Insights > Blog

Como escrever uma política de proteção de dados

 

As empresas estão se adequando à Lei Geral de Proteção de Dados e estão implementando políticas para somente se adequar a ela, no entanto, o ideal é que a política deva ser construída para atender a necessidade do negócio da empresa, trazendo maiores benefícios aos seus clientes e menos desgastes no futuro.

A Política de Proteção de Dados, é regulamentada no Brasil pela Lei Geral de Proteção de Dados (LGPD – lei 13.709) não sobrepondo nenhuma outra lei existente.

A política de proteção deve orientar como são atendidos os direitos do titular de dados pessoais, apresentando como ele pode acessar, retificar, solicitar a exclusão de dados, transferir, limitar ou se opor ao tratamento, e retirar o consentimento.

O documento contém todas as informações sobre os dados pessoais que são coletados, armazenados, processados ou tratados na empresa e sua utilização, deixando claro ao usuário como esses dados serão utilizados e para qual finalidade foram captados.

Abaixo lista-se algumas das informações que precisam estar claras na Política de Proteção de dados:

  • Informações sobre a organização responsável pelo tratamento dos dados;
  • Dados pessoais e respectivas finalidades do tratamento, inclusive os dados não informados pelo usuário (exemplo: IP, localização etc.);
  • Base jurídica do tratamento;
  • Prazo de retenção dos dados pessoais;
  • Informações de contato do encarregado de proteção de dados, DPO – Data Protection Officer, da organização.
  • Informar quando houver transferência internacional de Dados Pessoais e qual a finalidade;
  • Quando houver necessidade da hipótese de tratamento por legítimo interesse, deve atender aos requisitos específicos:

o            Finalidade Legítima: descrição e verificação sobre qual o real interesse da empresa em tratar os dados, para verificar se este é legítimo, ou seja, lícito, adequado e proporcional.

o            Situação Concreta: descrição do contexto fidedigno em que se dará o tratamento de dados, não sendo aceitas situações genéricas, nem abstratas e futuras.

o            Minimização – Utilização de dados pessoais menos intrusivos, devendo limitar-se ao uso apenas dos dados pessoais estritamente necessários para atingir a finalidade pretendida, de modo a evitar, assim, o uso de dados em excesso, incompatíveis e inadequados ao tratamento.

o            Transparência. – Deve haver uma explicação sobre quais dados são coletados, como eles são utilizados e permitir ao titular acesso a uma cópia dos seus dados pessoais sempre que este requisitar e de forma gratuita.

o            Atitude nos princípios da honestidade, da boa intenção e no propósito de a ninguém prejudicar.

  • Para casos de envio de e-mail publicitário, deve constar sobre a remoção do consentimento, quando autorizado inicialmente pelo titular;
  • Se utilizado, o processo de decisões automatizadas deve ser informado;
  • O tratamento, processamento e armazenamento de dados de menores de idade devem ser informados;
  • Assim como os demais dados sensíveis, Saúde, Religião, devem ser informados.
  • Mencionar o uso de cookies, identificando quais são utilizados e para qual finalidade.
  • A versão e a data de atualização, com um registro das principais alterações, quando aplicável.

 

Antes do início do tratamento do dado pessoal a Política de Proteção de Dados Pessoal deve ser divulgada e disponibilizada a todos colaboradores.

Dados: LEI Nº 13.709 Lei Geral de Proteção de Dados Pessoais (LGPD).

 

Fonte: Caio Corassini – Consultor de Segurança da Informação GRC na Cipher e Marcelo Creazzo – Consultor Sênior de Segurança da Informação GRC na Cipher

 

 

0 Comments

Submit a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics