Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Como escolher as opções certas para sua política de privacidade

A iubenda desenvolveu um sistema que permite aplicar diferentes direitos aos diferentes grupos de usuários cujos dados pessoais você coleta e trata como “controlador” (que é a definição usada pelo GDPR para determinar qualquer sujeito que decide sobre os meios e a finalidade do tratamento de dados).

Em particular:

  • Você pode decidir aplicar padrões de proteção mais elevados a todos os seus usuários. Nesse caso, você criará uma política de privacidade que se aplica a todos os seus usuários e que está em conformidade com o GDPR.
  • Ou você pode decidir aplicar um conjunto de direitos básicos a todos os seus usuários e padrões de proteção mais elevados apenas para alguns deles. Neste caso, tais normas de proteção mais amplas se aplicarão sempre que o tratamento de dados pessoais estiver sujeito ao GDPR. Em todos os casos, os direitos básicos devem ser aplicados.

💡 Se você tem como público-alvo usuários americanos, você pode se enquadrar no escopo da Lei de Privacidade do Consumidor da Califórnia (CCPA). Saiba mais sobre a CCPA em nosso guia completo aqui.

Qual é a melhor escolha no meu caso?

Você pode ativar a opção “Aplicar padrões de privacidade do GDPR para”

  • Usuários na UE
  • Todos os usuários

Você pode encontrar a opção aqui:

  • Acesse a área de configuração da sua política de privacidade
  • Visite a seção dedicada a alteração na política de privacidade via Dashboard> [sua política de privacidade]> Editar
  • Você encontrará um botão para habilitar o texto do GDPR rotulado como “Padrões específicos da legislação”

  • Sob o título “Aplicar as normas de proteção mais amplas do GDPR a:”, escolha entre: Aplicar a todos os usuários (opção padrão) ou Aplicar somente a usuários da UE.
  • Isso permite que você considere seu caso específico e escolha com base na localização de seus usuários/clientes.

Depois de decidir quais direitos oferecer e para quem, você pode continuar.

Sou um controlador de dados com base no território da UE

Neste caso, você terá que aplicar um alto padrão de proteção para todos os seus usuários, pois todas as atividades de tratamento de dados que você realiza estão sujeitas ao GDPR. Isso também se estende a todos os seus usuários que não estão localizados no território da UE.

Sou um controlador de dados baseado fora da UE

Nesse caso, você pode optar por aplicar padrões de proteção mais elevados para todos os seus usuários ou garantir direitos específicos apenas se o tratamento de dados estiver sujeito ao GDPR. Lembre-se de que você deve aplicar padrões de proteção mais elevados quando o tratamento:

  • envolve Dados Pessoais de usuários localizados na UE e está associada à oferta de bens ou serviços aos Usuários, de forma paga ou gratuita;
  • envolve Dados Pessoais de Usuários que estejam na UE e permite que o Proprietário monitore o comportamento de tais Usuários na UE.

Vamos ver um exemplo prático:

Se você for um controlador com sede nos Estados Unidos, poderá optar por conceder direitos básicos aos seus usuários, conforme exigido pela lei dos Estados Unidos. No entanto, você é obrigado a aplicar padrões de proteção mais elevados se parte das atividades de processamento de dados consistir na oferta de bens ou serviços pagos ou gratuitos a usuários localizados no território da UE, ou no monitoramento do comportamento do usuário dentro do território UE.

Outras consequências da aplicação de padrões de proteção mais elevados

A aplicação de padrões de proteção mais elevados resulta em outras implicações, descritas a seguir.

Transferência de dados fora da UE

Se você coletar dados pessoais dentro da UE, poderá transferi-los para outros países da UE ou do EEE (Espaço Econômico Europeu). No entanto, se você planeja transferir esses dados para outros países, como a Suíça ou os Estados Unidos, você precisa ter uma base legal válida que justifique essa transferência.

