Política de privacidade.

1 - Introdução

Este procedimento é utilizado quando for implementado um novo processo/projeto comercial ou quando ocorrer alguma alteração de processos/projetos já existentes, que exija o recolhimento de dados pessoais dos titulares abrangidos pelo âmbito da Lei Geral de Proteção de Dados (LGPD).

A LGPD exige que informações específicas sejam fornecidas no momento da coleta ou recebimento de dados pessoais, a respeito do uso e dos direitos sobre esses dados. Essas informações variam de acordo com as circunstâncias específicas e esse procedimento deve ser usado para garantir que as informações corretas sejam fornecidas, de modo que [Nome da Organização] esteja compatível com a LGPD.

Antigamente, as informações sobre privacidade eram fornecidas em um único documento (geralmente chamado de “Política de Privacidade”), porém com a LGPD a abordagem adotada passou a ser individual, dependendo do tipo de atividades. Por exemplo, um aviso de privacidade pode ser exibido quando um pedido é feito no site, e um aviso de privacidade diferente é exibido quando o usuário se inscreve para receber um boletim informativo. Isso permite que as informações de privacidade fornecidas sejam mais transparentes e menos confusas para o tipo de dado coletado.

Tais avisos de privacidade podem ser usados em conjunto com uma política de privacidade mais tradicional. 

Este procedimento deve ser lido em conjunto com os seguintes documentos relacionados:

  • Formulário de Planejamento de Aviso de Privacidade – Sujeito dos dados;

  • Formulário de Planejamento de Aviso de Privacidade - Outros;

  • Processo de Avaliação de Impacto de Proteção de Dados;

  • Política de Retenção e Proteção de Registros;

  • Política de Proteção de Dados;

  • Procedimento de Avaliação de Interesse Legítimo.

2 - Procedimento de Aviso de Privacidade

O objetivo deste procedimento é criar um aviso de privacidade apropriado que forneça ao sujeito dos dados as informações que ele deve receber, de maneira justa e mais transparente possível.

Existem duas maneiras principais de obter dados pessoais. São eles:

  1. Coletados diretamente com o titular dos dados pessoais

  2. Obtidos de maneira indireta 

Em ambos os casos, a LGPD específica as informações que devem ser fornecidas ao titular dos dados. Este procedimento descreve essa informação e explica como criar um aviso de privacidade que atenda aos requisitos.

1.1 - O titular dos dados pessoais já tem a informação?

A LGPD exige que o titular dos dados receba as informações, a menos que já possua essas informações. É importante verificar se realmente o titular recebeu todas as informações necessárias de outra forma.

Neste caso, a justificativa deve ser documentada e retida como evidência de conformidade com a LGPD. Deve-se ter cuidado para garantir que isso se aplique a todas as informações necessárias e a todos os envolvidos, caso contrário, devem ser tomadas medidas para resolver quaisquer lacunas.

 

1.2 - Dados pessoais obtidos diretamente do titular

Caso o titular não tenha as informações necessárias, deve ser fornecido, no momento em que os dados pessoais são obtidos, o seguinte:

  1. Identidade e dados de contato do responsável pelo tratamento e, se for caso, do representante do responsável pelo tratamento

  2. Dados de contato do encarregado da proteção de dados, se for o caso

  3. As finalidades e a base legal do tratamento (por exemplo, consentimento, obrigação legal, interesse legítimo)

  4. Os interesses legítimos verificados pelo responsável pelo tratamento ou por um terceiro (se o interesse legítimo for definido como a base legal do tratamento)

  5. Os destinatários, ou categorias de destinatários, dos dados, se houver

  6. Detalhes de quaisquer transferências de dados pessoais para um país terceiro ou organização internacional

  7. O período de tempo durante o qual os dados pessoais serão armazenados (ou os critérios usados para determinar esse período)

  8. Os direitos de acesso, retificação, eliminação e portabilidade dos dados pessoais (dependendo da base legal usada, veja abaixo)

  9. Direitos dos titulares de dados a restrições ao tratamento de seus dados pessoais

  10. Os direitos do titular dos dados de retirar o consentimento a qualquer momento (se o consentimento for usado como base legal do tratamento)

  11. O titular dos dados tem o direito de apresentar uma reclamação junto de uma autoridade fiscalizadora

  12. Se a coleta dos dados pessoais é uma exigência legal ou contratual, e se eles são obrigados a fornecer

  13. Se os dados pessoais estarão sujeitos a um tratamento automatizado, em caso afirmativo, a lógica e as possíveis consequências envolvidas

Deve-se tomar cuidado para informar os direitos do titular dos dados considerando a base legal do tratamento. Por exemplo, se a base legal é contratual, o direito de retirar o consentimento não se aplica (consulte o Procedimento de Solicitação de Assunto de Dados para obter mais informações).

