A necessária customização das políticas de privacidade
Freepik

A necessária customização das políticas de privacidade

Mariana Benjamin Costa Mariana Benjamin Costa

Mariana Benjamin Costa

Ética | Privacidade | Proteção de Dados Pessoais

Publicado em 6 de set. de 2020
+ Siga

É impressionante a quantidade de sites que prometem receitas prontas para criação de políticas de privacidade. Não que seja motivo de choque, o fenômeno de “copia e cola” é comum e a boa prática de comparar, ao invés de copiar, rara. Estimo que 90% dos códigos de conduta que li até o dia de hoje – não foram poucos, eu garanto – têm os mesmos termos, a mesma paginação, a mesma fonte, a mesma ordem de abordagem de conteúdo, as mesmas características e as mesmas vírgulas em lugares errados. Esse tipo de prática é um desserviço a quem a adota, porque é impossível que a prática de uma instituição seja rigorosamente a mesma que a aplicada por outra, quem dirá por mil instituições.

Cada instituição tem traços que a tornam única, de acordo com seus negócios, estratégia, contexto, objetivos, apetite a riscos, processos e procedimentos internos, etc. Então é impossível que adotem a mesma política de privacidade.

Quando se fala em Data Privacy Compliance, um dos riscos mais sérios da praxe ora debatida é o potencial reconhecimento de fraude à vontade dos titulares de dados pessoais, já que as linhas escritas na política-mestra da sua interação com o público não significam nada além de tinta no papel. Ou seja, não é apenas uma irregularidade documental, mas um fato que pode desencadear uma pesada sanção aos responsáveis pela sua previsão.

Ora, a política de privacidade é o reflexo de uma lagoa num dia sem vento, acerca do tratamento conferido aos dados pessoais das pessoas que buscam aquela ferramenta/solução, então é indispensável que a sua elaboração seja fundada em alguns pilares – que não serão esgotados neste texto, porque cada um mereceria um artigo único:

1)     Reconhecimento da titularidade dos dados pessoais – a premissa básica deve ser a mais óbvia, os dados pessoais não são da instituição, ainda que ela realize o seu tratamento, mas sim do titular dos dados e isso deve servir como norte às disposições da política.

2)    Identidade – a política de privacidade deve ser alinhada à cultura da instituição, formatada de acordo com a sua identidade, pensada para as suas crenças, de acordo com o seu propósito. Conhecer a instituição, o contexto em que está inserida, seus objetivos, suas forças e suas fraquezas não é nada além do que a obrigação de quem está criando diretrizes de conduta para ela.

3)     Gerenciamento de Riscos – o coração do Data Privacy Compliance deve ser o mapeamento e gerenciamento eficaz dos riscos aos quais a instituição está exposta, tenham eles efeitos negativos ou positivos sobre os seus objetivos. A partir dessas conclusões, devem ser previstos mecanismos de controle, se necessários, para manutenção dos riscos nos patamares aceitos pela instituição. Isso é indispensável para que haja consciência sobre o que se está escrevendo na política, já que nada cai do céu azul para dentro dela.

4)     Integridade de processos – processos são baseados nos riscos identificados, analisados e avaliados pela instituição. Os processos de tratamento não precisam estar pormenorizados na política, mas sim precisamente previstos e, muito importante, tudo o que for descrito na política deve estar efetivamente implantado. Por esse motivo, é de suma importância conhecer a fundo os processos envolvidos no tratamento de dados pessoais, de sorte que sejam descritos de forma precisa aos titulares;

Nada cai do céu azul para dentro da política de privacidade. Se um processo não está implantado, não pode estar previsto lá.

5)     Transparência – lembre-se sempre que a política de privacidade serve para empoderar os titulares. Explique o tratamento, descreva os direitos e fique à disposição. Quais os dados realmente necessários à satisfação da finalidade almejada pelo controlador - a qual foi direta ou indiretamente aceita pelo titular, a depender da hipótese de tratamento dos dados; Como é a forma de utilização controlada e com segurança dos dados pessoais coletados; Os motivos pelos quais essas disposições são razoáveis e de boa-fé. Não se mente, não se dissimula, não se esconde nada;

6)     Simplicidade, objetividade e clareza na comunicação – os titulares precisam entender a forma como ocorre o tratamento dos dados pessoais deles e o motivo pelo qual isso é feito. Em bullet points, sugere-se a explicação do que segue:

o  A fonte e a forma da coleta dos dados pessoais;

o  O motivo da utilização de cookies e outros mecanismos de aprimoramento da experiência de usuários nas plataformas, se for o caso;

o  A hipótese legal de realização do tratamento de dados pessoais;

o  A natureza dos dados pessoais coletados;

o  A finalidade de uso dos dados pessoais coletados e forma como são processados;

o  O tempo de retenção e forma de armazenamento dos dados pessoais;

o  As possibilidades de transferência e compartilhamento, quando, o motivo e com quem;

o  As possibilidades de acesso dos titulares aos seus dados; e

o  Quaisquer outras possibilidades de tratamento que possam ser relevantes para os titulares.

7)     Árvore decisória – se são tomadas decisões de forma automatizada, convém que sejam explicados os elementos que são utilizados à tomada da ação, de forma que o titular compreenda que não há discriminação ou mau uso dos seus dados;

8)     Contato do Encarregado/DPO – inclua uma forma de entrar em contato com o responsável pelo Data Privacy Compliance.

Em resumo, seja ético, esteja consciente dos dados pessoais com os quais você lida e faça o que deve ser feito de forma responsável, assertiva e transparente.
Homem de terno segura um tablet de onde saem pontos luminosos interconectados.

Diante dessas breves linhas, vê-se que contratar uma ferramenta com um texto pré-fabricado pode ser tão útil quanto comprar uma casa de palha para morar na Antártida, e potencialmente alguém está com os cabelos em pé porque não havia pensado nisso. Ninguém disse que seria fácil criar uma política de privacidade que seja realmente adequada às exigências da LGPD – e, francamente, às expectativas de ética e responsabilidade que todos têm sobre o tratamento dos seus dados pessoais, mas é, sem dúvida, a única forma possível de preservar a continuidade da instituição nesse novo cenário.

Escreva uma política de privacidade para informar, de forma direta, eficiente e efetiva, sobre a coleta e o tratamento de dados pessoais realizados dentro da sua estrutura aos titulares.

Ficar para trás pode custar muito mais caro do que investir em uma boa assessoria.

Avante Compliance

Entre para ver ou adicionar um comentário

Outros artigos de Mariana Benjamin Costa

See all articles

Outras pessoas também visualizaram

Conferir tópicos