Quem já leu uma política sobre proteção de dados (esta designação não é inocente, mas falaremos sobre o tema no próximo artigo) do início ao fim sabe que, muitas vezes, é mais fácil desistir a meio do que compreender tudo o que lá está escrito. Estruturas confusas, linguagem técnica e blocos de texto intermináveis transformam o que deveria ser uma explicação clara numa verdadeira barreira. A consequência? Os utilizadores não sabem o que acontece aos seus dados e as organizações, em vez de estarem em conformidade, colocam-se em risco.
Uma política é, por definição, um conjunto de regras, princípios, diretrizes que servem para orientar ações num determinado contexto. No enquadramento da privacidade e da proteção de dados, trata-se de um documento sintetizado num conjunto de informações que detalha, de forma clara, como uma organização recolhe, utiliza, partilha e protege os dados pessoais que lhe são confiados. Mais do que um requisito legal, estas orientações são um compromisso com a transparência e um reflexo da seriedade com que a organização trata os titulares dos dados.
O problema começa quando estas políticas são encaradas como formalidades estáticas ou, pior ainda, quando são “inspiradas” em modelos genéricos. Normas que não refletem a realidade da organização deixam de cumprir a sua função e transformam-se em risco. A utilização de textos desajustados remete para compromissos irrealistas como, por exemplo, prazos muito curtos de resposta a exercícios de direitos ou garantias de segurança inexistentes.
Mais grave ainda, muitas dessas diretrizes incluem expressões vagas como “prazo legalmente previsto” para a conservação de dados, sem especificar qual o período concreto ou legislação aplicável, numa violação clara do princípio da lealdade. Estas ambiguidades não só frustram os titulares dos dados, que têm o direito, inequívoco, de saber como os seus dados são tratados, como também comprometem a transparência e podem ser interpretadas como uma tentativa de evitar responsabilidades.
Uma boa política de proteção de dados deve ser clara, inteligível e de fácil acesso, garantindo que qualquer pessoa, mesmo sem conhecimento técnico ou jurídico, a consegue compreender. O Comité Europeu para a Proteção de Dados destaca que a utilização de linguagem simples e direta é garante do exercício de direitos de forma informada. A ausência destes pressupostos não só é contrária aos princípios da proteção de dados como põe em causa a relação de confiança com os titulares dos dados.
Não basta, por exemplo, listar direitos de forma alinhada com a lei. É essencial aplicar o espírito da mesma e apresentar definições práticas e objetivas. Um documento, verdadeiramente, eficaz deve detalhar, claramente, quem é o responsável pelo tratamento, para que finalidades os dados são utilizados, qual a base legal que sustenta o tratamento, durante quanto tempo são conservados e a importância de o titular responder aos pedidos. E toda esta granularidade deve ter respaldo na realidade da empresa. Esta abordagem não é apenas um requisito legal – é a base para um relacionamento transparente e de confiança com os utilizadores.
Além disso, as orientações sobre o tratamento de dados devem acompanhar o crescimento e a maturidade das organizações. Significando isto que, à medida que o negócio se expande ou na decorrência de novas exigências legais, as políticas devem ser revistas para refletirem essas mudanças. Seja a entrada em novos mercados, o lançamento de serviços inovadores ou alterações no quadro regulamentar, tudo deve promover ajustes garantindo assim a sua relevância e adequação. Um documento estático perde a utilidade.
Os riscos de um conjunto de normas mal preparadas, vão muito além das contraordenações. Empresas como a H&M e a British Airways enfrentaram coimas milionárias por falhas na proteção de dados e falta de transparência. Mas os danos reputacionais transformam-se na perda de confiança dos clientes e são, muitas vezes, mais difíceis de reparar. Uma política que não reflete a realidade da organização transmite desordem e descuido, colocando não só em causa a conformidade legal, mas também a credibilidade perante clientes, terceiros e sociedade em geral.
O x da questão é este: mais do que um simples documento técnico ou requisito legal, as diretrizes sobre o tratamento de dados pessoais são o reflexo do compromisso de uma empresa com a transparência e significam respeito pelos titulares. Quando estas orientações estão desajustadas ou mal elaboradas, transmitem uma mensagem errada: falta de compromisso, de clareza e desinteresse pela confiança de quem está a partilhar algo tão particular. Por outro lado, um documento bem estruturado e claro, representa mais que conformidade e responsabilidade: é uma declaração ética e uma ferramenta essencial para construir relações duradouras. Na era digital, proteger os dados não é apenas uma obrigação – é a oportunidade de demonstrar que, para a organização, a confiança é o seu bem mais precioso.
Jurista / Consultora em RGPD e RGPC