Geekly articles weekly

Por que o modelo de política de privacidade não é adequado para você?

Sergey Voronkevich, MBA, CIPP / E

Copiando e gerando políticas de privacidade


Copiar uma política de privacidade de modelo ou usar geradores (compilação automática) é uma prática muito comum. De fato, em alguns casos, isso pode economizar tempo quando se trata de copiar informações repetidas que são universais para muitos sites. Mas isso é verdade apenas se você copiá-lo de uma fonte confiável ou usar um gerador de alta qualidade.

Copiar


Se você ainda copiar a política de privacidade do modelo, precisará verificar novamente a conformidade deste documento com os artigos 13 e 14 do GDPR (Regulamento Geral de Proteção de Dados - Regulamento Geral da União Europeia para a Proteção de Dados Pessoais), além de alterar os parágrafos individuais de cada empresa:

  1. Objetivos de processamento
  2. Bases de processamento legítimas
  3. Tempo de processamento

É difícil encontrar uma política de privacidade que corresponda a todos os processos da sua empresa e ao mesmo tempo ao GDPR. A maioria das políticas de privacidade, mesmo de empresas européias, não é compatível com GDPR.

A política de privacidade copiada pode incluir o processamento de dados pessoais que a empresa não faz e não pode ser. Isso cria grandes problemas na implementação dos direitos dos titulares dos dados. Por exemplo, um usuário do seu serviço deseja exercer seu direito à portabilidade de dados, mas você não é capaz de realizá-lo.

Observe também que muitos modelos de política de privacidade são escritos sob outras leis. Existem casos frequentes em que a palavra "RGPD" é inserida neles, em vez de outro ato legal normativo.

Como resultado, você gasta mais tempo para encontrar e editar um modelo quando será muito mais rápido (ou talvez mais barato) escrever uma política ou consultar um especialista.

Geradores


Suponha que você encontre um gerador de política de privacidade de qualidade. Para produzir uma versão pronta, você ainda precisa descrever seus processos em detalhes, formular metas e delinear bases legais. Geralmente, é impossível adicionar todas as várias informações sobre o processamento de dados pessoais aos geradores de políticas de privacidade. Em algumas, como o gerador profissional Signatu, você pode fazer isso, mas, para gerar algo, terá que responder a dezenas de perguntas complexas que exigem um conhecimento profundo do RGPD.

Criando uma política de privacidade


Se você comparar o uso de uma plataforma com a compra de medicamentos, a política de privacidade é um folheto com instruções. Com essas instruções, os usuários sabem como usar este medicamento corretamente e não se prejudicar.

Da mesma forma, as políticas de privacidade devem funcionar. Este documento foi escrito principalmente para usuários. Lembre-se disso quando ligar para o seu advogado. A política de privacidade deve ser escrita em um idioma compreensível para o leitor.

Ao projetar uma política de privacidade, antes de tudo, consulte a lei aplicável ao seu processamento. Lá você encontrará os requisitos e entenderá quais informações você precisa indicar no seu documento. Neste artigo, estamos falando sobre o RGPD.
Os requisitos básicos para o conteúdo da política de privacidade do GDPR estão contidos no art. 13 e 14 do Regulamento, bem como na explicação das “ Diretrizes sobre transparência ” do Grupo de Trabalho do Artigo 29, o órgão europeu de supervisão. No final do documento, há uma tabela na qual você pode verificar sua política de privacidade.

Ao elaborar uma política, o erro é dispersar informações sobre o processamento individual em diferentes seções, quando os compiladores descrevem as categorias de dados processados ​​separadamente das metas e as metas separadamente dos fundamentos legais do processamento (consentimento, interesse legítimo, contrato, requisito legal etc.). Isso é proibido, porque a pessoa (o titular dos dados) não sabe claramente qual das categorias de dados é processada para qual finalidade. É o mesmo se você fosse a um transeunte na rua e pedisse um telefone. Ele tem uma pergunta razoável: "Por quê?" Ele decidirá se deseja dar o telefone, dependendo de como você deseja usá-lo. Da mesma forma, o usuário concorda com o processamento de dados pessoais, dependendo de seus objetivos.

Em outras palavras, é melhor estruturar o texto da política de privacidade para tratamentos individuais.
Por exemplo, no início de 2019, o GOOGLE recebeu uma multa de 50 milhões do supervisor francês CNIL. Uma das violações foi que informações importantes sobre os objetivos do processamento, períodos de armazenamento e categorias de dados pessoais a serem processados ​​estavam espalhadas por diferentes documentos. Como resultado, o titular dos dados precisava executar de 5 a 6 ações para obter as informações necessárias.

Vale ressaltar que a própria política de privacidade é apenas a ponta do iceberg. Antes de compilar uma política de privacidade, você precisa executar várias etapas:

  1. compilação de um registro do processamento de dados pessoais (artigo 30 do Regulamento).
  2. formulação de objetivos de processamento. Por exemplo, você pergunta aos departamentos responsáveis ​​por que eles processam esses ou aqueles dados. Pode acontecer que eles tenham pegado alguns dados "para o futuro", não tendo um objetivo específico agora;
  3. seleção de uma base jurídica para o processamento (artigo 6 do Regulamento). Este estágio não é apenas "adivinhação em camomila", mas uma análise jurídica complexa;
  4. determinação do tempo de processamento para cada processo;
  5. inventário de terceiros (terceirizados, parceiros, fornecedores, provedores) a quem você dá acesso aos dados pessoais.

Os erros cometidos nesses estágios iniciais muitas vezes são claramente visíveis nas políticas de privacidade.

Os riscos do uso de uma política de privacidade incorreta


  1. Sanções impostas após a inspeção pelo supervisor. E isso representa 20 milhões de euros ou 4% do faturamento global total da empresa.
  2. Reclamação de um titular de dados que não entendeu sua política de privacidade para o supervisor. O que acontecerá a seguir - veja o parágrafo 1.
  3. Reputação mimada . A presença de erros óbvios na política de privacidade pode excluir as cotações de uma empresa pública. Os investidores têm medo, não tanto de que a empresa tenha violado alguma regra, mas que corre o risco de enormes sanções. Nenhum dos acionistas da sua empresa apreciará esse risco e as contrapartes certamente não ficarão felizes com a sua falência.
  4. Se você escolher a base jurídica incorretamente, o titular dos dados poderá ter o direito, cuja implementação realmente bloqueará os processos em sua empresa . Exemplo: você escolheu o consentimento como base legal para processar em uma situação em que apenas um contrato é possível. Se o usuário retirar seu consentimento, você não poderá prestar um serviço a ele. No final, você se encontra em uma armadilha legal: por um lado, precisa perceber o direito do sujeito a ser esquecido e, por outro, prestar-lhe um favor. Não dê a ele o direito de ser esquecido - você será multado e não prestará um serviço a ele - você será sancionado sob um contrato que assinou com essa entidade.

Assim, a política de privacidade:

  1. É desenvolvido individualmente para os processos de uma organização específica,
  2. Está escrito em uma linguagem compreensível e tem uma estrutura clara,
  3. apenas um dentre muitos e longe do primeiro evento a cumprir os Regulamentos,
  4. necessário para a sobrevivência da empresa na era do RGPD
  5. não perdoa erros.

Source: https://habr.com/ru/post/pt438450/

More articles:


All Articles