Adequar site LGPD
Adequar o site às novas regulações tornou essencial para as empresas, afinal as plataformas devem estar em conformidade com a lei e transmitir segurança para os seus usuários e clientes. Para além disso, ao longo dos anos, o site tornou- se um dos principais meios de assegurar a presença digital de uma organização, e é através dele que os usuários avaliam o produto/serviço oferecido por uma empresa e tomam a decisão de compra.
Diante disso, neste texto, vamos explorar os principais pontos de atenção que a sua empresa deve ter para adequar o site à LGPD. Além disso, destacaremos no fim do texto sobre o checklist para auxiliar na adequação conforme o Marco Civil da Internet e a Lei Geral de Proteção de Dados.
Índice
Adequar ou não, eis a questão…
O avanço das relações de consumo na internet e massificação da coleta de dados dos consumidores pelas plataformas digitais no contexto da vigência da Lei Geral de Proteção de Dados (LGPD) torna a adequação indispensável. Ao consolidar-se como um dos principais canais de compra/venda, o site começou a ser utilizado para o tratamento de dados de usuários (titulares de dados pessoais).
Assim, é necessário entender quais são as responsabilidades legais perante a coleta, armazenamento e processamento de dados pessoais no intuito de mitigar o risco de violação de privacidade e deixar o site em conformidade com a LGPD. Além disso, os sites necessitam seguir as exigências estabelecidas no Marco Civil da Internet (MCI), que prevê sobre os fundamentos e princípios que devem ser observados no uso da internet além do Decreto do E-commerce, que regulamenta a contratação no comércio eletrônico.
Por que é necessário adequar o site à LGPD?
Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) regula o tratamento de dados pessoais de usuários titulares de dados em território brasileiro. Dessa forma, a Lei impacta todos os segmentos de negócios, inclusive os entes públicos.
A não conformidade da empresa com a LGPD pode acarretar em pesadas sanções e risco à reputação e credibilidade do seu negócio digital perante o público.
Sendo assim, é necessário destacarmos que a privacidade dos dados é um direito fundamental e por isso, é importante considerar o que a Lei Geral de Proteção de Dados estabelece, no que diz respeito aos conceitos, principais diretrizes e etapas para a adequação de empresas.
Mas quem está obrigado a seguir os requisitos previstos na LGPD?
Vamos lá… Está sujeita a aplicação da LGPD, devendo observar a adequação dos seus procedimentos internos, a empresa que realizar:
1. a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional;
2. a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
3. ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
(Lei 13.709/2018 – LGPD)
Visto isso, podemos definir o tratamento de dados pessoais como toda e qualquer atividade envolvendo dados pessoais, desde a sua coleta até a sua eliminação. As normas definidas na LGPD foram estabelecidas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros. Por isso, é primordial entender o contexto da coleta de dados, identificando a base legal que respalda o tratamento, e quando necessário, requerer e registrar o consentimento do titular de dados para as respectivas ações, principalmente, comerciais, que utilizem suas informações e dados pessoais.
Adequar site LGPD: Checklist
Como vimos anteriormente, a privacidade é um direito fundamental e por isso, é necessário seguir uma série de etapas para que haja maior segurança do titular e da empresa responsável pelo tratamento de dados. Deste modo, é importante que os sites e as plataformas de e-commerce criem políticas internas que assegurem o processamento adequado dos dados de usuários registrados em suas plataformas.
Em suas políticas de tratamento de dados, as empresas devem inicialmente dispor de informações e, eventualmente, solicitar autorização para:
- Realizar o tratamento de dados pessoais de seus usuários;
- Assegurar o direito à privacidade e proteção de dados pessoais;
- Prestar claras informações a respeito do motivo da coleta de dados e seu efetivo tratamento especificando a finalidade para o uso;
- Buscar nova anuência do titular em caso de transmissão de dados para terceiros ou mudança no modelo de tratamentos de dados da empresa;
- Informar quais os canais de comunicação com o Encarregado de Proteção de Dados Pessoais (DPO);
- Informar qual o caminho para requisição de direitos dos titulares de dados pessoais;
- Informar a finalidade e registrar o consentimento quanto a coleta de dados que tratem sobre raça, etnia, opção sexual ou religião, pois caracterizam-se como dados sensíveis e sua solicitação pode ser considerada abusiva.
Para cumprir com vários dos requisitos normativos anteriormente citados, podemos destacar dois documentos essenciais para essa etapa: a Política de Privacidade e os Termos de Uso.
Enquanto o Termo de Uso ou contrato de Termo de Uso estabelece as regras e condições de uso de determinado serviço, a Política de Privacidade é um documento pelo qual o prestador de serviço informa ao usuário a forma como é realizado o tratamento dos dados pessoais e como ele fornece privacidade ao usuário [1].
O artigo 9º da LGPD estabelece algumas das informações que devem estar presentes nesses documentos:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.
(Lei 13.709/2018 – LGPD)
A Política de Privacidade e os Termos de uso devem ser disponibilizados de forma destacada para o usuário ou visitante do site no momento de seu primeiro acesso. Para formulários de solicitação de dados ou áreas disponibilizadas para contato é essencial que exista a opção de aceite da Política de Privacidade da empresa, antes do envio dos dados.
É por meio da Política de Privacidade que a empresa deve informar aos usuários o contato do Encarregado de Proteção de Dados, bem como os procedimentos que os usuários devem fazer para exigir o cumprimento dos seus direitos garantidos pela LGPD.
Para fins publicitários e de marketing, é necessário solicitar o consentimento específico do usuário. Ademais, a Política de Privacidade deve comunicar quando os dados cadastrais informados pelo usuário serão utilizados para o envio de informações e mensagens, além daquelas essenciais para a utilização da plataforma.
Conforme o ISO/IEC 29184, regulamento sobre avisos de privacidade online e consentimento, as empresas multinacionais devem fornecer os avisos de privacidade de forma multilíngue, ou seja, a organização deve disponibilizar a notificação no(s) idiomas de acordo com o titular visado.
Para automatizar o consentimento para o uso de Cookies (pequenos arquivos de texto que armazenam as informações que os visitantes geram durante a sua navegação em um site) alguns sites utilizam o Aviso de Cookies, um banner que oferece a possibilidade dos usuários concordarem integral ou parcialmente com o tratamento dos dados [2]. No entanto, é importante que em sua Política de Privacidade conste de forma detalhada e específica como seu site utiliza cookies e as bases legais para a coleta e tratamento.
Dessa forma, os Termos de Uso e a Política de Privacidade devem ter informações claras e diretas sobre quais são os direitos dos titulares de dados previstos na LGPD e sobre quais os procedimentos que devem ser feitos para que estes direitos sejam respeitados.
A relação entre o Marco Civil da Internet (MCI) e o site da sua empresa
O Marco Civil da Internet e o Decreto do E-commerce (Decreto n. 7.692/2013) foram estabelecidos a partir dos fundamentos que permeiam a relação das empresas prestadoras de serviços de internet com os seus clientes: a neutralidade da rede, a privacidade e a fiscalização [3].
O Marco Civil da Internet tem como objetivo estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil, bem como regular como se daria nesse contexto a atuação da União, dos Estados, do Distrito Federal e dos Municípios.
Diante desse contexto, é essencial que sejam disponibilizadas no site informações claras e completas sobre a navegação na plataforma, formas de pagamentos, além de informações que tratem da coleta, uso, armazenamento, tratamento e proteção dos dados pessoais, que somente poderão ser utilizados com consentimento expresso do usuário.
O MCI proíbe que as empresas compartilhem os dados coletados, exceto se houver autorização explícita do titular para isso ou se o responsável pela guarda dos dados for obrigado a disponibilizá-los por decisão judicial.
E quanto ao conteúdo que é publicado pelos usuários de sites e plataformas, qual a regulamentação? O Marco Civil estabelece que os gerenciadores de sites não possuem responsabilidade direta pelo conteúdo que os usuários expressam em seus espaços, porém as empresas são responsáveis por averiguar as denúncias e retirar conteúdos que possam ser considerados ofensivos.
As principais etapas para deixar o seu site em conformidade com o MCI e a LGPD: Checklist
O primeiro passo do checklist, é a realização de um diagnóstico e análise de conformidade do site para identificação e mitigação de riscos. Através da análise, com base nos princípios estabelecidos na LGPD e MCI, serão identificadas as ações praticadas que não estão em conformidade e quais ações deverão ser implementadas.
Por conseguinte, será necessário a elaboração ou atualização do Termo de Uso e Política de Privacidade para a identificação do propósito da coleta dos dados e como eles serão protegidos.
Além disso, conforme mencionamos anteriormente, é necessário apresentar as informações acerca do Encarregado de Dados e sobre o canal de comunicação para a solicitação da alteração ou exclusão dos dados pessoais do usuário do site e de terceiros contratados que eventualmente possuam os dados de seus usuários.
Por fim, a Gestão de Riscos é uma das etapas mais importantes para a prevenção de incidentes com dados pessoais. Por isso, a empresa deve prezar pela segurança das informações, através da implementação de uma política de segurança da informação.
Lembre-se que a adequação do site é apenas o início
Você deve ter percebido ao longo do texto que a adequação de sites é apenas uma das etapas da adequação das empresas à LGPD. Além da adequação do site, para iniciar a implementação e adequação à LGPD em uma empresa é necessário uma série de ações importantes, como:
1.registrar as atividades de tratamento de dados pessoais;
2. revisar todas as políticas internas;
3. capacitar e conscientizar colaboradores;
4.mapear os riscos dos tratamentos de dados realizados;
5. validar as bases legais sobre os processos existentes;
6. revisar os contratos com fornecedores e terceirizados que tenham acesso aos dados pessoais coletados pela empresa, dentre outras ações.
De modo geral, se adequar a lei poderá fazer com que as empresas se abram para novas oportunidades de negócios. Além da conformidade com a lei, as políticas de proteção de dados pessoais são um diferencial competitivo que podem aumentar a reputação da empresa no mercado e, principalmente, perante os seus consumidores.
[1 ]Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf
[2] Disponível em: https://goadopt.io/blog/cookies-e-lgpd/
