O que colocar na política de privacidade do seu site
Uma política de privacidade é uma declaração escrita de todas as medidas que um site toma para garantir a segurança e o uso adequado das informações dos visitantes. Além disso, a política de privacidade esclarece como esses dados são coletados, armazenados e utilizados, e se são repassados a terceiros. Descubra aqui os pontos mais importante da Lei Geral de Proteção de Dados Pessoais em vigor no Brasil e como você pode adequar seu site a ela, para resguardar a privacidade dos seus consumidores e aumentar a confiabilidade e a segurança do seu site.
Quando a política de privacidade é obrigatória?
A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada no Brasil em 2018, reúne, em um único documento, regulamentações sobre proteção de dados que já vigoravam no país. Ela também segue tendência mundial que busca garantir direitos fundamentais de liberdade e privacidade de todos os usuários da internet.
No que diz respeito a sites, a LGPD é clara ao estabelecer que dados pessoais e dados pessoais sensíveis só podem ser coletados quando houver consentimento dos visitantes. Isso quer dizer que todos os sites que processam dados pessoais de visitantes ou consumidores são obrigados por lei a informar sobre a coleta de dados e só fazê-la depois de receber autorização. Adotar uma política de privacidade torna-se, então, essencial. Ela resguarda tanto os direitos dos seus visitantes quanto seu próprio site, que, cumprindo a legislação, evita possíveis problemas judiciais.
Mesmo com o consentimento dos visitantes, sites não podem coletar todo e qualquer dado. A LGPD determina que o tratamento de dados só pode ocorrer quando a finalidade for justificável. Isso quer dizer que dados pessoais só podem ser coletados para propósitos “legítimos, específicos, explícitos e informados ao titular [visitante], sem possibilidade de tratamento posterior de forma incompatível com essas finalidades” (Art. 6). Ou seja, mesmo que um site colete somente, por exemplo, o nome e o endereço de e-mail de um usuário para fins puramente privados, ele é obrigado a fazer a declaração.
Uma vez que operar um site sem coletar dados é praticamente impossível, todos os sites devem adotar e apresentar uma política de privacidade aos visitantes. Ela cumprirá as funções de transmitir as informações exigidas por lei e de coletar o consentimento dos visitantes.
A coleta de dados por lojas virtuais é fácil de ser compreendida, já que elas realmente precisam dos dados pessoais dos consumidores para processar o pagamento, emitir nota fiscal e enviar a encomenda ao endereço. Outros tipos de site, contudo, podem encontrar dificuldades em justificar a coleta e o armazenamento de dados de visitantes. Até porque, hoje em dia, muitos dados são coletados e armazenados automaticamente, sem que o operador esteja sequer ciente. Servidores registram endereços de IP em arquivos de log, botões de mídias sociais integrados ao site transmitem dados pessoais para as redes sociais, e cookies armazenam informações sobre comportamentos de navegação. Sem contar a atuação de ferramentas de análise de dados, como o Google Analytics. Esta é particularmente delicada, pois armazena, em servidores localizados nos Estados Unidos, dados que são considerados pessoais por várias legislações ao redor do mundo, como endereços de IP.
Para evitar problemas com a lei, operadores de site podem determinar que apenas parte de um endereço de IP seja coletada e armazenada, o que impossibilita que esses endereços sejam ligados a uma pessoa em específico. A GDPL, lei de proteção de dados da Europa, obriga sites a encurtarem o endereço de IP coletado. Leia mais sobre a General Data Protection Law, a lei de proteção de dados mais restritiva do mundo, nesse artigo.
Consequências da não adoção de uma política de privacidade
Se um site não adotar e apresentar aos seus visitantes uma política de privacidade, ou se as informações nela contidas estiverem incorretas, ele pode ser fiscalizado ou denunciado, e incorrer em sanções. Entre diversas possibilidades, empresas podem ser obrigadas a pagar multa de até 2% do faturamento ou R$ 50 milhões ao desrespeitarem a norma e utilizarem dados pessoais de má-fé.
Essas sanções começaram a ser aplicadas em 2021. No Mato Grosso do Sul, por exemplo, o Procon já autuou empresas que descumpriram a LGPD. Entre elas está a gigante da área de construção, decoração e reformas, Leroy Merlin. De acordo com o órgão de defesa do consumidor, a política de privacidade da empresa continha falhas e coletaria dados pessoais em excesso, que não condiziam com a finalidade de suas atividades. A empresa Privalia, por sua vez, foi autuada por apresentar uma política de privacidade com informações pouco claras, ambíguas e, por vezes, inverídicas. Em Minas Gerais, uma filial da Cacau Show foi condenada a indenizar uma funcionária, com base na LGPD. A empresa teria divulgado o contato dela sem seu consentimento.
