• Every

VANTAGENS E DESVANTAGENS DAS HIPÓTESES LEGAIS DE CONSENTIMENTO E LEGÍTIMO INTERESSE NA PRÁTICA


A Lei Geral de Proteção de Dados Pessoais (LGPD) afeta indistintamente todos os setores da sociedade, seja no âmbito público ou privado. A referida lei estabeleceu uma série de hipóteses legais que permitem que uma pessoa física ou jurídica possa coletar e tratar dados pessoais.


Salienta-se que dentro de um projeto de adequação à Lei n° 13.709/18 (LGPD) existe, inicialmente, uma necessidade de realizar um mapeamento de dados, ou ainda um inventário, etapa fundamental para que a pessoa física ou jurídica tenha conhecimento de seu cenário atual com relação ao tratamento de dados pessoais em seus processos e atividades executadas no dia a dia.


Logo, esta atividade busca identificar todos os dados pessoais que são tratados e entender qual a origem, a base legal que respalda o tratamento destes dados, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas.


Conforme já mencionado, a referida Lei estabelece, de forma taxativa, as hipóteses para o tratamento dos dados pessoais, mais especificamente em seus artigos 7° e 11. O primeiro estabelece os requisitos para o tratamento de dados pessoais. Já o segundo, de forma mais específica, prevê as hipóteses de tratamento dos dados pessoais sensíveis, que por sua vez, são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, conforme conceitua o artigo 5°, inciso II da Lei.


Diante disto, há duas hipóteses de tratamento que estão previstas na Lei e chamam a atenção dos controladores e estudiosos, que são: o consentimento e o legítimo interesse. O primeiro, conforme o artigo 5°, inciso XII da LGPD significa que o titular dos dados pessoais deu consentimento para que o controlador utilize determinados dados. Vale salientar que este consentimento deve ser feito de forma livre, expressa e que o controlador deixe de forma clara quais são os dados que são utilizados e para qual finalidade, observando o princípio da necessidade.


Parece fácil, correto? Isto porque o consentimento seria a forma mais clara e irrefutável de fundamentar o tratamento dos dados pessoais, bem como o titular estaria, a princípio, assumindo os riscos por eventual mau uso que o controlador realizar, mas vale lembrar que o consentimento pode ser revogado pelo titular! Você sabia disso?


Contudo, a coleta de consentimento possui uma desvantagem para as empresas ou organizações, visto que a partir do momento em que há o consentimento do titular, quem recebe as informações se compromete como fiel depositário, sendo obrigado a guardar, proteger e mantê-las em um ambiente seguro para que seja possível mitigar os riscos de vazamento e exposição dos dados pessoais, tendo em mente que a LGPD prevê sanção em caso de irregularidade.


Portanto, o consentimento não permite que o controlador possa usar de forma indiscriminada os dados de seus clientes ou funcionários, mas, pode-se dizer que se trata de uma espécie de “certificado de autenticidade” de coleta, declarando que as informações foram prestadas de boa vontade pelo titular.


Já na base legal do legítimo interesse, o controlador pode utilizar os dados sem precisar do consentimento do titular dos dados baseando-se apenas no seu legítimo interesse, porém, neste caso, o risco é assumido integralmente pelo controlador de dados, em vez do titular. Salienta-se que este interesse deve ser bem claro e bem definido, bem como ter relação com a atividade da empresa ou com a proteção dos direitos do titular dos dados.


Segundo a LGPD, nem todo interesse do controlador é legítimo. Por isso, ao utilizar a base legal do legítimo interesse, o controlador precisa documentar todos os dados que coletou, além de demonstrar o motivo pelo qual utilizou esta base legal. Vale ressaltar que a própria lei estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar ao controlador o Relatório de Impacto para justificar o uso do legítimo interesse, conforme artigo 10, parágrafo 3° da Lei.


Diante do exposto, a utilização da base legal do consentimento é extremamente forte em caso de questionamento por parte da ANPD, isto porque, neste caso, o titular de dados concede o direito de o controlador utilizar seus dados pessoais, seguindo as regras e diretrizes da LGPD. No entanto, pode-se ter maior dificuldade em conseguir o consentimento, pois é necessário atenção para coletá-lo corretamente, além de poder ser revogado a qualquer momento por requerimento do titular dos dados.


Por outro lado, percebe-se uma certa facilidade em ser alcançado o legítimo interesse, tendo em vista não ser necessário envolvimento do titular. No entanto, a justificativa e a relação quanto ao uso desta hipótese legal, necessárias para se provar à ANPD, são de grande dificuldade de serem embasadas.


Salienta-se que nenhuma das bases legais que legitimam o tratamento de dados tem mais ou menos relevância em relação a qualquer uma das outras. Assim, o melhor a se fazer é uma análise caso a caso para identificar qual hipótese se adequa melhor à cada situação. Quanto a isso, existem empresas de consultoria, especializadas e que possuem um trabalho que se molda às necessidades do cliente.


Ficou com dúvida em qual base sua empresa deve usar? Entre em contato com nosso Time que sanaremos a sua dúvida.




Matheus Ferreira

Analista Jurídico da Every

default.png

Publicações acerca da aplicação prática e setorizada da proteção de dados pessoais

LGPD_selo_laranja_napratica_v01.png
LGPD_selo_laranja_naarea_v01.png

FALE CONOSCO

© 2020 by Every Cybersecurity and GRC