Em Defesa dos Dados
Princípio de Transparência e Bases Jurídicas de Legitimação
No mundo digital de hoje, onde a informação é um bem inestimável, a proteção dos dados pessoais tornou-se uma prioridade para as autoridades públicas, a fim de garantir que as informações sobre os indivíduos não sejam utilizadas de forma abusiva. Não podemos esquecer que a proteção de dados é um direito fundamental, reconhecido na Convenção Europeia dos Direitos do Homem e na Carta dos Direitos Fundamentais da União Europeia.
Neste contexto, o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia surge como um instrumento para salvaguardar a privacidade dos indivíduos em todos os aspectos da sua vida, mas como estamos num fórum dedicado ao marketing e à publicidade online, é essencial perceber como é que este regulamento afecta o tratamento de dados quando estes são utilizados para estes fins. Sem desvalorizar a importância de outros requisitos previstos no RGPD, neste post vamos centrar-nos no princípio da transparência (informação) e no consentimento do titular dos dados.
O RGPD estabelece um quadro rigoroso para o tratamento de dados pessoais, exigindo transparência e controlo por parte das entidades que os utilizam. No contexto comercial e publicitário tal implica, entre outros, a prestação de informação clara e concisa sobre a forma como os dados serão utilizados e a obtenção da base legal adequada para a legitimação, que se não for em todos, será em quase todos os casos, o consentimento dos titulares dos dados.
Como já foi referido, um dos pilares fundamentais do RGPD é o Princípio da Transparência (art.º 12.º do RGPD). As empresas que tratam dados para fins comerciais devem informar os utilizadores de forma compreensível sobre quem vai tratar os dados, para que fins, durante quanto tempo, a quem serão comunicados os dados, se haverá transferências internacionais dos dados e como exercer os seus direitos ao abrigo da lei. Estas informações não serão válidas e, por conseguinte, tornarão inválido qualquer consentimento dado se não tiverem sido apresentadas de forma acessível e facilmente compreensível, evitando a utilização de jargão jurídico ou confuso.
Para além do princípio da transparência, é essencial ter a base jurídica adequada de legitimidade para o tratamento de dados, de entre todas as enumeradas no artigo 6. Estas Bases Jurídicas de Legitimação (BJL) proporcionam às empresas e entidades uma base jurídica sólida sobre a qual podem legitimamente processar e tratar dados pessoais. As BJL são:
Consentimento
O consentimento deve ser dado livremente, específico, informado e inequívoco. Isto implica que as pessoas devem receber informações claras sobre a forma como os seus dados serão utilizados antes de darem o seu consentimento e devem ter a possibilidade de retirar o seu consentimento em qualquer altura.
Execução de um contrato ou implementação de medidas pré-contratuais
O tratamento de dados pessoais pode ser necessário para a execução de um contrato no qual a pessoa é parte ou para a implementação de medidas pré-contratuais solicitadas pela pessoa. Por exemplo, uma empresa pode tratar os dados pessoais de um cliente para efetuar a entrega de um produto ou serviço.
Cumprimento de uma obrigação legal
Em certos casos, o tratamento de dados pessoais pode ser necessário para cumprir uma obrigação legal à qual a organização está sujeita. Por exemplo, uma empresa pode ser obrigada a tratar os dados pessoais dos seus empregados para cumprir a legislação laboral e fiscal.
Proteção de interesses vitais
O tratamento de dados pessoais pode também ser necessário para proteger interesses vitais do titular dos dados ou de outra pessoa singular. Por exemplo, em situações de emergência médica, pode ser necessário tratar dados pessoais para prestar cuidados médicos urgentes.
Interesses legítimos
Esta base jurídica permite o tratamento de dados pessoais quando tal for necessário para os interesses legítimos do responsável pelo tratamento ou de terceiros, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa.
Cada empresa ou entidade que pretenda ou necessite de tratar dados pessoais deve avaliar cuidadosa e criteriosamente qual a base jurídica de legitimação em que o pode fazer. Se não existir uma base legal de legitimação, o tratamento não pode ser efectuado.
No contexto do marketing online, é mais comum que o tratamento de dados seja feito com base no consentimento do interessado, o que obriga as organizações a obterem um consentimento claro e específico das pessoas para o tratamento dos seus dados antes de os utilizarem para marketing direto, publicidade personalizada ou outras actividades semelhantes. O consentimento deve ser dado de forma livre, específica, informada e inequívoca, através de uma ação afirmativa clara por parte do utilizador, como, por exemplo, assinalar uma caixa de verificação.
Além disso, o consentimento deve ser obtido para cada finalidade do tratamento, de modo a que não se possa pedir um único consentimento para uma vasta gama de actividades, ou que os dados recolhidos para uma finalidade não possam ser utilizados para uma finalidade diferente, não autorizada ou não relacionada. O ónus da prova da obtenção do consentimento recai sobre a empresa, que deve manter registos claros de quando e como o consentimento foi obtido.
O não cumprimento dos requisitos de informação e consentimento do RGPD pode levar a sanções financeiras graves, bem como a sérios danos à reputação que podem resultar na perda de clientes e negócios. As organizações envolvidas no tratamento de dados para fins comerciais e publicitários devem, por conseguinte, garantir o cumprimento integral destes requisitos, adoptando práticas transparentes e assegurando que o consentimento dos indivíduos é obtido de forma adequada.
Autor:
Silvia Esteve
DPD Certificada AEPD-DPD
Dep. Legal adSalsa Publicidade