Para a elaboração de políticas e procedimentos de proteção de dados, como a Política de Privacidade, Termos de Uso e Política de Cookies, é necessário seguir uma série de etapas que garantam a conformidade com a Lei Geral de Proteção de Dados (LGPD) e o Marco Civil da Internet, além de observar as boas práticas de segurança da informação e governança.
Abaixo, detalho os procedimentos recomendados pelas fontes para a elaboração de cada um desses documentos.
1. Diretrizes Gerais de Elaboração
Antes da redação dos documentos, a organização deve realizar um diagnóstico interno. A elaboração dessas políticas não é um exercício meramente redacional, mas o reflexo de um programa de governança estruturado:
Mapeamento de Dados (ROPA): O primeiro passo é entender o fluxo de dados (ciclo de vida) através do Registro das Operações de Tratamento (ROPA), identificando quais dados são coletados, para qual finalidade, qual a base legal e com quem são compartilhados
Transparência e Linguagem: Os documentos devem ser redigidos em linguagem simples, clara, precisa e acessível, evitando termos jurídicos complexos que dificultem a compreensão pelo titular dos dados.
Deve-se adotar uma política de “linguagem simples” para quaisquer documentos públicos.
Privacy by Design: A proteção de dados deve ser incorporada desde a concepção do produto ou serviço, garantindo que as configurações padrão sejam as mais protetivas à privacidade (Privacy by Default).
2. Procedimentos por Tipo de Política
A. Política de Privacidade (ou Aviso de Privacidade)
Esta é a declaração pública do agente de tratamento sobre como os dados são processados.
Conteúdo Obrigatório: A política deve informar, no mínimo:
Identificação: Identidade e informações de contato do controlador.
Dados Coletados: Especificação dos tipos de dados tratados (ex: identificação, contato, perfil).
Finalidade: O propósito específico do tratamento (ex: execução de contrato, marketing).
Base Legal: A hipótese legal que autoriza o tratamento (ex: consentimento, legítimo interesse, obrigação legal).
Compartilhamento: Informações sobre uso compartilhado de dados com terceiros e sua finalidade.
Transferência Internacional: Se ocorre transferência para outros países e as garantias aplicadas.
Retenção: O período pelo qual os dados serão armazenados ou os critérios para determinar esse período.
Direitos do Titular: Listagem explícita dos direitos (acesso, correção, eliminação, portabilidade, etc.) e o canal para exercê-lo.
Contato do Encarregado (DPO): Informações de contato para dúvidas sobre proteção de dados.
Separação: Embora possa integrar o Aviso de Privacidade, recomenda-se que a Política de Cookies seja apresentada em seção específica ou documento separado para facilitar o acesso.
B. Política de Cookies e Banners: A gestão de cookies exige transparência específica e mecanismos de controle para o usuário.
Diferenciação: É necessário distinguir a Política de Cookies (documento detalhado) do Banner de Cookies (interface de gestão de consentimento).
Conteúdo da Política: Deve explicar o que são cookies, quais categorias são utilizadas (necessários, desempenho, funcionalidade, publicidade), suas finalidades específicas, quais são de terceiros e como o usuário pode gerenciá-los.
Elaboração do Banner de Cookies:
Primeiro Nível: Deve conter um botão para “Rejeitar todos” os cookies não necessários, com o mesmo destaque do botão “Aceitar”, e um link para gerenciar preferências.
Segundo Nível (Gerenciamento): Deve permitir o consentimento granular por finalidade ou categoria de cookie.
Padrão: Cookies não necessárias (como os de publicidade) devem vir desativadas por padrão (Privacy by Default).
Vedações: É desaconselhado o uso de opções pré-marcadas, “walls” de cookies (bloquear acesso se não aceitar) ou dificultar a rejeição.
C. Termos de Uso
Os Termos de Uso regem a relação contratual e de serviço entre a plataforma e o usuário.
Cláusulas de Foro: É possível incluir cláusulas de eleição de foro, mas no caso de contratos de adesão que envolvam serviços prestados no Brasil, a exclusão do foro brasileiro pode ser considerada nula se violar direitos do consumidor ou dificultar o acesso à justiça.
Moderação de Conteúdo: Para plataformas digitais, é essencial incluir regras claras sobre o que é permitido, como funciona a moderação de conteúdo (automatizada ou humana) e os mecanismos de reclamação disponíveis ao usuário.
Limites: Devem ser observadas as nulidades previstas no Marco Civil da Internet, especialmente cláusulas que impliquem ofensa à inviolabilidade e ao sigilo das comunicações.
D. Política de Segurança da Informação e Resposta a Incidentes
Política de Segurança da Informação (PSI): Deve estabelecer diretrizes para proteger a confidencialidade, integridade e disponibilidade dos dados, incluindo controle de acesso, uso de senhas fortes, criptografia e backups.
Deve classificar a informação (pública, interna, confidencial) para determinar o nível de proteção adequado.
Plano de Resposta a Incidentes: Deve ser elaborado um plano que contemple a formação de um comitê de crise, preservação de evidências, identificação da causa raiz, contenção da vulnerabilidade e critérios para notificação à ANPD e aos titulares em caso de risco ou dano relevante. A comunicação à ANPD deve ocorrer em prazo razoável, atualmente orientado como 2 dias úteis.
3. Manutenção e Governança
Revisão Contínua: Todas as políticas devem prever datas de atualização e ser revistas periodicamente para refletir mudanças no tratamento de dados ou na legislação.
Treinamento: É fundamental treinar os funcionários sobre as políticas implementadas para garantir que as regras escritas sejam aplicadas na prática.
