O “aviso de privacidade” e a “política de privacidade” podem ter nomes parecidos, mas eles são documentos cujas diferenças merecem a devida atenção dentro do programa de privacidade de organizações à luz da Lei Geral de Proteção de Dados (LGPD).
O aviso de privacidade é um documento que informa aos titulares de dados sobre quais e como suas informações pessoais estão sendo tratadas, ou seja, coletadas e utilizadas. Ele deve ser redigido com linguagem simples, de forma clara e acessível, para que todos possam entender quais são os dados pessoais que serão utilizados, para qual finalidade e por qual duração. Ademais, ele deve esclarecer ao titular de dados quais são os seus direitos em relação a essas informações e à organização que efetua o tratamento de dados. Ele deve também informar ao titular de dados quem é o controlador de seus dados e se há uso compartilhado ou transferência internacional de dados. Por fim, ele deve indicar o contato do encarregado de dados, de forma a preencher todos os requisitos do art. 9º da LGPD. Portanto, entende-se que o aviso de privacidade se destina ao público externo.
Redigir um aviso de privacidade pode ser um desafio, já que o Information Commissioner’s Officer (ICO), autoridade de proteção de dados do Reino Unido, que possui um das mais completas cartilhas sobre o tema, ressalta que o aviso de privacidade deve ser sucinto, evitando-se textos longos e confusos, a fim de cumprir com a LGPD. Para tanto, o ICO sugere que organizações lancem mão das seguintes técnicas ao redigir um aviso de privacidade: abordagem em camadas, avisos “just in time” e painéis de privacidade.
A abordagem em camadas constitui uma técnica que consiste em fornecer às pessoas um aviso breve contendo informações-chave do aviso de privacidade, como a identidade da organização e a forma como ela utiliza os dados pessoais. Esse aviso então conterá um link que expande a seção, revelando uma segunda camada onde a informação será esmiuçada.
O aviso “just in time” é aquele no qual aparece um “pop-up” exatamente no momento em que um indivíduo fornece à organização uma informação específica, como, por exemplo, sua localização. O aviso dá ao indivíduo uma mensagem breve explicando como a organização usará a informação que ele está prestes a fornecer. Ele acaba por substituir o longo aviso de privacidade no que tange a um tratamento de dados específico.
Já o painel de privacidade é uma ferramenta de gerenciamento de preferências que oferece às pessoas um local para gerenciar o que está acontecendo com seus dados pessoais. Ele é particularmente útil quando o tratamento de dados está baseado no consentimento, pois permite que os indivíduos forneçam consentimento e o revoguem ao longo do tempo, à medida que o processamento evolui, ou se mudarem de ideia. Isso pode ajudar a organização a cumprir o requisito da LGPD de que o consentimento deve ser tão fácil de retirar quanto de fornecer.
Mas se enquanto o aviso de privacidade se destina ao público externo, a política de privacidade é um documento interno que estabelece as regras e diretrizes sobre como uma organização lida com as informações pessoais dos titulares de dados. Ela é uma espécie de regimento onde são definidos os termos e condições de uso dos dados coletados pelos colaboradores. Com efeito interno, define os tipos de dados usados, o comportamento esperado dos funcionários no tratamento desses dados, bem como as consequências para aqueles que não tenham cumprido a política estabelecida. Nela, estão contidas informações sobre métodos e procedimentos que se relacionam com a segurança de dados, tempo de armazenamento e como proceder em caso do titular de dados exercer seus direitos perante a organização, entre outras.
Nesse diapasão, a política de privacidade fica bem entendida como um documento interno em que são estabelecidas as bases e as práticas adotadas pela empresa em relação à proteção de dados.
O aviso de privacidade e a política de privacidade são instrumentos importantes para que sejam garantidas a transparência e a segurança no tratamento de dados pessoais. Assim, para que as empresas estejam em conformidade com a LGPD, elas devem elaborar tanto o aviso de privacidade quanto a política de privacidade.
De modo mais sucinto, o aviso de privacidade e a política de privacidade são documentos diferentes. Eles se destinam a finalidades distintas. Ambos são importantes instrumentos que servem para determinar que as empresas estejam, tanto externa como internamente, em conformidade com aquilo que preconiza a LGPD no tocante à proteção de dados. Por isso, é necessário que profissionais do setor estejam atentos a esta diferença a fim de prestar um atendimento qualificado para organizações.