Serviços que você pode integrar em sua política de privacidade:

  • Transferência de Dados para países que garantem os padrões europeus
  • Transferência de Dados para o exterior baseada em cláusulas contratuais padrão
  • Transferência de Dados para o exterior baseada em consentimento
  • Outras bases jurídicas para a transferência de Dados para o exterior

Alguns exemplos de transferência de dados

  • Quando você trabalha com parceiros ou usa serviços localizados fora da UE/EEE (por exemplo, Google Analytics), você está transferindo dados pessoais para fora da UE. As cláusulas disponíveis em nosso gerador são baseadas na localização destes serviços.

  • Ao adicionar um serviço personalizado que não esteja pré-definido em nosso gerador (ex. um serviço escrito por você), lembre-se de indicar qual é a base legal para a transferência.

  • Se você for um controlador de dados localizado fora da UE, você transfere dados pessoais de usuários europeus fora da UE sempre que coleta dados desses usuários. Certifique-se de fazer isso sob uma base legal válida para a transferência.

Bases legais para transferência

O GDPR fornece várias bases jurídicas válidas para a transferência de dados para fora da UE. Os mais relevantes são:

Sempre que a Comissão Europeia considerar que um país fora da UE garante normas de proteção de dados comparáveis ​​às da UE, ela emite uma decisão de adequação. Se você planeja transferir dados para tal país, você deve notificar os usuários por meio de sua política de privacidade.

As decisões de adequação foram tomadas até agora para Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai e Japão.

O serviço a adicionar neste caso seria: “Transferência de dados para países que garantem as normas europeias“.

Se o país para onde você planeja exportar os dados não parece garantir um nível adequado de proteção, você pode certificar-se de que o importador de dados (ou seja, a empresa ou pessoa para quem você está exportando os dados) cumpra regras mais rígidas. Neste sentido, você deverá celebrar um contrato com ele que inclui cláusulas padrão elaboradas pela Comissão Europeia. Na maioria dos casos, você usará as cláusulas contratuais padrão para Controladores baseados na UE que exportam dados para Processadores baseados em outros lugares.

Veja também que: você pode transferir dados pessoais se tiver este contrato, mas você deve mencioná-lo em sua política de privacidade.

Deve-se acrescentar neste caso o serviço: “Transferência de dados para o exterior para com base em cláusulas contratuais padrão“.

Por fim, se nenhuma das opções acima parecer viável, você deverá coletar o consentimento de seus Usuários para transferir seus dados para fora da UE. Este é o cenário mais complicado, pois você deverá garantir que o consentimento é “informado”, além de cumprir outros requisitos. Você realmente sabe o que será feito com os dados dos Usuários quando forem exportados para fora da UE? Você pode dizer que tipo de medidas de segurança são previstas pela legislação local ou adotadas por iniciativa do importador de dados para garantir a proteção de dados pessoais?

Se você puder fornecer essas informações, você pode pedir aos seus Usuários que autorizem a transferência de dados pessoais; caso contrário, qualquer consentimento coletado não será considerado “informado” e, portanto, será nulo.

Neste caso, adicione o serviço: “Transferência para países terceiros com base no consentimento“.

O GDPR menciona algumas outras opções menos relevantes para a transferência de dados para fora da UE. Se você está baseando a sua transferência numa destas opções, você deve escolher o serviço “Outras bases jurídicas para a transferência de dados para países terceiros” e especificar os detalhes relevantes adicionando uma cláusula customizada.

O que acontece quando os dados são transferidos da Suíça?

Se você está transferindo dados pessoais da Suíça para outro país, você deve fazê-lo de acordo com uma das bases legais reconhecidas pela lei da Suíça.

Se precisar de mais informações sobre os regulamentos federais de proteção de dados na Suíça, você pode visitar esta página.

Definição de perfil (“Profiling”)

Por “Profiling” entendemos qualquer forma de tratamento automatizado de dados pessoais realizado para avaliar aspectos particulares da personalidade de uma pessoa física, para analisar ou prever os efeitos no trabalho, situação econômica, estado de saúde, preferências, interesses, confiabilidade, comportamento, localização ou movimentos realizados.

Se você criar o perfil de seus usuários, deverá informá-los. Portanto, você deve escolher a cláusula apropriada disponível no Gerador de Política de Privacidade.

Serviços que você pode integrar em sua política de privacidade:

  • Análises e previsões com base nos Dados do Usuário (“definição de perfil”)

Exemplos práticos

Se você vende produtos e acompanha as escolhas do usuário para fins de marketing, dividindo-os em categorias, por exemplo, por idade, sexo, origem geográfica etc., você está definindo o perfil destes usuários.

Processos de tomada de decisão automatizados

Processos de tomada de decisão automatizados são processos que permitem que você tome decisões que podem ter efeitos significativos sobre os usuários de uma forma totalmente automatizada, sem intervenção humana. Esses processos também podem ser baseados em perfis (veja acima).

Caso esteja implementando processos automatizados para tomada de decisão, você precisa informar seus usuários. Para fazer isso, você deve escolher a cláusula relevante disponível no Gerador de Política de Privacidade. Observe que, os usuários têm o direito específico de se opor aos processos automatizados de tomada de decisão, especificado na seção de tomada de decisão automatizada e definição de perfis na política de privacidade que você gerará.

Serviços que você pode integrar em sua política de privacidade:

  • Tomada de decisões automatizadas
  • Análise e previsões baseadas nos Dados do Usuário (”definição de perfil”)

Exemplos práticos

Você é um banco. Para avaliar se os usuários são elegíveis para um empréstimo, você pede que eles insiram seus dados pessoais em um formulário. Graças a um algoritmo, esses dados são avaliados de forma totalmente automática e uma decisão é tomada.

Aquisição de dados de terceiros

Se você não coleta os dados pessoais de seus usuários diretamente, mas os obtém de terceiros, você deve informar os usuários afetados sobre esses terceiros, bem como cumprir todas as outras obrigações de informação. Consequentemente, você deve escolher a cláusula apropriada disponível no Gerador de Política de Privacidade.

As informações relativas à aquisição de dados devem ser comunicadas ao usuário no prazo de um mês quando os dados foram coletados e em particular:

  • se os dados pessoais forem utilizados para comunicação com o usuário, a informação deve ser fornecida, até a primeira comunicação com o usuário; ou
  • se for previsto o compartilhamento para outro recebedor, a comunicação deve ser feita o mais tardar no momento da divulgação dos dados pessoais.

Serviços que você pode integrar em sua política de privacidade:

  • Dados Pessoais coletados através de outras fontes que não sejam o Usuário.

Exemplos práticos

Você é um recrutador. Você encontrou um perfil interessante no LinkedIn. Assim que você entrar em contato com o candidato em questão ou transferir seus dados para o possível empregador e, em qualquer caso, dentro de um mês após ter coletado seus dados pessoais, você deve fornecer ao candidato todas as informações obrigatórias, incluindo uma indicação do LinkedIn como a fonte de seus dados.

Representante na UE

Se você for um controlador de dados baseado fora da UE, você deverá nomear como representante na UE uma pessoa física ou jurídica baseada em um dos países da UE onde seus usuários estão localizados. A nomeação deve ser feita por escrito e o representante designado deve ser mencionado em sua política de privacidade.

Consequentemente, é necessário inserir os dados do representante (nome e endereço) no campo onde se encontram os dados da sua empresa.

Encarregado de Proteção de Dados

Sob certas condições, é necessário nomear uma pessoa física ou jurídica como Encarregado de Proteção de Dados (EPD) e mencioná-la na política de privacidade.

Em particular, é necessário nomear um EPD quando:

  • você é uma autoridade ou órgão público; ou
  • suas atividades principais consistem em operações que requerem monitoramento regular e sistemático de usuários em grande escala;
  • suas principais atividades são o tratamento em grande escala de dados confidenciais ou judiciais relacionados às condenações e infrações.

Se qualquer uma das condições acima se aplicar, você deve inserir os dados de contato do seu EPD na seção que contém as informações da sua empresa.

Por último, tenha em mente que o GDPR permite que os Estados-Membros da UE estabeleçam condições adicionais segundo as quais a nomeação do EPD é obrigatória. Portanto, verifique se sua empresa está sujeita às disposições nacionais de um Estado-Membro da UE, além do GDPR, e se essas disposições exigem a nomeação de um EPD.

Mais informações sobre o encarregador da proteção de dados e outros assuntos podem ser encontrados em nosso Guia GDPR.