Pular para conteúdo

Base Legal para Processamento de Dados Pessoais sob LGPD com MVMCloud Analytics

Isenção de responsabilidade: este text foi escrita por analistas digitais, não por advogados.

O objetivo deste texto é explicar o que é uma base legal e qual você pode usar com o MVMCloud Analytics para estar em conformidade com a LGPD (Lei Geral De Proteção de Dados Pessoais. Este trabalho vem da nossa interpretação da seguinte página da web da LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Não pode ser considerado aconselhamento jurídico profissional. Portanto, como a LGPD, essas informações estão sujeitas a alterações. O MVMCloud Analytics também está em conformidade com a GPDR européia.

A LGPD foi criada para regulamentar o uso de dados das pessoas físicas, com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade, além de colocar o Brasil na lista de países que adotam políticas de boas práticas para o tratamento de dados pessoais.

Para isso, a lei trouxe conceitos, objetivos, princípios, direitos e regras para o tratamento de dados, o que a torna extensa e complexa.

A regra de ouro da LGPD é que você precisa ter uma base legal para processar dados pessoais. Observe que é possível não processar dados pessoais com o MVMCloud Analytics. Quando você não coleta nenhum dado pessoal, não precisa determinar uma base legal e este texto não se aplica a você.

Para processar dados pessoais no MVMCloud Analytics você precisa:

  1. Definir uma base legal;
  2. Documentar a sua escolha;
  3. Informar o seu visitante sobre isso em um aviso de privacidade.

Observe que, se você processar dados de categoria especial (origem étnica, política, religião, filiação sindical…) ou dados de ofensas criminais; responsabilidades extras são aplicadas e não as detalharemos nesta texto.

As bases legais da LGPD são hipóteses que autorizam o tratamento de dados. Em outras palavras, são condições determinadas pela Lei Geral de Proteção de Dados para que seja possível fazer a coleta de dados pessoais e o tratamento deles. Empresas que utilizam dados sem uma base legal adequada estarão infringindo a lei.

As bases legais foram embasadas no GDPR, um regulamento europeu sobre proteção de dados que também exige que empresas, organizações e órgãos públicos tenham bases legais para processar dados pessoais.

Existem 10 bases legais diferentes definidas na LGPD:

  1. Consentimento: o titular dos dados deu consentimento ao tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  2. Contrato: o tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências a pedido do titular dos dados antes da celebração de um contrato;
  3. Obrigação legal ou regulatória: o tratamento é necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento está sujeito;
  4. Órgão de pesquisa: órgãos, como o IBGE, poderão solicitar os dados das pessoas para utilização em mapeamento de índices, como por exemplo censo demográfico ou para estruturar um panorama das organizações do terceiro setor;
  5. Administração pública: o tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de uma autoridade pública;
  6. Interesses legítimos: o tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro; exceto quando tais interesses se sobreponham aos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam a proteção de dados pessoais, em particular quando o titular dos dados for uma criança;
  7. Proteção da vida: no caso de alguma ameaça à integridade física do titular ou de pessoa relacionada, é possível que seja requerido o fornecimento de certos dados;
  8. Tutela da saúde: por motivos de segurança é possível que venha a ser requisitado ao titular o compartilhamento de seus dados em situações envolvendo profissionais da saúde ou autoridades sanitárias;
  9. Exercício regular de direitos: poderá ser requerido ao titular o compartilhamento dos seus dados, em razão de processos em trâmite no Poder Judiciário ou com a Administração Pública ou, ainda, em situações que opta por utilizar a arbitragem;
  10. Proteção do crédito: tem o objetivo de evitar que o devedor utilize a proteção trazida pela LGPD para se esquivar do pagamento de dívidas.

Quais são os direitos que um titular de dados pode exercer?

Esta lista não é conclusiva, ressaltamos aqui os principais direitos que os seus usuários tem:

