PERGUNTE AO GURU
A reflection beyond the semantic issue – Proteção de dados de privacidade
There is no point in having a Privacy Notice that does not faithfully reflect data processing operations for holders and becomes an obstacle to the exercise of their rights.
Introduction
privacy data protection – Proteção de dados de privacidade
“Privacy notice”, “privacy policy” or even “data protection policy”.
There has been a growing wave of new policies and notices being presented on websites and even at the service counters of establishments under the allegation of being complying with the requirement set forth in the General Law for the Protection of Personal Data (LGPD).
Also, employees have been introduced by their employers to new policies on the care they must have with the famous personal data in the execution of their day-to-day activities.
What does all this mean?
There are a variety of names for referring to the same thing. There are, however, the same or similar names to refer to measures with completely different purposes and functions.
The intention of this article is to undo some conceptual confusions around these measures in a simple way, allowing the reader to identify that there are in fact tools with different purposes – and that do not depend on the name adopted –, but both useful to the organization that seeks compliance with the LGPD .
For this, the proposed analysis will be done in three parts.
First: what is an organizational policy?
Privacy data protection – As far as we are concerned, an organizational policy (or internal policy) is a system, usually documented, willing to direct actions in the context of the activities of an organization or group through the definition of principles, rules, obligations, prohibitions, responsibilities, functions, procedures, protocols and guides, and may also unfold into other more specific policies or regulations addressed to functions or departments of the company.
In the case of a Privacy Policy, the direction by which issues related to privacy will be handled and decided in the context of the activities of a given organization, which is generally linked to compliance with legal requirements, such as the LGPD.
By the way, the LGPD itself establishes that the controller – that is, the person responsible for data processing – may adopt, as good practice and governance, internal processes and policies aimed at the protection of personal data (art. 50, paragraph 2).
Second: policy or warning? Or would it be domestic policy and foreign policy?
privacy data protection
The fundamental element that differentiates the function of the Policy/Notice lies precisely in the target audience, that is, to whom each document is intended to communicate.
Deve-se esclarecer previamente que não há predeterminação de que a Política/Aviso seja um documento formal e escrito, podendo-se optar por outras vias até mais eficazes na comunicação.
Segundo definição da Associação Internacional dos Profissionais da Privacidade (IAPP)(1), uma Política de Privacidade (privacy policy) é um documento interno endereçado aos colaboradores determinando a forma pela qual dados pessoais serão manuseados, armazenados e transmitidos a fim de atender às necessidades organizacionais e cumprir requisitos legais.
Proteção de dados de privacidade – A Política de Privacidade, portanto, define todos os aspectos em torno da privacidade à organização e deve ser definido um planejamento adequado à sua comunicação e entendimento pleno ao seu público-alvo, isto é, os colaboradores, que estão na linha de frente das atividades de tratamento de dados na execução de suas atividades e processos diários.
A título de exemplo prático, pode-se citar a Data Protection Policy da Daimler(2), direcionada para guiar a organização internamente conforme depreende-se do objetivo da política (item 1), no qual afirma-se que a política “estabelece regras vinculativas para o processamento de dados pessoais da UE dentro do Grupo Daimler”.
Ainda na definição proposta pela IAPP, o Aviso de Privacidade (privacy notice), por sua vez, é uma comunicação direcionada aos indivíduos externos à organização na condição de titulares de dados pessoais informando e descrevendo as operações de tratamento de dados realizadas pela organização.
Trata-se do cumprimento do dever de informar o interessado quanto ao tratamento de seus dados pessoais. Assim, uma das maneiras mais comuns de informar o titular é publicizando as informações sobre o tratamento no website da empresa por meio de Aviso.
Relacionando este aspecto diretamente a um dos elementos fundamentais para o tratamento de dados em conformidade com a LGPD, o Aviso de Privacidade é medida apta a cumprir o princípio da transparência, previsto como sendo a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial” (art. 6º, VI).
O fornecimento de informações que sejam compreensíveis ao titular é elemento fundamental sem o qual não se pode falar em transparência.
Proteção de dados de privacidade
De forma mais densa, o GDPR/RGPD disciplina a transparência que o “responsável pelo tratamento” (controlador, em nossa LGPD) deve ter perante o titular de dados no exercício de seus direitos bem como por ocasião da coleta dos dados, especificando as informações que devem ser fornecidas seja ela feita junto ao titular ou não.
Assim, a transparência com o titular, também realizada por meio do Aviso de Privacidade, deve operar numa lógica just in time, isto é, deve o titular ser informado na primeira oportunidade, o mais breve possível, para que tenha plena consciência sobre as operações de tratamento de seus próprios dados e, com esta ciência, possa exercer o efetivo controle destes dados por meios dos direitos previstos pela própria legislação.
Cabe destacar que estes Avisos rotineiramente são demasiado extensos e confusos, desmotivando a leitura e impedindo a compreensão pelo usuário. Outro problema geralmente detectado é que os Avisos não detalham de maneira satisfatória as finalidades do tratamento nem as bases legais a estas atreladas.