1.3    Dados pessoais obtidos de maneira indireta

Se os dados pessoais não forem obtidos diretamente do titular dos dados, há uma série de circunstâncias adicionais (isto é, além do caso em que o titular dos dados já possui as informações) permitidas pela LGPD, que determinam que as informações não precisam ser fornecidas. São eles:

  • Se a prestação da informação for impossível ou implicar em um esforço desproporcionado

  • Quando estiver abrangido por outra(s) lei(s) aplicável(eis) que forneça medidas apropriadas para proteger os interesses do titular

  • Onde os dados são confidenciais em razão da lei

Quando qualquer uma das condições se aplicar, a justificativa para isso deve ser documentada e retida como evidência de conformidade com a LGPD. Deve-se ter cuidado para garantir que isso se aplique a todas as informações necessárias e a todos os envolvidos, caso contrário, devem ser tomadas medidas para resolver quaisquer lacunas.

No caso de nenhuma destas condições se aplicar, a informação deve ser fornecida ao titular: 

  • em um prazo razoável, 15 dias após a sua obtenção;

  • se usado para comunicação (por exemplo, endereços de e-mail), quando ocorrer a primeira comunicação;

  • no momento em que os dados são divulgados para outro destinatário (se aplicável).

A informação a ser fornecida é a seguinte:

  1. Identidade e dados de contato do responsável pelo tratamento e, se for caso, do representante do responsável pelo tratamento;

  2. Dados de contato do encarregado da proteção de dados, se for caso;

  3. As finalidades e a base legal do tratamento (por exemplo, consentimento, obrigação legal, interesse legítimo);

  4. As especificidades dos dados pessoais;

  5. Os destinatários, ou categorias de destinatários, dos dados, se houver;

  6. Detalhes de quaisquer transferências de dados pessoais para um país terceiro ou organização internacional;

  7. O período de tempo durante o qual os dados pessoais serão armazenados (ou os critérios usados para determinar esse período);

  8. Os direitos de acesso, retificação, eliminação e portabilidade dos dados pessoais (dependendo da base legal usada, veja abaixo);

  9. Direitos dos titulares de dados a restrições ao tratamento de seus dados pessoais;

  10. Os direitos do titular dos dados de retirar o consentimento a qualquer momento (se o consentimento for usado como base legal do processamento);

  11. O titular dos dados tem o direito de apresentar uma reclamação junto de uma autoridade fiscalizadora;

  12. A origem dos dados pessoais;

  13. Se os dados pessoais estarão sujeitos a um tratamento automatizado, incluindo a criação de perfis e, em caso afirmativo, a lógica e as possíveis consequências envolvidas;

 

 

1.4    Informações sobre o tratamento dos dados

Existem dois Formulários de Privacidades e Planejamento de Avisos disponíveis; um para ser usado quando dados pessoais são coletados diretamente do titular, e o outro quando os dados pessoais são obtidos de outra fonte. Use o formulário para garantir que todas as informações necessárias foram verificadas, antes de serem colocadas no formato apropriado para a comunicação.

As informações devem ser de uma forma inteligível e de fácil acesso, utilizando uma linguagem clara e simples. O melhor método de fornecer as informações ao titular de dados dependerá das especificidades do processo e pode incluir um ou mais dos seguintes:

 

  • Aviso no site

  • Via e-mail

  • Através da postagem física

  • Por telefone

  • Pessoalmente

  • [Outros métodos]

Os avisos de privacidade devem ser cuidadosamente planeados para que as informações relevantes sejam apresentadas ao titular no modo e momento apropriado. Logo será necessário um conjunto coerente de avisos de privacidade, em vez de um único documento que cubra todo o processamento.

Cada aviso de privacidade deve ser planejado para ser exibido no momento apropriado do processo e as informações devem ser específicas para os dados que estão sendo coletadas e a aplicação da base legal do tratamento.

A melhor forma de apresentar essas informações deve ser averiguada. Apresentar um link que direciona para o documento de aviso de privacidade pode atender aos requisitos da LGPD, mas métodos alternativos de design de tela podem permitir uma experiência mais fácil para o usuário.

 

1.5    Tratamento adicional

Caso for decidido usar os dados pessoais para um propósito diferente daquele para o qual os dados foram obtidos ou coletados, mais informações sobre essa finalidade e a base legal, devem ser fornecidas ao titular dos dados, antes do tratamento acontecer.