CONSENTIMENTO E LEGÍTIMO INTERESSE: FACAS DE DOIS GUMES !

CONSENTIMENTO E LEGÍTIMO INTERESSE: FACAS DE DOIS GUMES !


O ser humano busca intuitivamente identificar referências salvadoras nos momentos de pressão e tensão, como este que estamos vivendo, em uma contagem regressiva para a vigência da LGPD.

Fora as \"balas de prata\" que oportunamente surgem em praticamente todas as ocasiões (e que a maioria das pessoas gosta de acreditar que existam, explicando a longevidade do \"Snake Oil\" no velho oeste norte-americano), temos testemunhado o fortalecimento de dois argumentos para o tratamento de informações pelos Controladores: o consentimento e o legítimo interesse.

O consentimento é o mais simples de entender, pois como o nome diz, permite que o operador cadastre informações do titular de dados e prossiga no atendimento para qual se supomos haver (legítimo) interesse.

Um exemplo: quando alguém baixa um APP e após a instalação abre-se um texto enorme, com um quadrinho que temos de marcar com um \"x\", para poder usar o seriço: o \"x\" (em tese) É o consentimento.

\"No

Fácil, correto ? Aliás, ao consentir no uso de seus dados pelo Controlador, o Titular assume os riscos por eventual mau uso que o Controlador realizar...mas o consentimento pode ser REVOGADO pelo Titular ! (Você sabia ?)

O enorme problema decorrente deste consentimento é que a partir deste momento, quem recebeu estas informações acaba de se comprometer como fiel depositário, sendo OBRIGADO a guardar, proteger e mante-las em um ambiente seguro se quiser continuar prestando seu serviço e evitar penalidades, se estes dados vierem a ser vazados ou expostos.

O consentimento não é um \"cheque em branco\", que permite ao Controlador de Dados o uso indiscriminado dos dados de seus clientes ou funcionários. Ao meu ver, trata-se mais de um \"certificado de autenticidade\" de coleta, evidenciando que as informações foram prestadas de boa vontade, pelo seu titular.

E o \"Legítimo Interesse\" ?

Bom, esse é um conceito vago e generalista, devendo ser a principal justificativa das empresas para tratamento de dados pessoais no Brasil.

Só que, neste caso, o risco é assumido pelo Controlador de Dados, ao invés do Titular.

De acordo com a LGPD, nem todo interesse do Controlador é legítimo. Entretanto, falta clareza na própria Lei para definir as referências que devam ser usadas para definir que o legítimo interesse foi corretamente aplicado.

Isso deverá ser feito pela pela Autoridade Nacional de Proteção de dados (ANDP), que aliás vai ter muito trabalho para cobrir as brechas que diariamente surgem (ver meu artigo sobre a \"quebra de privacidade de mortos\") colocando os Controladores em situações duvidosas.

\"No

Imaginem que, ao longo de quase 200 palestras que ministrei desde o final de 2018, várias pessoas me perguntaram se o objetivo de lucro das empresas não é um \"legítimo interesse\".

Invariavelmente eu sempre começo a responder, esclarecendo que não sou advogado e que meu objetivo é auxiliar as organizações a implementar os mecanismos de controle que a Lei requer, baseado no ajuste de procedimentos operacionais e implementação dos itens de Segurança de Informação cuja maturidade não tenha se mostrado satisfatória...

E em seguida, esclareço que tenho minha própria opinião acerca de vários pontos da Lei, que apesar de estarem sendo defendidos por alguns advogados \"xiitas\", com base na jurisprudência da GDPR (e portanto INAPLICÁVEL diretamente no Jurídico Brasileiro) poderiam ser facilmente derrubados em uma exposição técnica.

Por exemplo: alegar que um IP ou número de celular é um dado privado, porque (de acordo com estes advogados) é possível chegar à identidade do seu titular, é insano. Posso usar um cadastro fake em uma Starbucks e o IP que usei não só impede me identificar, como daqui algumas horas, estará sendo usado por outra pessoa de qualquer outro lugar daquela região.

Na minha família, contratei um plano familiar, onde os 4 números estão em meu nome. Como então poderiam ser dados pessoais dos dois filhos e sua mãe ?

Os \" xiitas\" respondem que meus exemplos são \"exceções\" e que a Lei deve estar alinhada com a regra. Eu duvido seriamente disto, especialmente com a quantidade de linhas que pertencem à empresas, nas mãos de funcionários e das redes wi-fi gratuitas pelo mundo.

Sempre digo que, dependendo da PROFUNDIDADE da investigação, QUALQUER dado é privado, pois permite chegar ao seu titular.

Opa, já ia me deixando levar pelo sentimentalismo: e o lucro, pode ser usado como legítimo interesse ? Fernando Marinho usa e abusa do princípio de Segurança de Informação de que, \"o que não é proibido, é permitido\". Logo, a princípio muitas empresas deverão optar por essa justificativa, para o tratamento de dados de seus clientes.

O que ele também prevê é uma série de abusos que irá culminar na revisão ou melhor, da definição mais estreita, do que será o \"legítimo interesse\", pela ANPD.

E nisso, provavelmente muitas empresas que não tem nada a ver com estes abusos, irão ter que rever suas estratégias e atualizar seus conceitos.

Meu nome é Fernando Marinho, sou consultor de empresas especialista em Continuidade de Negócios, Privacidade & SI, Gestão de Riscos e de Crises. Professor de Pós Graduação na UFRJ, UniRIO, Escola de Guerra da Marinha e outros, além de participar de três Grupos de Trabalho na ABNT (Riscos, Continuidade de Negócios e Segurança), também publiquei três livros sobre o que faço. Se quiser conhecer mais sobre meu trabalho, venha visitar o site da minha empresa


TEMAS