Pular para conteúdo

Base Legal para Processamento de Dados Pessoais sob GDPR com MVMCloud Analytics

Isenção de responsabilidade: este text foi escrita por analistas digitais, não por advogados.

O objetivo deste texto é explicar o que é uma base legal e qual você pode usar com o MVMCloud Analytics para estar em conformidade com o GDPR (General data Protection Regulation). Este trabalho vem de nossa interpretação da seguinte página da web da comissão de privacidade do Reino Unido: ICO. Não pode ser considerado como aconselhamento jurídico profissional. Portanto, como GDPR, essas informações estão sujeitas a alterações. GDPR também pode ser conhecido como DSGVO em alemão, BDAR em lituano, RGPD em espanhol, francês, italiano, português e LGPD no Brasil.

A regra de ouro do GDPR é que você precisa ter uma base legal para processar dados pessoais. Observe que é possível não processar dados pessoais com o MVMCloud Analytics. Quando você não coleta nenhum dado pessoal, não precisa determinar uma base legal e este texto não se aplica a você.

“Se nenhuma base legal se aplicar ao seu processamento, seu processamento será ilegal e violará o primeiro princípio.”

Fonte: ICO, com base no artigo 6º do RGPD.

Para processar dados pessoais no MVMCloud Analytics você precisa:

  1. Definir uma base legal;
  2. Documentar a sua escolha;
  3. Informar o seu visitante sobre isso em um aviso de privacidade.

Observe que, se você estiver processando dados de categoria especial (origem étnica, política, religião, filiação sindical…) ou dados de ofensas criminais; responsabilidades extras são aplicadas e não as detalharemos nesta texto.

Existem 6 bases legais diferentes, todas definidas no artigo 6 do texto oficial do GDPR:

  1. Consentimento: o titular dos dados deu consentimento ao tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  2. Contrato: o tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências a pedido do titular dos dados antes da celebração de um contrato;
  3. Obrigação legal: o tratamento é necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento está sujeito;
  4. Interesses vitais: o tratamento é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa;
  5. Função pública: o tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de uma autoridade pública;
  6. Interesses legítimos: o tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro; exceto quando tais interesses se sobreponham aos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam a proteção de dados pessoais, em particular quando o titular dos dados for uma criança.

Como você pode ver, a maioria deles não é aplicável ao MVMCloud Analytics. Como a ICO está mencionando em sua documentação:

“Em muitos casos, é provável que você tenha uma escolha entre usar interesses legítimos ou consentimento”.

Para fazer essa escolha, a ICO listou em seu site diferentes questões que você deve ter em mente:

  • Quem beneficia o processamento?
  • Os indivíduos esperariam que esse processamento ocorresse?
  • Qual é a sua relação com o indivíduo?
  • Você está em uma posição de poder sobre eles?
  • Qual é o impacto do processamento no indivíduo?
  • Eles são vulneráveis?
  • É provável que algumas das preocupações individuais se oponham?
  • Você pode interromper o processamento a qualquer momento, mediante solicitação?

Do nosso ponto de vista, “interesses legítimos” devem ser usados geralmente como:

  • Os benefícios de processamento para o proprietário do site e não para uma empresa terceirizada;
  • Um usuário espera ter os seus dados mantidos pelo próprio site;
  • O MVMCloud Analytics disponibiliza diversas funcionalidades para mostrar como os dados pessoais são tratados e como os usuários podem exercer os seus direitos;
  • Como os dados não são usados para criação de perfil, o impacto do processamento de dados pessoais é muito baixo.

Se você estiver processando dados pessoais que possam representar um risco para o usuário final, obter o consentimento é para nós a base legal correta.

Quais são os direitos que um titular de dados pode exercer?

