10 razões porquê a GDPR NÃO é uma lei do tipo “notificação e consentimento”

Traduzimos um post sobre a GDPR, falando dos 10 pontos mais importantes de porquê ela não é uma regulamentação do tipo "notificação e consentimento".
Boa leitura!

Uma lei de privacidade do tipo “notificação e consentimento" coloca toda a responsabilidade da proteção da privacidade sobre o usuário e, na verdade, não oferece nenhuma escolha. A GDPR faz o oposto disso.

Por Gabriela Zanfir-Fortuna

Tradução: Daniel Martins Vidor

Há tanto mal-entendido sobre o que é e o que faz a General Dara Protection Regulation (GDPR) que a maior parte do que está publicado por aí é mais folclore do que qualquer outra coisa.

Por exemplo, um artigo na Axios [link] deste final de semana afirmou que “a abordagem ‘notificação e consentimento’ é  a espinha dorsal da GDPR". Essa afirmação simplesmente não é verdadeira.

Entender e categorizar corretamente o marco regulatório da GDPR é algo realmente muito importante de ser feito nesse momento. Vejam a audiência do Senado dos EUA ontem (12/março): “GDPR e CCPA: opt-ins, controle do consumidor e o impacto sobre a concorrência e a inovação”. Se esta lei é considerada como um ponto de referência para a futura legislação de privacidade dos EUA - no sentido de decidir quão próximo ou distante o futuro quadro jurídico de proteção da privacidade americano será da GDPR, então devemos entender quais são os mecanismos que tornam a GDPR especial.

Uma lei nos moldes “notificação e consentimento” deixa toda a responsabilidade de proteger a privacidade e de garantir o uso correto dos dados pessoais com o titular dos dados em questão, o qual é solicitado a “concordar”, em um texto sem fim de “termos e condições”, escrito em juridiquês, sem qualquer tipo de escolha real que não seja “tudo ou nada” (concorde com a coleta e uso de dados pessoais ou não tenha acesso a este serviço ou esta página web). A GDPR é tudo, menos esse tipo de lei de “notificação e consentimento”.

Existem muitas razões pelas quais este não é o caso da GDPR, e eu poderia continuar e me perder nas minúcias da lei. Ao invés disso, estou listando os 10 principais motivos, explicados em uma linguagem simples, segundo o que sei do assunto:

1. Proteção de Dados desde a concepção e por padrão (Privacy by Design and Default) é uma obrigação legal

Todas as organizações, públicas ou privadas, que tocarem em dados pessoais (“processamento” na GDPR significa qualquer coisa, desde a coleta até o armazenamento, criação de perfil e criação de inferências, até o que você puder imaginar que possa ser feito com dados pessoais) são obrigadas a embarcar a Privacidade em todas as tecnologias e/ou processos que criarem e, muito importante, definir como default as opções de privacidade que melhor beneficiem o usuário. Não há exceções a esta obrigação. A proteção de dados por design e por padrão (DPbD) deve ser implementada, independentemente de os dados pessoais serem obtidos com base em uma opção de consentimento, uma desativação, uma obrigação legal de coletar os dados. Não importa. Todos os usos de dados pessoais devem ser baseados em DPbD. Confira o artigo 25, GDPR.

2. As Avaliações de Impacto de Proteção de Dados são obrigatórias para processamento de dados complexos ou em larga escala

Todas as organizações envolvidas em qualquer tipo de uso de dados sensíveis, complexos ou de grande volume devem realizar uma Avaliação de Impacto de Proteção de Dados (DPIA) antes de realizar o processamento. Pense nas Avaliações de Impacto Ambiental (EIA), agora comuns. O DPIA é exatamente como um EIA, mas em vez do impacto de um projeto no meio ambiente, ele mede o impacto de um projeto com uso de dados pessoais sobre os direitos dos indivíduos envolvidos, desde a liberdade de expressão até a privacidade e a não-discriminação. Dependendo dos resultados da DPIA, salvaguardas devem ser criadas para minimizar o impacto sobre os direitos, ou o projeto pode simplesmente ser abandonado, se não houver alguma maneira de minimizar os riscos. Mais uma vez, isso acontece independentemente de opt-ins, opt-outs, obrigações legais ou quaisquer outros motivos utilizados pelas organizações para coletar e usar os dados pessoais. Confira o artigo 35, GDPR.

3. Todo o tratamento de dados pessoais deve ser justo

Absolutamente todas as coletas e usos de dados pessoais devem ser justos e transparentes, independentemente do motivo do processamento (opt-in, opt-out, obrigação legal, etc.). Esta é a regra número 1 relativa ao processamento de dados pessoais listadas no GDPR (consulte o Artigo 5 (1) (a)) e sua violação é penalizada com as multas mais pesadas. Na prática, isso significa várias coisas, incluindo o fato de que as pessoas esperam que seus dados pessoais sejam coletados, usados ou compartilhados da maneira como estão sendo coletados, usados ou compartilhados e não de outros modos.

