hacking, cyber, hacker, crime, security, internet, computer, virus, data, network, technol

Termos de uso e política de privacidade: o que não pode faltar no seu site

Toda empresa que coleta dados pessoais pela internet precisa documentar como trata essas informações, e o uso de modelos genéricos copiados de outros sites é uma das principais fontes de exposição jurídica diante da Lei Geral de Proteção de Dados.

A presença digital de qualquer negócio, de uma loja virtual a um simples formulário de contato, implica coleta de dados pessoais. Nome, e-mail, telefone, endereço de IP e histórico de navegação são informações protegidas pela Lei 13.709/2018, conhecida como LGPD. A norma exige que o tratamento desses dados seja informado ao titular de forma transparente e que tenha uma base legal definida.

O cumprimento dessa exigência se materializa em documentos específicos. A política de privacidade, o termo de uso e o aviso de cookies deixaram de ser formalidades decorativas para se tornarem peças centrais da conformidade. Quando mal elaborados, transformam-se em prova contra a própria empresa em eventual fiscalização ou ação judicial.

Por que modelos genéricos representam um risco real

É comum que pequenas e médias empresas recorram a textos prontos, encontrados em buscadores ou copiados de concorrentes. A prática parece econômica, mas costuma sair cara. Um documento que descreve um tratamento de dados diferente daquele efetivamente praticado pela empresa cria uma contradição perigosa entre o que se promete e o que se faz.

Essa divergência tem consequências concretas. Se a política afirma que os dados não são compartilhados com terceiros, mas a empresa utiliza ferramentas de marketing que transmitem informações a outras plataformas, há uma declaração falsa ao titular. A Autoridade Nacional de Proteção de Dados, a ANPD, pode interpretar a conduta como infração ao dever de transparência previsto na lei.

Modelos copiados também ignoram particularidades do negócio. Um e-commerce trata dados de pagamento e endereço de entrega; uma clínica coleta dados sensíveis de saúde; uma plataforma educacional pode lidar com informações de menores. Cada cenário exige cláusulas próprias, bases legais distintas e medidas de segurança proporcionais ao risco.

Cláusulas essenciais da política de privacidade

A política de privacidade é o documento que informa ao titular como seus dados são tratados. Para cumprir o artigo 9º da LGPD, ela precisa responder, em linguagem acessível, a um conjunto de perguntas mínimas sobre o ciclo de vida da informação.

O primeiro ponto é identificar o controlador, ou seja, a pessoa física ou jurídica responsável pelas decisões sobre o tratamento. O documento deve trazer a denominação da empresa e um canal de contato funcional, normalmente o do encarregado pela proteção de dados, figura também chamada de DPO.

Em seguida, é indispensável descrever quais dados são coletados e com qual finalidade. A finalidade precisa ser específica e legítima. Não basta afirmar que os dados servem para “melhorar a experiência do usuário”; a empresa deve dizer, por exemplo, que o e-mail será usado para envio de confirmação de compra e comunicação sobre o pedido.

A base legal de cada tratamento é outro elemento obrigatório. A LGPD prevê dez hipóteses que autorizam o uso de dados, entre elas o consentimento, o cumprimento de obrigação legal e o legítimo interesse. Confundir consentimento com legítimo interesse é um erro frequente que fragiliza toda a estrutura do documento.

A política também deve esclarecer o tempo de retenção dos dados, as situações de compartilhamento e os direitos do titular. Entre esses direitos estão o acesso, a correção, a eliminação e a portabilidade das informações, todos exercíveis por meio do canal de atendimento informado.

Um documento de privacidade só protege a empresa quando descreve exatamente o que ela faz com os dados, não o que seria conveniente declarar.

A Autoridade Nacional de Proteção de Dados, a ANPD, pode interpretar a conduta como infração ao dever de transparência previsto na lei.

O termo de uso e o aviso de cookies

Enquanto a política de privacidade trata da proteção de dados, o termo de uso regula a relação contratual entre a empresa e quem acessa o site ou aplicativo. Ele define regras de utilização, responsabilidades, limites de uso do conteúdo e condições de cadastro. Em plataformas de venda, disciplina pagamento, troca, devolução e prazos.

Os dois documentos se complementam, mas não se confundem. Reuni-los em um único texto confuso prejudica a clareza e dificulta a comprovação de que o titular foi informado sobre o tratamento de seus dados de maneira destacada, como a lei valoriza.

