#bomdialgpd
O assunto de hoje tem seu aspecto polêmico, o importante é utilizar as diferentes opiniões para tomar sua decisão baseada na avaliação de riscos.
decisão baseada na avaliação de riscos
Classificar a hipótese de tratamento (popularmente chamada de base legal) em uma operação de tratamento de dados é um dos aspectos mais complexos na conformidade com a LGPD. Entendo que para uns 2/3 das operações, esta definição é razoavelmente simples e consensual. O caso fica mais difícil em especial quando há o consentimento e o legítimo interesse.
Utilizando um exemplo recorrente, no caso de uma base para prospecção de clientes (que precisam ser tratados como titulares) é importante haver uma forte reflexão conjunta por uma equipe multidisciplinar composta por profissionais de TI, segurança, jurídico, marketing e vendas, no final, considerando os diferentes pontos de vista, toma-se a decisão de negócios baseada na avaliação de riscos. É comum que o jurídico seja mais conservador, apontando para o consentimento, e a área de negócios seja mais ousada, apontando para o legítimo interesse.
Há uma diferença com relação ao histórico de tratamento dos registros destas bases pela área de marketing e vendas, há duas situações limites:
- Melhores casos em organizações que mantém os dados pessoais organizados em sistemas de CRM, com o histórico de relacionamento com os clientes / titulares e até consentimento (herdado das primeiras providências para combate ao spam);
- Casos de relacionamento com clientes/titulares feito a partir de sistemas heterogêneos, planilhas, email e serviços de internet, sem controle e nem histórico de relacionamento nem consentimento, algumas vezes este tipo de base é turbinada por bases de clientes adquiridas de fontes duvidosas.
Para tomar a decisão é importante que a situação esteja clara, como tudo sobre a mesa, sem esconder por exemplo que determinadas bases foram compradas ou capturadas por robôs.
De qualquer forma, quando estivermos de frente com este tipo de desafio, é importante organizar a base conforme seu conteúdo. É comum que as bases para marketing possam ser divididas em diferentes operações de tratamento de dados pessoais conforme mostra o desenho:
Neste caso, a mesma base tem seus dados avaliados e separada em diferentes operações conforme a situação de cada titular:
- Consentimento - titulares que forneceram o consentimento conforme a LGPD (esta base tende a crescer;
- Legítimo Interesse Risco Baixo - titulares que mantenham relação com a organização, recebam comunicados há muito tempo, se inscrevam ou curtam as redes sociais, preencham formulários, visitem o site, se inscrevam em eventos, baixem documentos e outras interações;
- Legítimo Interesse Risco Médio - similar ao risco baixo, porém com menos registros de interação;
- Risco Alto - clientes/titulares sem relação há algum tempo, coletadas por robôs ou obtidas em fontes indefinidas ou suspeitas. Estes registros tendem a ser descartados.
(Atualização: em qualquer situação é essencial dar ao titular a opção de descadastramento por meio do recurso opt-out)
No final é uma questão de avaliação de risco e decisão da forma de tratamento. Estas bases devem ser alvo de atenção, devem estar bem administradas, classificadas, protegidas, auditadas, minimizadas, e devem ser alvo de avaliações do tipo LIA - Legitimate Interests Assessment e a emissão de um Relatório de Impacto.
O assunto não se encerra aqui, o importante é haver a identificação e classificação destas bases e decisão baseada em risco.
Falamos um pouco mais sobre este assunto na live LIA - Legitimate Interests Assessment que também tem apresentações do Dr Gilberto e da Isabella.
No dia 12 participarei com o Dr Gilberto Martins e meu sócio Alberto Bastos da live 'Governança em Privacidade e o Escritório do DPO', fique à vontade para se inscrever e divulgar para sua equipe. Até lá.
Obrigado,
Abraço,
FNery