A respeito de a Política/Aviso não ter de ser necessariamente um documento formal e escrito, podemos citar o exemplo da Política de Privacidade da LEGO (3), direcionada a informar as crianças, reconhecidas titulares, sobre as operações de tratamento de seus dados, o que é feito por meio de um vídeo divertido, simples, acessível e didático.
Na prática, tem-se observado que as empresas incorporaram a terminologia “política de privacidade” tanto para definir a política voltada a comunicar o público externo – consumidores, geralmente – quanto o público interno – colaboradores –, e isto já era tendência desde antes da vigência da LGPD, o que não representa problema algum, importando de fato a eficácia da medida.
Em ambos os casos, muito pode ser aproveitado dos avanços no campo de visual law para tornar os longos e complexos documentos em textos acessíveis com a adoção de elementos visuais e agradáveis ao público-alvo.
Terceiro: privacidade x proteção de dados pessoais
Para completar a definição “Política/Aviso de Privacidade/Proteção de Dados Pessoais”, partimos para algumas considerações de natureza um pouco mais jurídica-doutrinária para bem delimitar a diferença entre os termos privacidade e proteção de dados pessoais.
Na clássica obra “Da privacidade à proteção de dados pessoais: fundamentos da Lei geral de proteção de dados”(4), o professor Danilo Doneda explora que a acepção inicial do direito à privacidade, entendido como o “direito a ser deixado só”, associado ao isolamento e segredo do indivíduo, não acompanha a necessidade de proteção no contexto tecnológico atual que cada vez faz mais uso de dados pessoais.
O autor propõe que a tutela da privacidade se desenvolveu a ponto de abarcar funções além simples da garantia ao isolamento, expandindo-se e tornando-se “instrumento para a construção da própria esfera privada”, o que pôde ser verificado no desdobramento entre estes direitos na Carta dos Direitos Fundamentais da União Europeia, previstos em dispositivos diversos (arts. 7º e 8º).
Ora, não é para menos que a LGPD, tal como feito no modelo regulatório do GDPR/RGPD, estabelece uma série de direitos ao titular em relação aos seus dados pessoais, que vão muito além da garantia do segredo, permitindo, em verdade, que o titular tenha capacidade de controle e gerência sobre o uso que é feito de seus dados pelos agentes de tratamento.
Proteção de dados de privacidade – Esta evolução e autonomia do direito à proteção de dados pessoais em relação à privacidade inclusive é objeto da PEC nº 17, atualmente em trâmite no Congresso Nacional, que altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
No que concerne à elaboração de políticas, a popularização se dá justamente pela adoção do termo “privacidade”. Porém, o profissional deve ter conhecimento de que a terminologia “privacidade” não dá cabo de explicar toda a complexidade e dinâmica envolvidas neste ramo.
Conclusão
Proteção de dados de privacidade
À guisa de conclusão, o que se tem observado da prática é que muitas organizações denominam “política de privacidade” duas medidas (não apenas documentos, destaque-se sempre) com finalidades totalmente diversas: uma de âmbito externo, o “aviso” aos titulares a respeito das operações de tratamento de dados realizadas pela organização; e outra de âmbito interno, a guiar os processos da organização e seus colaboradores, estabelecendo o posicionamento da empresa frente ao tema da privacidade e proteção de dados e o comportamento desejado de seu staff, podendo inclusive estabelecer uma estrutura de gestão do programa de governança com a repartição de funções, responsabilidades e protocolos.
Proteção de dados de privacidade – Independentemente da nomenclatura que se utilize, importará de fato a eficácia da medida que se busca implementar, se ela funcionará na prática ao que se propõe. Assim, cada organização em seu contexto deverá avaliar se as medidas adotadas para o compliance com a LGPD estão de fato sendo eficazes ao mesmo tempo em que produzem prova da eficácia destas medidas.
There is no point in having a Privacy Notice that does not faithfully reflect data processing operations for holders and becomes an obstacle to the exercise of their rights. Likewise, a Privacy Policy, even if well written, that is not communicated and assimilated by employees, is totally inefficient. In both cases, there is a serious risk of violating the legislation, with the consequent judicial, administrative and reputational consequences.
Bibliographic References: Privacy Data Protection
(1) – IAPP. Privacy program management: tools for managing privacy within your organization. Second edition, 2019.
(2) – Available at: https://www.daimler.com/documents/company/other/daimler-dataprotectionpolicy-en.pdf. Access on 10 Dec. 2020.
(3) – Available at: https://www.lego.com/en-us/kids/legal/privacy-policy. Accessed on March 04. 2021.
(4) – DONEDA, Danilo, From privacy to the protection of personal data, Rio de Janeiro: Renovar, 2019.
Jean Carlo Jacichen Luz is a lawyer, PDPE, PDPF and ISFS (EXIN ) and CIPM(IAPP) certified
.
