O aviso de privacidade é um documento essencial para qualquer organização que coleta, armazena ou processa dados pessoais. Com a crescente importância da proteção de dados, especialmente com a implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil, todas as empresas precisam estar em conformidade com as regulamentações e manter os usuários de seus serviços bem informados sobre como seus dados são tratados.
Neste artigo, vamos explorar em detalhes o que é um aviso de privacidade, para que ele serve e o que deve constar nele, seguindo uma checklist completa. Vamos também destacar a importância de cada item e como ele contribui para a transparência e a confiança dos usuários.
O que é um Aviso de Privacidade?
Um aviso de privacidade é um documento ou seção de um site que informa aos usuários sobre como suas informações pessoais são coletadas, usadas, armazenadas e compartilhadas. Ele tem como objetivo principal garantir a transparência e a conformidade com as leis de proteção de dados, como a LGPD no Brasil e o GDPR na Europa.
Apresentação da empresa controladora de dados
O primeiro passo para um aviso de privacidade eficaz é apresentar claramente a empresa controladora de dados. Isso inclui fornecer o nome completo da empresa, endereço, informações de contato e uma breve descrição do que a empresa faz. Esta seção estabelece a identidade da empresa e cria um ponto de partida para os usuários entenderem quem é responsável pelo tratamento de seus dados pessoais.
O que é LGPD e seus direitos
A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma legislação brasileira que visa proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. No aviso de privacidade, é essencial explicar brevemente o que é a LGPD e destacar os direitos dos titulares de dados pessoais. Esses direitos incluem acesso aos dados, correção de dados incorretos, exclusão de dados, portabilidade, entre outros.
Explique o que é dado pessoal
Para garantir que todos os usuários compreendam completamente o conteúdo do aviso de privacidade, é importante definir claramente o que são dados pessoais. Dados pessoais são informações relacionadas a uma pessoa natural identificada ou identificável, como nome, endereço, número de telefone, e-mail, dados de localização e identificadores online.
A quem se destina o Aviso de Privacidade?
Esta seção deve esclarecer quem são os indivíduos cujos dados pessoais são coletados, utilizados e armazenados pela empresa. Pode incluir clientes, funcionários, parceiros de negócios e qualquer outra pessoa que interaja com os serviços da empresa. Esta transparência é fundamental para que os usuários saibam se o aviso de privacidade se aplica a eles.
Quais tipos de dados pessoais nós tratamos?
Nesta parte do aviso de privacidade, é necessário listar os tipos específicos de dados pessoais que a empresa coleta. Isso pode incluir:
- Dados de identificação: como nome, CPF, RG, data de nascimento.
- Dados de contato: endereço, número de telefone, e-mail.
- Dados financeiros: informações de cartão de crédito e dados bancários.
- Dados de navegação: como o histórico de navegação, cookies, endereço IP.
- Dados de localização: localização geográfica.
Aqui temos apenas alguns exemplos e essa lista pode variar bastante, a depender do tipo de produto oferecido ou serviço prestado. Por isso, é essencial ter um aviso de privacidade específico, que reflita exatamente a realidade dos dados pessoais tratados.
Quais são as finalidades do tratamento dos dados pessoais?
Para cada tipo de dado pessoal coletado, deve-se explicar claramente a finalidade para a qual ele será usado. As finalidades podem incluir:
- Prestação de serviços: utilizar os dados para fornecer e gerenciar serviços.
- Marketing: enviar comunicações promocionais e ofertas.
- Melhoria de serviços: analisar como os serviços são utilizados para aprimorá-los.
- Segurança: proteger sistemas e dados contra fraudes e abusos.
Assim como no item anterior, essa lista traz apenas alguns exemplos de finalidades comuns, mas que não se aplicam necessariamente a todas as empresas e situações. No seu aviso de privacidade, você deve incluir as finalidades que se aplicam ao seu negócio, de acordo com o tratamento de dados pessoais que é realizado.
Por que e como tratamos cookies em nosso site?
Os cookies são pequenos arquivos de texto armazenados no dispositivo do usuário quando ele visita um site. No aviso de privacidade, é necessário explicar por que e como os cookies são utilizados. Isso pode incluir melhorar a funcionalidade do site, personalizar a experiência do usuário, analisar o tráfego e entender como os usuários interagem com os serviços. Também é importante informar os usuários sobre como eles podem gerenciar suas preferências de cookies através das configurações do navegador.
Como seus dados são obtidos?
Os dados pessoais podem ser obtidos de várias formas:
- Diretamente do usuário: quando ele se cadastra no site, faz uma compra ou entra em contato.
- Automaticamente: através de cookies e tecnologias similares ao usar o site.
- De terceiros: como parceiros de negócios, redes sociais e bancos de dados públicos.
Cada método de obtenção de dados deve ser claramente descrito no aviso de privacidade.
Como seus dados pessoais são armazenados?
A segurança dos dados pessoais é uma prioridade. Esta seção deve descrever como os dados são armazenados, destacando as medidas de segurança, técnicas e organizacionais, que foram implementadas para proteger os dados contra acesso não autorizado, perda ou divulgação. Isso inclui o uso de servidores seguros, criptografia de dados, controles de acesso e monitoramento contínuo de segurança.
Com quem podemos compartilhar seus dados pessoais?
