de seus direitos.

Afinal, o que deve constar na política de privacidade para que esteja em conformidade com a LGPD? Para auxiliar nessa questão, formulamos dez perguntas relevantes que devem ser respondidas pelo documento para que esteja adequado à lei, bem como apresentamos algumas recomendações da ANPD:

1) Quais dados utilizamos?
A empresa deverá informar quais dados dos titulares são coletados e como eles são utilizados nas atividades. Também é importante demonstrar a forma como é feita a coleta, seja a partir do fornecimento pelo próprio usuário, como aqueles inseridos ao efetuar cadastro, seja por coleta automática, como IP, data e hora da conexão, histórico de navegação etc.

Ainda, é importante destacar no documento se há coleta de dados sensíveis, que são, nos termos da LGPD, dados pessoais sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; dados genéticos ou biométricos, entre outros.

Nesse sentido, conforme a nota técnica da ANPD sobre a atualização da política de privacidade do WhatsApp, que pertence ao grupo Facebook, eventuais hipóteses do tratamento não intencional de dados sensíveis devem ser informadas, destacando quais seriam as finalidades, as bases legais e as medidas de segurança para prevenir riscos e danos ao titular. A mesma regra vale para as operações de tratamento que envolvam dados pessoais de crianças e adolescentes.

2) Como utilizamos os seus dados?
A empresa deverá apresentar as finalidades para o tratamento de dados, ou seja, os objetivos do modelo de negócio que justificam a coleta e a utilização dos dados. Para tanto, deverá se fundamentar nas bases legais previstas na lei, como execução de contrato, cumprimento de obrigações legais, exercício regular de direitos, consentimento etc. 

Conforme a orientação da ANPD mencionada no item I, é importante pensar na criação de seções na política de privacidade que correlacionem as categorias de dados tratados e suas finalidades, indicando as bases legais aos titulares.

3) Como utilizamos os cookies?
Os cookies são arquivos de texto que podem armazenar, por determinado período, o histórico de navegação do usuário e até mesmo informações de login e senhas, com o objetivo de identificar e de personalizar a navegação. Portanto, uma vez que há a coleta de dados, é importante que a empresa informe claramente quais os tipos de cookies utilizados (entre as seguintes categorias: necessários, de desempenho, funcionais e de marketing), especificando a funcionalidade de cada um.

Ainda, recomenda-se que, em caso de utilização de mais de um tipo, o titular possa expressar separadamente o consentimento, informando sobre a possibilidade da revogação.   

4) Com quem compartilhamos seus dados?
Os dados podem ser compartilhados com empresas do grupo, com fornecedores e parceiros de negócio, com autoridades judiciais e administrativas etc., desde que para o estrito cumprimento da finalidade apresentada. Ainda, todas as hipóteses de compartilhamento devem ser informadas aos titulares dos dados.

5) Como mantemos os dados seguros?
As medidas de segurança adotadas pela empresa podem ser descritas nesse item, como implementação de políticas e regimentos internos de segurança da informação; manutenção de servidores seguros; adoção de práticas de criptografia; e restrição de acesso, podendo-se tomar como parâmetro as diretrizes estabelecidas no Decreto nº 8.771/2016. O principal objetivo dessas medidas deve ser a mitigação de riscos de incidentes de vazamento de dados pessoais, sendo que elas devem ser mais robustas e rigorosas quando houver o tratamento de dados sensíveis.

Ainda, conforme sugerido pela ANPD, também podem ser incluídos: adoção de salvaguardas de segurança e de medidas de descarte e exclusão seguras dos dados; implementação de controles administrativos, como inventário de dados, registro de operações de tratamento, inclusive compartilhamento, transferência e divulgação; controle de contratos com operadores de dados e terceiros; e implementação de privacy by design and by default.

6) Como e por quanto tempo é feita a retenção das informações coletadas?
A LGPD determina que os dados sejam armazenados e tratados por tempo determinado e razoável para atender à finalidade do tratamento. O prazo para armazenamento dos dados deve ser informado ao titular, indicando também quais as hipóteses para eventual retenção, a exemplo do cumprimento de obrigação legal ou regulatória, como o prazo do Marco Civil da Internet (Lei nº 12.965/14) para os provedores de aplicação e de conexão, defesa judicial de interesses, entre outros.

7) Quais são os direitos dos titulares de dados?  
A LGPD apresenta os direitos dos titulares de dados que devem ser observados e indicados nessa cláusula, além dos princípios legais que serão referência para a transparência na comunicação com o titular e em todo o processo de tratamento dos dados.

Nesse sentido, a ANPD recomenda que sejam disponibilizadas, em destaque, as informações atinentes aos direitos dos titulares, além da indicação correta de links de conteúdo análogo, a exemplo do possível compartilhamento e do aviso de privacidade.

8) Quem são os responsáveis pelo tratamento dos dados?
O responsável pelas decisões sobre o tratamento dos dados, que é denominado pela LGPD de controlador, deve ser apresentado ao titular, bem como os eventuais terceiros que participam da atividade, como os cocontroladores e os operadores, devendo ser especificadas as responsabilidades de cada um.

9) Quais são a legislação e o foro aplicáveis?
A política de privacidade deve ser regida, interpretada e executada em conformidade com as leis vigentes, como a Constituição Federal, o Marco Civil da Internet e o Código de Defesa do Consumidor. Em relação ao foro aplicável para dirimir qualquer dúvida decorrente da política de privacidade, entende-se como solução mais adequada a indicação do domicílio do consumidor, conforme disposições do CDC.

10) Como falar conosco?
Ao considerar a importância da transparência e da facilitação ao atendimento do titular de dados, esse item deve conter as informações de contato da empresa, como telefone do SAC, e-mail, site e/ou endereço. Além disso, é importante incluir as informações de contato do encarregado de proteção de dados pessoais (DPO), que devem ser divulgadas publicamente, conforme exigência da LGPD.

Essas são algumas questões que precisam ser atendidas para a adequação da política de privacidade da empresa à LGPD, ressalvando que é recomendada a orientação jurídica para melhor análise e elaboração do documento em cada caso.