Como este tema funciona no porte da sua empresa
Em geral a política é um documento único, publicado no site, redigido com apoio do assessor jurídico. O gestor precisa garantir que o documento não seja um texto genérico copiado — ele deve refletir os dados reais que a empresa coleta. Após publicada, é o gestor quem percebe quando algo muda e precisa de atualização.
Além da política pública no site, pode haver avisos de privacidade internos para funcionários e avisos específicos por canal — app, WhatsApp, formulários físicos. O gestor coordena a revisão periódica e aciona o jurídico externo para validar mudanças relevantes.
O DPO e o jurídico são responsáveis pela redação e validação. O gestor administrativo garante que mudanças nos processos sob sua responsabilidade — novo sistema, novo fornecedor, nova finalidade — sejam comunicadas ao DPO para refletir na política.
Política de privacidade é o documento que informa aos titulares quais dados a empresa coleta, para que usa, com quem compartilha, por quanto tempo guarda e quais são seus direitos sobre esses dados. É o principal instrumento de transparência exigido pela LGPD — e precisa refletir a realidade do que a empresa efetivamente faz com dados, não um texto genérico copiado da internet. Uma política que não corresponde à prática real é, ao mesmo tempo, inútil para os titulares e potencialmente prejudicial para a empresa.
Política de privacidade e aviso de privacidade: diferença que o gestor precisa conhecer
Política de privacidade e aviso de privacidade são instrumentos diferentes, com funções distintas — e entender essa diferença evita confusão na hora de revisar os documentos da empresa.
A política de privacidade é o documento abrangente que descreve todas as práticas de tratamento de dados da empresa — é o documento completo, publicado no site, disponível para qualquer titular a qualquer momento. Ela cobre todos os dados que a empresa coleta em todos os canais.
O aviso de privacidade é uma comunicação específica e contextual, apresentada ao titular no momento da coleta de dados — no formulário do site, no início de um contrato, no aplicativo antes do cadastro. O aviso informa ao titular, naquele momento, exatamente quais dados serão coletados ali e para que servem. Ele complementa a política, mas não a substitui.
O erro mais comum é ter a política publicada mas não ter o aviso no ponto de coleta — e vice-versa: alguns formulários têm um mini-aviso mas a empresa não tem política completa publicada. Os dois precisam existir e estar alinhados entre si.
O que não pode faltar na política de privacidade
Uma política de privacidade adequada à LGPD precisa, no mínimo, informar aos titulares os seguintes pontos.
- Identidade do controlador: razão social da empresa, CNPJ e endereço. O titular precisa saber com quem está lidando.
- Dados de contato do encarregado (DPO) ou responsável: e-mail ou canal dedicado para que o titular possa exercer seus direitos e tirar dúvidas. Se a empresa não tem DPO formal, indicar o responsável interno e o canal de contato.
- Finalidades de tratamento: para que a empresa usa os dados — emissão de nota fiscal, envio de comunicações, análise de crédito, etc. As finalidades devem ser específicas, não vagas.
- Bases legais utilizadas: por que a empresa pode tratar cada dado — contrato, obrigação legal, consentimento, interesse legítimo. A menção às bases legais demonstra que o tratamento tem respaldo e ajuda o titular a entender quando pode e quando não pode pedir a exclusão.
- Categorias de dados coletados: quais tipos de informação a empresa coleta — dados cadastrais, dados financeiros, dados de saúde, dados de navegação no site, etc.
- Compartilhamento com terceiros: com quais parceiros, prestadores ou autoridades os dados podem ser compartilhados, e por qual motivo.
- Prazo de retenção: por quanto tempo a empresa guarda os dados, ou os critérios para definir esse prazo (obrigação legal, encerramento do contrato, revogação do consentimento).
- Direitos dos titulares e como exercê-los: acesso, correção, anonimização, portabilidade, exclusão, revogação do consentimento, oposição — e o canal para enviar as solicitações.
- Cookies: se o site usa cookies para rastreamento ou personalização, a política deve informar quais tipos de cookies são usados e como o titular pode gerenciá-los.
Os erros mais comuns em políticas de privacidade que não protegem ninguém
O erro mais frequente — e mais prejudicial — é a política genérica copiada da internet. Esse documento menciona dados que a empresa não coleta, omite dados que efetivamente trata, e usa linguagem padronizada que não corresponde à realidade do negócio. Uma política assim não informa o titular, não demonstra conformidade e pode ser facilmente contestada.
Outros erros comuns que o gestor deve identificar ao revisar uma política existente:
- Finalidades vagas: "para melhorar a experiência do usuário" não é finalidade específica — precisa dizer o que exatamente é feito com os dados para que finalidade concreta.
- Ausência do contato do encarregado: a LGPD exige que o contato do responsável pela privacidade esteja acessível. Política sem esse contato está incompleta.
- Não atualizar após mudanças: adotar um novo CRM, criar um novo formulário no site ou contratar um fornecedor que acessa dados — cada uma dessas mudanças pode exigir atualização na política. Uma política desatualizada é uma declaração equivocada sobre o que a empresa faz.
- Desalinhamento com o aviso de coleta: o aviso no formulário promete uma finalidade; a política diz outra. Inconsistência que o titular pode apontar como evidência de tratamento fora da finalidade declarada.
- Linguagem inacessível: a política precisa ser compreensível para o titular médio — não para um advogado. Linguagem excessivamente técnica dificulta o exercício dos direitos.
Quando e por que atualizar a política de privacidade
A política de privacidade precisa ser atualizada sempre que a realidade do tratamento de dados muda. Os gatilhos mais comuns são:
- Novo produto ou serviço que coleta dados adicionais ou usa dados existentes para nova finalidade.
- Novo sistema ou plataforma que processa dados pessoais — ERP novo, CRM, plataforma de e-mail marketing, app.
- Novo parceiro ou prestador que recebe dados de clientes ou funcionários da empresa.
- Mudança na finalidade de uso de dados já coletados — por exemplo, começar a usar a base de e-mails de clientes para campanhas de marketing quando antes só era usada para envio de nota fiscal.
- Mudanças normativas — quando a ANPD publica novos guias ou resoluções que impactam as práticas da empresa.
A revisão periódica anual é uma boa prática, mas os gatilhos acima devem gerar atualização imediata, não esperar o ciclo anual. O gestor administrativo é quem mais rapidamente percebe essas mudanças no dia a dia e precisa ter o processo de comunicação ao responsável pela política definido antecipadamente.
O gestor é quem percebe a mudança e aciona o assessor jurídico para revisar e atualizar o documento. Manter uma lista simples dos gatilhos — impressa ou em nota — ajuda a não deixar passar mudanças que exigem atualização.
O gestor comunica ao DPO ou ao jurídico externo as mudanças de processo que podem impactar a política. O ideal é ter um processo formal: qualquer novo sistema ou fornecedor passa por avaliação de privacidade antes de entrar em operação, e a política é atualizada na sequência.
O DPO monitora ativamente as mudanças de processo e mantém a política atualizada. O gestor administrativo alimenta esse processo com as informações da sua área e segue o procedimento formal de comunicação ao DPO para cada mudança relevante.
Onde publicar e como vincular a política nos pontos de coleta
A política de privacidade deve estar acessível no site da empresa com link de fácil localização — rodapé da página é o padrão de mercado. Não é aceitável ter a política existindo mas inacessível para o titular que a procura.
Além da publicação no site, a política — ou um aviso de privacidade resumido — deve ser vinculada nos pontos de coleta de dados: formulários de contato, cadastros, páginas de checkout, contratos assinados digitalmente. O titular precisa ter acesso à política antes de fornecer seus dados, não depois.
Quando a política é atualizada, o gestor precisa garantir que a versão anterior seja preservada como registro histórico — caso um titular questione o que estava vigente em determinada data — e que os titulares cujos dados são afetados pela mudança sejam informados, quando aplicável.
Sinais de que a política de privacidade da sua empresa precisa ser revisada
Se você se reconhece em três ou mais cenários abaixo, a política de privacidade provavelmente não está cumprindo sua função.
- A política de privacidade foi copiada de um modelo genérico da internet e nunca foi revisada.
- O documento menciona dados e finalidades que a empresa não usa, ou omite dados que efetivamente coleta.
- Não há contato do responsável por privacidade na política — ou o contato está desatualizado.
- A política não foi atualizada após a empresa adotar novos sistemas, canais ou parceiros que acessam dados.
- Os formulários do site não trazem aviso de privacidade nem link para a política no momento da coleta.
Caminhos para revisar ou elaborar a política de privacidade da sua empresa
A redação e a validação da política de privacidade envolvem o gestor administrativo como responsável pelo conteúdo real e o assessor jurídico como responsável pela redação adequada. Os dois papéis são complementares.
O gestor fornece as informações reais sobre dados coletados, finalidades e compartilhamentos, com base no inventário de dados, e o assessor jurídico redige e valida o documento.
- Perfil necessário: gestor com mapeamento de dados já feito; acesso a assessor jurídico para redigir e validar o texto.
- Tempo estimado: de 2 a 4 semanas para redigir, revisar e publicar, dependendo da complexidade.
- Faz sentido quando: empresa com inventário de dados pronto e situação de dados relativamente simples — poucos canais de coleta, sem dados sensíveis em volume.
- Risco principal: política incompleta por falta de mapeamento adequado ou redigida sem validação jurídica.
Contratar consultoria especializada para conduzir o levantamento, redigir e revisar a política e os avisos de privacidade por canal, garantindo alinhamento com a prática real.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica.
- Vantagem: documento alinhado com as exigências da ANPD, sem lacunas e com linguagem adequada para os titulares.
- Faz sentido quando: empresa sem acesso a jurídico, política desatualizada com riscos identificados ou múltiplos canais de coleta que exigem avisos específicos.
- Resultado típico: política publicada e avisos por canal revisados em 3 a 6 semanas, com processo de atualização definido.
Precisa de apoio para revisar ou elaborar a política de privacidade da sua empresa?
Se atualizar a política de privacidade virou prioridade, o oHub conecta sua empresa, de forma gratuita, a consultores especializados em LGPD e assessoria jurídica. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que deve ter em uma política de privacidade?
A política precisa informar: identidade do controlador, contato do encarregado ou responsável pela privacidade, finalidades de tratamento de dados, bases legais utilizadas, categorias de dados coletados, com quem os dados são compartilhados, prazo de retenção, direitos dos titulares e como exercê-los, e informações sobre cookies quando aplicável. Todos os itens devem refletir a realidade do que a empresa efetivamente faz com dados.
Toda empresa precisa ter política de privacidade?
Qualquer empresa que trate dados pessoais — o que inclui praticamente todas as empresas que têm clientes, funcionários ou site com formulário — precisa de política de privacidade. A LGPD exige transparência sobre o tratamento de dados, e a política é o principal instrumento para isso. O nível de detalhe e complexidade do documento pode variar com o porte e a complexidade dos dados tratados.
Qual a diferença entre política de privacidade e aviso de privacidade?
A política de privacidade é o documento abrangente publicado no site, que descreve todas as práticas de tratamento de dados da empresa. O aviso de privacidade é uma comunicação específica apresentada ao titular no momento da coleta — no formulário, no contrato ou no aplicativo — informando quais dados serão coletados ali e para que servem. Os dois são complementares e precisam estar alinhados entre si.
Com que frequência a política de privacidade deve ser atualizada?
A política deve ser atualizada sempre que algo muda no tratamento de dados: novo produto, novo sistema, novo parceiro ou nova finalidade de uso dos dados. Como orientação prática, uma revisão geral anual complementa as atualizações pontuais a cada mudança relevante. Uma política que não foi atualizada em dois ou mais anos provavelmente já não reflete a realidade da empresa.
Quem deve redigir a política de privacidade da empresa?
A redação é responsabilidade do assessor jurídico ou DPO — a linguagem precisa ser juridicamente adequada e compreensível para os titulares ao mesmo tempo. O conteúdo, porém, precisa vir do gestor administrativo: é ele quem sabe quais dados a empresa de fato coleta, para que os usa e com quem os compartilha. Sem essa informação real, o jurídico redigirá um texto genérico inútil.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança — Transparência. Brasília: ANPD. Disponível em: gov.br/anpd.
- Sebrae. Política de privacidade: o que é e como fazer. Brasília: Sebrae.