Bases legais para o processamento de dados na Política de Privacidade

A Política de Privacidade é um dos aspetos mais importantes do novo GDPR europeu. Como já alertamos, há casos nos quais pesados textos legais na verdade estarão a descumprir o disposto na lei, por sua complexidade e falta de objetividade. A licitude de tratamento e as chamadas bases legais para o processamento dos dados pessoais de usuários segue seis vias possíveis – embora a primeira delas seja a mais comum e aplicável à maioria dos websites. O artigo 6º do GDPR é que trata dessas bases e deve ser observado de forma direta.

A Política de Privacidade, assim sendo, deve conter as bases legais do tratamento de dados, ou mais diretamente, as razões justificáveis pelas quais os dados do usuário poderão ou não ser processados. São seis as razões principais estabelecidas pelo regulamento.

Bases legais – consentimento para quê?

Sempre que o usuário, ou o titular dos dados, conceder consentimento expresso para que sejam processados os seus dados, com o fim de aceder a funcionalidades ou receber serviços ou provisões específicas. Em outras palavras, se um usuário concorda em submeter seus dados para aceder a um desconto numa loja online, isso requer seu consentimento expresso e também atende a uma necessidade: a de vincular o desconto a esse usuário em particular.

Vale ressaltar, contudo, que o consentimento expresso do usuário precisa ser dado ao fim para o qual o processamento dos dados se destina. Isto é, o usuário precisa de facto ser informado das razões pelas quais seus dados virão a ser processados. A recomendação aqui é descrever de forma clara, mesmo em caixas de confirmação em formulários ou textos que antecedam carrinhos e botões, a finalidade da requisição dos dados.

Se uma empresa exige que seja informado um e-mail, por exemplo, precisará descrever o porquê de fazê-lo. Enviará promoções? Uma newsletter? Ou o e-mail servirá apenas para registo e login? Por outro lado, dados pessoais como o NIF ou números do BI e seguridade social podem ser exigidos, mas o controlador dos dados, nesse caso, terá de ser muito mais específico ao descrever as razões pelas quais está a pedir tais dados, ainda que em formulários seja apenas opcional informá-los.

Base legal – vínculo contratual

A segunda das bases de legalidade para uso e processamento dos dados compreende “a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados”. Isso significa que o próprio contrato no qual o titular dos dados é signatário prevê, de algum modo, a utilização e processamento desses dados como condição para a execução do disposto no contrato.

Em um exemplo claro, se um proprietário de uma aplicação online firma contrato com um indivíduo que irá utilizar esse sistema, para que venha a prestar o serviço contemplado no contrato precisará que o usuário submeta seus dados para login e operação da aplicação. Além disso, o consentimento é dado pelo titular dos dados no contrato assinado.

Base legal – outras possibilidades

As quatro outras bases de legalidade para o processamento e uso dos dados compreendem motivos que estão, em sua maioria, acima do processo de julgamento do próprio controlador dos dados. O artigo 6º do GDPR considera, nesse aspeto, as seguintes bases para processamento dos dados:

  • Cumprimento de obrigação jurídica
  • Defesa dos interesses “vitais” do titular dos dados
  • Interesse público
  • Interesses “legítimos”

No caso deste último item, os interesses “legítimos” são um ponto de discordâncias e contradições. Contudo, sob a óptica da lei, há razões bastantes para que se dê algum processamento dos dados de um usuário. Entre os motivos considerados “justos”, poder-se-ia citar o processamento dos dados com o fim ou objetivo de prevenir fraudes, o que acaba por refletir igualmente no interesse público e também nos interesses individuais do próprio usuário, no sentido de preservar a integridade dos seus dados e da sua identidade digital.

Em relação aos interesses ditos “vitais”, aqui considera-se de facto a existência de perigo ou ameaça que atente contra a vida ou integridade física do titular dos dados. Por exemplo, caso as informações ali retidas possuam dados de interesse médico, na eventualidade do seu titular estar em perigo ou temporariamente incapaz, o uso ou mesmo partilha desses dados poderá ser considerado legal à luz do GDPR europeu.

Utilizar o bom senso

Por mais intrincada que a interpretação do GDPR europeu possa parecer, empresas e instituições devem, primeiramente, atinar a respeito dos fatores de motivação da norma. Em suma, o GDPR aparece como um regulamento cujo objetivo é o de evitar e desencorajar abusos que possam ocorrer por conta do uso indevido ou não consentido dos dados dos indivíduos. Nesse contexto, qualquer utilização dos dados que não configure abuso pode ser considerado legal, uma vez que enquadrado nos seis itens previstos no artigo 6º do GDPR.

 

Tópicos que devem constar de uma Política de Privacidade

Há imensos modelos e muitos advogados a trabalhar na redação de Políticas de Privacidade sob as novas regras do GDPR europeu. Em muitos casos, documentos juridicamente perfeitos, apesar de sua correção legal, falham em atender a um dos mais básicos requisitos da nova lei: a compreensão.

Sob a luz do GDPR europeu, a Política de Privacidade não deve seguir a lógica de antigos “disclaimers”. A norma surgiu exatamente como maneira de contornar problemas de consentimento existentes a partir da não leitura ou incompreensão por parte dos usuários dos termos legais e detalhes ocultados em enormes textos de termos e condições que a maioria dos serviços online submetiam aos seus clientes.

Antes de optar por modelos específicos ou contratar advogados para produzir documentos, é preciso compreender que a Política de Privacidade precisa ser um documento de fácil compreensão e, necessariamente, suficiente para responder às seguintes questões:

  • Quem recolhe e processa os dados dos usuários?
  • Quais são os dados recolhidos nessa circunstância?
  • Quais as bases legais para a recolha e processamento desses dados?
  • Serão os dados partilhados com terceiros?
  • Como os dados e informações são utilizados e para que fim?
  • Por quanto tempo os dados permanecem armazenados?
  • Quais são os direitos do usuário como titular dos dados submetidos?
  • Como os usuários podem realizar reclamações ou denúncias e como podem exercer seus direitos?