Bom Dia LGPD

Legítimo interesse é tabu para você?

#bomdialgpd


Em alguns projetos implementamos uma atividade de 'caçadores de mitos' para evitar que a organização fique gastando energia em temas que não são prioritários, o alguns que ainda resistem são 'a multa de 50 milhões', 'a ANPD batendo na porta' e 'o consentimento para tudo'. O problema não está na multa, nem a ANPD e nem o consentimento, mas no uso exagerado, oportunista, errado e desproporcional que se faz deles.


Compliance é a interseção entre as exigências legais e regulatórias e as regras de negócio.


Todos os temas e impactos de um programa de compliance precisam ser avaliados com a devida amplitude e profundidade de maneira que apoie as decisões a serem tomadas pela alta administração. Diferente de muitas outras leis e regulamentos, a LGPD tem todo o potencial para ser abordada de forma positiva com abordagem das oportunidades e inovação decorrentes da conformidade.


Um tema que tem causado debates e polêmica é o legítimo interesse, entendo que pela própria essência este assunto deve ser visto pelo lado do negócio.

Se uma operação de tratamento de dados pessoais não é relevante e tem sua hipótese de tratamento classificada como legítimo interesse, ela é candidata à extinção (minimização). Mas se a operação é relevante para a empresa (como o caso da gestão de prospects e leads), ela deve ser tratada com atenção, até para incluir a abordagem positiva do uso da LGPD como instrumento da experiência do cliente (CX - customer experience).


Alguns pontos para a boa gestão das operações de tratamento de dados pessoais:


  • Avaliar a relevância e consultar a área de negócio se realmente vale à pena sua manutenção;
  • Desenhar o contexto (objetivos, princípios da LGPD, áreas, processos, tipos de dados, tipos de titulares, sistemas, dados em papel, contratos, agentes de tratamento, infra estrutura de TI, ...), se possível em forma de fluxograma ou BPMN;
  • No contexto é importante identificar se todos dados pessoais são realmente necessários para o objetivo;
  • Aplicar um teste de equilíbrio entre o controlador e o titular, conhecido como LIA - Legitimate Interests Assessment, acho muito bom o template disponibilizado pelo ICO - Information Commissioner's Office, regulador do Reino Unido;
  • Caso o LIA ainda deixe dúvidas vale fazer um Relatório de Impacto preventivo, a Secretaria de Governo Digital do Ministério da Economia tem um bom modelo;
  • Mais dois aspectos: 1. Os titulares podem ser classificados por faixa de risco, 2. As bases classificadas como legítimo interesse costumam ter muitos dados de titulares que não interessam (como concorrentes por exemplo) e que não trazem resultado comercial, é mais uma oportunidade para minimizar.


Em casos de lista de prospects, por exemplo, vale eliminar os dados pessoais desnecessários, eles fazem gastar recursos sem resultados e ao mesmo tempo estão submetidos às exigências da LGPD. Minimize!


Legítimo interesse é um tema muito rico na LGPD e assunto para diversos debates.


Bom fim de semana.


Obrigado,


Abraço,


FNery


Comentários:


LIA no ICO: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/


RIPD na SGD: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd

(Art 10) Legítimo Interesse
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato