Um dos grandes debates sobre a Lei Geral de Proteção de dados é a questão do consentimento e muitas pessoas estão afirmando que basta criar métodos, meios para exercer a ideia de consentimento que tudo seria resolvido perante a lei.
Será mesmo?
A profissional de privacidade americana Gabriela Zanfir-Fortuna escreveu um artigo com 10 tópicos que desmentem esta realidade vendida como certa por aqui no Brasil.
Divido os 10 pontos em português e logo abaixo informo a origem em inglês com artigo completo:
1. Proteção de Dados por Design e por Default é uma obrigação legal
Todas as organizações, públicas ou privadas, que tocam dados pessoais (“processamento” no GDPR significam qualquer coisa desde a coleta ao armazenamento, criação de perfil e criação de inferências para o que você pode pensar e que pode ser feito para dados pessoais) são obrigadas a assar privacidade em todas as tecnologias e / ou processos que eles criam e, muito importante, definir opções amigáveis à privacidade como padrão. Não há exceções a esta obrigação. A proteção de dados por design e por padrão (DPbD) deve ser implementada independentemente de os dados pessoais serem obtidos com base em uma opção de consentimento, uma desativação, uma obrigação legal de coletar os dados. Não importa. Todos os usos de dados pessoais devem ser baseados em DPbD. Confira o artigo 25 GDPR .
2. As avaliações de impacto da proteção de dados são obrigatórias para processamento em larga escala e outras complexas
Todas as organizações envolvidas em qualquer tipo de uso de dados sensíveis, complexos ou de grande porte devem realizar uma Avaliação de Impacto de Proteção de Dados (DPIA) antes de prosseguir. Pense nas agora comuns Avaliações de Impacto Ambiental (EIA). O DPIA é exatamente como um EIA, mas em vez do impacto de um projeto no meio ambiente, mede o impacto de um projeto usando dados pessoais sobre todos os direitos dos indivíduos envolvidos, desde a liberdade de expressão até a privacidade, até a não discriminação. .Dependendo dos resultados da DPIA, salvaguardas devem ser trazidas para minimizar o impacto sobre os direitos, ou o projeto pode simplesmente ser parado se não houver maneira de minimizar os riscos. Mais uma vez, isso acontece independentemente de opt-ins, opt-outs, obrigações legais, outros motivos utilizados pelas organizações para coletar e usar os dados pessoais. Confira o artigo 35 GDPR .
3. Todo o tratamento de dados pessoais deve ser justo
Absolutamente todas as coletas e usos de dados pessoais devem ser justos e transparentes, independentemente do motivo para o processamento (opt-in, opt-out, obrigação legal, etc.). Esta é a regra número 1 relativa ao processamento de dados pessoais listados no GDPR ( consulte o Artigo 5 (1) (a) ) e a violação é sancionada com o nível mais alto de multas. Na prática, isso significa várias coisas, incluindo o fato de que as pessoas devem esperar que seus dados pessoais sejam coletados, usados ou compartilhados da maneira como estão sendo coletados, usados ou compartilhados.
4. Deve haver uma razão específica e bem definida para toda coleta ou uso de dados pessoais
Desde o início, e independentemente da justificação invocada por uma organização para processar dados pessoais (opt-in, opt-out, cumprimento de contrato etc.), a coleta desses dados pessoais, seja diretamente de indivíduos, observada ou inferida , deve ser feito apenas para fins específicos, explícitos e legítimos e apenas processado para esses fins, ou para fins compatíveis com eles. Este é o princípio da limitação de propósito. Na prática, isso significa que é ilegal coletar dados pessoais ” porque talvez algum dia eu encontre algo útil para fazer com ele” . O não cumprimento das obrigações de limitação de finalidade também aciona o nível mais alto de multas.
5. Os dados não relacionados com o propósito de processamento são ilegais
Somente os dados pessoais relevantes e limitados ao necessário para atingir o objetivo especificado podem ser coletados ou processados de outra forma. Lançar uma rede para obter o máximo possível de dados pessoais, mesmo que não seja necessário para o propósito anunciado, é ilegal e, novamente, sancionado com o nível mais alto de multas. Esta regra aplica-se a todo o processamento de dados pessoais, mesmo àquelas atividades de processamento obrigatórias por lei, como o combate à lavagem de dinheiro.
