Diante da “recente” publicação das normas GDPR (General Data Protection Regulation) e LGPD (Lei Geral de Proteção de dados), muitas dúvidas quanto a como se adequar a tais normas surgiram.
Um dos pontos principais destas normas é a realização, pela pessoa ou empresa, de uma autoavaliação quanto a quais dados serão capturados, armazenados e tratados.
Primeiro há que se definir o que é dado:
“O dado pessoal trata de informação relacionada a pessoa natural identificada ou Identificável, dado identificável, por sua vez é aquele com o qual é possível reconhecer o titular das informações capturadas, mesmo que com apoio de tecnologia razoável para tal finalidade. Dado sensível são informações que tratam de questões “intimas” da pessoa, como origem racial, étnica, convicção religiosa ou filosófica, orientação sexual, opinião politica ou filiação sindical, dados referente a saúde, vida sexual ou composição genética.”
Importante deixar claro que esses dados podem ser anonimizados, ou seja, utilizando meios técnicos, aquela pessoa que era identificável deixa ser, tornando-a anônima.
As informações capturadas por um site ou aplicativo é retido em um banco de dados, que é o conjunto estruturado de informações capturadas de usuários, pode ser estabelecido em um único local ou em múltiplos locais, com acesso eletrônico e remoto ou via suporte físico.
Uma vez definidos quem são os titulares dos dados (pessoa física cujos dados são coletados), faz-se necessário estabelecer que é o controlador, o operador de tratamento de dados e o encarregado.
Controlador é aquele que, de posse dos dados, toma decisões quanto a como estes dados serão tratados. Operador é quem efetivamente faz o tratamento dos dados, é ele quem da destinação a estes dados capturados mediante determinação do controlador. Por fim, o encarregado de dados (ou DPO – Data Protection Officer) é quem irá trabalhar como uma ponte entre o controlador, o titular dos dados e o órgão fiscalizador, ANPD (Agência Nacional de Proteção de Dados).
Tanto o controlador, como o operador podem ser pessoas físicas ou jurídicas, inclusive terceirizados.
Aqui cabe esclarecer que tratar dados é a operação realizada com os dados pessoais do titular, ou seja, coletar, armazenar, classificar, reproduzir e transmitir (etc) os dados capturados.
Importante destacar que a captura dos dados só é licita se existir consentimento por parte do titular dos dados. Consentimento é a manifestação livre, informada e inequívoca pela qual o titular dos dados concorda que suas informações sejam capturadas e tratadas pelo controlador.
É aqui que entra a importância da politica de privacidade.
Politica de privacidade é o documento apresentado pelo controlador ao titular dos dados contendo as informações a respeito do modo como os dados serão tratados. Seu objetivo é esclarecer os interessados quanto aos dados que são coletados, por quais motivos estes dados são coletados, como estes dados serão armazenados, por quanto tempo, se serão utilizados ou repassados e para qual finalidade serão utilizados ou transferidos.
Por exemplo, se a politica de privacidade informar que os dados serão coletados para fins de campanha publicitária para veículos automotores e eventualmente são utilizadas para fins de traçar perfil socioeconômico do titular, existe uma falha nessa politica de dados que pode ocasionar uma penalidade significativa ao operador.
Diante da importância da politica de privacidade, serão agora apresentados pontos cruciais que devem ser respondidos antes da elaboração deste documento:
- A politica de dados será desenvolvida para um site ou para um aplicativo?
- Para acessar o site ou aplicativo será necessário a realização de cadastro? Se sim quais dados serão coletados? Como essa coleta é realizada?
- O site ou aplicativo inclui vendas de produtos ou serviços?
- Haverá coleta de registro (LOGS) de acesso de usuários (IP, hora e data, da conexão)? Por quanto tempo esses registros serão armazenados?
- Há coleta de dados sensíveis (informação sobre saúde, Dados bancários, orientação sexual, origem étnica, raça, opção sexual ou filosófica ou religiosa, etc?)
- Os dados pessoais coletados tem por objetivo a definição de perfis (profiling)?
- Os dados pessoais coletados serão guardados por quanto tempo?
- Os dados coletados serão compartilhados com outras pessoas ou empresas? Quais? Por qual motivo?
- Quem é o responsável pelo tratamento dos dados (data controller)?
- O data controller pode terceirizar sua responsabilidade? Para quem?
- O responsável pelo site é uma pessoa física ou uma empresa?
- Quem é o encarregado de dados (DPO)?
- Como o titular pode solicitar o relatório dos seus dados tratados e como pode ser solicitada a exclusão destes dados?
- Caso a politica de privacidade seja atualizada, o titular dos dados será notificado? De quanto em quanto tempo é realizada uma revisão desta politica de privacidade?
Estas são as principais perguntas que devem ser respondidas para se ter um “norte” de como a politica de dados será elaborada.
É importante deixar claro que existem muitas outras questões que devem ser discutidas, além disso, a politica de privacidade deve ser elaborada de forma individualizada para cada pessoa, negócio ou aplicativo.