Teoricamente, como operador de sites, você é obrigado a informar seus usuários sobre a coleta de dados pessoais no início do processo de utilização. Por isso, o ideal é que a política de privacidade seja apresentada assim que o visitante chega ao site. Ainda, a política de privacidade deve ser descomplicada e acessível. Ela deve estar contida por uma subpágina que pode ser acessada a qualquer momento, por meio de um link. Tome cuidado para que o link estabelecido para esse fim não seja tampado por outros elementos, como banners, e para que a declaração seja visível em diferentes navegadores e dispositivos móveis.
É importante lembrar que todo site que faz uso de cookies coleta dados pessoais automaticamente. Cookies registram atividades de usuários e, portanto, podem ser utilizados para identificá-los. Assim sendo, o uso de cookies sem política de privacidade e termo de consentimento viola a LGPD. Por lei, cookies só podem ser coletados sem consentimento se fossem tecnicamente essenciais. Nos demais casos, um banner de consentimento de cookies deve ser apresentado.
A política de privacidade de um site deve ser precisa, exata e transparente. Assim, termos legais e técnicos devem, na medida do possível, ser evitados ou então explicados. Como operador de sites, tenha em mente que você pode utilizar elementos de design, como listas e tabelas, para deixar esse conteúdo ainda mais compreensível.
Base legal para o processamento de dados
A Lei Geral de Proteção de Dados delimita em que casos dados pessoais podem ser processados:
- Mediante consentimento do titular dos dados
- Para o cumprimento de obrigação legal ou regulatória
- Pela administração pública, para execução de políticas públicas
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização
- Quando necessário para a execução de contrato
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro
- Para a tutela da saúde em procedimento realizado por profissionais de saúde
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro
- Para a proteção do crédito
Objetivos do processamento de dados
Além de poderem coletar dados somente nos casos citados acima, os sites devem esclarecer, em suas políticas de privacidade, para que propósitos realizam essa coleta. Finalidades típicas são, por exemplo, análise do comportamento do visitante para otimizar o site, a fim de fornecer conteúdo de marketing personalizado. Por esse motivo, aconselhamos também a divulgação de todos os componentes do seu projeto web que coletam dados pessoais, tais como:
- Formulários de contato
- Assinatura de newsletter
- Códigos de rastreamento
- Plugins de terceiros
- Conteúdos de terceiros (vídeos do YouTube, por exemplo)
- Cookies
- Caixas de entrada de dados
Um exemplo de indicação de finalidade em uma política de privacidade seria:
Com o objetivo de tornar sua visita mais confortável e oferecer-lhe todas as funções disponíveis, coletamos uma série de dados e informações do dispositivo com o qual você acessa nosso site. Os dados coletados são os seguintes:
- Endereço de IP
- Sistema operacional
- Tipo e versão do navegador
- Data e hora de acesso
Tudo indica que, no futuro, os sites deverão ser ainda mais cautelosos ao incorporar conteúdo de terceiros. Muitos conteúdos de terceiros, como vídeos do YouTube, transmitem dados por padrão, quando o site é incorporado. Para evitar isso, o Google implementou um modo de proteção de dados ampliado nas opções de incorporação do YouTube. Se você ativá-lo, gerará um código de incorporação que só transmitirá dados quando e se o vídeo for, de fato, visualizado.
Compartilhamento de dados com terceiros
Se seu site compartilha dados pessoais com terceiros, você também deve informar seus usuários sobre isso na política de privacidade. É bastante provável que você envolva outros prestadores de serviços, como fornecedores ou empresas de pagamento nos seus processos, principalmente se você operar uma loja virtual.
Transmitir cookies a terceiros, assim como usar extensões de terceiros, também são considerados compartilhamento de dados pessoais. Códigos de rastreamento e botões de mídias sociais estão entre eles. Em ambos os casos, você pode apontar na sua política de privacidade justificativa legítima para o uso sem consentimento. De toda forma, obter o consentimento do visitante também nesses casos é mais seguro. Serviços de publicidade como o Google AdSense e AdWords também devem ser mencionados como destinatários, caso você os utilize no seu projeto web.
