Os princípios da GDPR que inspiraram a nova proposta de lei brasileira

Como a GDPR inspirou a nova lei brasileira de privacidade – PLC 53/2018

Você já deu uma lida no nosso primeiro artigo falando sobre a GDPR? A norma de proteção de dados entrou em vigor este ano na União Europeia e está trazendo com ela uma movimentação global sobre o tema.

No Brasil, por exemplo, o Senado acaba de aprovar a PLC 53/2018. A proposta de lei, que aparece para regulamentar o tratamento de dados pessoais no nosso país, segue agora para sanção presidencial. Mas o mais interessante é que o texto brasileiro foi inspirado na regulamentação europeia.

Ou seja, nesse clima de expectativa por algo bem semelhante no Brasil, temos mais do que um motivo para querer entender melhor os princípios da GDPR para quem lida com os dados pessoais. Partiu?

#1 Processamento legal, justo e transparente

O primeiro princípio que vamos comentar é um dos mais importantes trazidos pela nova legislação europeia, que também reflete na PLC 53/2018. Segundo ele, os dados pessoais devem ser processados de maneira legal, justa e transparente.

Isso quer dizer que, para uma empresa ou organização processar dados, ela deve ter uma base legal atrás dessa ação. Ou seja, ela precisa estar de acordo com as condições especificadas pela lei. E a GDPR apresenta esses requisitos com muita clareza.

Por exemplo, uma empresa tem o poder de processar dados do usuário se:

  • O consentimento do usuário é dado ao processador;
  • O processamento é necessário para a performance de um contrato com o usuário ou para início de uma relação contratual;
  • O processamento é necessário para estar em concordância com uma obrigação legal;
  • O processamento é necessário para proteger os interesses vitais do usuário ou outra pessoa;
  • O processamento é necessário para a performance de uma tarefa desempenhada visando o interesse público ou no exercício de uma autoridade oficial;
  • O processamento é necessário para propósitos de interesses legítimos da empresa controladora ou terceiro, exceto quando tais interesses forem substituídos por interesses, direitos ou liberdades dos usuários.

Mas o que isso significa, na prática?

No caso dos serviços online – em que as empresas geralmente utilizam cookies para melhorar a navegação dos usuários – o primeiro requisito, de consentimento, é sempre utilizado.

Nesse sentido, pela GDPR “consentir” significa ter do usuário a permissão para que aqueles dados sejam utilizados. Essa autorização deve ser concedida pela pessoa de forma livre, específica e não ambígua. Isto é: as organizações não podem se valer de um consentimento generalizado para fazer uso de informações pessoais de um usuário para quaisquer fins que achar necessários.

A transparência, por sua vez, também é um dos requisitos deste princípio. Logo, para manipular as informações pessoais de um usuário, a empresa precisa não só ter um motivo legal e justo para essa demanda.

Ela, ainda, deve informar a pessoa de que seus dados de navegação serão monitorados durante uma visita em seu site e que, caso vinculados com nome, e-mail, registros de redes sociais, entre outros, essas informações poderão ser utilizadas para aperfeiçoar a experiência de navegação do site, por exemplo, tornando-se, assim, um dado pessoal.

Portanto, é sempre importante deixar claro para o usuário que ele pode retirar esse consentimento – isto é, dar “opt-out” – a qualquer momento que desejar. Dessa forma, ele terá seus dados descadastrados e desvinculados da base da empresa.

#2 Finalidade específica, explícita e legítima

Bem semelhante ao primeiro princípio, o segundo diz que os dados devem ser coletados para fins específicos, explícitos e legítimos. Desta forma, a empresa que possui informações de um usuário não pode usá-las para fins diversos daqueles que foram informados ao usuário. Esse princípio foi incorporado na PLC 53/2018 no art. 6º, inciso I.

Isso significa que para utilizar esses dados em qualquer nova ação, a organização precisa enviar uma nova solicitação de consentimento explícito. Ou seja, se seu usuário aceitou receber notificações push pelo desktop, por exemplo, mas sua empresa deseja enviar mensagens para ele via Messenger, ela deverá pedir novamente a autorização do usuário, mesmo que já tenha acesso aos seus dados de contato.

#3 Coleta mínima e adequada

O terceiro princípio da GDPR, bem como o art. 6º, incisos II e III  da PLC 53/2018, definem que os dados devem ser adequados ao seu propósito e coletados de forma mínima. Sendo assim, as empresas só devem coletar os dados necessários para fornecer o serviço solicitado pelo usuário.

Por exemplo: não faz sentido uma empresa solicitar o RG ou CPF de um visitante do site apenas para coletar seus dados de navegação. Afinal, esses registros não são necessários para essa finalidade.

#4 Atualização e fidelidade

O quarto princípio da GDPR, incorporado pela lei brasileira no art. 6º, V, por sua vez, estabelece que os dados devem estar atualizados e corretos. Ou seja, quem recolhe esses dados do visitante deve encontrar maneiras de permitir que os usuários possam corrigi-los e/ou atualizá-los sempre que necessário.

#5 Prazo de manutenção da base

Outro ponto importante é que essas informações não podem ser coletadas e permanecerem na base da empresa por tempo indeterminado. Isso quer dizer que tais dados não devem ser mantidos por mais tempo do que o necessário. É o que estipula o quinto princípio da GDPR e a PLC 53/2018 em seu art. 15, I.

As empresas, portanto, devem sempre verificar por quanto tempo esses dados são relevantes para justificar sua manutenção na base. Dessa forma, é possível especificar para o visitante que, após determinado período, tais informações pessoais serão apagadas do sistema.

#6 Segurança

O sexto princípio da GDPR, adotado pela lei brasileira em seu art. 6º, VII, fala que os dados devem ser processados de maneira que garanta sua segurança. As empresas precisam, portanto, investir em servidores com alto nível de proteção, com criptografia e demais métodos específicos de segurança de dados e, desse modo, garantir ao usuário que o risco de que tais dados sejam expostos seja baixíssimo.

#7 Compliance

Por fim, o último princípio da regulamentação europeia diz que o controlador – isto é, a empresa que recolhe e processa os dados de seus visitantes – deve estar de acordo com os princípios da lei.

Consequências

Entendendo a GDPR dá para ter uma ideia melhor do que esperar da nova lei brasileira, né? Afinal, em breve, quem manipula dados sem autorização, além de mandar uma mensagem negativa e desrespeitar os direitos dos usuários, ainda correrá sérios riscos legais, podendo perder toda a sua base.

Aqui, na Social Miner, sempre prezamos pela experiência do consumidor, tratando os usuários de forma ética e justa. Por isso, cada uma das nossas empresas parceiras tem sua própria base, que não é compartilhada e atualizamos nossa política de privacidade e cookies para garantir os direitos de todos os usuários e clientes.

Vem experimentar nossa plataforma 🙂

Quero!

Comments

comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *