Você está na página 1de 8

COMO CONSTRUIR

AVISOS DE PRIVACIDADE
APLICANDO TÉCNICAS
DE VISUAL LAW

Acessibilidade Áudio
Recomendamos que o aviso de privacidade seja visual
ou audível, entre outras formas, para garantir a
acessibilidade. A conversão em som garante o acesso
Documento elaborado com base por parte das pessoas com problemas visuais.
nas diretrizes trazidas pela norma Opções de Idioma
ISO IEC 29.184 e pela LGPD (Lei Geral Recomendamos que o aviso de privacidade seja
fornecido no idioma do usuário-alvo (por exemplo,
de Proteção de Dados Pessoais) com opção de escolha do idioma).
2

O QUE É AVISO DE PRIVACIDADE?


Os avisos de privacidade, popularmente conhecidos como políticas de
privacidade, são declarações de empresas ou órgãos públicos para com
seus usuários, a fim de dispor sobre o ciclo de vida do tratamento dos
dados pessoais, incluindo as finalidades do tratamento, garantia de
exercício dos direitos dos titulares, informações do Encarregado de
Proteção de Dados Pessoais, também chamado de DPO (Data Protection
Officer), entre outros assuntos.

O QUE É VISUAL LAW?


O documento deve estar em destaque,
em local de fácil acesso aos usuários,
A adoção do design visual aplicado ao
como no site da empresa, nos aplicativos Direito (Visual Law) tem transformado
para dispositivos móveis e nos a forma como as informações
formulários on-line. jurídicas são apresentadas aos
usuários dos serviços.

Deve ser redigido levando em A proposta do Visual Law é melhorar


consideração categorias ou tipos
a comunicação de informações
específicos de usuários
legais complexas e a experiência do
usuário do sistema.
O documento deve ser claro, em linguagem
Por meio da aplicação do Legal
concisa e de fácil entendimento, para que
os usuários sem nenhum conhecimento Design (design de produtos e
técnico ou jurídico possam compreender o serviços jurídicos), documentos,
conteúdo pelo menos razoavelmente. como o aviso de privacidade,
podem ter estruturação visual,
facilitando assim a compreensão
A interpretação de representações
de termos legais por meio da
gráficas pode diferir entre os usuários. utilização de iconografia,
informações em camadas de
resumo e estruturação por tópico
de assunto abordado, facilitando a
localização das informações.
3

PROPÓSITO E PERÍODO DE RETENÇÃO


Apresentar a finalidade atrelada ao tratamento Com a utilização do aviso em
de cada informação pessoal coletada é uma das camadas, é recomendável que a
diretrizes apresentadas pela norma técnica ISO primeira camada seja um resumo
29.184. Na LGPD (Lei Geral de Proteção de Dados com as principais informações
Pessoais), de acordo com o princípio da para o usuário ou titular de
dados. As demais camadas devem
finalidade, o tratamento deve ser realizado para
fornecer informações detalhadas
propósitos legítimos, específicos, explícitos e
sobre como se dá o tratamento
informados ao titular. dos dados (coleta e/ou
Para facilitar a visualização da finalidade por processamento).
parte do titular, de acordo com a ISO 29.184, a
Utilizar pop-ups e drill downs
recomendação é utilizar frases curtas e objetivas,
(acessar dados em níveis mais
que possam resumir e apresentar, de forma baixos em bases de dados
clara, quais os propósitos para tratamento dos hierarquicamente estruturadas)
seus dados pessoais. para exibir a íntegra do conteúdo.

EXEMPLOS

Disponibilização dos Melhoria da Autenticação por


nossos serviços qualidade dos biometria
serviços
saiba mais saiba mais saiba mais

No contexto de dispositivos móveis e smartphones, para melhor visualização, recomendamos


introduzir uma "abordagem multicamada" para aviso e consentimento. Ou seja, mostrar inicialmente
para o usuário um texto resumido, com as principais informações, disponibilizando um link para
acesso ao aviso/consentimento na íntegra.
O período de retenção dos dados pessoais deve Descrição do propósito, dos riscos
ser apresentado de acordo com as finalidades e das informações envolvidas
que originaram sua coleta. Essas informações
devem ser dispostas de forma conjunta no aviso
de privacidade, conforme tabela ao lado.
O tempo de retenção pode ser detalhado em
período específico (ex. 2 anos) ou em data
específica (ex. 18.09.20).
A inclusão de muitos detalhes poderá fazer com que seja necessária revisão do
texto do aviso em curto intervalo de tempo, por isso objetividade e simplicidade
são indicadas.
A classificação de risco deverá levar em consideração os seguintes fatores: i)
impacto e ii) probabilidade da atividade gerar dano aos direitos e às liberdades
dos titulares.
4

COLETA
Apresentar as informações que serão MANTER A GUARDA DA VERSÃO
coletadas em cada uma das principais DISPONIBILIZADA AO USUÁRIO
atividades. Em vez de usar linguagem é recomendável a guarda de todas as
genérica, como "nós coletaremos suas versões dos avisos de privacidade,
informações", optar pela descrição dos permitindo a comprovação da informação
principais elementos contidos em disponibilizada ao usuário no momento da
cada atividade. Por exemplo: coleta ou de outras etapas de tratamento
dos dados pessoais.

Disponibilização dos serviços Autenticação por biometria


Para esta atividade, serão Para esta atividade,
coletados os seguintes dados: coletaremos a palma da mão
nome completo e CPF. e as impressões digitais.

Toda coleta de dados deve estar alinhada com os propósitos descritos, sempre considerando o tratamento das informações
mínimas necessárias para a atividade.

MÉTODOS Exemplos:

DE COLETA Diretamente do titular dos dados


Apresentar as formas de coleta (via formulário on-line), tais como:
das informações pessoais. É nome, CPF e foto.
possível que, dentro de uma
mesma atividade, os dados Indiretamente, por meio de
pessoais sejam obtidos por meio parceiros, como birôs de crédito.
de diferentes métodos de coleta.
Nesse caso, o titular de dados Automaticamente, por meio da
deverá ter visibilidade sobre observação dos hábitos do titular,
todos eles. via cookies.
5

IDENTIDADE DO
CONTROLADOR LOCALIZAÇÃO
O titular deverá saber quem será o
E TEMPO
responsável pelo tratamento de Os avisos de privacidade devem,
seus dados pessoais. Para tanto, a preferencialmente, ser exibidos ao
apresentação do nome e contato titular antes do tratamento de
do controlador é necessária. seus dados.
nome - inserir nome da empresa Quando o método de coleta não
e-mail - para contato direto envolver a interação direta com o
telefone - para contato direto titular, incluir a fonte e o período
em que a informação foi coletada.
endereço para correspondência

A disponibilização de apenas um meio de contato já é


suficiente para o objetivo pretendido.

LOCAL DE ARMAZENAMENTO
Os avisos de privacidade devem indicar o local Exemplo:
de armazenamento das informações pessoais, Armazenamos seus
em especial quando a atividade de tratamento dados pessoais no Brasil.
ocorrer em outras jurisdições.

USO Exemplos:

Incluir detalhes sobre como a Em seu formato original (no


informação será utilizada. estado em que foi coletada).
Também é preciso informar ao
titular o uso que será dado aos Agregada a outro tipo de
seus dados pessoais, de acordo informação (combinada com
com o princípio da transparência outros dados).
disponível na LGPD.
Após aplicação de decisões
automatizadas (ex. profiling).
6

COMPARTILHAMENTO DE DADOS COM TERCEIROS

O aviso deverá detalhar se a informação pessoal será transferida para


terceiros. Neste caso, deverão ser disponibilizadas as seguintes informações:

Para qual terceiro a informação A razão atrelada à transferência.


será compartilhada. Ex.: para processamento da
biometria facial detalhada no
Ao invés de inserir o nome do(s) propósito.
terceiro(s) destinatário(s) dos
dados pessoais, poderão ser Eventuais impactos negativos
detalhadas as categorias que causados pela transferência.
melhor descrevam a atividade de Ex.: possível diminuição do nível
compartilhamento. Ex.: de segurança.
prestadores de serviço, parceiros
comerciais e órgãos Detalhes sobre as salvaguardas
governamentais. adotadas para a transferência.
Ex.: inclusão de cláusulas
A geolocalização dos terceiros contratuais, due diligence nos
destinatários de dados, em sistemas dos terceiros etc.
especial se houver qualquer
mudança de jurisdição.

Transferências devem incluir situações de compartilhamento e acesso de terceiros.

Caso a transferência tenha como destinatário outro controlador de dados, deverão


ser definidos, de forma detalhada, os objetivos dessa transferência. Ex.: parceiros
comerciais, que nos auxiliarão a melhorar a qualidade de nossos serviços, conforme
descrição de propósito.
7

DIREITOS
DOS TITULARES

A empresa deverá apresentar detalhes sobre os direitos dos titulares


(acesso, confirmação de existência, correção etc).

Para além da especificação sobre os possíveis direitos, deverão ser


detalhados:

Meios que os titulares podem Quais informações deverão ser


solicitar acesso aos seus dados e fornecidas pelo titular para
quais elementos poderão ser autenticação de sua identidade
acessados
Eventuais circunstâncias que
Os meios pelos quais os titulares impedirão a deleção ou alteração
poderão solicitar a correção de dos dados, detalhando os meios
seus dados em que o titular poderá protestar
pela correção de seus dados
Quando o consentimento for a
base legal, os meios para a sua Eventuais cobranças para exercício
revogação de acesso aos dados (se possível e
aplicável pela legislação)
O tempo médio de atendimento
dos direitos

DÚVIDAS E RECLAMAÇÕES
Inserir, no aviso de privacidade, EXEMPLO:
canal apropriado para dúvidas
e reclamações. Importante avisosdeprivacidade@xx.com.br
contemplar a identidade e as [NOME COMPLETO DO ENCARREGADO]
[TELEFONE E/OU E-MAIL DO ENCARREGADO]
informações de contato do
Encarregado de Proteção de
Dados Pessoais, conforme
determina o parágrafo primeiro
do artigo 41 da LGPD.
8

CRÉDITOS

CONTEÚDO JURÍDICO
Danielle Campos Serafino
Pedro Nachbar Sanches
COORDENAÇÃO EDITORIAL
Lara Silbiger

ARTE E DIAGRAMAÇÃO
Paola Cosentino

REVISÃO
Caio Lima
Bruno Toranzo

ESTAGIÁRIO
Lucas Fernandes

Você também pode gostar