No início do entendimento a respeito das obrigações para adequação a LGPD, muitas pessoas (assim como nós da Zemus), acreditaram que a bala de prata seria um abrangente e confiável gerenciamento de Consentimento LGPD. Nos parecia que a partir da formalização deste, pelas pessoas das quais nossa empresa tratasse de dados pessoais, os problemas estariam resolvidos, sobrando um ou outro caso em que haveria a necessidade de uma avaliação mais detalhada e uma solução por alguma das alternativas definidas pela LGPD.
Com a evolução do entendimento, e pela observação do que ocorre em outros países, observamos que houve um equívoco, ainda que isso fosse perfeitamente justificável à época. Atualmente nos parece, assim como para boa parte dos especialistas, que grande parte do tratamento de dados será legitimado através de contratos, obrigação legal ou Legítimo interesse.
Independente de qual base legal será utilizada para legitimar o tratamento de dados em sua empresa o fundamental é que não se incorra no entendimento errôneo que tivemos no início do processo, onde é necessário avaliar as necessidades e especificidades de sua empresa e quais riscos os gestores assumirão.
Consentimento não resolve tudo
Para exemplificar, uma das maiores empresas de consultoria do mundo, foi multada por uma Autoridade Europeia em razão de ter consentimento para a grande maioria dos dados pessoais tratados. A Autoridade entendeu que não houve por parte da empresa, uma análise crítica em relação a real necessidade de consentimento, o que em última análise, demonstrava negligência no tratamento dos dados pessoais. Hoje se acredita que o consentimento será utilizado para uma pequena parcela dos dados pessoais: tratamento de Curriculum para vagas em aberto, visitantes, entregas, marketing, dentre outros.
Exemplo:
Escritório de Contabilidade: Efetua o tratamento de um alto volume de dados pessoais de seus clientes, principalmente quando também assume a Gestão de RH. Os dados pessoais que os clientes lhes repassam deverão estar cobertos por um contrato em que esse compartilhamento seja especificado com as respectivas responsabilidades de ambas as partes.
O compartilhamento de dados pessoais pelo escritório se dará por força de obrigações legais ou por solicitação do cliente. Cabe ressaltar que passa a ser fundamental que, essas solicitações sejam formalizadas e que essas sugestões não cobrem todas as situações e especificidades das empresas.
Visão crítica
No artigo anterior, abordamos o tema “Visão crítica” em relação a LGPD, que já poderia ser exercitado em relação a essa questão de Consentimento. Apenas exemplificando, seus clientes e fornecedores já poderiam ser questionados como estão se adequando em relação a LGPD, principalmente em relação aos dados pessoais que serão compartilhados com sua empresa.
Entenda que a LGPD não fala em transferência de responsabilidades, mas sim em compartilhamento delas. De nada adianta sua empresa estar adequada as exigências da LGPD se os seus clientes e fornecedores não estiverem, quando ocorrerem compartilhamento de dados pessoais. A Zemus oferece aos seus clientes, independente do porte e segmento, Diagnóstico de Segurança da Informação, que permite a correta identificação desses pontos e o estabelecimento de um planejamento adequado de melhorias. Entre em contato conosco.
:: Veja também:
– Por que você deve começar a se preparar para LGPD?
– O que você deve comprar para se adequar a lgpd?
– Empresas não estão preparadas para LGPD