Atuar na área de privacidade e proteção de dados pessoais traz um aprendizado diário. Não somente por ser um tema novo e estimulante, mas também por integrar diversas outras áreas.
Como sabido, é fundamental ter uma política de privacidade organizada e clara, a fim de explicar como a empresa trata os dados pessoais, cumprindo os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, além de demonstrar boa-fé e transparência para com os titulares de dados.
No entanto, não vemos políticas de privacidade tão boas como gostaríamos. Muitas empresas, infelizmente, têm se limitado a copiar layouts e textos, sem, realmente, informar como os dados pessoais são tratados e sem passar informações importantes aos titulares. O ponto é: como é um documento externo, precisa ser esclarecedor, prático e, de fato, passar a realidade da empresa.
Aviso de Privacidade e Política de Privacidade
Nota importante: digo documento externo, porque é assim que a política de privacidade tem sido utilizada no Brasil. É válido lembrar que, de acordo com a IAAP (International Association of Privacy Professionals), o documento externo seria o Aviso de Privacidade e a Política de Privacidade seria um documento interno da empresa.
E, a partir daqui, fica clara a necessidade da realização de um projeto de adequação à LGPD, que permitirá a obtenção de informações reais sobre a empresa, deixando todas as suas políticas mais completas e autênticas. Através do projeto, de forma sucinta, mapeia-se os dados pessoais, encontram-se as lacunas, elabora-se um plano de ação e inicia-se a implementação de documentos e controles, com o intuito de atingir a conformidade.
E por que é tão importante ter uma política de privacidade que demonstre a realidade das atividades da organização? Porque além de demonstrar o comprometimento da empresa com as legislações vigentes e aplicáveis sobre o tema, facilita as tratativas com os titulares de dados pessoais.
A referida política vai explicar, por exemplo, quais dados a empresa coleta e para quais finalidades, como a empresa trata dados pessoais, como armazena, como mantém a segurança, o compartilhamento com terceiros, quais são os direitos dos titulares etc., facilitando a vida da organização, inclusive, com relação às demandas voltadas à privacidade e proteção de dados pessoais.
Pensando na vida prática: pode ocorrer que um titular de dados pessoais tenha alguma dúvida ou queira exercer algum direito. Com uma política clara, ele pode ler, entender e não necessariamente acionar a empresa. Ou, caso acione, já compreenderá como deverá prosseguir e como a empresa atenderá a sua solicitação. Em um segundo exemplo, se o titular tem dúvida de porque a empresa está retendo os dados dele, quando há uma explicação sobre retenção e temporalidade na política, já evita o recebimento de uma demanda sobre esse ponto.
Política de privacidade de prateleira
Em suma: não adianta ter uma política de privacidade de prateleira, que não atenda aos requisitos da LGPD e não facilite a compreensão de quem a lê.
Fato é, que ter uma política de privacidade bem elaborada coopera tanto para a demonstração de boa-fé e transparência da empresa, mostrando ao mercado seu compromisso com a privacidade, bem como o fortalecimento da relação de confiança dos titulares de dados e parceiros de negócios.
Leia outros artigos da autora:
A Privacidade e a Segurança na Copa do Mundo
A utilidade do ROPA no dia a dia do DPO
O efeito positivo (e necessário) da organização das atividades do DPO
Como apoiar a adesão ao programa de privacidade?
O mal compreendido consentimento
A utilização de war room nos incidentes com dados pessoais
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).
Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
