fbpx

Uma reflexão para além da questão semântica

De nada adianta um Aviso de Privacidade que não reflita de maneira fidedigna as operações de tratamento de dados aos titulares e torne-se obstáculo ao exercício de seus direitos.

Introdução

“Aviso de privacidade”, “política de privacidade” ou até “política de proteção de dados”.

Tem-se visto uma crescente onda de novas políticas e avisos sendo apresentados em sites e até nos balcões de atendimento de estabelecimentos sob a alegação de estarem cumprindo exigência disposta na Lei Geral de Proteção de Dados Pessoais (LGPD).
Ainda, colaboradores têm sido apresentados por seus empregadores à novas políticas sobre o cuidado que devem ter com os famosos dados pessoais na execução de suas atividades do dia-a-dia.

O que tudo isto significa?

Há uma variedade de nomes para referirem-se à mesma coisa. Há, porém, nomes iguais ou semelhantes para referirem-se a medidas com propósitos e funções completamente diversos.

A intenção deste artigo é desfazer algumas confusões conceituais em torno destas medidas de maneira simples, permitindo ao leitor identificar que há de fato ferramentas com finalidades diversas – e que independem do nome adotado –, mas ambas úteis à organização que busca a conformidade com a LGPD.

Para isto, a análise proposta será feita em três partes.

Primeiro: o que é uma política organizacional?

No que nos interessa, uma política organizacional (ou política interna) é um sistema, geralmente documentado, disposto a direcionar ações no contexto das atividades de uma organização ou grupo por meio da definição de princípios, regras, obrigações, proibições, responsabilidades, funções, procedimentos, protocolos e guias, podendo também desdobrar-se em outras políticas ou regramentos mais específicos endereçados a funções ou departamentos da empresa.

No caso de uma Política de Privacidade estabelece-se a direção pela qual serão tratadas e decididas as questões relacionadas à privacidade no contexto das atividades de determinada organização, o que geralmente está ligado ao cumprimento de requisitos legais, a exemplo da LGPD.
A propósito, a própria LGPD estabelece que o controlador – isto é, o responsável pelo tratamento de dados – poderá adotar como boa prática e de governança, processos e políticas internas voltados à proteção de dados pessoais (art. 50, §2º).

Segundo: política ou aviso? Ou seria política interna e política externa?

O elemento fundamental que difere a função da Política/Aviso reside justamente no público-alvo, isto é, a quem cada documento é destinado a comunicar-se.

Deve-se esclarecer previamente que não há predeterminação de que a Política/Aviso seja um documento formal e escrito, podendo-se optar por outras vias até mais eficazes na comunicação.

Segundo definição da Associação Internacional dos Profissionais da Privacidade (IAPP)(1), uma Política de Privacidade (privacy policy) é um documento interno endereçado aos colaboradores determinando a forma pela qual dados pessoais serão manuseados, armazenados e transmitidos a fim de atender às necessidades organizacionais e cumprir requisitos legais.

A Política de Privacidade, portanto, define todos os aspectos em torno da privacidade à organização e deve ser definido um planejamento adequado à sua comunicação e entendimento pleno ao seu público-alvo, isto é, os colaboradores, que estão na linha de frente das atividades de tratamento de dados na execução de suas atividades e processos diários.

A título de exemplo prático, pode-se citar a Data Protection Policy da Daimler(2), direcionada para guiar a organização internamente conforme depreende-se do objetivo da política (item 1), no qual afirma-se que a política “estabelece regras vinculativas para o processamento de dados pessoais da UE dentro do Grupo Daimler”.

Ainda na definição proposta pela IAPP, o Aviso de Privacidade (privacy notice), por sua vez, é uma comunicação direcionada aos indivíduos externos à organização na condição de titulares de dados pessoais informando e descrevendo as operações de tratamento de dados realizadas pela organização.

Trata-se do cumprimento do dever de informar o interessado quanto ao tratamento de seus dados pessoais. Assim, uma das maneiras mais comuns de informar o titular é publicizando as informações sobre o tratamento no website da empresa por meio de Aviso.
Relacionando este aspecto diretamente a um dos elementos fundamentais para o tratamento de dados em conformidade com a LGPD, o Aviso de Privacidade é medida apta a cumprir o princípio da transparência, previsto como sendo a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial” (art. 6º, VI).

O fornecimento de informações que sejam compreensíveis ao titular é elemento fundamental sem o qual não se pode falar em transparência.
De forma mais densa, o GDPR/RGPD disciplina a transparência que o “responsável pelo tratamento” (controlador, em nossa LGPD) deve ter perante o titular de dados no exercício de seus direitos bem como por ocasião da coleta dos dados, especificando as informações que devem ser fornecidas seja ela feita junto ao titular ou não.

Assim, a transparência com o titular, também realizada por meio do Aviso de Privacidade, deve operar numa lógica just in time, isto é, deve o titular ser informado na primeira oportunidade, o mais breve possível, para que tenha plena consciência sobre as operações de tratamento de seus próprios dados e, com esta ciência, possa exercer o efetivo controle destes dados por meios dos direitos previstos pela própria legislação.
Cabe destacar que estes Avisos rotineiramente são demasiado extensos e confusos, desmotivando a leitura e impedindo a compreensão pelo usuário. Outro problema geralmente detectado é que os Avisos não detalham de maneira satisfatória as finalidades do tratamento nem as bases legais a estas atreladas.

A respeito de a Política/Aviso não ter de ser necessariamente um documento formal e escrito, podemos citar o exemplo da Política de Privacidade da LEGO (3), direcionada a informar as crianças, reconhecidas titulares, sobre as operações de tratamento de seus dados, o que é feito por meio de um vídeo divertido, simples, acessível e didático.

Na prática, tem-se observado que as empresas incorporaram a terminologia “política de privacidade” tanto para definir a política voltada a comunicar o público externo – consumidores, geralmente – quanto o público interno – colaboradores –, e isto já era tendência desde antes da vigência da LGPD, o que não representa problema algum, importando de fato a eficácia da medida.

Em ambos os casos, muito pode ser aproveitado dos avanços no campo de visual law para tornar os longos e complexos documentos em textos acessíveis com a adoção de elementos visuais e agradáveis ao público-alvo.

Terceiro: privacidade x proteção de dados pessoais

Para completar a definição “Política/Aviso de Privacidade/Proteção de Dados Pessoais”, partimos para algumas considerações de natureza um pouco mais jurídica-doutrinária para bem delimitar a diferença entre os termos privacidade e proteção de dados pessoais.
Na clássica obra “Da privacidade à proteção de dados pessoais: fundamentos da Lei geral de proteção de dados”(4), o professor Danilo Doneda explora que a acepção inicial do direito à privacidade, entendido como o “direito a ser deixado só”, associado ao isolamento e segredo do indivíduo, não acompanha a necessidade de proteção no contexto tecnológico atual que cada vez faz mais uso de dados pessoais.

O autor propõe que a tutela da privacidade se desenvolveu a ponto de abarcar funções além simples da garantia ao isolamento, expandindo-se e tornando-se “instrumento para a construção da própria esfera privada”, o que pôde ser verificado no desdobramento entre estes direitos na Carta dos Direitos Fundamentais da União Europeia, previstos em dispositivos diversos (arts. 7º e 8º).

Ora, não é para menos que a LGPD, tal como feito no modelo regulatório do GDPR/RGPD, estabelece uma série de direitos ao titular em relação aos seus dados pessoais, que vão muito além da garantia do segredo, permitindo, em verdade, que o titular tenha capacidade de controle e gerência sobre o uso que é feito de seus dados pelos agentes de tratamento.

Esta evolução e autonomia do direito à proteção de dados pessoais em relação à privacidade inclusive é objeto da PEC nº 17, atualmente em trâmite no Congresso Nacional, que altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

No que concerne à elaboração de políticas, a popularização se dá justamente pela adoção do termo “privacidade”. Porém, o profissional deve ter conhecimento de que a terminologia “privacidade” não dá cabo de explicar toda a complexidade e dinâmica envolvidas neste ramo.

Conclusão

À guisa de conclusão, o que se tem observado da prática é que muitas organizações denominam “política de privacidade” duas medidas (não apenas documentos, destaque-se sempre) com finalidades totalmente diversas: uma de âmbito externo, o “aviso” aos titulares a respeito das operações de tratamento de dados realizadas pela organização; e outra de âmbito interno, a guiar os processos da organização e seus colaboradores, estabelecendo o posicionamento da empresa frente ao tema da privacidade e proteção de dados e o comportamento desejado de seu staff, podendo inclusive estabelecer uma estrutura de gestão do programa de governança com a repartição de funções, responsabilidades e protocolos.

Independentemente da nomenclatura que se utilize, importará de fato a eficácia da medida que se busca implementar, se ela funcionará na prática ao que se propõe. Assim, cada organização em seu contexto deverá avaliar se as medidas adotadas para o compliance com a LGPD estão de fato sendo eficazes ao mesmo tempo em que produzem prova da eficácia destas medidas.

De nada adianta um Aviso de Privacidade que não reflita de maneira fidedigna as operações de tratamento de dados aos titulares e torne-se obstáculo ao exercício de seus direitos. Do mesmo modo, é totalmente ineficiente uma Política de Privacidade, ainda que bem escrita, que não seja comunicada e assimilada pelos colaboradores. Em ambos os casos, há grave de risco de violação à legislação, com as consequências judiciais, administrativas e reputacionais decorrentes.

Referências bibliográficas:
(1) – IAPP. Privacy program management: tools for managing privacy within your organization. Second edition, 2019.
(2) – Disponível em: https://www.daimler.com/documents/company/other/daimler-dataprotectionpolicy-en.pdf. Acesso em 10 dez. 2020.
(3) – Disponível em: https://www.lego.com/en-us/kids/legal/privacy-policy. Acesso em 04 mar. 2021.
(4) – DONEDA, Danilo, Da privacidade à proteção dos dados pessoais, Rio de Janeiro: Renovar, 2019.

Jean Carlo Jacichen Luz é advogado, certificado PDPE, PDPF e ISFS (EXIN ) e CIPM(IAPP)
Aluno da Turma Presencial Curitiba 1 do curso “Lei Geral de Proteção de Dados: da Teoria à Prática”

Deixe um comentário

O seu endereço de e-mail não será publicado.