Política de privacidade

O que é uma política de privacidade para site ou aplicativo?

A política de privacidade para site ou aplicativo é o documento por meio do qual uma pessoa física ou jurídica presta informações sobre como realiza o tratamento de dados pessoais no âmbito de seu site ou de seu aplicativo.

Quando uma pessoa utiliza um site ou um aplicativo, diversas informações que lhe pertencem são de alguma forma coletadas, processadas ou armazenadas pelo sistema. Com efeito, quando um novo usuário se cadastra informando seu nome, seu e-mail e sua senha, quando um usuário antigo faz login usando suas credenciais de acesso, quando o sistema envia dados de um usuário para armazenamento em um banco de dados, entre outras inúmeras situações, o responsável pelo site ou aplicativo estará realizando tratamento de dados pessoais e tem, por este motivo, o dever de prestar informações a seus usuários acerca do que faz com seus dados. A política de privacidade cumpre exatamente este papel.

Qual é a diferença entre "política de privacidade" e "declaração de privacidade"?

As expressões "política de privacidade" e "declaração de privacidade" são geralmente empregadas como sinônimas, sem que haja qualquer distinção entre elas.

Qual é a diferença entre "política de privacidade" e "termos de uso"?

Termos de uso (ou termos e condições gerais de uso) são contratos que definem os direitos e deveres entre usuários e empresas que mantêm sites ou aplicativos. Por exemplo, nos termos de uso, uma empresa que vende seus calçados através de uma plataforma online poderá estabelecer as regras sobre cancelamento de pedidos, devolução de itens, meios de pagamento etc.

A política de privacidade, por sua vez, tem um caráter meramente informativo. Ela não estabelece direitos e obrigações, mas apenas presta esclarecimentos sobre o que o responsável pelo site ou aplicativo faz com os dados pessoais de seus usuários.

Qual é a diferença entre "política de privacidade" e "política de cookies"?

Tanto a política de cookies quanto a política de privacidade têm o objetivo de prestar informações. A política de cookies, no entanto, trata, como o próprio nome diz, especificamente sobre cookies, enquanto a política de privacidade diz respeito aos dados pessoais em geral que o site ou aplicativo utiliza.

Cookies são dados que ficam armazenados no dispositivo que uma pessoa utiliza para visitar um website. Ele pode ser utilizado para armazenar uma série de informações relacionadas ao usuário, como, por exemplo, a língua em que ele prefere que as páginas lhe sejam mostradas.

Os cookies, em geral, são dados pessoais (muito embora este não seja sempre o caso), e, por isso, em alguns casos, a política de cookies é integrada à política de privacidade.

É obrigatório fazer uma política de privacidade?

Uma das principais obrigações que a Lei Geral de Proteção de Dados (LGPD) impõe a quem realiza tratamento de dados pessoais é a de ser transparente. Isto significa que, sempre que se realizar uma atividade qualquer com dados de pessoas físicas, será necessário prestar informações sobre o tratamento.

Uma das formas mais comuns de atender ao dever de prestar informações é por meio de uma política de privacidade, documento que geralmente fica publicado no site de empresas e instituições.

O que são dados pessoais?

A Lei Geral de Proteção de Dados (LGPD) define "dado pessoal" como todo aquele que se refira a uma pessoa física identificada ou identificável. Na prática, a expressão compreende todo dado que permite identificar uma pessoa ou que se relacione a uma pessoa específica. Além dos dados normalmente entendidos como pessoais (tais como nome, endereço, data de nascimento, CPF etc.), é possível que diversos outros também o sejam, como um histórico de compras, de fotos ou de mensagens.

Assim, para dizer se um dado é pessoal ou não, o contexto é importante, de modo que um dado considerado pessoal em um caso pode não ser em outro, a depender da possibilidade ou não de se identificar uma pessoa a partir dele ou do fato de ele estar ou não vinculado a um usuário específico.

Além disso, os dados pessoais podem ser sensíveis ou não. Pela LGPD, um dado sensível é todo dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O que significa "tratamento de dados pessoais"?

A expressão tratamento de dados pessoais abrange praticamente tudo aquilo que se pode fazer com estes dados, como as atividades de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Por exemplo: uma empresa que utiliza um sistema para cadastrar seus clientes realiza diversas atividades de tratamento de dados pessoais. Quando um cliente preenche um formulário de cadastro, a empresa está realizando uma operação de coleta. Quando os dados são inseridos no sistema e armazenados no banco de dados, a empresa realiza uma atividade de armazenamento. Quando os dados são transferidos para um servidor de backup localizado nos Estados Unidos, está realizando uma transferência internacional de dados, que também é uma atividade de tratamento.

O que é um "titular de dados pessoais"?

O titular de um dado pessoal é a pessoa a quem o dado se refere. Por exemplo: suponha que uma empresa que vende discos de vinil antigos para colecionadores possui um cadastro de seus clientes para fins de oferecer novos produtos.

Neste exemplo, João é titular dos dados que se referem a ele (45 anos, joao@email.com e gêneros rock e metal), e Maria é titular dos que se referem a ela (35 anos, maria@email.com e gêneros samba, pagode e MPB).

O que são "bases legais de tratamento"?

