Opinião & Análise

Proteção de Dados

A importância de definir bases legais apropriadas em projeto de adequação à LGPD

Estruturar um projeto de adequação à LGPD é um processo minucioso e complexo

Crédito: Pixabay

Agosto de 2020 se aproxima, acompanhado da vigência da tão comentada Lei Geral de Proteção de Dados (LGPD)[1]. Se por um lado muitas empresas já estão com projetos de adequação à lei em curso, por outro, é notório a disseminação de informações, por vezes desacertadas, acerca da LGPD.

Entretanto, como seria natural, ainda há muita confusão acerca de alguns temas relativos ao assunto, até mesmo porque a ANPD (Agência Nacional de Proteção de Dados) sequer foi constituída, e caberá justamente à Agência dispor sobre assuntos os quais o legislador quedou-se inerte.

Um dos temas muito discutidos é a definição de bases legais durante a implementação de programas de adequação.  Após mapear os dados, é necessário que o departamento jurídico aponte qual (ou quais) as bases legais mais convenientes para que o tratamento dos dados aconteça da maneira mais acertada o possível.

A definição de bases legais é muito relevante, vez que, se for fixada equivocadamente, é capaz de enfraquecer todo o processo de adequação. Exemplo disso foi a recente aplicação de penalidade à uma das maiores empresas de auditoria do mundo, em virtude de ter designado base legal desacertada para tratamento de dados dos seus funcionários[2].

Nesse exemplo restou evidente que, independentemente do valor da multa, a maior repercussão, sem dúvidas, foi em relação à reputação da organização.

O caso supracitado ocorreu sob a égide do GDPR, o General Data Protection Regulation, e serve de exemplo para as empresas e organizações brasileiras por alguns motivos. Por ter sido fortemente inspirada na lei europeia, é natural que as diretrizes divulgadas pelas autoridades do velho continente servirão como base para a regulação no Brasil.

Apesar de ter sido inspirada no GDPR, a lei brasileira traz em seu bojo quatro hipóteses a mais em relação à lei europeia para bases legais que legitimam o tratamento de dados

Conforme já afirmado, as bases legais são o alicerce para o tratamento de dados, e apesar da LGPD apresentar dez hipóteses, observa-se com frequência uma ênfase muito grande em relação ao consentimento.

Presente também no GDPR, a referida base legal muitas vezes é tratada como uma das principais, ou até mesmo única hipótese prevista pela LGPD, mas a verdade é que o consentimento é apenas uma das dez hipóteses que legitimam o tratamento de dados.

Ainda, há que se observar que o consentimento pode ser um tanto quanto complexo como base legal a ser definida. Isso porque, primeiramente, ele precisa ser fornecido de maneira livre, informada e inequívoca pelo titular dos dados pessoais, e pode ser revogado a qualquer momento.

Além disso, obter o consentimento nos termos definidos pela LGPD pode exigir um esforço maior em relação aos métodos praticados atualmente, vez que os termos de uso genéricos e extensos estão vetados, assim como a ideia de adquirir consentimento do titular uma vez e utilizá-lo para um sem número de finalidades. O parágrafo 4º do artigo 8º da Lei é claro ao dispor:

“O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”

Portanto, o consentimento deve ser obtido de maneira transparente, e da especificidade para obtenção do mesmo advêm a necessidade da granularidade ao conquista-lo, ou seja: o usuário vai consentindo conforme a necessidade, e se for de seu interesse.

Especificidade das bases legais:

Conforme explanado, as bases legais previstas na LGPD vão muito além do consentimento. Observa-se que das nove hipóteses restantes, algumas só serão utilizadas em casos específicos. Exemplos disso são as hipóteses de tratamento de dados quando houver tutela da saúde, ou para proteção ao crédito.

Ainda, insta frisar que apesar de aparente imprecisão na redação da lei no que tange às bases legais, não é correto presumir que as mesmas sejam genéricas. Tem-se como exemplo o inciso IX do artigo 7º, que dispõe sobre os “interesses legítimos” do controlador ou de terceiro. Se à primeira leitura sobrevier a sensação de que a base pode ser utilizada como uma carta coringa, há que se analisar a questão com mais cuidado.

Isso porque, apesar da ausência de limitação em relação ao conceito de “interesse legítimo”, há a identificação de situações onde ele poderá ser observado. Portanto, isso não significa a possibilidade de ser aplicado em qualquer hipótese, sendo necessário observar se há propósito legítimo e a existência de uma situação concreta.

O artigo 10º aborda o legítimo interesse e determina que a situação concreta deve ser analisada, sem, contudo, limitar os casos concretos. Apenas exemplifica duas situações onde possa vir a ocorrer.

Sob a ótica do GDPR, o legítimo interesse consta como uma das seis bases legais para o processamento de dados pessoais. É diferente das outras bases, vez que não é centrada em um objetivo particular, mas possui o ônus de ser balanceada com a necessidade de processamento dos dados e os interesses, direitos e liberdades do indivíduo, levando em consideração as particularidades do caso concreto. Há que se verificar se existe o legítimo interesse por trás do processamento, se o processamento é necessário para aquele objetivo, e se o legítimo interesse é substituído pelos direitos, liberdades ou interesses do indivíduo[3].

A análise das bases legais para legitimar o tratamento dos dados é uma atividade que requer análise aprofundada do caso concreto, vez que a definição equivocada pode gerar prejuízos em diversos segmentos. Em estudo divulgado pela IBM restou comprovado que os gastos necessários para a recuperação de data breaches envolvem os custos ocultos, aqueles que correspondem à reputação, trabalho necessário para que os funcionários reparem as falhas, entre outros[4].

Portanto, certo é que o processo de adequação à lei é complexo, até porque envolve diversos setores e profissionais de diferentes expertises, e por isso é fundamental não negligenciar nenhum aspecto que o envolve.

————————————————————————————————

[1]Disponível em: [ http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm]

[2] Disponível em: [https://digitalcompliancehub.co.uk/2019/08/greek-dpa-v-pwc-highlights-consent-not-suitable-lawful-basis-for-employee-data/]

[3] Disponível em: [https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/what-is-the-legitimate-interests-basis/]

[4] Disponível em: [https://databreachcalculator.mybluemix.net/?cm_mc_uid=02720701470815716686897&cm_mc_sid_50200000=60498711572011216818&cm_mc_sid_52640000=99055171572011216834&_ga=2.240039619.1914617737.1572004983-563569912.1571668692}


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito