Política de Privacidade LGPD: Requisitos Legais e Estrutura Obrigatória

O que a LGPD exige em uma política de privacidade

A Lei Geral de Proteção de Dados (Lei 13.709/2018) estabelece no Art. 9º que o titular dos dados pessoais tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. A política de privacidade é o principal instrumento para cumprir essa obrigação de transparência, devendo ser redigida de forma clara, adequada e ostensiva.

Diferente de uma mera formalidade, a política de privacidade funciona como um contrato de transparência entre o controlador e o titular. Ela deve refletir fielmente as práticas reais de tratamento de dados da organização, sob pena de configurar violação ao princípio da boa-fé (Art. 6º, caput).

Informações obrigatórias segundo o Art. 9º

O Art. 9º da Lei 13.709/2018 lista sete categorias de informações que devem constar obrigatoriamente na política de privacidade: finalidade específica do tratamento, forma e duração, identificação do controlador, informações de contato do encarregado (DPO), informações sobre uso compartilhado de dados, responsabilidades dos agentes de tratamento e os direitos do titular com instruções para exercê-los.

Diferença entre política de privacidade e aviso de privacidade

A política de privacidade é um documento abrangente que descreve todas as práticas de tratamento de dados da organização. Já o aviso de privacidade (privacy notice) é uma comunicação pontual apresentada no momento da coleta, informando o titular sobre aquele tratamento específico. Ambos são complementares e necessários para conformidade plena com a LGPD.

Estrutura recomendada para a política de privacidade

Uma política de privacidade bem estruturada facilita a compreensão pelo titular e demonstra maturidade do programa de privacidade da organização. A estrutura deve seguir uma lógica que permita ao leitor encontrar rapidamente a informação que procura.

Identificação do controlador e encarregado

A política deve iniciar com a identificação completa do controlador (razão social, CNPJ, endereço) e do encarregado de proteção de dados (DPO), incluindo nome completo e canal de comunicação acessível. O Art. 41, §1º da LGPD exige que a identidade e informações de contato do encarregado sejam divulgadas publicamente, preferencialmente no site do controlador.

Finalidades e bases legais do tratamento

Cada operação de tratamento deve ser descrita com sua finalidade específica e a base legal correspondente. Não basta listar genericamente "melhorar nossos serviços" — é necessário detalhar cada finalidade (ex.: "envio de comunicações de marketing por email") e vincular à base legal aplicável (ex.: "consentimento, Art. 7º, I"). A LGPD prevê dez bases legais no Art. 7º para dados não sensíveis.

Direitos do titular e canais de exercício

A política deve listar todos os direitos previstos no Art. 18 da LGPD e fornecer instruções claras sobre como exercê-los. Isso inclui informar o canal de atendimento (email, formulário, portal), o prazo de resposta e o procedimento de verificação de identidade. O canal deve ser gratuito e de fácil acesso.

Bases legais aplicáveis ao tratamento de dados

A LGPD prevê dez bases legais no Art. 7º que autorizam o tratamento de dados pessoais não sensíveis. A escolha da base legal adequada é fundamental e deve ser documentada na política de privacidade para cada finalidade de tratamento. Uma base legal incorreta pode invalidar todo o tratamento.

Consentimento vs. legítimo interesse

O consentimento (Art. 7º, I) exige manifestação livre, informada e inequívoca do titular, podendo ser revogado a qualquer momento. Já o legítimo interesse (Art. 7º, IX) dispensa consentimento, mas exige elaboração de Relatório de Impacto à Proteção de Dados (RIPD) e aplicação do teste de proporcionalidade. O legítimo interesse não pode ser utilizado para dados sensíveis.

Execução de contrato e cumprimento de obrigação legal

A execução de contrato (Art. 7º, V) autoriza o tratamento necessário para cumprir obrigações contratuais com o titular. O cumprimento de obrigação legal ou regulatória (Art. 7º, II) permite tratamento exigido por outras leis, como retenção de dados fiscais. Ambas dispensam consentimento e são bases robustas quando aplicáveis.

Erros comuns em políticas de privacidade

Muitas políticas de privacidade publicadas em sites brasileiros apresentam deficiências que comprometem a conformidade com a LGPD. Identificar e corrigir esses erros é essencial para evitar sanções da ANPD e garantir a transparência devida ao titular.

Linguagem genérica sem especificação de finalidade

Expressões vagas como "podemos usar seus dados para melhorar nossos serviços" violam o princípio da finalidade (Art. 6º, I). A LGPD exige que cada finalidade seja específica, explícita e legítima. O titular deve compreender exatamente para que seus dados serão utilizados, sem margem para interpretações amplas.

Ausência de informações sobre compartilhamento

O Art. 9º, V da LGPD exige informação sobre compartilhamento de dados com terceiros. Muitas políticas omitem ou generalizam essa informação. É necessário identificar cada terceiro receptor (ou categoria de receptores), a finalidade do compartilhamento e a base legal que o autoriza. Scripts de terceiros no site (analytics, pixels) também configuram compartilhamento.

Como auditar sua política de privacidade

A auditoria da política de privacidade deve verificar se cada elemento obrigatório do Art. 9º está presente, se as informações refletem as práticas reais de tratamento e se a linguagem é acessível ao público-alvo. Recomenda-se realizar essa verificação a cada seis meses ou sempre que houver alteração nas operações de tratamento de dados.

Utilize o checklist: (1) todas as finalidades estão descritas com base legal? (2) o controlador e DPO estão identificados? (3) os direitos do titular estão listados com instruções de exercício? (4) o compartilhamento com terceiros está documentado? (5) os prazos de retenção estão definidos? (6) a linguagem é clara e acessível?