Um dos principais questionamentos que tenho recebido por estes dias diz respeito ao posicionamento da instituição e seus afiliados e se o fato de que são afiliados já torna a relação adequada ao envio de informações por e-mails, sms ou whatsapp.
O tema é bastante amplo e este texto apenas responde a questões enviadas por e-mail neste começo de 2021 e é diretamente relacionado aos recursos que o Presskit oferece, este documento não substitui uma consulta jurídica e foca em sua área de atuação.
Vamos começar por um ponto que é uma questão prévia, o primeiro passo para adequação à LGPD é incluir em seu site uma página com a Política de Privacidade.
Cuidado para não se confundir, geralmente os sites possuem dois tipos de documentos, os Termos e Condições de Uso e a Política de Privacidade.
Os Termos e Condições de Uso tem por finalidade explicar ao Usuário como o site, aplicativo ou plataforma funciona, sendo assim, é como se fosse um “Contrato” entre as Partes; já a Política de Privacidade trata de questões relacionadas ao tratamento dos dados pessoais, e é essencial que você possua uma política de privacidade em uma página do seu site.
Caso você não saiba se o site já tem este documento a disposição dos usuários comece fazendo esta adequação.
Vamos passar por algumas informações e dividir em categorias de classificação a fim de tornar mais fácil a verificação. Abaixo algumas observações a serem consideradas no momento da coleta dos dados pessoais:
Cada instituição pode usar os dados pessoais de uma forma, em alguns casos ou em algumas situações estes dados podem ser compartilhados a fim de cumprir com obrigações legais, executar contratos, exercício regular de direito, legítimo interesse, dentre outros.
Um exemplo muito claro disso é quando os dados pessoais precisam ser compartilhados com o Município, Estado ou Governo para fins de emissão de nota fiscal, recolhimento de tributo, cumprir com obrigações acessórias etc.
Seguir algumas regras básicas podem te fazer passar por esta etapa da adequação de forma um pouco mais rápida e indolor, mas não se afaste demais dos conceitos, eles podem ser determinantes sobre alguns detalhes importes, falo sobre isto logo abaixo, no tópico sobre hipóteses legais.
Um exemplo, se os dados de endereçamento são compartilhados com empresas terceirizadas para fins de logística, entrega de mercadoria, execução de serviço etc... está tudo correto, porém solicitar endereço completo para fins estatísticos de conhecer a região, fere o princípio da necessidade.
Se o objetivo da coleta de dados for este sugiro que apenas o bairro, a cidade ou o estado sejam solicitados.
Para tratar um dado pessoal, é requisito que haja um fundamento legal para tanto. O art. 7o da LGPD elenca as hipóteses permitidas:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública , para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
IV - para a realização de estudos por órgão de pesquisa;
V - quando necessário para a execução de contrato ;
VI - para o exercício regular de direitos em processo judicial;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde , exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito , inclusive quanto ao disposto na legislação pertinente.
Além disso, independente do embasamento legal, é imprescindível que os princípios (art. 6o da LGPD) da finalidade, adequação e necessidade sejam observados:
I - finalidade : realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação : compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; e
III - necessidade : limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Em diversos formulários de cadastro de usuários, você sempre irá coletar dados pessoais, neste caso é fundamental identificar quais dados pessoais, ou sensíveis, serão coletados e sua finalidade.
Atenção : sempre que solicitar um dado é importante que haja uma explicação de porque aquele dado é importante, uma forma de não esquecer detalhes faça um mapeamento de dados, uma simples planilha excel resolve isso.
Exemplo :
Para uma boa acertividade, quando preencher o campo DESCRIÇÃO pergunte a si mesmo se realmente aquele dado é realmente necessário.
Acredito ter sintetizado todos os pontos levantados nas questões que foram recebidas por e-mail, mas se alguma dúvida ainda resta pode me enviar.
até +
Martins
martins@presskit.com.br