A transparência sobre o compartilhamento dos dados pessoais é outro item que não podem faltar. O aviso de privacidade deve listar os terceiros com quem os dados podem ser compartilhados, incluindo:
- Prestadores de serviços: empresas que auxiliam na execução de atividades (por exemplo, serviços de pagamento, hospedagem de dados).
- Parceiros de negócios: para fins de marketing e melhorias de serviço, por exemplo.
- Cumprimento de obrigações: nas situações em que o comparitlhamento é exigido por Lei, requisitado por autoridade policial ou mediante decisão judicial.
Transferência internacional de dados pessoais
Se os dados pessoais forem transferidos para fora do Brasil, o aviso de privacidade deve informar os usuários sobre isso e garantir que as medidas adequadas de proteção estejam em vigor. Isso pode incluir a utilização de cláusulas contratuais padrão, acordos de transferência de dados e outras salvaguardas para garantir a proteção contínua dos dados. O importante é que o usuário saiba quem mais terá acesso aos dados e por qual motivo.
Por quanto tempo seus dados pessoais serão armazenados?
Esta seção deve informar sobre o período de retenção dos dados pessoais. Lembre-se de que a sua empresa deve manter os dados apenas pelo tempo necessário para cumprir as finalidades para as quais eles foram coletados, ou conforme exigido por leis e regulamentos aplicáveis. Após esse período, os dados pessoais devem ser eliminados ou anonimizados.
Como protegemos seus dados pessoais?
Descrever as medidas de segurança implementadas para proteger os dados pessoais é essencial para construir a confiança dos usuários. Não é preciso entrar nos mínimos detalhes, mas indicar as principais medidas é considerado boa prática. Isso pode incluir:
- Criptografia: para proteger dados durante a transmissão.
- Controles de acesso: para garantir que apenas pessoas autorizadas tenham acesso.
- Auditorias e monitoramento contínuo: para identificar e responder rapidamente a ameaças.
Direitos dos titulares de dados pessoais
Os titulares de dados pessoais têm vários direitos garantidos por Lei. O aviso de privacidade deve explicar esses direitos claramente, com menção explícita aos direitos contidos no artigo 18 da LGPD. São eles:
- Confirmação da existência de tratamento de dados pessoais;
- Acesso aos seus próprios dados pessoais, mantidos pela empresa;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o seu consentimento, quando for o caso;
- Informação sobre o compartilhamento dos dados, seja com entidades públicas ou privadas;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento, a qualquer momento.
Também é importante informar os usuários se a sua empresa utiliza decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, pois nesses casos o usuário também tem direito a solicitar a revisão da decisão.
Contato da empresa e do Encarregado pela Proteção de Dados (DPO)
Os usuários devem saber como entrar em contato com a empresa e com o Encarregado pela Proteção de Dados (DPO) para tirar dúvidas, fazer reclamações ou exercer seus direitos. Esta seção deve fornecer informações de contato claras, incluindo nome, e-mail e telefone.Se você está em dúvida se a sua empresa precisa nomear um DPO ou não, não deixe de ler nosso artigo sobre esse tema: Encarregado pela Proteção de Dados: será que a sua agência de marketing precisa ter um?
Alterações no Aviso de Privacidade
O aviso de privacidade deve ser um documento dinâmico, que pode ser atualizado periodicamente. Esta seção deve informar os usuários sobre a possibilidade de alterações e como eles serão notificados sobre essas mudanças. A empresa deve se comprometer a comunicar qualquer alteração através dos seus canais de comunicação e a refletir as mudanças na página de política de privacidade. É indicado também informar a data da última atual.
Legislação aplicável e foro
Por fim, o aviso de privacidade deve especificar a legislação aplicável e o foro competente para resolver quaisquer disputas relacionadas ao tratamento de dados pessoais. No caso do Brasil, a legislação aplicável é a LGPD, e o foro competente geralmente é a comarca da sede da empresa.
Por que fazer um Aviso de Privacidade?
Elaborar um aviso de privacidade detalhado e claro é fundamental para garantir a conformidade com a LGPD e para construir a confiança dos usuários. Cada seção do aviso de privacidade desempenha um papel importante na transparência e na proteção dos direitos dos titulares de dados pessoais. Seguindo a checklist apresentada, sua empresa pode criar um documento que não apenas atende às exigências legais, mas também demonstra seu compromisso com a privacidade e a segurança dos dados.
Além disso, ao apresentar o aviso de privacidade em um formato acessível e fácil de entender, as empresas ajudam os usuários a compreender melhor seus direitos e como suas informações são tratadas, promovendo uma relação de confiança e respeito mútuo.
Baixe agora mesmo nosso checklist do Aviso de Privacidade!
Este guia completo sobre o aviso de privacidade pode servir como uma referência útil para empresas de todos os tamanhos e setores, ajudando-as a navegar pelas complexidades da proteção de dados e a implementar práticas de privacidade eficazes e transparentes.
Para facilitar ainda mais a criação do seu aviso de privacidade, disponibilizamos um checklist completo que você pode baixar gratuitamente. Este checklist cobre todos os pontos essenciais para garantir que o seu aviso esteja em conformidade com a LGPD e seja claro para seus usuários. Baixe agora e comece a proteger melhor os dados pessoais que você coleta.
Se precisar de um aviso de privacidade personalizado e adaptado às necessidades específicas da sua empresa, entre em contato conosco. Oferecemos serviços especializados para garantir que seu aviso de privacidade seja elaborado de acordo com as melhores práticas e regulamentos vigentes.