A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) entrou em vigor em setembro de 2020 e aqueles que coletam, armazenam ou utilizam dados pessoais devem adequar o tratamento destes dados às disposições da Lei, sob pena de rigorosas sanções ou mesmo ações judiciais.
A adequação à LGPD é um processo, que inclui o levantamento dos dados pessoais e o mapeamento dos correspondentes fluxos dentro da organização, a identificação dos pontos de desconformidade com a Lei e a implementação das soluções para estas questões, dentre elas a elaboração ou adequação de instrumentos normativos e contratos.
Dentre os instrumentos necessários estão o termo de uso e a política de privacidade, cuja conformidade com a LGPD tem sido objeto de investigação pelo PROCON/MS em diversos sites, tendo havido já a autuação de algumas empresas.
Não atende à exigência da Lei a mera disponibilização, no site, de uma política de privacidade qualquer, porque não se trata de um documento padrão que serve a qualquer empresa. O cumprimento da LGPD diz respeito ao conteúdo da política de privacidade, que precisa guardar estreita relação com o modo pelo qual cada organização efetivamente trata os dados pessoais.
Assim, embora haja oferta de documentos prontos de política de privacidade na internet, a sua aquisição não promove a adequação da empresa à LGPD – ao contrário, não sendo um documento que reflete a realidade do tratamento de dados da empresa, a sua utilização termina por constituir fraude.
Um dos grandes princípios da proteção de dados é o princípio da transparência. As ações de transparência possibilitam a efetivação de diversos direitos do titular de dados, a fiscalização da atividade de tratamento por parte das autoridades e dos próprios titulares e evidencia boa fé.
Ações no sentido de conferir transparência ao tratamento de dados são consideradas salvaguardas importantes dos direitos fundamentais dos titulares e devem ser implementadas pelos agentes de tratamento.
A política de privacidade é o documento que descreve como se dá o tratamento dos dados pessoais pela organização, conferindo transparência às operações perante terceiros, tanto titulares de dados, quanto parceiros e autoridades encarregadas de fiscalização.
Logo, ela deve refletir um estado de fato da organização. Em outros termos, é preciso antes promover a adequação das operações de tratamento de dados à LGPD e refletir este modus operandi na política de privacidade.
Vale repetir, ter uma política de privacidade e realizar o tratamento dos dados de modo diferente do que consta naquele documento constitui fraude e denota má fé, agravando a conduta do infrator.
É neste documento que o cidadão vai encontrar as informações que serão por ele consideradas para decidir, por exemplo, se permanece e navega no site da organização, se concorda em entregar os seus dados àquela empresa ou não, com base nestas informações ele pode fiscalizar se a empresa cumpre o que está ali informado, mediante a solicitação de acesso aos seus dados.
Por esta razão, a política de privacidade deve se pautar por clareza e utilizar recursos gráficos, imagens e outros, que convidem à leitura e favoreçam a sua compreensão real pelo homem comum, para que o seu conteúdo seja efetivamente passível de assimilação.
Dentre as irregularidades apontadas pelo PROCON/MS nas políticas de privacidade dos sites autuados estão a falta de clareza e ambiguidade na exposição das informações, com possibilidade de compartilhamento irrestrito dos dados; previsão de coleta de dados em excesso, face às finalidades da empresa; desproporcionalidade na coleta de dados biométricos, uma vez que há outros meios menos invasivos e eficazes de repressão a fraudes; informações falsas sobre a LGPD; previsão de inclusão automática do consumidor no programa de fidelidade da empresa; ausência de informação dos parceiros com os quais os dados seriam compartilhados; dentre outras.
Uma política de privacidade deve ser elaborada tendo em conta dois parâmetros: ela precisa refletir um real estado de conformidade da organização com a LGPD e a sua elaboração deve se pautar pela clareza e facilitação da sua efetiva compreensão por qualquer pessoa.