Conforme a base legal que você escolher para o processamento de dados pessoais com o MVMCloud Analytics, seus usuários poderão exercer diferentes direitos de:

Informação Acesso Exclusão Portabilidade Contestação Retirar o consentimento
Interesses Legítimos X X X X
Consentimento X X X X X
  • Direito de ser informado: Seja qual for a base legal que você escolher, você precisa informar o seu visitante sobre isso no aviso de privacidade.
  • Direito de acesso: Conforme descrito no artigo 15.º do RGPD. O seu visitante tem o direito de acessar os dados pessoais que você está processando sobre ele. Você pode exercer seu direito diretamente na página “Ferramentas GDPR/LGPD” em seu MVMCloud Analytics;
  • Direito de exclusão: Significa que um visitante poderá solicitar que você apague todos os seus dados. Você pode exercer o direito de apagar diretamente na página “Ferramentas GDPR/LGPD” em seu MVMCloud Analytics;
  • Direito à portabilidade: Significa que você precisa exportar os dados que dizem respeito ao indivíduo em um formato legível por máquina e fornecer seus dados pessoais. Você pode exercer o seu direito diretamente na página “Ferramentas GDPR/LGPD” em seu MVMCloud Analytics;
  • Direito de contestação: Significa que o seu visitante tem o direito de recusar o tratamento dos seus dados pessoais. Para exercer esse direito, você precisa implementar o recurso de exclusão no seu site;
  • Direito de retirar o consentimento: Significa que o seu visitante pode retirar o consentimento a qualquer momento. Desenvolvemos um recurso para fazer exatamente isso. Você pode saber mais abrindo a página “Privacidade > Pedir consentimento” em seu MVMCloud Analytics;

Documentar a sua Escolha

Após escolher a base legal “Interesses legítimos” ou “Consentimento”, você terá algumas obrigações a cumprir. Conforme interpretação, “interesses legítimos” significa escrever mais documentação, “consentimento” significa uma abordagem mais técnica.

O que devo fazer se estiver processando dados pessoais com o MVMCloud Analytics com base em “Interesses legítimos?

A ICO fornece uma lista de verificação para “Interesses legítimos”, abaixo ressaltamos alguns pontos:

  • Verifique se os interesses legítimos são a base legal mais adequada
    Documente e justifique por que você escolheu esta base legal em particular.
  • Entenda a sua responsabilidade de proteger os interesses do indivíduo
    Você precisa tomar todas as medidas para proteger a privacidade e a segurança dos dados de seus usuários.
    Realize uma avaliação de interesses legítimos (LIA) e mantenha um registro dela para garantir que você possa justificar sua decisão. Este documento é composto por um conjunto de perguntas sobre essas 3 preocupações principais: 1) propósito, 2) necessidade, 3) equilíbrio.
  • Propósito
    1. Por que você deseja processar os dados – o que você está tentando alcançar?
    2. Quem se beneficia com o processamento? De que maneira?
    3. Existem benefícios públicos mais amplos para o processamento?
    4. Qual a importância desses benefícios?
    5. Qual seria o impacto se você não pudesse ir em frente?
    6. O uso dos dados seria antiético ou ilegal de alguma forma?
  • Necessidade
    1. Esse processamento realmente ajuda a aumentar esse interesse?
    2. É uma maneira razoável de fazer isso?
    3. Existe outra maneira menos intrusiva de obter o mesmo resultado?
  • Equilíbrio
    1. Qual é a natureza do seu relacionamento com o indivíduo?
    2. Algum dos dados é particularmente sensível ou privado?
    3. As pessoas esperariam que você usasse seus dados dessa maneira?
    4. Você está feliz em explicar isso a eles?
    5. É provável que algumas pessoas se oponham ou achem isso intrusivo?
    6. Qual é o possível impacto sobre o indivíduo?
    7. Qual o tamanho do impacto que isso pode ter sobre eles?
    8. Você está processando dados de crianças?
    9. Algum dos indivíduos é vulnerável de alguma outra forma?
    10. Você pode adotar alguma salvaguarda para minimizar o impacto?
    11. Você pode oferecer um formulário para exclusão de rastreamento?
    12. Identificar os interesses legítimos relevantes.
    13. Verifique se o processamento é necessário e se não há maneira menos intrusiva de obter o mesmo resultado.
    14. Realize um teste de equilíbrio e tenha certeza de que os interesses do indivíduo não se sobrepõem aos interesses legítimos.
    15. Use os dados dos indivíduos de maneiras que eles esperariam razoavelmente, a menos que você tenha um motivo muito bom.

O que devo fazer se estiver processando dados pessoais com o MVMCloud Analytics com base no “Consentimento”?

Como mencionado anteriormente, usar “Consentimento” em vez de “Interesses legítimos” é mais técnico, mas menos intenso em termos de documentação. Assim como para “interesses legítimos”, a ICO está fornecendo uma lista de verificação para “consentimento” que é dividida em 3 categorias principais: 1) Pedido de consentimento, 2) Registro de consentimento e 3) Gerenciamento de consentimento.

  1. Pedido de consentimento
    1. Verifique se o consentimento é a base legal mais apropriada para o processamento;
    2. Torne o pedido de consentimento proeminente e separado dos seus termos e condições;
    3. Peça às pessoas que optem por participar. Não use caixas pré-marcadas ou qualquer outro tipo de consentimento padrão;
    4. Use uma linguagem clara e simples que seja fácil de entender;
    5. Especifique por que você deseja os dados e o que fará com eles;
    6. Dê opções individuais ('granulares') para consentir separadamente para diferentes propósitos e tipos de processamento;
    7. Nomeie sua organização e quaisquer controladores de terceiros que contarão com o consentimento;
    8. Diga às pessoas que elas podem retirar seu consentimento;
    9. Assegure-se de que os indivíduos possam se recusar a consentir sem prejuízo;
    10. Evite fazer do consentimento uma pré-condição de um serviço;
    11. Se você oferece serviços online diretamente para crianças, peça consentimento apenas se tiver medidas de verificação de idade (e medidas de consentimento dos pais para crianças menores).
  2. Registro de consentimento
    1. Mantenha um registro de quando e como você obteve o consentimento do indivíduo;
    2. Mantenha um registro de exatamente o que você disse a eles na época.
  3. Gerenciamento de consentimento
    1. Revise regularmente os consentimentos para verificar se o relacionamento, o processamento e as finalidades não foram alterados;
    2. Tenha processos em vigor para atualizar o consentimento em intervalos apropriados, incluindo qualquer consentimento dos pais;
    3. Considere o uso de painéis de privacidade ou outras ferramentas de gerenciamento de preferências como uma boa prática;
    4. Facilite para que os indivíduos retirem seu consentimento a qualquer momento e divulgue como fazê-lo;
    5. Aja sobre retiradas de consentimento o mais rápido possível;
    6. Não penalize os indivíduos que desejam retirar o consentimento.

Informar o seu visitante sobre isso em um aviso de privacidade

Os avisos de privacidade são uma parte importante do processo GDPR.

Uma regra básica é que, se você não processar dados pessoais, não precisará mostrar nenhum aviso de privacidade. Mas se você estiver fazendo isso, como processar endereços IP completos, será necessário um aviso de privacidade no momento da coleta de dados. Observe que os dados pessoais também podem estar ocultos, por exemplo, em títulos de páginas ou URLs de páginas.

Aqui está uma tradução sobre o que a ICO diz sobre o aviso de privacidade:

Você deve fornecer informações aos indivíduos, incluindo: seus propósitos para processar seus dados pessoais, seus períodos de retenção para esses dados pessoais e com quem eles serão compartilhados. Chamamos isso de 'informações de privacidade'.”

Quando você coleta dados pessoais do indivíduo a quem se relaciona, deve fornecer informações de privacidade a eles no momento em que obtém seus dados.

Observe que um aviso de privacidade é diferente de uma política de privacidade.

O aviso de privacidade deve incluir:

  1. As razões pelas quais você está processando os dados pessoais;
  2. Por quanto tempo;
  3. Quem são as diferentes partes com as quais você vai compartilhá-los.

Portanto, qualquer que seja a base legal que você esteja usando ( consentimento explícito ou interesse legítimo ), você precisará ter um aviso de privacidade se coletar dados pessoais.

O MVMCloud Analytics possui um formulário integrado para pedir o consentimento do visitante no momento que ele chegar ao seu site. Esta é uma facilidade adicional que oferecemos, mas você pode optar por não usá-la e implementar o seu próprio formulário.

Pedido de consentimento