Tire todas as suas dúvidas práticas acessando “Perguntas Frequentes LGPD”.
Quando a empresa retém xerox do documento do cliente, por conveniência operacional ou por exigência de órgãos de segurança pública. Qual o procedimento em relação à LGPD?
Quando houver retenção de xerox de documento por conveniência operacional, a empresa deverá indicar a finalidade para a retenção desse xerox e indicar uma base legal para legitimar esse tratamento. Caso não apresente a finalidade e não indique a base legal, esse tratamento será ilícito. Com relação à retenção por exigência de órgãos de segurança, estamos diante do cumprimento de uma obrigação legal. Assim, valendo-se do “Art. 7º, II – para o cumprimento de obrigação legal ou regulatória pelo controlador”, o controlador poderá legitimar esse tratamento, de modo a tornar lícita essa retenção.
E quando no mesmo sentido, é retenção de xerox de documento de menor?
No caso da retenção de xerox de documento de menor de idade, a empresa deve, obrigatoriamente, obter o consentimento dos pais e/ou responsáveis para tratar essas informações, conforme regra disposta no “Art. 14, § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.
Qual é a diferença na prática entre o documento do Programa e o relatório final?
O documento do Programa de Governança em Privacidade e Proteção de Dados é um detalhamento de todas as medidas implementadas pela empresa. Já o relatório final é um resumo de tudo o que foi feito. Geralmente, a consultoria utiliza esse documento para, ao final do programa, apresentar, resumidamente, tudo o que foi feito e apresentar para a Alta Gestão.
Sei que muitos defendem o envio de marketing por legítimo interesse, mas se o titular é capaz de se opor (com razão) ao tratamento, não me parece que haja efetivamente legítimo interesse. Minha opinião pessoal é de que o legítimo interesse são as hipóteses em que o agente pode tratar os dados pessoais ainda que o titular não queira que seja realizado o tratamento para aquela finalidade, pois a base não é o consentimento e sim o legítimo interesse, como o exemplo que dei durante a aula sobre a guarda de dados para prevenção de fraudes contra a empresa.
Quanto ao envio de publicidade baseado no legítimo interesse, no contexto que apresentei ontem, a empresa realizou o LIA e foi aprovada em todas as fases, assim, totalmente dentro da legalidade. No caso ali explanado, a empresa estabeleceu uma relação prévia com o titular que, livremente se cadastrou em sua plataforma de vendas, para utilizar seus produtos e/ou serviços de turismo. Desse modo, o e-mail ficou na base de dados da empresa de forma completamente lícita. A LGPD veio também para fomentar o desenvolvimento econômico do país, assim, não há razões para a empresa excluir esse dado, ela pode trabalhar de forma lícita com essa informação. Claro, conforme mencionei ontem, não pode a empresa utilizar o dado para finalidades outras que não o envio de informações sobre a Serra Gaúcha, passeios aqui, etc. Existe na relação posta, uma legítima expectativa do titular no recebimento dessas informações e por isso ela é válida. Nesse caso, se o titular receber e-mail após a perfectibilização do contrato (utilização dos serviços de turismo) e não ter mais interesse, ele pode se descadastrar livremente, já que a empresa possibilita o descadastro voluntário, isso é trabalhar de forma inteligente e lícita com os dados, sem ferir os direitos e liberdades fundamentais do titular de dados! Caso a empresa não tivesse sido aprovada em qualquer fase do LIA, daí não poderia se valer dessa base legal!