Um exemplo de indicação de compartilhamento de dados pessoais com terceiros em uma política de privacidade seria:
Este site usa plug-in da rede social Facebook, aplicação desenvolvida e operada por Facebook Inc. (1 Hacker Way, Menlo Park, Califórnia 94025 EUA). Em nossa página, o plug-in pode ser identificado pelo logotipo do Facebook. Ele estabelece uma conexão direta entre seu navegador e os servidores do Facebook assim que é ativado. Para ativá-lo, basta clicar no botão correspondente. Não temos qualquer influência sobre o tipo e o escopo dos dados que são transmitidos para o Facebook Inc. neste contexto. Uma declaração da empresa sobre o tópico pode ser encontrada no link a seguir: https://www.facebook.com/help/186325668085084.
Se você pretende transferir dados pessoais a um terceiro que opera fora do país, é interessante que você revele essa intenção na sua política de privacidade, já que operadores estrangeiros também estão sujeitos à LGPD, quando processam dados de pessoas que encontram-se em território nacional.
Duração do armazenamento de dados
A fim de tornar o processamento de dados ainda mais transparente, você deve divulgar por quanto tempo os dados coletados serão armazenados pelo seu site. Caso não haja um tempo específico, você deve mencionar os critérios que utiliza para manter dados armazenados. O trecho da política de privacidade que trata desse item pode ser mais ou menos assim:
Todos os dados pessoais que coletamos durante a sua visita, por meio do uso de cookies, serão automaticamente excluídos assim que a finalidade de sua coleta for cumprida. Neste caso, os dados da sessão ficam armazenados somente até o término da sua sessão, sendo eliminados em seguida.
Direito de acesso aos dados coletados
A Lei Geral de Proteção de Dados Pessoais deixa claro que qualquer usuário tem o direito de perguntar ao site que visitou que dados pessoais dele foram coletados e tratados. Mediante requerimento, o site é obrigado a ceder as seguintes informações:
- Confirmar a existência dos dados
- Facilitar o acesso aos dados
- Corrigir informações incompletas, inexatas ou desatualizadas
Ainda, os usuários podem exigir que os sites tomem as seguintes providências com relação a seus dados pessoais:
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade com a lei
- Portabilidade de dados a outro fornecedor
- Eliminação de dados tratados sem consentimento, etc.
Em uma política de privacidade, os direitos dos visitantes podem constar da seguinte forma:
Em conformidade à LGPD, você é o titular de seus dados pessoais por nós processados, e por isso tem os seguintes direitos, listados no artigo 18: direito à informação, direito à retificação, direito de anonimização, direito de eliminação, direito à portabilidade, direito de rejeitar a coleta, direito de retirar o consentimento a qualquer tempo, assim como direito de apresentar queixa às autoridades.
Dados pessoais com coleta obrigatória
Em alguns casos, sites podem coletar dados pessoais de seus usuários, mesmo sem seu consentimento. O fornecimento de dados pessoais é obrigatório, por exemplo, para fechamento ou execução de um contrato. Nestes casos ocorre o oposto: o serviço não poderá ser prestado, caso o usuário se recuse a fornecer informações sobre ele. Em uma política de privacidade, o assunto pode ser tratado da seguinte forma:
A coleta de seus dados pessoais é indispensável para a conclusão de um contrato e para o cumprimento de obrigações e serviços contratuais. Se você não nos fornecer as informações solicitadas, não será possível o fechamento do contrato nem a prestação de serviços contratuais.
Todo site que opera hoje no Brasil deve se atentar à Lei Geral de Proteção de Dados Pessoais (LGPD), uma vez que, salvo exceções, ela exige que dados pessoais só sejam coletados mediante consentimento de visitantes e consumidores. Além de recolherem o consentimento, sites devem adotar e publicizar sua política de privacidade, que justifica e detalha como é feita a coleta, o processamento e o armazenamento de dados pessoais.
Deve constar, em uma política de privacidade, trechos que explicitam os dados coletados, assim como a finalidade da coleta. Operadores de site devem dar atenção especial aos cookies e ao possível compartilhamento de dados de seus usuários com terceiros, como com ferramentas de análise de performance, de serviços de publicidade e botões que encaminham às mídias sociais.
A não obediência à norma pode acarretar sanções, que variam do bloqueio temporário dos dados em desconformidade a multas, que podem chegar a 2% do faturamento da empresa ou a até R$ 50 milhões.
Lembre-se que a política de privacidade não só resguarda o direito dos usuários à privacidade de seus dados, como também protege a sua empresa. Seguindo a legislação, você transmite muito mais confiabilidade. Além disso, o cumprimento à regra evita problemas judiciais.