A legislação de referência mudou a forma como as organizações abordam a privacidade dos dados e volta a colocar os consumidores no lugar do condutor, dando-lhes um maior controlo sobre a forma como os seus dados são armazenados e processados.
Quando o GDPR entrou em vigor em 25 de Maio de 2018, assinalou o maior abalo das leis de privacidade de dados em 20 anos.
A legislação foi introduzida para reflectir o nosso mundo cada vez mais digitalizado e reconhecer os direitos dos indivíduos no que diz respeito à utilização dos seus dados pessoais.
Praticamente todos os serviços que utilizamos, quer se trate de uma plataforma de comunicação social, retalhista ou banco, irão recolher, analisar e armazenar os nossos dados pessoais. Ao abrigo da GDPR, as organizações têm agora o dever de demonstrar que estão a tratar estes dados de forma legal, justa e transparente.
A UE define "Dados Pessoais" como qualquer informação que possa ser utilizada para identificar directa ou indirectamente um indivíduo (pessoa em causa). Isto pode incluir tudo desde um nome, endereço de correio electrónico, endereço IP e imagens. Inclui também dados pessoais sensíveis, tais como dados biométricos ou dados genéticos que podem ser processados para identificar um indivíduo.
O tratamento de dados pessoais é geralmente proibido, a menos que tenha sido permitido pela lei aplicável ou que a pessoa em causa tenha dado o seu consentimento para o tratamento. No entanto, o consentimento é apenas uma das seis finalidades legítimas que são necessárias para todo o tratamento de dados pessoais.
Consentimento GDPR válido
Segundo a GDPR, o "processamento legal" só é possível quando:
- Há consentimento do titular dos dados
- O tratamento é necessário para a execução de um contrato com o titular dos dados
- O processamento é necessário para o cumprimento de uma obrigação legal
- O tratamento é necessário para proteger os interesses vitais de uma pessoa em causa ou de outra pessoa
- O processamento é necessário para o desempenho de uma tarefa de interesse público ou para o exercício da autoridade oficial investida no controlador
- O tratamento é necessário para os fins de interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, excepto quando os interesses, direitos ou liberdades da pessoa em causa prevalecem sobre os interesses, direitos ou liberdades da pessoa em causa
O que é o consentimento?
O consentimento é uma forma de criar confiança entre um utilizador e uma organização. Conforme definido pela GDPR: "O consentimento é uma indicação livre, específica, informada e inequívoca da vontade da pessoa a quem os dados dizem respeito, pela qual ele ou ela, por uma declaração ou uma acção afirmativa clara significa concordância com o tratamento dos dados que lhe dizem respeito".
O consentimento é definido como sendo bastante estreito do ponto de vista do PIBR. Por exemplo, se um utilizador der o seu consentimento para que os seus dados sejam utilizados para efeitos de detecção de uma fraude informática e os seus dados forem posteriormente utilizados para fins de marketing sem o seu conhecimento ou escolha, isso constitui uma violação da privacidade pessoal do titular dos dados.
Os formulários de consentimento também não podem ser incorporados em termos de duração dos acordos de serviço. Para assegurar transparência, os formulários de consentimento devem ser separados, específicos e de natureza explícita.
O que torna o Consentimento Válido?
Quando é necessário o consentimento para processar dados pessoais, devem ser cumpridas as seguintes condições para que esse consentimento seja válido:
1. O consentimento tem de ser dado livremente
Para que o consentimento seja dado livremente, o indivíduo deve poder escolher se quer ou não que os seus dados sejam processados. Se o indivíduo não tiver escolha no tratamento destes dados, então o consentimento não é dado livremente e será considerado inválido. O indivíduo deve também poder recusar o consentimento sem quaisquer repercussões negativas e ter a possibilidade de retirar o seu consentimento em qualquer altura. O consentimento deve ser dissociado de outros termos e condições sempre que possível.
2. O consentimento tem de ser específico
O consentimento deve ser específico para os fins reais para os quais os dados serão utilizados. Como especificado pela GDPR: "a obtenção de consentimento válido só pode ser feita após o responsável pelo tratamento dos dados ter determinado um fim específico, explícito e legítimo para a actividade de tratamento pretendida". Quando o tratamento tiver finalidades múltiplas, o consentimento só deve ser dado para as finalidades baseadas no consentimento.
3. O consentimento precisa de ser informado
Para que o consentimento seja considerado válido, o indivíduo precisa de saber:
- A identidade da organização que processa os dados
- Os fins para os quais os dados estão a ser processados
- O tipo de dados que serão processados
- A opção de retirar o consentimento
4. O consentimento tem de ser inequívoco
O consentimento deve ser dado por um acto afirmativo claro, para que os desejos do indivíduo sejam claros. O pedido de consentimento deve ser redigido numa linguagem clara e clara, inteligível e facilmente acessível. Isto pode ser dado através de uma declaração escrita ou oral. O silêncio, caixas pré-coladas ou inactividade não constituem um consentimento válido.
Quais são as regras sobre o consentimento das crianças?
O consentimento parental é geralmente requerido para os menores de 16 anos, embora as idades necessárias para o consentimento variem consoante o país participante da UE. Além disso, devem ser feitos esforços razoáveis para verificar a identidade da pessoa que dá o consentimento em nome da criança.
O processo de consentimento pode ser mais rigoroso sob a GDPR, mas proporciona às organizações a oportunidade de desenvolverem maiores níveis de confiança e transparência com os seus clientes.
A MetaPrivacidade foi concebida para fornecer a melhor abordagem prática para o cumprimento da privacidade dos dados. Contacte-nos para mais informações sobre como podemos ajudar a sua organização a melhorar a sua estrutura de conformidade.
Leitura adicional:
Como o GDPR irá afectar o direito a ser esquecido
Cinco formas de o seu negócio poder beneficiar do GDPR
RESPONSABILIDADE: O conteúdo e opiniões dentro deste blog são apenas para fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser confiados nem tratados como um substituto para aconselhamento específico relevante para circunstâncias particulares, a Lei de Protecção de Dados, ou qualquer outra legislação actual ou futura. A MetaCompliance não aceitará qualquer responsabilidade por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança em materiais contidos neste blog.
