A Lei n° 13.709/2020 - LGPD tem como objetivo proteger a privacidade dos cidadãos e implementar a transparência no relacionamento entre a empresa e os usuários. Dessa forma, os titulares dos dados têm mais controle e direitos sobre o uso de suas informações. Já a política de privacidade é um documento que esclarece aos cidadãos como seus dados são usados pela empresa.
Por isso, muito cuidado na criação dos termos e políticas de uso: eles devem conter exatamente os tratamentos que a empresa fará com os dados, e não pode conter termos genéricos como “tratamentos diversos” ou “compartilhamento com terceiros” pois poderá ser considerado inválido ou resultar em ampla recusa de colaboração ou mesmo penalização dos órgãos fiscalizadores.
Como a LGPD regulamentou esse uso, primeiro a instituição deve conferir como os dados estão sendo utilizados e conferir se essa atividade está de acordo com a lei. Importante assim dispor de um bom termo de consentimento para todos que fornecerão dados pessoais, incluindo funcionários. Após saber de forma detalhada como o tratamento de dados será feito, é a hora de criar ou atualizar a política de privacidade da empresa.
INFORMAÇOES ESSENCIAIS PARA UM TEXTO COM BASE NA LGPD?
1•Verificar todos os processos que utilizam os dados pessoais, tanto dos visitantes quanto dos empregados, terceiros e parceiros, ou seja, de todas as pessoas cadastradas de que fará coleta de qualquer dado pessoal;
2.Como a transparência é um item essencial para a LGPD, a política de privacidade de sua empresa deve informar ao público de forma clara quais dados são recolhidos por ela e qual é a finalidade dessa coleta. (Seja claro em relação a informação). E por quanto tempo serão mantidos e com qual objetivo;
3•Verificar se todos estes processos realmente necessitam acesso a estes dados, por quanto tempo e por que motivo;
4.O documento também deve esclarecer como os dados são armazenados, no intuito de que o titular possa ter certeza de que suas informações estão realmente seguras no banco de dados da empresa.
5.Além de explicar como são armazenadas, a instituição tem que informar por quanto tempo elas ficarão salvas em seu sistema.
6•Adotar medidas de proteção dos dados, isso inclui: disponibilização dos dados pessoais única e exclusivamente às pessoas autorizadas e devidamente instruídas (operadores) e implantação e manutenção de mecanismos eletrônicos e físicos de proteção aos dados coletados e armazenados;
7.Quando há compartilhamento de dados com terceiros, a empresa é obrigada a informar com quem eles são compartilhados e a finalidade dessa ação. Ex. se os dados serão cuidados por empresa terceirizada esta terá de ser discriminada.
8•Nomear e declarar publicamente o responsável (encarregado de dados) por implantar, comunicar todos os operadores de dados e receber todas as possíveis reclamações dos titulares dos dados e da autoridade nacional;
9•Possuir um relatório que possibilite listar quais as informações pessoais estão armazenadas, possibilitando inclusive a exportação;
10•Manter todas estas informações organizadas, pois elas podem ser requeridas pela autoridade nacional em forma de relatório.
ATENÇAO A BASE JURIDICA DO TRATAMENTO DE DADOS:
A LGPD permite que empresas realizem o tratamento de dados, mas somente se essa ação for feita de acordo com uma base jurídica. São 10 bases legais que autorizam o tratamento adequado de dados pessoais e que funcionam independentes umas das outras. Ou seja, cabe à cada empresa entender juridicamente e determinar qual é ou quais são as bases legais mais apropriadas para a sua atuação em relação ao tratamento de dados. Depois de defini-la, ela precisa estar presente de forma clara na política de privacidade. Não pode e não deve ser feito o termo de forma genérica abarcando todas as bases jurídicas por indefinição da empresa. Os dados pessoais podem ser tratados nas seguintes hipóteses:
1. Contratos: Para a execução de procedimentos e obrigações dos contratos;
2.Estudos por Órgãos de Pesquisa; 3. Execução de Políticas Públicas;
4. Legitimo Interesse: Para atender os interesses legítimos do controlador ou de terceiros, exceto quando prevalecerem direitos e liberdades fundamentais do titular dos dados;
5. Obrigação Legal: Para o cumprimento de obrigação legal ou regulatória pelo controlador (ou seja, por exigência de outras leis à pessoa/empresa controladora;
6. Processos Judiciais - Para o exercício de direitos em processo judicial, administrativo ou arbitral;
7. Proteção da Vida - Quando o interesse for vital, ou seja, para a proteção da vida ou da segurança física do titular ou de outra pessoa;
8. Proteção de Crédito - Para a análise de crédito e dos riscos da transação, é possível que dados pessoais sejam consultados, avaliando o perfil do pagador;
9. Tutela da Saúde: Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais para identificar riscos à saúde.
10.Se não houver ocorrência de uma das 9 bases legais acima, deve haver CONSENTIMENTO
INEQUÍVOCO DO TITULAR – que é definido como uma declaração clara e inequívoca (que não deixa dúvidas) de que uma pessoa concorda com o uso dos seus dados pessoais para as finalidades – também claras e inequívocas - propostas pela empresa
A lei divide os dados dos titulares em pessoais e sensíveis. As informações que ajudam a identificar o indivíduo, como nome, endereço e telefone, são os dados pessoais. Já os dados sensíveis são aqueles que podem gerar discriminação contra o titular, como por exemplo, sua religião, orientação sexual ou política.
Os dados biométricos e genéticos são tratados pela LGPD como dados pessoais sensíveis, pois podem ser utilizados para classificar grupos de indivíduos ou reconhecê-los individualmente. O documento também precisa esclarecer como é a proteção de dados de menores de idade, caso haja, pois, este público é considerado como vulnerável. Além disso, a coleta de dados de menores sempre precisa ser feita com o consentimento dos pais e/ou responsáveis
Solicitação clara e objetiva para a coleta de informações: No final do documento há a obrigação de haver um pedido para realizar a coleta de informações. Assim, o titular afirmará que permitiu a coleta de dados por parte da empresa. Caso seja feita qualquer alteração no tratamento de dados, lembre-se de que é necessário solicitar a permissão do titular novamente.
Todas essas informações devem estar presentes no documento com uma linguagem acessível e clara. Afinal, o objetivo da política de privacidade é o de justamente explicar para o titular como será o tratamento de seus dados e de modo a não dificultar a compreensão do usuário a respeito dessa atividade.
Não existe modelo fixo de escrita, mas é importante dizer que todos os dados informados serão mantidos em sigilo e utilizados apenas para as finalidades em que o titular dos dados (a partir de declaração clara e inequívoca - ou seja, que sua empresa possa provar) dá seu consentimento pelo tempo determinado. As finalidades podem ser separadas, dando a oportunidade de o titular marcar quais ele autoriza e quais não.
Com essas informações no texto da LGPD de sua empresa, ela vai funcionar de acordo com a lei e ainda vai mostrar que se preocupa com a segurança do seu público.