6. A pessoa pode realmente fazer coisas relacionadas a como seus dados pessoais são manipulados
O indivíduo tem direitos bem definidos que permitem que ele faça muitas coisas para garantir que seus dados pessoais sejam processados de forma justa e legal , como obter uma cópia dos dados pessoais que estão sendo processados (independentemente de os dados pessoais serem processados com base em consentimento, ou uma obrigação legal, ou qualquer outro motivo), apagando os dados pessoais não processados legalmente, objetando o processamento de dados pessoais, mesmo para o processamento legal, em seus fundamentos particulares, ou iniciando processos judiciais contra qualquer processamento ilegal, com a possibilidade de reivindicar danos morais ou materiais.
7. Segurança de última geração é uma obrigação
Existe a obrigação de garantir medidas de segurança de última geraçãopara todo o processamento de dados pessoais, com pesadas multas por violações de dados. Confira o artigo 32 .
8. Existe alguém em cada organização envolvido em processamento complexo cujo trabalho é garantir que os dados pessoais sejam processados de forma justa e legal
Todas as organizações que se envolvem em coleta e uso de dados complexos ou sensíveis ou em grande escala (isso abrange todos os Big Tech, mas também muitos outros) devem nomear um Diretor de Proteção de Dados , cujo trabalho como consultor independente é bem regulado e protegido pelo GDPR. Tecnicamente, o DPO é alguém especializado ou experiente em lei de proteção de dados ou que aplica a lei de proteção de dados, que aconselha o mais alto nível de gerenciamento sobre como coletar e usar dados pessoais de forma justa e legal. Confira os artigos 37 , 38 e 39 .
9. Os dados pessoais são seguidos pelo labirinto do fornecedor
O GDPR oferece garantias sólidas sobre como os dados pessoais são gerenciados pela cadeia de fornecedores e fornecedores de uma organização . Em particular, todos os fornecedores que processam dados pessoais em nome de uma organização precisam inserir contratos contratuais detalhados que os responsabilizem pela forma como protegem os dados pessoais que lhes são confiados. Os fornecedores também têm algumas obrigações estatutárias diretas, como manter o registro de atividades de processamento e nomear um encarregado de proteção de dados.
10. Todo o processamento de dados pessoais deve ser mantido em um Registro abrangente e atualizado
Todas as organizações que coletam e usam dados pessoais de qualquer forma têm a obrigação de acompanhar um registro de todos os dados pessoais que coletam e usam, com que finalidade, por quanto tempo, sobre quais categorias de indivíduos, com quem compartilham dados e outros detalhes como prescritos pelo artigo 30 GDPR , independentemente de se recolher em opt-in, opt-out, obrigações legais, cumprimento do contrato etc. As únicas organizações isentas desta obrigação são aquelas com menos de 250 funcionários e que apenas ocasionalmente processar dados pessoais. Mesmo aqueles devem ainda manter um registro se o processamento ocasional pode resultar em um alto risco para os direitos dos indivíduos ou envolve dados pessoais sensíveis.
FONTE DO ARTIGO EM INGLÊS: HTTPS://MEDIUM.COM/@GZF/10-REASONS-WHY-THE-GDPR-IS-THE-OPPOSITE-OF-A-NOTICE-AND-CONSENT-TYPE-OF-LAW-BA9DD895A0F1
Interessantes reflexões, não é mesmo?
Não podemos fazer afirmações irrefutáveis sobre a Lei Geral de Proteção de Dados, uma vez que sequer está em vigor no Brasil e porque quando assim estiver teremos muitas interpretações jurisprudenciais sobre o tema, entretanto, temos que perceber e analisar o que já acontece com a lei em vigor Européia (quiçá como exemplo) para que nosso trabalho e análise fiquem mais compromissados com a verdade, aproveitando a experiência que os demais já passaram.
Vamos estudar!