Tempo estimado para a leitura: 6 minutos

Neste artigo vamos continuar a desenvolver o fluxo de dados apresentados nos artigos anteriores. O objetivo é auxiliar a compreensão das outras bases legais existentes na LGPD desmistificando o mito do consentimento, por meio da nossa visão mais prática para aplicação das bases legais no tratamento dos dados pessoais.

MAS O QUE SÃO BASES LEGAIS?

Resumidamente, bases legais são as hipóteses da LGPD que autorizam o tratamento lícito de dados pessoais.  A lei estabelece que para que qualquer pessoa, seja ela física ou jurídica, possa realizar operação com um dado pessoal – coletar, enriquecer, compartilhar, entre outros – é necessário utilizar uma base legal justificadora, ou seja, que forneça amparo ao tratamento.

As empresas que utilizam dados para uma atividade de tratamento sem a base legal adequada, estão atuando em desacordo com a lei

Quando falamos dos programas de conformidade essa é uma das tarefas mais críticas, por isso, é importante o auxílio de um especialista para orientar qual base legal é mais adequada para um  tratamento específico. 

A LGPD apresenta 10 bases legais que possibilitam o tratamento de dados pessoais de forma legítima. Importante, ressaltar que estas não possuem dependência ou supremacia entre si, por isso, é importante entender que:

Apesar disso, o que se verifica na prática é a predominância na utilização do consentimento. Em algum momento todos puderam notar as alterações em vários aplicativos, como as redes sociais, pedindo a autorização do usuário para tratamento dos seus dados, criando a sensação de que o consentimento tem uma posição de destaque na lei.  

Entretanto, é preciso estar atento porque apesar do consentimento ser útil e obrigatório em alguns casos, é por vezes a menos indicada para ser atribuída a uma atividade de tratamento. 

Por isso, não se pode ter o consentimento como regra e o “não consentimento” como exceção. Adotar essa postura pode levar as empresas a alterar vários processos  buscando se adaptar ao consentimento, sendo que, provavelmente, teria outra base legal mais adequada ao caso. 

Feitas essas considerações vamos examinar mais profundamente as bases legais mais utilizadas na prática:

 

1. CONSENTIMENTO

O consentimento é a manifestação livre, informada e inequívoca, na qual o titular concorda com o tratamento dos seus dados para uma finalidade determinada.

a) livre: o usuário/lead não pode ser forçado a dar seu consentimento, deve ser uma faculdade. Nesse ponto é necessário fazer uma reflexão: nos casos em que existe o checkbox de consentimento, se a empresa exigir o preenchimento para conseguir avançar, essa é realmente uma escolha livre? Aqui estamos diante de um gargalo para as empresas que utilizam o consentimento na maior parte das suas operações.

b) informado: o usuário/lead deve estar ciente do que está consentindo. Por isso a importância de políticas de privacidade cada vez mais dinâmicas, intuitivas e objetivas.

c) inequívoco: o usuário/lead deve agir para concordar e consentir. Por isso é tão comum falar que o checkbox não pode estar pré preenchido, pois as empresas devem provar que o consentimento foi fornecido por livre vontade do usuário. Nessa questão temos outro ponto importante: armazenamento. Ao utilizar o consentimento, a empresa necessita viabilizar uma maneira para armazenamento dos aceites para que consiga provar que agiu de acordo com a lei.

d) fins específicos e determinados: o consentimento não é amplo e genérico, o usuário/lead deve ser informado com clareza sobre a finalidade pela qual aquele dado está sendo coletado e tratado. A empresa não pode utilizar para outra finalidade e caso faça isso deve obter um novo consentimento do usuário.

Outra questão que pode vir a gerar problemas futuros é que o consentimento pode ser revogado a qualquer tempo, obrigando a empresa a deixar de realizar atividades de tratamento com os dados daquele cliente ou usuário e isso pode acarretar falhas na na execução de serviços vigentes e de novas contratações na plataforma, quando este aceite for revogado.

Esta é a visão geral dos prós-contras na utilização do consentimento como base legal, importante ressaltar que em muitos casos ela poderá ser a base mais adequada para a atividade de tratamento desejada, por isso é importante confiar na consultoria contratada para que a empresa atue de maneira responsável e ética perante seus usuários.

 

2. LEGÍTIMO INTERESSE

Legítimo interesse é a base mais flexível, porém, sua aplicação é de compreensão um pouco mais complexa. Isso porque não existe uma lista de quais atividades de tratamento poderiam lançar uso dessa base legal.

