Qualquer política de uma empresa serve para determinar diretrizes e princípios que norteiam a organização. Assim, a política de privacidade esclarece a forma como determinada empresa pensa sobre privacidade e qual a importância que é dada.
A diferença crucial entre política de privacidade e política de segurança da informação é que a primeira é de uso público, ou seja, qualquer pessoa tem acesso, razão pela qual a política de privacidade, em regra, é disponibilizada na loja virtual ou no site institucional da empresa.
O objetivo principal da política de privacidade é deixar claro que a empresa se preocupa com a privacidade dos dados pessoais de seus consumidores. Ela também serve para mitigar eventuais sanções por violação de dados pessoais, pois se demonstrado que adotou todos os mecanismos de seguranças que estavam disponíveis naquele momento, eventual multa pode ser atenuada.
Importante mencionar que política de privacidade não é um processo, nem um manual, ela precisa estar apoiada por algum processo ou procedimento, mas não significa que é um processo.
Por exemplo, na política de privacidade a empresa informa que adota padrões altos de controle de acessos, ao passo em que no procedimento de segurança interno está previsto que qualquer senha deve conter pelo menos 8 caracteres.
Para ser eficiente, a política de privacidade deve ser:
Objetiva e clara: O corpo do texto deve ter uma escrita simples e curta para que qualquer pessoa consiga ler e entender.
Possível de ser implementada: Nada adianta informar no seu e-commerce, por exemplo, que adota as tecnologias de segurança mais avançadas que possuem no mercado, mas não possuir recursos financeiros suficientes para implementá-las.
Auxiliada por processos e procedimentos internos: Todo compromisso reconhecido pela empresa sobre a forma em que é tratado os dados pessoais na política de privacidade deve ser acompanhado por um processo e procedimentos internos que preveem uma ação específica para cada compromisso informado.
Auditável: A política de privacidade precisa ser auditável, isto é, capaz de comprovar a conformidade. No exemplo do consentimento dado acima, a empresa precisará também de um sistema que evidencie a obtenção do consentimento do titular dos dados.
Ou seja, se na política de privacidade contêm a informação de que a empresa apenas coleta dados pessoais por meio do consentimento do titular, a empresa deve conter um procedimento interno específico de como obter o consentimento do titular. Por essa razão, não devem ser copiadas políticas de privacidades de outros sites, cada empresa precisa - aconselhada por advogado e técnico de segurança da informação - entender quais são as suas necessidades para garantir a privacidade dos dados pessoais de seus consumidores e colaboradores.
Ainda, a empresa deve informar a forma em que os dados pessoais são processados e porque, dessa forma, listamos abaixo as principais informações que devem conter na política de privacidade:
Os dados da empresa: Os principais dados da empresa devem ser fornecidos, como endereço, e-mail para contato, telefone e CNPJ.
O tipo de dados pessoais que a empresa coleta: Por exemplo, nome, e-mail, dados de pagamento, entre outros.
Como a empresa coleta os dados e qual o motivo da coleta: Informe ao seu consumidor em que momento a empresa coleta os dados e por quais motivos. Informe também se compartilha os dados com outras empresas e indique qual base legal utiliza para tratar os dados pessoais.
Como os dados pessoais são mantidos: Esclareça como e onde a empresa mantêm os dados pessoais, bem como o período de retenção e a forma de exclusão dos dados.
Direitos dos titulares de dados e canal de atendimento: Mencione os direitos dos titulares e informe um e-mail de contato para que o titular possa contatar a empresa para solicitar informações sobre os seus dados.
Em resumo, elaborar uma política de privacidade simples e objetiva parece fácil, mas na prática exige muito estudo e trabalho, por isso é aconselhável consultar um advogado.
Comments