Apesar da maioria da população entender que há apenas o consentimento como base legal para coleta e tratamento de dados pessoais, a Lei Geral de Proteção de Dados (LGPD) estabeleceu algumas outras possibilidades de governança de dados que dispensa o consentimento ou, no mínimo, o torna facultativo ou não obrigatório.
Assim sendo, vale à pena listar aqui, pelo menos, 9 possibilidades listadas na LGPD, que dispensam o consentimento por parte do titular do dado pessoal:
I - para o cumprimento de obrigação legal ou regulatória;
II - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
III - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
IV - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato;
V - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VI - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
VIII - quando houver "legítimo interesse";
IX - para a proteção do crédito.
No ambiente corporativo, além do consentimento, devemos nos atentar a, pelo menos, 3 bases legais descritas acima. A primeira delas é o cumprimento regulatório. Ou seja, para emitir uma nota fiscal ou para cumprir exigências trabalhistas, como o E-Social, não é necessário solicitar o consentimento do titular do dado. Basta cumprir a lei e proceder com a coleta, tratamento e compartilhamento do dado pessoal.
A segunda base jurídica importante é a execução de um contrato ou procedimentos preliminares a ele. Quando é feita uma análise de crédito antes da celebração de um contrato, pode-se interpretar que está havendo coleta e tratamento de dados, que serão utilizados para dar lastro à celebração de um contrato. Ou seja, trata-se de uma medida preliminar, que pode culminar (ou não) em um contrato formal. Neste sentido, fazendo um comparativo à legislação Canadense (como sabem, tenho íntima relação de amizade e admiração com o Canadá), no dia 22 de Setembro entra em vigor a Lei 25 de Québec, que se trata da modernização da Legislação de Privacidade de Dados desta Província e, neste sentido, uma empresa poderá comunicar informações pessoais sem o consentimento do indivíduo quando tal comunicação for necessária para concluir uma transação comercial. Para que a isenção se aplique, as partes devem firmar um acordo que rege o uso e proteção de informações pessoais, com compromissos específicos estabelecidos na Lei 25. Por exemplo, o contratante deve se comprometer a usar as informações apenas para concluir a transação e destruí-las se a transação não prosseguir.
Por fim, a última base legal da LGPD importante para fins corporativos é o "legítimo interesse". Para entender este conceito, é importante nos basearmos na exposição de motivos da GDPR (General Data Protection Regulation ou Regulamento Geral de Proteção de Dados da União Europeia) sobre o assunto, no seguinte sentido:
"Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta."
Ou seja, a interpretação de "legítimo interesse" é um tanto quanto subjetiva e requer flexibilidade, contextualização e afinidade entre o titular dos dados e a empresa. Caso contrário, ocorrerá infração de dados. Assim sendo, aconselhamos que, para cada procedimento de coleta e tratamento de dados que envolva "legítimo interesse", seja feito um Relatório de Impacto a Dados Pessoais, a fim de identificar áreas de conflito ou excesso que venha a violar um dado pessoal.
Existem várias técnicas de análise e design de produtos e serviços, sendo uma delas a metodologia criada pela Doutora Ann Cavoukian, ex Comissaria de Informação e Privacidade da Província de Ontário e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, denominada "Privacy by Design":
“Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais”
Segundo a metodologia do "Privacy by Design", deve-se projetar, construir e implementar tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados.
Por fim, o importante é ter em mente que os dados pessoais devem ser preservados e protegidos. Independente da base legal ou da metodologia.
Deixe seu comentário