  1. Confirmação da existência de tratamento: O tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso e classificação. Por lei, o titular dos dados tem o direito de confirmar se uma organização realiza o tratamento de seus dados pessoais;
  2. Direito de acesso: Além de saber se a organização trata os seus dados pessoais, o titular também pode pedir acesso aos dados. Ou seja, é possível obter uma cópia dos dados pessoais que a organização possui em seus arquivos. Você pode exercer seu direito diretamente na página “Ferramentas GDPR/LGPD” em seu MVMCloud Analytics;
  3. Direito de exclusão: Significa que um visitante poderá solicitar que você apague todos os seus dados. Você pode exercer o direito de apagar diretamente na página “Ferramentas GDPR/LGPD” em seu MVMCloud Analytics;
  4. Direito à portabilidade: Significa que você precisa exportar os dados que dizem respeito ao indivíduo em um formato legível por máquina e fornecer seus dados pessoais. Você pode exercer o seu direito diretamente na página “Ferramentas GDPR/LGPD” em seu MVMCloud Analytics;
  5. Direito de contestação: Significa que o seu visitante tem o direito de recusar o tratamento dos seus dados pessoais. Para exercer esse direito, você precisa implementar o recurso de exclusão no seu site;
  6. Direito de retirar o consentimento: Significa que o seu visitante pode retirar o consentimento a qualquer momento. Desenvolvemos um recurso para fazer exatamente isso. Você pode saber mais abrindo a página “Privacidade > Pedir consentimento” em seu MVMCloud Analytics;
  7. Compartilhamento de dados: É direito do titular saber exatamente com quem o controlador está compartilhando seus dados. O MVMCloud Analytics não compartilha dados com terceiros, toda informação que seu site coletar não é processada fora dos servidores da MVMCloud;
  8. Correção dos dados: É o caso, por exemplo, de uma atualização de endereço, número de telefone ou estado civil. De forma geral, o MVMCloud Analytics não coleta este yipo de dado. Mas, caso você colete estes dados em um formulário no seu site e rastreie o seu preenchimento, tais dados serão capturados pelo MVMCloud Analytics. Para evitar que isto seja feito você pode mascarar conteúdos no seu site;

Documentar a sua Escolha

A empresa deve indicar pelo menos uma base legal, ou seja, uma hipótese para realizar o tratamento de dados pessoais. Antes de iniciar o processo de tratamento de dados pessoais, é importante realizar a documentação e indicar uma base legal para o princípio da finalidade. Se a finalidade mudar, a empresa deve reavaliar a base legal ou pode manter a base legal original somente se a nova finalidade for compatível com a finalidade inicial.

O que devo fazer se estiver processando dados pessoais com o MVMCloud Analytics com base em “Interesses legítimos?

Esta é uma sugestão nossa sobre o tratamento dos dados quando você escolher a base legal "Interesses legítimos", ressaltamos que este texto não é um aconselhamento jurídico realizado por um advogado, ele foi criado como uma orientação geral que deve ser submetida à apreciação de um advogado para lhe dar maior segurança jurídica.

Abaixo ressaltamos alguns pontos a serem obervados:

  • Verifique se os interesses legítimos são a base legal mais adequada
    Documente e justifique por que você escolheu esta base legal em particular.
  • Entenda a sua responsabilidade de proteger os interesses do indivíduo
    Você precisa tomar todas as medidas para proteger a privacidade e a segurança dos dados de seus usuários.
    Realize uma avaliação de interesses legítimos e mantenha um registro dela para garantir que você possa justificar a sua decisão. Este documento é composto por um conjunto de perguntas sobre essas 3 preocupações principais: 1) propósito, 2) necessidade, 3) equilíbrio.
    • Propósito
      1. Por que você deseja processar os dados – o que você está tentando alcançar?
      2. Quem se beneficia com o processamento? De que maneira?
      3. Existem benefícios públicos mais amplos para o processamento?
      4. Qual a importância desses benefícios?
      5. Qual seria o impacto se você não pudesse ir em frente?
      6. O uso dos dados seria antiético ou ilegal de alguma forma?
    • Necessidade
      1. Esse processamento realmente ajuda a aumentar esse interesse?
      2. É uma maneira razoável de fazer isso?
      3. Existe outra maneira menos intrusiva de obter o mesmo resultado?
    • Equilíbrio
      1. Qual é a natureza do seu relacionamento com o indivíduo?
      2. Algum dos dados é particularmente sensível ou privado?
      3. As pessoas esperariam que você usasse os seus dados dessa maneira?
      4. Você está feliz em explicar isso a eles?
      5. É provável que algumas pessoas se oponham ou achem isso intrusivo?
      6. Qual é o possível impacto sobre o indivíduo?
      7. Qual o tamanho do impacto que isso pode ter sobre eles?
      8. Você está processando dados de crianças?
      9. Algum dos indivíduos é vulnerável de alguma outra forma?
      10. Você pode adotar alguma salvaguarda para minimizar o impacto?
      11. Você pode oferecer um formulário para exclusão de rastreamento?
      12. Identificar os interesses legítimos relevantes.
      13. Verifique se o processamento é necessário e se não há maneira menos intrusiva de obter o mesmo resultado.
      14. Realize um teste de equilíbrio e tenha certeza de que os interesses do indivíduo não se sobrepõem aos interesses legítimos.
      15. Use os dados dos indivíduos de maneiras que eles esperariam razoavelmente, a menos que você tenha um motivo muito bom.

O que devo fazer se estiver processando dados pessoais com o MVMCloud Analytics com base no “Consentimento”?

Como mencionado anteriormente, usar “Consentimento” em vez de “Interesses legítimos” é mais técnico, mas menos intenso em termos de documentação. Podemos dividir em 3 categorias principais: 1) Pedido de consentimento, 2) Registro de consentimento e 3) Gerenciamento de consentimento.

  1. Pedido de consentimento
    1. Verifique se o consentimento é a base legal mais apropriada para o processamento;
    2. Torne o pedido de consentimento proeminente e separado dos seus termos e condições;
    3. Peça às pessoas que optem por participar. Não use caixas pré-marcadas ou qualquer outro tipo de consentimento padrão;
    4. Use uma linguagem clara e simples que seja fácil de entender;
    5. Especifique por que você deseja os dados e o que fará com eles;
    6. Dê opções individuais ('granulares') para consentir separadamente para diferentes propósitos e tipos de processamento;
    7. Nomeie sua organização e quaisquer controladores de terceiros que contarão com o consentimento;
    8. Diga às pessoas que elas podem retirar seu consentimento;
    9. Assegure-se de que os indivíduos possam se recusar a consentir sem prejuízo;
    10. Evite fazer do consentimento uma pré-condição de um serviço;
    11. Se você oferece serviços online diretamente para crianças, peça consentimento apenas se tiver medidas de verificação de idade (e medidas de consentimento dos pais para crianças menores).
  2. Registro de consentimento
    1. Mantenha um registro de quando e como você obteve o consentimento do indivíduo;
    2. Mantenha um registro de exatamente o que você disse a eles na época.
  3. Gerenciamento de consentimento
    1. Revise regularmente os consentimentos para verificar se o relacionamento, o processamento e as finalidades não foram alterados;
    2. Tenha processos em vigor para atualizar o consentimento em intervalos apropriados, incluindo qualquer consentimento dos pais;
    3. Considere o uso de painéis de privacidade ou outras ferramentas de gerenciamento de preferências como uma boa prática;
    4. Facilite para que os indivíduos retirem seu consentimento a qualquer momento e divulgue como fazê-lo;
    5. Aja sobre retiradas de consentimento o mais rápido possível;
    6. Não penalize os indivíduos que desejam retirar o consentimento.

Informar o seu visitante sobre isso em um aviso de privacidade

Os avisos de privacidade são uma parte importante do processo da LGPD.

Uma regra básica é que, se você não processar dados pessoais, não precisará mostrar nenhum aviso de privacidade. Mas se você estiver fazendo isso, como processar endereços IP completos, dentre outros dados, será necessário um aviso de privacidade no momento da coleta de dados. Observe que os dados pessoais também podem estar ocultos, por exemplo, em títulos de páginas ou URLs de páginas.

A premissa do consentimento é que ele seja pedido e concedido de forma clara, transparente e totalmente livre. Para isso, o titular de dados tem o direito de ser informado sobre a possibilidade de não fornecer o consentimento e de quais as consequências caso o consentimento seja negado.

É o caso, por exemplo, de um usuário que é convidado a consentir ou não com o uso de cookies em um site. Se o não consentimento for prejudicar a experiência de navegação ou impedir o acesso a algumas ferramentas, o usuário deve ser informado disso.

Observe que um aviso de privacidade é diferente de uma política de privacidade.

O aviso de privacidade deve incluir:

  1. As razões pelas quais você está processando os dados pessoais;
  2. Por quanto tempo;
  3. Quem são as diferentes partes com as quais você vai compartilhá-los.

Portanto, qualquer que seja a base legal que você esteja usando ( consentimento explícito ou interesse legítimo ), você precisará ter um aviso de privacidade se coletar dados pessoais.

O MVMCloud Analytics possui um formulário integrado para pedir o consentimento do visitante no momento que ele chegar ao seu site. Esta é uma facilidade adicional que oferecemos, mas você pode optar por não usá-la e implementar o seu próprio formulário.

Pedido de consentimento