Em Capítulos anteriores da série “LGPD na Prática” foi possível identificar as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), entender como implementar e preservar uma estrutura de governança de dados, assimilar o processo de inventário de dados pessoais e mecanismos de transferência, acompanhar os passos para adoção de uma política de privacidade, compreender a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, conceber um cronograma de treinamento e comunicação, verificar como gerenciar os riscos relacionados à segurança da informação e conhecer alguns passos para administrar riscos de terceiros.
No nono capítulo desta sequência, meu objetivo principal é discorrer brevemente sobre algumas medidas para preparar avisos legais e certificar ao usuário o compromisso da organização para com a privacidade de dados, em consonância com as políticas corporativas, os requisitos normativos nacionais e internacionais e com uma análise prévia de riscos.
Nesse sentido, alguns pontos de atenção devem ser observados:
1. Redigir avisos legais (disclaimers), relacionados à privacidade de dados, que detalhem as práticas de tratamento de dados da organização, em linguagem clara e acessível, adaptada ao público alvo, sem tecnicidades ou “juridiquês”, identificando como e quais são as informações coletadas, como elas são processadas, retidas e a quem serão divulgadas ou compartilhadas, além de especificar como o titular pode acessar esses dados pessoais e solicitar a exclusão ou a portabilidade destes. Sugere-se que nos avisos legais também seja identificado quem é o Encarregado de Proteção de Dados da organização, quando esta possuir um, qual a finalidade e a base legal para processamento dos dados, se estes serão transferidos para outros países e que salvaguardas existem, e por que período os dados serão mantidos pela organização.
2. Disponibilizar os avisos legais em todas as ocasiões em que dados são coletados, seja online, em páginas da web ou e-mails, via mensagens de texto, telefone, ou mesmo através de formulários físicos. Nas comunicações de marketing e em cada local físico no qual a organização possa vir a coletar dados pessoais, é importante que sejam fornecidas informações simplificadas relacionadas às suas políticas e práticas de privacidade para o público alvo.
3. Manter scripts para uso pelos colaboradores, em especial nas organizações que coletam dados pessoais pelo telefone ou pessoalmente, de modo que os titulares dos dados possam ser devidamente informados sobre a motivação e destinação das informações pessoais coletadas.
4. Obter, quando possível, um selo de privacidade para aumentar o nível de confiança dos usuários, emitido por organização especializada, e exibir em seus websites e peças de comunicação, de modo a passar maior legitimidade ao público em geral e certificar o compromisso com os princípios definidos nas normas nacionais e internacionais na interação entre os servidores da web e o navegador de um visitante da página. Para poder postular este tipo de certificação, a organização deve identificar todas as tecnologias e funcionalidades embarcadas em seu website e que estão relacionadas, por exemplo, ao registro de endereços IP, uso de cookies, web anlytics, social plugins, formulários de contato ou newsletter, etc.
Comentários