4. Deve haver uma razão específica e bem definida para cada coleta ou uso de dados pessoais

Desde o início do processamento, e independentemente da justificação invocada por uma organização para processar dados pessoais (opt-in, opt-out, cumprimento de contrato etc.), a coleta dos dados, seja diretamente dos indivíduos, seja observada ou mesmo inferida, deve ser feita apenas para fins específicos, explícitos e legítimos e apenas processados para esses fins, ou para fins compatíveis com as razões originalmente apresentadas. Este é o Princípio da Limitação de Propósito. Na prática, isso significa que é ilegal coletar dados pessoais “porque talvez algum dia eu encontre algo útil para fazer com isso”. O não cumprimento das obrigações de limitação de finalidade também aciona as multas mais altas.

5. Os dados não relacionados ao propósito de processamento são ilegais

Somente os dados pessoais relevantes e limitados ao necessário para atingir o objetivo especificado podem ser coletados ou processados. Lançar uma rede para obter o máximo possível de dados pessoais, mesmo que não sejam necessários para o propósito anunciado, é ilegal e, novamente, penalizado com as multas mais caras. Esta regra aplica-se a todo o processamento de dados pessoais, mesmo àquelas atividades de processamento obrigatórias por lei, como o combate à lavagem de dinheiro.

6. O titular dos dados pode realmente realizar ações relacionadas a como seus dados pessoais são utilizados

O indivíduo tem direitos bem definidos, os quais permitem que ele faça muitas coisas para garantir que seus dados pessoais sejam processados de forma justa e legal, tais como: obter uma cópia dos dados pessoais que estão sendo processados (independentemente de os dados pessoais serem processados com base em consentimento, ou uma obrigação legal, ou qualquer outro motivo), apagar os dados pessoais não processados legalmente, objetar quanto ao processamento de dados pessoais, mesmo para o processamento legal, em seus fundamentos particulares, ou iniciar processos judiciais contra qualquer processamento ilegal, com a possibilidade de reivindicar danos morais ou materiais.

7. Segurança de última geração é obrigatória

Existe a obrigação de garantir medidas de segurança de última geração para todo o processamento de dados pessoais, com pesadas multas por violações de dados. Confira o artigo 32.

8. Existe alguém em cada organização envolvido com processamento complexo, cujo trabalho é garantir que os dados pessoais sejam tratatados de forma justa e legal

Todas as organizações que se envolvem com coleta e uso de dados complexos ou sensíveis ou em grandes volumes (isso abrange todos as Big Tech, mas também muitas outras empresas) devem nomear um Diretor de Proteção de Dados, cujo trabalho como consultor independente é bem regulado e protegido pela GDPR. Tecnicamente, o DPO é alguém especializado ou com larga experiência em lei de proteção de dados que aconselha o mais alto nível de gerenciamento sobre como coletar e usar dados pessoais de forma justa e legal. Confira os artigos 37, 38 e 39.

9. Os dados pessoais são rastreados pelos labirintos de fornecedores

A GDPR oferece garantias sólidas sobre como os dados pessoais são gerenciados pela cadeia de fornecedores de uma organização. Em particular, todos os fornecedores que processam dados pessoais em nome de uma organização precisam ter acordos contratuais detalhados, nos quais se responsabilizem pela forma como protegem os dados pessoais que lhes são confiados. Os fornecedores também têm algumas obrigações estatutárias diretas, como manter o registro de atividades do processamento e nomear um encarregado de proteção de dados.

10. Todo processamento de dados pessoais deve possuir um Registro abrangente e atualizado

Todas as organizações que coletam e usam dados pessoais de qualquer forma têm obrigação de manter um registro de todos os dados pessoais que coletaram e usaram, informando a finalidade, por quanto tempo os mantiveram, sobre quais categorias de indivíduos eram, com quem compartilharam os dados e outros detalhes, como os prescritos pelo artigo 30, GDPR, independentemente de se recolher em opt-in, opt-out, obrigações legais, cumprimento do contrato etc. As únicas organizações isentas desta obrigação são aquelas com menos de 250 funcionários e que apenas ocasionalmente processam dados pessoais. Mesmo assim, eles devem manter um registro, se o processamento ocasional resultar em alto risco para os direitos dos indivíduos ou se envolver dados pessoais sensíveis.

Original:

https://medium.com/@gzf/10-reasons-why-the-gdpr-is-the-opposite-of-a-notice-and-consent-type-of-law-ba9dd895a0f1

Artigo da Axio:

https://www.axios.com/sun-sets-old-privacy-rulebook-notice-consent-5642a827-9a86-454a-ae47-54c74691e8ae.html?utm_source=newsletter&utm_medium=email&utm_campaign=newsletter_axiosfutureofwork&stream=future

 

4 opiniões sobre “10 razões porquê a GDPR NÃO é uma lei do tipo “notificação e consentimento””

  1. I needed to thank you for this excellent read!!
    I certainly enjoyed every bit of it. I have got you saved as a favorite to look at new things you
    post…

  2. Terrific post however I was wanting to know if you could write a litte more on this subject?
    I’d be very thankful if you could elaborate a little bit more.
    Bless you!

  3. Its like you read my mind! You appear to know so much about
    this, like you wrote the book in it or something. I think that you can do with some pics to drive the message home a little bit, but instead of that, this is excellent blog.
    An excellent read. I will definitely be back.

Comentários estão fechados.