LGPD: Por que o Consentimento pode ser a pior opção para justificar seu tratamento de dados pessoais?
O "Consentimento" talvez seja a opção mais conhecida para embasar e justificar seu tratamento de dados mas nem sempre é a melhor alternativa.
Outros temas relevantes para você:
Nos últimos anos, o tema de privacidade e proteção de dados tornou-se uma preocupação central em todo o mundo, impulsionada pelo aumento do uso da tecnologia e pela crescente conscientização sobre os direitos individuais. No contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, o consentimento é frequentemente apresentado como alternativa para o tratamento ético de dados pessoais. No entanto, muitas vezes esta pode ser a pior opção possível para sua organização.
Ao acompanhar este nosso blog, hoje você já deve saber que existem 10 bases legais para justificar um tratamento de dados na LGPD. Hoje, falaremos do “Consentimento”.
O consentimento é uma das bases legais para justificar o tratamento de dados pessoais sob a LGPD, a GDPR e outras regulamentações de privacidade em todo o mundo. Ele é definido como uma manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade específica.
Seja através da seleção de um checkbox ou o aceite aos termos de uso de um produto ou serviço, o titular informa que leu, compreendeu e aceitou livremente ao escopo do tratamento, sua duração, os parceiros envolvidos e à quantidade de dados a serem tratados.
Por que o “Consentimento” pode ser problemático?
Veremos a seguir algumas hipóteses para reflexão:
- O consentimento pode ser removido: Se você optou por esta base legal, precisa compreender de que o titular poderá remover seu consentimento a qualquer tempo e, sua empresa deverá honrar com esta solicitação. Isto significa que, ou a remoção é feita totalmente, ou deverá haver processos de anonimização de dados sendo executados. Se o seu tratamento depende dos dados pessoais estarem presentes, a remoção do consentimento poderá criar situações indesejáveis para seu negócio, impedindo-o de tratar dados deste indivíduo até que um novo evento seja registrado (ex. o usuário provê o consentimento novamente).
- Assimetria de Poder: Em muitos cenários, há uma assimetria significativa de poder entre o provedor de serviços e o titular dos dados. Isso pode resultar em situações em que o consentimento é solicitado de forma coercitiva ou manipuladora, tornando difícil para os titulares dos dados recusarem-se a fornecê-lo.
- Complexidade e Falta de Transparência: Os termos de consentimento frequentemente são apresentados em linguagem complexa e extensa, tornando difícil para os titulares dos dados entenderem completamente quais são os seus direitos e como seus dados serão utilizados. Isso leva à falta de transparência no tratamento de dados, que por si só já é uma violação aos princípios da LGPD.
- Falta de Alternativas Viáveis: Em muitos casos, os titulares dos dados não têm alternativas viáveis além de consentir com o tratamento de seus dados, especialmente em serviços essenciais como saúde, educação e emprego. Isso coloca em questão a genuinidade do consentimento obtido nessas circunstâncias.
- Incapacidade de Retirar o Consentimento: Embora a LGPD exija que o consentimento possa ser retirado a qualquer momento, na prática, isso nem sempre é fácil de fazer. Muitas vezes, as opções para retirar o consentimento são tão complicadas que acabam limitando efetivamente os direitos dos titulares dos dados.
- Responsabilidade Transferida para o Titular dos Dados: Ao colocar a responsabilidade no titular dos dados para consentir com o tratamento de seus dados, as regulamentações de privacidade transferem o ônus da proteção de dados das organizações para os indivíduos. Isso é injusto e não alinhado com os princípios de equidade e justiça na proteção da privacidade.
Alternativas ao Consentimento na LGPD
Em vez de confiar exclusivamente no consentimento, as organizações devem explorar outras bases legais mais transparentes – mesmo que às vezes mais complexas – para o tratamento de dados pessoais. Isso pode incluir o uso de bases legais como o interesse legítimo, a execução de contratos, o cumprimento de obrigações legais, a proteção de interesses vitais dos titulares dos dados ou o desempenho de tarefas de interesse público.
Importante ressaltar que a escolha equivocada da base legal pode também levar à multas. Como estudo de caso, vimos há alguns anos que a PwC foi multada pela Autoridade Grega por utilizar o Consentimento quando, na verdade, deveria ter utilizado a execução de contrato.
Assim, entendemos que é fundamental reconhecer que o consentimento nem sempre é a melhor opção para garantir a proteção da privacidade dos dados pessoais. Ao invés disso, as organizações devem adotar uma abordagem mais holística e responsável para o tratamento de dados, buscando alternativas que garantam transparência, equidade e respeito pelos direitos dos titulares dos dados. Somente assim poderemos construir um ambiente de negócios mais ético, onde a privacidade dos indivíduos seja verdadeiramente respeitada e protegida.
Como o DPO pode ajudar na escolha da efetiva base legal?
O Data Protection Officer (DPO) ou o Encarregado pelo Tratamento de Dados Pessoais é um profissional especializado em privacidade que possui papel extremamente relevante no desenvolvimento de uma cultura de privacidade e por ser um consultor interno da organização em todos os assuntos relacionados.
Sua equipe deverá prover os insumos e as explicações necessárias para um determinado tratamento para que o DPO possa validar o enquadramento à LGPD.
E lembre-se, é recomendável redigir o RIPD – Relatório de Impacto à Proteção de Dados Pessoais, antes mesmo que o tratamento dos dados pessoais seja iniciado, justamente para que seja possível avaliar, de antemão, as possíveis ameaças associadas a esse tratamento e definir planos de ação para mitigar e minimizar os eventuais riscos.
LGPD, DPO, Tratamento de Dados: Boas práticas!
Em resumo, garantir a segurança e privacidade dos dados é uma preocupação crítica para qualquer empresa na atualidade.
A contratação de suporte de uma consultoria especializada pode fornecer às empresas as orientações necessárias para melhorar as posturas em relação à conformidade com as leis e regulamentações, bem como para minimizar riscos e exposições provenientes de seus processos e tratamentos de dados.
A privacidade e proteção de dados é uma atividade constante. E ela começa em você.
Se você precisa de um suporte especializado na área, entre em contato conosco agora!
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamento EXIN PDPE
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- ACADEMIA LGPD: Treinamentos "learning pills" de conscientização para a Lei Geral de Proteção de Dados e Cibersegurança.
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos e processos
- Terceirização de serviços e times
DPO AS A SERVICE
- Encarregado como Serviço (DPO-as-a-Service)
- Centro de Serviços Compartilhados para a LGPD e times de suporte
- Operação Assistida para seu DPO interno - Assessoria e Consultoria para a LGPD
- Data Mapping
- Mapeamento de Processos
- Gestão de Projetos e Riscos
- Serviços de Cybersecurity
- Revisão de Cláusulas Contratuais para a LGPD
- DPIA, DPA, ROPA
- Suporte à GDPR