Como este tema funciona na sua empresa
Política simplificada mas completa. Não precisa de 50 páginas — 2-3 páginas claras e concisas são suficientes. Pode ser template adaptado.
Política mais detalhada, separada por tipo de dado (cliente, funcionário, visitante). Reflete complexidade de operação. Exigida por contrato (especialmente se é SaaS ou manipula dados de cliente).
Múltiplas políticas por contexto (clientes, funcionários, parceiros, visitantes). Atualizada regularmente. Reflete maturidade de conformidade.
Política de Privacidade é documento público que explica como uma organização coleta, usa, compartilha e protege dados pessoais. LGPD exige transparência — a pessoa deve entender "quais dados você coleta de mim, por quê, com qual base legal, por quanto tempo, quem acessa, direitos que tenho". Diferencia-se de Aviso de Privacidade (que informa coleta específica) e de Política Interna de Privacidade (que detalha controles internos). Uma boa política é promessa — tudo que você escreve deve ser implementável em TI e operações[1].
Estrutura de uma política de privacidade conforme LGPD
Identificação: Quem está coletando? (controlador) Quem processa? (operador) Dados coletados: Listagem clara (nome, email, telefone, CPF, etc.) Finalidade: Por que coleta (cobrar, contato, análise) — uma finalidade = um propósito específico. Base legal: Qual autoriza coleta (consentimento, contrato, obrigação legal, interesse legítimo). Retenção: Quanto tempo guarda (1 ano, 3 anos, conforme lei tributária). Compartilhamento: Com quem compartilha (parceiros, governo, ninguém). Direitos do titular: Como exercer (acesso, retificação, exclusão, portabilidade). Segurança: Controles usados (criptografia, acesso restrito, logs). Contato: Quem procurar para dúvidas/direitos.
Linguagem clara, não jurídica
LGPD exige transparência. Jargão jurídico não é transparência. Política deve ser legível para leiga. Exemplo RUIM: "Processamos dados para fins de execução contratual e satisfação de obrigações legais mediante consentimento prévio ou base legal apropriada." Exemplo BOM: "Coletamos seu email para enviar nota fiscal e sua confirmação de compra." Uma política incompreensível é considerada não-transparente pela ANPD.
Seções obrigatórias conforme LGPD
Lei não exige "política de privacidade" nominalmente, mas exige "informações sobre tratamento" (Artigo 9). Na prática, política = implementação dessa obrigação. Seções: Identificação do controlador, dados coletados, finalidades, bases legais, compartilhamento, direitos, segurança, contato, prazo de retenção.
Dica: comece com dados de Cliente (tipo mais comum), depois estenda para Funcionário, Visitante, Parceiro se aplicável.
Conexão entre política e implementação em TI
Política que promete "dados deletados após 2 anos" mas backup retém por 5 anos — contradição que gera risco legal. Política deve ser revisada por TI antes de publicação: "política diz retenção de 2 anos — como TI garante isso? Há processo de exclusão automática?"
Recomendação: não escreva política sem envolver TI. Promessas vagas ("protegemos seus dados") são perigosas. Promessas específicas são implementáveis.
Publicação e prova de aceitar
Política deve estar acessível (website, app, email de cadastro). Se coleta com consentimento explícito, guardar prova de quem concordou, quando, a qual versão. Sistema de consentimento deve rastrear: "usuário João aceitou política v2.1 historicamente-04-15 às 14:30 via website". Sem prova, não consegue demonstrar conformidade.
Sinais de que sua empresa precisa revisar a política de privacidade
Se você se reconhece em três ou mais cenários abaixo, a política de privacidade pode estar expondo a empresa a risco regulatório e perda de confiança.
- A política de privacidade foi copiada de um modelo genérico e nunca foi adaptada à realidade da empresa
- Não existe registro de quem aceitou qual versão da política e quando
- A equipe de TI nunca revisou a política para validar se as promessas são implementáveis
- A política menciona prazos de retenção que não correspondem ao que o sistema realmente pratica
- Colaboradores que coletam dados de clientes não sabem explicar a finalidade da coleta
- A política não foi atualizada após mudanças no produto, serviço ou legislação
- Não existe canal claro para titulares exercerem direitos de acesso, retificação ou exclusão
Pequena: Template adaptado, review por TI/jurídico, publicar. Anual revisão.
Média: Desenhar política customizada. Validar com TI. Sistema de consentimento integrado.
Grande: Políticas por contexto. Ferramenta de consentimento centralizada. Teste de compreensibilidade.
Geradores: ANPD, plataformas especializadas oferecem templates.
Consultoria jurídica: Especialista em privacidade pode revisar draft.
Consentimento: Ferramentas como OneTrust, TrustArc facilitam coleta e rastreamento de consentimento.
Perguntas frequentes
O que é uma política de privacidade conforme LGPD?
Documento público que explica quais dados você coleta, por quê, com qual base legal, por quanto tempo, quem acessa, direitos do titular.
Qual é a estrutura de uma política de privacidade?
Identificação, dados coletados, finalidade, base legal, retenção, compartilhamento, direitos, segurança, contato.
Política de privacidade é obrigatória?
LGPD não exige nominalmente "política", mas exige "informações sobre tratamento" com transparência. Política = implementação dessa obrigação.
Como escrever uma política de privacidade?
Linguagem clara, não jurídica. Template adaptado. Envolver TI para validar promessas. Revisar com jurídico.
Diferença entre política de privacidade e aviso de privacidade?
Política: documento geral publicado. Aviso: informação específica no momento de coleta (p.ex.: formulário de cadastro).
Onde publicar política de privacidade?
Website em rodapé/seção de privacidade. App com acesso fácil. Email de confirmação de cadastro. Qualquer lugar que pessoa coleta dados.