Uma base legal para o tratamento de dados pessoais nada mais é que uma justificativa permitida em lei para que uma pessoa ou empresa possa tratar dados pessoais. A LGPD exige que cada atividade de tratamento seja justificada com base em um dos fundamentos previstos na lei.

A base legal mais conhecida é o consentimento, que ocorre quando o titular concorda previamente com o que será feito com seus dados. Esta não é, porém, a única justificativa permitida em lei.

No caso dos dados pessoais em geral, entre outras hipóteses, o tratamento pode ser realizado:

• mediante o consentimento do titular dos dados pessoais (por exemplo, nos casos em que o titular concorda com a realização de determinada atividade com seus dados pessoais, clicando em um botão específica ou marcando um checkbox);
• para o cumprimento de obrigação legal ou regulatória pelo controlador (por exemplo, a Lei Federal n. 12.965/2014 determina que os provedores de aplicações na internet têm o dever de armazenar informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP por seis meses, sendo que, neste caso, estes dados podem ser coletados e armazenados apenas com fundamento nesta base legal);
• para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados pessoais (por exemplo, nos casos em que o site ou aplicativo vende um produto que será entregue na residência do usuário, caso em que será necessário armazenar os dados da transação e alguns dados cadastrais, a fim de viabilizar o cumprimento do contrato);
• quando necessário para atender aos interesses legítimos do controlador ou de terceiro (por exemplo, nos casos em que o envio de marketing direcionado é feito com base nos interesses do controlador, desde que observados todos os requisitos da LGPD);
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral (por exemplo, no caso do armazenamento de transações comerciais realizadas dentro de um site ou aplicativo, até o fim do prazo prescricional de cinco anos previstos no Código de Defesa do Consumidor);
• para a proteção do crédito (por exemplo, nos casos em que uma instituição financeira utiliza os dados do usuário para fazer consultas em bureaus de crédito, a fim de evitar inadimplência).

No caso dos dados pessoais sensíveis, entre outras possibilidades, o tratamento deverá ser realizado:

• mediante o consentimento do titular dos dados pessoais;
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos do titular e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais (por exemplo, nos casos em que a biometria é absolutamente necessária para garantir a segurança de determinada transação realizada no site ou no aplicativo).

As hipóteses listadas acima, para dados pessoais sensíveis ou não, são as mais frequentes no contexto de sites e de aplicativos, mas existem outras que podem ser utilizadas nestes ou em outros cenários.

O que não pode faltar em uma política de privacidade?

A política de privacidade deve conter, ao menos, informações sobre:

• quais são os dados pessoais que trata e as finalidades para as quais os trata;
• como os dados pessoais são tratados e por quanto tempo;
• quem são os responsáveis pelo tratamento dos dados pessoais;
• como é possível entrar em contato com os responsáveis;
• o eventual uso compartilhado dos dados pessoais entre diferentes responsáveis;
• as responsabilidades daqueles que realizam o tratamento;
• os direitos que o titular tem com base na LGPD.

Quem pode fazer uma política de privacidade?

Qualquer pessoa física ou jurídica que realiza tratamento de dados pessoais pode fazer uma política de privacidade.

Por quanto tempo a política de privacidade é válida?

Não há prazo de validade para uma política de privacidade. No entanto, ela deve ser constantemente atualizada, de modo que, sempre que o responsável pelo site ou aplicativo alterar a forma como trata os dados pessoais de seus usuários, o documento deve refletir as mudanças. Neste sentido, é importante que haja um controle de versões da política de privacidade, e que, a cada nova alteração, os usuários sejam notificados.

O que deve ser feito depois que a política de privacidade estiver pronta?

Após integral e cuidadosamente preenchida, a política de privacidade deve ser colocada à disposição para consulta direta dos titulares. Uma das melhores práticas adotadas internacionalmente consiste na disponibilização da política de privacidade no website da pessoa física ou jurídica que realiza o tratamento.

O texto da política de privacidade pode ser copiado e colado diretamente em uma página do site ou pode ser disponibilizado por meio de um PDF para leitura. Não se deve disponibilizar uma versão editável.

O responsável pelo tratamento de dados pessoais deve manter um registro das diferentes versões da política de privacidade que ele eventualmente fizer e publicar, informando os titulares sempre que houver uma alteração (por exemplo, por meio do envio de e-mails informativos).

É preciso registrar uma política de privacidade?

A política de privacidade deve ser publicada para que as pessoas que utilizam um site ou aplicativo possam consultá-la, mas não há qualquer necessidade de registro.

Quais leis se aplicam à política de privacidade?

O uso da internet é regulado, no Brasil, pelo Marco Civil da Internet (Lei Federal n. 12.965, de 23 de abril de 2014), regulamentado pelo Decreto n. 8.771, de 11 de maio de 2016, e o tratamento de dados pessoais é regulado pela Lei Federal n. 13.709, de 14 de agosto de 2018 (Lei de Proteção de Dados Pessoais).

Como editar o modelo?

Você preenche um formulário. O documento é redigido diante dos seus olhos, conforme as suas respostas.

No fim, você o recebe nos formatos Word e PDF. Você pode editá-lo e reutilizá-lo.