Bom Dia LGPD

Legítimo Interesse e o Negócio

#bomdialgpd


Implementar um projeto de conformidade com a LGPD é gerir conflitos de interesse, o primeiro deles vem com a própria entrada em vigor da lei que estabeleceu o conflito entre o titular, o controlador e ainda com a autoridade reguladora. Cabe ao projeto identificar e administrar estes interesses e adotar medidas que atendam a cada ator da melhor maneira. A boa notícia é que existem providências com as quais os interesses estão alinhados como a segurança cibernética, e estes casos são os que fortalecem o projeto.


A LGPD é uma só, mas tem diferentes interpretações, frameworks de boas práticas, publicações complementares, tecnologias e regras de negócios. Tudo isso é sensível ao contexto, uma afirmação pode ser correta para um caso e incorreta para outro.


Considero o legítimo interesse, junto com a minimização, o mais fascinante e multidisciplinar tema da proteção de dados pessoais, principalmente porque ele precisa estar alinhado à justificativa de negócio, e não se limita a interpretar a hipótese de tratamento de determinada operação, além disso ele permite construir um ambiente que viabiliza a sua classificação, o que soluciona muita demanda de tratamento de dados pessoais mas nem sempre se aplica a todo o escopo da operação de tratamento de dados pessoais.


construir o contexto para o legítimo interesse


Não acho que seja fácil, inclusive porque na maior parte das vezes é preciso construir em um terreno irregular. Para construir o contexto para o legítimo interesse, sugiro começar por uma operação de tratamento de dados pessoais relevante para a organização e seja feito um mini-projeto de LGPD, sugiro alguns passos:


  • Inventariar os componentes da operação de tratamento de dados: áreas, processos, sistemas, suportes de dados, agentes de tratamento e temas da LGPD aplicáveis;
  • Minimizar os dados pessoais em duas dimensões: reduzir os tipos de dados (se é uma base de email marketing por exemplo, os dados poderiam ser o nome e o email), e descartar dados pessoais com baixa consistência;
  • Realizar uma avaliação de segurança específica para o fluxo de dados e ciclo de vida da operação de tratamento de dados pessoais, em especial para o controle de acesso;
  • Aplicar um processo de LIA - Legitimate Interest Assessment, como no Brasil ainda não há uma recomendação oficial, recomendo o do ICO, agência reguladora do Reino Unido (link no primeiro comentário). O LIA é um pequeno framework para avaliar a adequação do legítimo interesse;
  • Após o LIA, caso seja necessário, realizar proativamente um Relatório de Impacto. No Brasil o Governo Federal publicou um modelo de boa qualidade (link no segundo comentário);
  • Após estes passos é possível reunir o time com conhecimento de LGPD com os representantes das regras de negócio para tomar a decisão corporativa.


Quem imaginou que este é um processo de gestão de riscos acertou, a gestão de riscos é um instrumento essencial na conformidade com a LGPD.

Esta é uma primeira visão, o tema legítimo interesse não se esgota aqui, e aparecerá em nossos artigos mais vezes.


Obrigado,


Abraço,


FNery


Comentários:


2. Guias da Secretaria de Governo Digital SGD/ME: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd


Desculpem, eu não tinha colocado os links. 1. LIA/ICO https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

(Art 10) Legítimo Interesse (Art 07) Hipóteses Legais
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato