A Lei Geral de Proteção de Dados, que já está em vigor no Brasil e passou a regulamentar o tratamento de dados pessoais pelas empresas, ainda é uma incógnita tanto para os profissionais da área, quanto para os próprios titulares de dados, quando pensamos em determinados pontos.
A LGPD foi elaborada com base na GDPR (General Data Protection Regulation – lei de proteção de dados europeia), a qual é um bom referencial para a resolução de alguns pontos obscuros e conflitos na LGPD.
Entretanto, ambas as leis não aprofundaram e especificaram de forma satisfatória sobre duas de suas bases legais mais importantes: o consentimento e o legítimo interesse. Por isso, muitas discussões e questionamentos cercam o assunto.
Se você tem dúvidas sobre os conceitos e principais aspectos e diferenças entre essas duas bases legais, continue lendo este artigo.
Leia também: O que é a Lei Geral de Proteção de Dados (LGPD)?
Primeiramente, é necessário esclarecer quais são todas as bases legais da LGPD, que nada mais são do que as justificativas e argumentos que a sua empresa deve ter para legitimar o uso e o tratamento de dados pessoais:
De todas as bases legais elencadas acima, as que mais se destacam tanto na quantidade de uso, quanto na complexidade, são: consentimento e o legítimo interesse.
O consentimento está conceituado na LGPD como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Em resumo, essa base legal requer que o titular de dados forneça o seu “aceite” de forma clara, transparente e inequívoca acerca do uso dos dados por parte da empresa. Dessa forma, vejamos exemplos de situações que necessitam do consentimento do titular:
Para que o consentimento coletado seja considerado válido, ele precisa ser:
Livre – Isso significa dizer que deve ser uma real escolha do titular. Caso o consentimento se demonstre como uma obrigação, a LGPD o considera nulo (sem efeitos).
Inequívoco – O aceite deve ocorrer de forma óbvia e por meio de uma declaração que deixe claro os termos com os quais está concordando.
Informado – O titular deve ter consigo todas as informações necessárias para tomar a decisão de fornecer seu consentimento.
Finalidade determinada – O consentimento a ser fornecido pelo titular, é para fins específicos e claramente delimitados. Não é válido perante a LGPD, autorizações genéricas.
Leia também: A LGPD e os principais pontos de atenção para startups
Por outro lado, o legítimo interesse é a base legal que torna desnecessária a coleta do consentimento do titular para o tratamento de dados. Ou seja, a empresa não precisa do “aceite” do titular durante o tratamento de dados em situações específicas. Por exemplo:
A utilização do legítimo interesse é muito pertinente quando a empresa necessita do tratamento de determinados dados pessoais para agir na defesa de interesses próprios.
Contudo, é necessário tomar alguns cuidados para que o titular de dados não seja prejudicado ou sinta que não tem controle sobre os próprios dados.
Por exemplo, em caso de envio de e-mail marketing e disparos de promoções com essa base legal, deve ser permitido que o cliente saia da lista de cadastro (opt-out) a qualquer momento.
Aliás, a empresa precisa garantir que sempre tenha uma finalidade clara em determinado uso de dado, respeitando o princípio de minimização dos dados coletados e garantindo os direitos dos titulares, além de apresentar os documentos exigidos pela legislação (“LIA” e “RIPD”).
Se você pretende que sua empresa tenha uma base legal adequada, de acordo com os dados pessoais que trata e as respectivas finalidades, solicite um diagnóstico comigo e vamos evitar que sua empresa tenha surpresas indesejáveis perante a LGPD.