O aviso de cookies merece atenção própria. Cookies e tecnologias similares coletam dados de navegação e, em muitos casos, dependem de consentimento prévio do usuário. O banner que aparece no primeiro acesso deve permitir aceitar, recusar e configurar as categorias de cookies, sem que a recusa inviabilize a navegação básica.

Bloquear o conteúdo até que o usuário aceite todos os cookies é uma prática questionável, pois o consentimento precisa ser livre. A empresa que força a aceitação corre o risco de ter o consentimento considerado inválido, o que derruba a base legal do tratamento associado.

Linguagem clara e o dever de transparência

A LGPD exige que as informações sobre o tratamento sejam prestadas de forma clara, adequada e ostensiva. Esse comando afasta o texto rebuscado e cheio de remissões cruzadas que, na prática, ninguém lê. A transparência não se mede pela quantidade de páginas, e sim pela compreensão real do titular.

Escrever com clareza significa preferir frases curtas, evitar jargão técnico desnecessário e organizar o conteúdo em seções com títulos objetivos. Quando um termo jurídico é inevitável, convém explicá-lo na primeira vez em que aparece. Um glossário ou uma versão resumida no topo do documento ajudam o leitor leigo.

Essa preocupação não é meramente estética. Em uma fiscalização, a clareza do documento integra a avaliação sobre o cumprimento do dever de informação. Textos deliberadamente obscuros podem ser lidos como tentativa de ocultar práticas, agravando a responsabilidade da empresa.

Passos práticos para estruturar a documentação

O ponto de partida não é a redação, e sim o mapeamento. Antes de escrever qualquer cláusula, a empresa deve levantar todos os dados que coleta, em que pontos do site isso ocorre, com quais ferramentas e para quais finalidades. Esse inventário, chamado de mapeamento de dados, é a base de todo o restante.

Com o mapeamento em mãos, define-se a base legal de cada tratamento e identificam-se os compartilhamentos com terceiros, como provedores de hospedagem, gateways de pagamento e ferramentas de análise. Só então o documento passa a refletir a realidade, e não uma ficção conveniente.

O terceiro passo é a revisão periódica. Sempre que a empresa adota uma nova ferramenta, muda um processo ou passa a oferecer um serviço, a documentação precisa ser reavaliada. Uma política congelada no tempo perde aderência aos fatos e volta a expor o negócio ao mesmo risco dos modelos genéricos.

Perguntas Frequentes

Minha empresa é pequena e tem poucos clientes. Ainda preciso de política de privacidade?

Sim. A LGPD não isenta pequenos negócios da obrigação de informar como tratam dados pessoais. O porte da empresa influencia a proporcionalidade das medidas de segurança e pode flexibilizar certos procedimentos, conforme orientação da autoridade, mas o dever de transparência permanece. Qualquer site que coleta nome e e-mail por um formulário já realiza tratamento de dados e precisa documentar essa atividade de forma adequada à sua realidade.

Posso usar o mesmo documento da matriz para o site brasileiro de uma empresa estrangeira?

Não diretamente. Documentos elaborados sob legislações estrangeiras, como o regulamento europeu, partem de conceitos parecidos, mas não idênticos aos da lei brasileira. As bases legais, os direitos do titular e a estrutura da autoridade fiscalizadora têm particularidades próprias. O ideal é adaptar o conteúdo à LGPD, traduzindo não apenas o idioma, mas também os institutos jurídicos para o ordenamento nacional, sob pena de criar lacunas de conformidade.

Com que frequência devo revisar a política de privacidade do site?

Não existe prazo fixo na lei, mas a revisão deve acompanhar as mudanças reais do negócio. Recomenda-se uma análise sempre que a empresa adota nova ferramenta de coleta, altera finalidades de uso ou passa a compartilhar dados com novos parceiros. Mesmo sem mudanças aparentes, uma verificação anual é uma prática prudente, pois mantém o documento alinhado às orientações mais recentes da autoridade e à evolução das práticas de mercado.

As informações deste artigo são de caráter informativo e não substituem a consulta a um advogado especializado. Cada caso possui particularidades que exigem análise individualizada.

Base legal citada

Leia o texto integral e atualizado no CM Legis:

Ficou com dúvidas? Fale com um advogado especialista.

📱 Falar pelo WhatsApp

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

Posts Similares