Seria só o consentimento suficiente na LGPD?

Seria só o consentimento suficiente na LGPD?

Facebook Twitter Google+ LinkedIn WhatsApp

Um dos grandes debates sobre a Lei Geral de Proteção de dados é a questão do consentimento e muitas pessoas estão afirmando que basta criar métodos, meios para exercer a ideia de consentimento que tudo seria resolvido perante a lei.

Será mesmo?

A profissional de privacidade americana Gabriela Zanfir-Fortuna escreveu um artigo com 10 tópicos que desmentem esta realidade vendida como certa por aqui no Brasil.

Divido os 10 pontos em português e logo abaixo informo a origem em inglês com artigo completo:

1. Proteção de Dados por Design e por Default é uma obrigação legal

Todas as organizações, públicas ou privadas, que tocam dados pessoais (“processamento” no GDPR significam qualquer coisa desde a coleta ao armazenamento, criação de perfil e criação de inferências para o que você pode pensar e que pode ser feito para dados pessoais) são obrigadas a assar privacidade em todas as tecnologias e / ou processos que eles criam e, muito importante, definir opções amigáveis ​​à privacidade como padrão. Não há exceções a esta obrigação. A proteção de dados por design e por padrão (DPbD) deve ser implementada independentemente de os dados pessoais serem obtidos com base em uma opção de consentimento, uma desativação, uma obrigação legal de coletar os dados. Não importa. Todos os usos de dados pessoais devem ser baseados em DPbD. Confira o artigo 25 GDPR .

2. As avaliações de impacto da proteção de dados são obrigatórias para processamento em larga escala e outras complexas

Todas as organizações envolvidas em qualquer tipo de uso de dados sensíveis, complexos ou de grande porte devem realizar uma Avaliação de Impacto de Proteção de Dados (DPIA) antes de prosseguir. Pense nas agora comuns Avaliações de Impacto Ambiental (EIA). O DPIA é exatamente como um EIA, mas em vez do impacto de um projeto no meio ambiente, mede o impacto de um projeto usando dados pessoais sobre todos os direitos dos indivíduos envolvidos, desde a liberdade de expressão até a privacidade, até a não discriminação. .Dependendo dos resultados da DPIA, salvaguardas devem ser trazidas para minimizar o impacto sobre os direitos, ou o projeto pode simplesmente ser parado se não houver maneira de minimizar os riscos. Mais uma vez, isso acontece independentemente de opt-ins, opt-outs, obrigações legais, outros motivos utilizados pelas organizações para coletar e usar os dados pessoais. Confira o artigo 35 GDPR .

3. Todo o tratamento de dados pessoais deve ser justo

Absolutamente todas as coletas e usos de dados pessoais devem ser justos e transparentes, independentemente do motivo para o processamento (opt-in, opt-out, obrigação legal, etc.). Esta é a regra número 1 relativa ao processamento de dados pessoais listados no GDPR ( consulte o Artigo 5 (1) (a) ) e a violação é sancionada com o nível mais alto de multas. Na prática, isso significa várias coisas, incluindo o fato de que as pessoas devem esperar que seus dados pessoais sejam coletados, usados ​​ou compartilhados da maneira como estão sendo coletados, usados ​​ou compartilhados.

4. Deve haver uma razão específica e bem definida para toda coleta ou uso de dados pessoais

Desde o início, e independentemente da justificação invocada por uma organização para processar dados pessoais (opt-in, opt-out, cumprimento de contrato etc.), a coleta desses dados pessoais, seja diretamente de indivíduos, observada ou inferida , deve ser feito apenas para fins específicos, explícitos e legítimos e apenas processado para esses fins, ou para fins compatíveis com eles. Este é o princípio da limitação de propósito. Na prática, isso significa que é ilegal coletar dados pessoais ” porque talvez algum dia eu encontre algo útil para fazer com ele” . O não cumprimento das obrigações de limitação de finalidade também aciona o nível mais alto de multas.

5. Os dados não relacionados com o propósito de processamento são ilegais

Somente os dados pessoais relevantes e limitados ao necessário para atingir o objetivo especificado podem ser coletados ou processados ​​de outra forma. Lançar uma rede para obter o máximo possível de dados pessoais, mesmo que não seja necessário para o propósito anunciado, é ilegal e, novamente, sancionado com o nível mais alto de multas. Esta regra aplica-se a todo o processamento de dados pessoais, mesmo àquelas atividades de processamento obrigatórias por lei, como o combate à lavagem de dinheiro.

6. A pessoa pode realmente fazer coisas relacionadas a como seus dados pessoais são manipulados

O indivíduo tem direitos bem definidos que permitem que ele faça muitas coisas para garantir que seus dados pessoais sejam processados ​​de forma justa e legal , como obter uma cópia dos dados pessoais que estão sendo processados ​​(independentemente de os dados pessoais serem processados ​​com base em consentimento, ou uma obrigação legal, ou qualquer outro motivo), apagando os dados pessoais não processados ​​legalmente, objetando o processamento de dados pessoais, mesmo para o processamento legal, em seus fundamentos particulares, ou iniciando processos judiciais contra qualquer processamento ilegal, com a possibilidade de reivindicar danos morais ou materiais.

7. Segurança de última geração é uma obrigação

Existe a obrigação de garantir medidas de segurança de última geraçãopara todo o processamento de dados pessoais, com pesadas multas por violações de dados. Confira o artigo 32 .

8. Existe alguém em cada organização envolvido em processamento complexo cujo trabalho é garantir que os dados pessoais sejam processados ​​de forma justa e legal

Todas as organizações que se envolvem em coleta e uso de dados complexos ou sensíveis ou em grande escala (isso abrange todos os Big Tech, mas também muitos outros) devem nomear um Diretor de Proteção de Dados , cujo trabalho como consultor independente é bem regulado e protegido pelo GDPR. Tecnicamente, o DPO é alguém especializado ou experiente em lei de proteção de dados ou que aplica a lei de proteção de dados, que aconselha o mais alto nível de gerenciamento sobre como coletar e usar dados pessoais de forma justa e legal. Confira os artigos 37 , 38 e 39 .

9. Os dados pessoais são seguidos pelo labirinto do fornecedor

O GDPR oferece garantias sólidas sobre como os dados pessoais são gerenciados pela cadeia de fornecedores e fornecedores de uma organização . Em particular, todos os fornecedores que processam dados pessoais em nome de uma organização precisam inserir contratos contratuais detalhados que os responsabilizem pela forma como protegem os dados pessoais que lhes são confiados. Os fornecedores também têm algumas obrigações estatutárias diretas, como manter o registro de atividades de processamento e nomear um encarregado de proteção de dados.

10. Todo o processamento de dados pessoais deve ser mantido em um Registro abrangente e atualizado

Todas as organizações que coletam e usam dados pessoais de qualquer forma têm a obrigação de acompanhar um registro de todos os dados pessoais que coletam e usam, com que finalidade, por quanto tempo, sobre quais categorias de indivíduos, com quem compartilham dados e outros detalhes como prescritos pelo artigo 30 GDPR , independentemente de se recolher em opt-in, opt-out, obrigações legais, cumprimento do contrato etc. As únicas organizações isentas desta obrigação são aquelas com menos de 250 funcionários e que apenas ocasionalmente processar dados pessoais. Mesmo aqueles devem ainda manter um registro se o processamento ocasional pode resultar em um alto risco para os direitos dos indivíduos ou envolve dados pessoais sensíveis.FONTE DO ARTIGO EM INGLÊS: HTTPS://MEDIUM.COM/@GZF/10-REASONS-WHY-THE-GDPR-IS-THE-OPPOSITE-OF-A-NOTICE-AND-CONSENT-TYPE-OF-LAW-BA9DD895A0F1

Interessantes reflexões, não é mesmo?

Não podemos fazer afirmações irrefutáveis sobre a Lei Geral de Proteção de Dados, uma vez que sequer está em vigor no Brasil e porque quando assim estiver teremos muitas interpretações jurisprudenciais sobre o tema, entretanto, temos que perceber e analisar o que já acontece com a lei em vigor Européia (quiçá como exemplo) para que nosso trabalho e análise fiquem mais compromissados com a verdade, aproveitando a experiência que os demais já passaram.

Vamos estudar!

 Seria só o consentimento suficiente na LGPD?
Facebook Twitter Google+ LinkedIn WhatsApp

Advogado Pós-GraduadoGerente jurídico por 4 anosMembro da comissão especial de Processo Eletrônico da OAB/RSMembro da comissão especial de Fiscalização e Ética Profissional da OAB/RSMembro da comissão permanente de Acesso a Justiça do Conselho Federal da OABImplanta gestão e softwares jurídicos desde 1997Sócio da Consultoria GustavoRochacom, inscrita no CRA/RS 003799/OPresta exclusivamente consultoria nas áreas de gestão, tecnologia, marketing jurídico e processo eletrônico.10 anos de consultoria direcionada em escritórios e departamentos jurídicos no Brasil e PortugalMais de 2000 artigos publicados no portal www.gustavorocha.com Canal no Youtube (gustavorochacom) com aulas, palestras e dicas práticasPalestrante e professor convidado de universidades e cursos de Pós-Graduação pelo país nas áreas de gestão, tecnologia, marketing jurídico e processo eletrônicoContato direto: gustavo@gustavorocha.com

Leave a Reply

%d blogueiros gostam disto: