Bom Dia LGPD

Consentimento: Ser ou não ser

#bomdialgpd


To be or not to be, thats the question - William Shakespeare em Hamlet


No início das discussões sobre a LGPD no Brasil, era comum a visão de que o consentimento seria necessário para qualquer operação de tratamento de dados pessoais, com o tempo e a maturidade este assunto tem sido pacificado. Não se trata de obter ou não o consentimento, mas de classificar a hipótese de tratamento correta para cada operação de tratamento de dados pessoais.


Um exemplo: a portaria de visitantes em uma organização precisa fazer o registro dos visitantes que entram na organização por questão de segurança, tanto enquanto a pessoa esteja dentro da organização quanto para o caso de apurar ocorrências, se neste caso a hipótese de tratamento seja o consentimento, o visitante pode revogar o consentimento na saída e inviabilizar a rastreabilidade, desta forma deve ser avaliada a hipótese de tratamento adequada, por exemplo: cumprimento à lei ou regulamentação (Art 7 II), atendimento a contrato (Art 7 V) ou legítimo interesse (Art 7 IX, Art 10).


Não há dicotomia entre 'consentimento' ou 'não consentimento', ele é uma das hipóteses de tratamento.


Ainda neste exemplo, a hipótese de tratamento não está sozinha, é necessário atender a outros requisitos da LGPD como:


  • Descrever o contexto da operação de tratamento de dados pessoais, sua finalidade e seu ciclo de vida;
  • Avaliar sobre outras classificações de hipóteses de tratamento no caso de dados pessoais de crianças, sensíveis (Art 11), ou caso haja transferência internacional;
  • Refletir sobre o mínimo necessário (Art 6 III) de dados coletados;
  • Definir o tempo de retenção (Art 15, 16) dos dados pessoais;
  • Avaliar a possibilidade de anonimização (Art 12);
  • Tomar as providências caso haja transferência internacional (Art 33-36);
  • Avaliar a necessidade de fazer um relatório de impacto (Art 38 e outros);
  • Tomar as providências caso haja o envolvimento de outros agentes de tratamento (Art 39);
  • Implementar os recursos de segurança da informação (Art 46-49);
  • Incluir o assunto nas políticas internas (Art 50).

Esta é uma lista genérica, ainda no assunto consentimento valem os destaques:


  1. Muitas organizações já tratavam o consentimento alguns anos antes da LGPD devido à necessidade de tratar SPAM ou de atender a leis, regulamentos ou boas práticas;
  2. Existem sistemas de automatização de marketing que tratam muito bem o consentimento na comunicação com o mercado;
  3. A publicação da ANPD, 'Tratamento de Dados Pessoais pelo Poder Público', traz importantes observações sobre o consentimento no poder público, com destaque para o texto '... em muitas ocasiões, o consentimento não será a base legal mais apropriada para o tratamento de dados pessoais pelo Poder Público ...'.


Para concluir repito o primeiro parágrafo: Não se trata de obter ou não o consentimento, mas de classificar a hipótese de tratamento correta para cada operação de tratamento de dados pessoais.


Obrigado,


Abraço,


FNery

(Art 08) Consentimento (Art 07) Hipóteses Legais
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato