Como elaborar uma política de privacidade aderente à LGPD?

A política de privacidade é um dos instrumentos de implementação do privacy by design¹ e faz

parte da estrutura de documentos para a proteção de dados. A política objetiva dar
visibilidade ao tratamento de dados pessoais em um determinado serviço, atendendo
princípios da Lei Geral de Proteção de Dados Pessoais.

O Privacy by Design é uma estrutura de códigos (framework) que

tem como proposta central incorporar a privacidade e a proteção
de dados pessoais em todos os projetos desenvolvidos por uma
organização, desde a sua concepção. O objetivo do Privacy by
Design é garantir privacidade e permitir que os indivíduos tenham
controle sobre seus dados pessoais, o que consequentemente dá
uma vantagem competitiva às organizações que adotam a
metodologia.

Antes da elaboração

Para a elaboração da política de privacidade, é fundamental entender o contexto do

tratamento de dados pessoais e como os princípios da LGPD são atendidos no sistema ou
serviço. Esse processo deve contar com o aconselhamento da área jurídica para verificar a
adequação das definições do tratamento de dados à LGPD, e da base legal para legitimar o
processamento. Para apoiar o levantamento e a análise das informações, recomenda-se criar
um formulário que registre as informações acima.

Conteúdo da política de privacidade

A política de privacidade é única e orientada ao serviço e à organização responsável, inclusive

no que tange à linguagem utilizada, algumas mais formais, outras informais. Não importa a
forma, é preciso garantir que o conteúdo seja conciso, de fácil acesso e compreensão.
Utilizar aspectos visuais, como vídeos e imagens, pode ser um bom instrumento para facilitar o
entendimento da política.

Com relação ao conteúdo, é importante observar a presença das seguintes informações, que
devem estar de modo claro e preciso:

 Informações sobre a organização responsável pelo tratamento;

 Dados pessoais e respectivas finalidades do tratamento, inclusive os dados não
informados pelo usuário (exemplo: IP, localização, etc);
 Base jurídica do tratamento;
 Prazo de retenção dos dados pessoais;
 Informações de contato do Data Protection Officer (DPO) ou encarregado de proteção
de dados da organização.

A política de privacidade também deve orientar como são atendidos os direitos do titular de
dados pessoais, apresentando como ele pode acessar, retificar, solicitar a exclusão de dados,
transferir, limitar ou se opor ao tratamento, e retirar o consentimento.
As seguintes informações, quando aplicáveis, também devem estar presentes:

 Sobre compartilhamento dos dados com terceiros e qual a finalidade, inclusive redes
sociais;
 Sobre transferência internacional e qual a finalidade;
 Sobre o tratamento por legítimo interesse;
 Sobre o envio de e-mail marketing e como remover o consentimento, quando
autorizado inicialmente pelo titular;
 Sobre decisões automatizadas;
 Sobre a proteção de dados de menores de idade;
 Sobre a proteção dos dados sensíveis.

Entretanto, mesmo que não se apliquem os itens acima, orienta-se deixar explícito esse fato,
como informar que os dados serão tratados apenas pela organização sem o compartilhamento
com pessoas físicas ou jurídicas externas.

A política de privacidade também pode mencionar o uso de cookies, identificando quais e para
qual finalidade. Mas esse conteúdo também pode estar disponível em um documento
separado conhecido como política de cookies.

Após a elaboração

A política de privacidade deve estar disponível ao titular dos dados antes do início do
tratamento do dado pessoal dele, permitindo, quando aplicável, que o mesmo avalie os
termos do site ou serviço.

Dessa forma, a organização demonstra profissionalmente seu compromisso com a

transparência no tratamento dos dados pessoais. Por fim, não esqueça de colocar a versão e a
data de atualização da política de privacidade, com um registro das principais alterações,
quando aplicável.