Na entrada anterior, Ciclo de vida do consentimento, discutimos contigo a importância de conceitos como a recolha, a custódia e a retirada. Nesta ocasião, gostaríamos de analisar mais de perto outras questões muito importantes descritas no regulamento europeu, tais como as bases, as finalidades e os limites. Se quiseres ter uma ideia do que vais ler, recomendamos-te que leias os artigos 5, 6 e 7.
Base do consentimento e finalidades (artigo 6.º do RGPD)
Um dos seus pilares fundamentais para o tratamento de dados é o consentimento da pessoa em causa. Mas, embora funcione como base legítima para o tratamento de dados em muitos contextos, não é a única.
A finalidade responde a uma base jurídica para o tratamento. Por outras palavras, deve existir uma finalidade válida (definida no RGPD ou na LOPDGDD) que legitime o tratamento de dados pessoais. Por outras palavras, o princípio da finalidade do tratamento de dados pessoais define por que razão e para que finalidade os dados pessoais são recolhidos. Trata-se de uma questão fundamental para a conformidade.
A finalidade do tratamento define as razões e os objectivos do tratamento e determina a sua legalidade. Estas finalidades estão enumeradas no artigo 6.º do RGPD:
- Consentimento explícito da pessoa em causa para uma ou mais finalidades específicas.
- Necessidade do tratamento para a execução de um contrato.
- Cumprimento de uma obrigação legal do responsável pelo tratamento.
- Proteção dos interesses vitais da pessoa em causa ou de outra pessoa singular.
- Execução de uma missão de interesse público ou exercício de poderes públicos.
- Interesse legítimo do responsável pelo tratamento de dados ou de terceiros, exceto se prevalecerem os direitos da pessoa em causa.
O consentimento, portanto, é apenas uma das bases possíveis, mas quando é utilizado, deve cumprir requisitos rigorosos. E as empresas têm de ser capazes de manter esta conformidade a todo o momento.
Princípios relativos ao consentimento (artigo 5.º do RGPD)
Princípios relativos ao consentimento (artigo 5.º do RGPD)
- Legalidade, equidade e transparência: o consentimento deve ser informado, claro e dado livremente.
- Limitação da finalidade: os dados só podem ser utilizados para os fins específicos para os quais foi obtido o consentimento.
- Minimização dos dados: só devem ser recolhidos os dados necessários.
- Outros princípios fundamentais são também a exatidão, a limitação do tempo, a integridade e a confidencialidade e a responsabilidade proactiva.
Condições de consentimento (artigo 7.º do RGPD)
O artigo 7.º do RGPD especifica as condições que o consentimento deve cumprir para ser válido. Encontra-as abaixo, acompanhadas de uma breve explicação.
- Demonstrabilidade: o responsável pelo tratamento de dados deve ser capaz de demonstrar que a pessoa em causa deu o seu consentimento. Por outras palavras, cabe ao responsável pelo tratamento de dados conservar as provas que demonstrem que a pessoa em causa aceitou ou consentiu no tratamento dos dados para os fins declarados.
- Clareza e granularidade: se o consentimento fizer parte de uma declaração mais ampla, deve ser claramente diferenciado. Por outras palavras, não se pode pedir um único consentimento para uma pluralidade de finalidades. O RGPD incentiva a que o consentimento seja dado separadamente para cada finalidade, de forma a permitir que cada indivíduo escolha livremente quais as operações de tratamento que aceita e quais as que não aceita: por exemplo, um responsável pelo tratamento de dados pede consentimento para duas finalidades, a primeira para a definição de perfis e a segunda para a participação em inquéritos. Neste caso, e para uma conformidade adequada, o consentimento para as duas finalidades acima descritas deve ser solicitado separada e explicitamente. O utilizador decidirá se aceita ambos, um deles ou nenhum.
- Direito de retirar o consentimento: a pessoa em causa pode retirar o consentimento em qualquer altura, e deve ser tão fácil retirar o consentimento como dá-lo. Além disso, caberá também ao responsável pelo tratamento provar que o consentimento foi retirado, tal como solicitado pela pessoa em causa.
- Livre escolha: o consentimento não é válido se estiver condicionado à execução de um contrato, quando não for necessário para a execução de um contrato, por exemplo, se um utilizador quiser comprar um produto em linha, não lhe pode ser exigido que consinta no tratamento dos seus dados para fins publicitários como condição para concluir a compra.
Limites do consentimento
O consentimento é uma ferramenta poderosa, mas não omnipotente. Os seus limites também estão definidos no RGPD. São eles:
- Não pode ser forçado ou implícito.
- Não é válido se houver um desequilíbrio de poder (por exemplo, nas relações laborais).
- Deve ser renovado se as finalidades do tratamento forem alteradas.
- Não substitui outras bases jurídicas quando estas são mais adequadas (por exemplo, obrigações legais).
Conclusão
Como já foi referido na entrada sobre o ciclo de vida do ciclo de vida do consentimento, a forma como o consentimento é recolhido é crucial para cumprir os regulamentos de proteção de dados e manter a confiança dos utilizadores. E é também muito importante que o responsável pelo tratamento de dados esteja ciente e respeite os limites estabelecidos pelo RGPD. Entre eles está o facto de o consentimento ter de ser solicitado novamente se as finalidades iniciais mudarem. Por outras palavras, a transparência e a conformidade devem ser asseguradas em todas as fases.
Por conseguinte, as empresas precisam de ter processos de gestão de consentimento melhorados e maduros e confiar em soluções, como as do MailComms Group, para as apoiar durante o processo e ajudá-las a evitar sanções.
Para uma conformidade eficaz e fiável , é útil ter um prestador de serviços electrónicos qualificado e de confiança. um fornecedor de serviços electrónicos qualificado e de confiança, como o Mailcomms Group, que também está certificado nos principais regulamentos de segurança e privacidade da informação, tais como: ISO/IEC 27001 e ISO/IEC 27701. Para além destas certificações, o Grupo Mailcomms está também acreditado na categoria de alto nível no Esquema de Segurança Nacional da Sistema de Segurança do Centro Nacional de Criptologia.
Se quiseres saber mais sobre um dos sistemas de gestão de consentimento mais robustos do mercado, convidamos-te a explorar este blogue ou a contactar-nos.