De forma bem resumida, o legítimo interesse presume que a empresa mostre que o tratamento dos dados pessoais é necessário e que encontra-se em equilíbrio com os interesses, direitos e liberdades do usuário.

Por exemplo, é possível utilizar o legítimo interesse na prospecção de leads, a depender do caso – isso não é uma recomendação, apenas uma possibilidade que dependerá de uma análise profunda da operação – nesse caso a empresa possui legítimo interesse em divulgar seus serviços. O que se exige aqui é transparência total sobre as atividades de tratamento realizadas para quais finalidades e ainda que a opção de opt-out esteja visível e de fácil acesso para que o usuário decida se os seus dados podem continuar ou não sendo tratados pela empresa.

Além disso, a Autoridade Nacional de Proteção de Dados, recém formada no Brasil, terá um papel fundamental para regulamentar e monitorar a utilização do legítimo interesse pelas empresas.

 

3. EXECUÇÃO DE CONTRATO

Esta base legal possibilita o tratamento de dados para execução de contrato ou para os procedimentos preliminares. Então, para justificar a coleta de dados para relação de trabalho ou compra e venda online é possível utilizá-la.  

No caso dos e-commerces e para realização da compra online, o vendedor deve ter acesso aos dados do cartão de crédito e endereço residencial, por exemplo, o que justifica o tratamento desses dados para a execução do contrato firmado entre as partes. 

Lembrando que estes são apenas exemplos e que para saber quais bases legais devem ser aplicadas nas atividades de tratamento de uma empresa é preciso uma análise detalhada da operação. 

 

4. DEMAIS BASES

EXEMPLO PRÁTICO: 

De forma prática, elaboramos esse fluxo de dados para apresentar  visualmente a aplicação de algumas bases legais nas atividades de tratamento hipotéticas. 

Aqui, temos um dos fluxos mais comuns no mundo do e-commerce: a efetivação de cadastro e finalização da compra de produto. 

Para criação de conta e entrega dos produtos selecionados pelo usuário, é necessário a coleta e o tratamento de alguns dados para que seja possível concretizar o pedido. 

Assim, cada base legal deve ser atribuída de acordo com a atividade de tratamento destinada àquela coleta de dado. Ou seja, a empresa solicita o nome e sobrenome para operacionalizar a logística e preenchimento do cartão de envio, desde modo, não o coleta para utilizar em campanhas de marketing. 

O caso abaixo demonstra como em um único formulário é possível utilizar mais de uma base legal, de acordo com a finalidade para a qual está sendo executada a atividade de tratamento de dados, no caso a coleta. 

Além disso, ressaltamos que qualquer mudança ou utilização dos mesmos dados para outra  finalidade leva obrigatoriamente a reanálise das bases legais aplicadas. 

Atenção: este é um exemplo hipotético, para fins de exemplificação, não nos responsabilizamos pelas tomadas de decisão de empresas em relação ao uso de bases legais a partir desse material.

 

A parte do fluxo acima destacado já é conhecida aqui no Blog desde quando tratamos do princípio da transparência e princípio da minimização.

 

Neste exemplo, meramente ilustrativo, utiliza-se a base legal de execução do contrato para a finalidade desejada, que é a criação da conta. 

Conseguimos verificar que para a empresa estar adequada à LGPD será preciso reavaliar a necessidade de coleta de cada um dos dados, ou seja, caso a resposta da pergunta “para que eu coleto?” não demonstrar uma real necessidade de coleta não fará sentido coletar (colocando em prática o princípio da minimização).

As bases legais estão profundamente ligadas com a finalidade existente para a realização de cada atividade de tratamento e é imprescindível que para aplicação prática a empresa possua um bom desenho de processos, de forma que se possa reconhecer os fluxos de dados de forma detalhada. 

Portanto, concluímos que: 

a) existe uma ou mais bases legais que podem ser atribuídas para  cada atividade de tratamento de dados pessoais, contudo sempre existirá uma mais adequada; 

b) existem 10 bases legais na legislação, sendo que cada empresa deve verificar qual melhor se adequa a sua realidade; 

c) a empresa deve ter mapeado todo o fluxo de dados e finalidades que justificam as atividades de tratamento realizadas para uma análise concreta da base legal; 

d) a partir de um mesmo fluxo de dados podem ser realizadas várias atividades de tratamento de dados pessoais, cada uma com a sua própria base legal legitimadora; 

e) a segurança no âmbito da proteção de dados é uma frente estratégica da empresa e não apenas uma necessidade de adequação por conta da lei. 

 

Coautoria: Amanda Zimmermann

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *