ABNT lança norma sobre avisos de privacidade e obtenção de consentimento

IMG_6578

A Associação Brasileira de Normas Técnicas (ABNT) lançou, em 25 de junho, a norma ABNT NBR ISO/IEC 29184:2021, sobre o conteúdo e a estrutura dos avisos de privacidade on-line, bem como o processo de solicitação de consentimento para tratar dados pessoais.

Essa norma da ABNT vem no contexto da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), em setembro do ano passado, e, a partir de 1º de agosto deste ano, das sanções previstas na LGPD de competência exclusiva da ANPD (Autoridade Nacional de Proteção de Dados). 

Ainda segundo a ABNT NBR ISO/IEC 29184:2021, apesar de as tecnologias oferecerem cada vez mais melhorias à qualidade de vida das pessoas, por meio do tratamento de dados, o que proporciona oportunidades de negócios, serviços mais atraentes e mais valor agregado, é imprescindível que as empresas deem ao titular dos dados a opção clara e transparente de cedê-los ou não aos controladores.

Por isso, é necessário que os titulares não tenham dúvidas quanto à utilização dos seus dados por empresas, sendo dada a eles explicação clara sobre o tratamento, armazenamento, manutenção e gerência dos dados.

Consentimento

Os princípios a seguir são essenciais para a segurança dos dados pessoais:

  1. Consentimento e escolha; e
  2. Abertura, transparência e notificação

A partir deles, a ABNT determina quais devem ser os controles para a formatação e estrutura dos avisos de privacidade, bem como para o processo de solicitação do consentimento, que deve ser explícito.

De acordo com a ABNT, o consentimento expresso deve ser resultado de opt-in, que nada mais é do que a demonstração da vontade, ou seja, não será permitido o aceite pelo silêncio, quando há a presunção de concordância do usuário para o tratamento dos seus dados.

A ideia do consentimento já havia sido tratada nas normas ABNT NBR ISO/IEC 27701 e ABNT NBR ISO/IEC 29100/2020. Na nova norma da ABNT abordada neste report, consta que o consentimento deve ser exercido por meio de ato afirmativo indicado pelo titular dos dados pessoais.

Ainda segundo a norma ABNT NBR ISO/IEC 29184:2021, é necessário que o titular compreenda de que forma seus dados serão utilizados e tratados por determinada empresa, bem como seja transparente a possibilidade de qualquer impacto que o tratamento possa ocasionar, além das consequências diretas e indiretas do uso dos dados pessoais.

Tipos de aviso

Para que haja a opção de o titular dos dados pessoais consentir de maneira expressa com a utilização, é necessário que sejam dados avisos entendíveis sobre as práticas de privacidade da organização, além de outras informações relevantes, como detalhes de contato – endereço e telefone do controlador. Esse aviso deve ocorrer de forma visual – por meio de técnicas de Visual Law (que serão abordadas adiante) – ou audível.

É necessário, ainda, que esse aviso de tratamento de dados pessoais seja legível e em linguagem concisa, sem termos típicos do universo jurídico, o que permite, portanto, que qualquer pessoa consiga compreender.

O aviso deve estar disponível em outros idiomas, apresentados em uma lista, para que o titular possa escolher qual deseja para ter acesso àquela informação. Também há a previsão de que a organização escolha o momento adequado para a exibição do aviso, devendo, no entanto, ser antes da coleta do dado pessoal.

Quanto ao modelo, o aviso pode ser da forma mais apropriada à organização, desde que seguidos os requisitos obrigatórios. Os modelos são os seguintes: camadas; painéis; just-in-time; e ícones. Independentemente da forma, é importante que seja dada notificação de fácil entendimento, para que o consentimento seja explícito.

Formas de coleta de dados pessoais

É preciso estar ciente de que, apesar das facilidades dos serviços digitais, a utilização de forma irresponsável pode colocar em risco a privacidade, deixando os sistemas vulneráveis e aumentando as chances de ataques, a exemplo do ransomware.

Dessa forma, a coleta dos dados pelos controladores deve acontecer de forma clara, podendo ser de diferentes maneiras: (i) diretamente com o titular, por meio de formulários; (ii) coleta indireta, por meio de terceiro; (iii) a partir da observação do controlador, a exemplo do histórico de páginas acessadas na web; (iv) a partir da dedução do controlador, em casos de traçar perfil do titular de dados, por meio da análise dos elementos coletados direta e indiretamente.

Mais uma vez, independentemente do método escolhido para a coleta dos dados pessoais, é necessário que o titular tenha ciência, assim como ele saiba quais impactos podem ser causados à privacidade. Em se tratando de coleta de dados com impactos diversos, a organização deve individualizar cada um deles, não permitindo que o titular tenha dúvidas quanto aos riscos à privacidade.

Uso dos dados pessoais

O aviso deve especificar a forma de uso dos dados pessoais coletados, que podem ser: (i) sem modificação; (ii) tratados, como derivação, inferência e desidentificação; e (iii) combinados, como a geolocalização por meio de cookies de terceiros.

A organização deve, ainda, deixar claro ao titular onde os dados serão armazenados e tratados, como forma de garantir a privacidade do indivíduo. Aqui, a ABNT já havia tratado sobre o tema na norma ABNT NBR ISO/IEC 29100, no item 4.5. Se houver alguma transferência dos dados coletados a terceiros, também é obrigação da empresa comunicar os titulares, bem como o período de retenção daquelas informações fornecidas.

Privacidade on-line

É muito importante esclarecer que o consentimento para uso de dados pessoais deve ser diferenciado dos termos de uso, e a junção dos dois avisos pode deixar obscura a questão do uso de dados por uma organização.

Os avisos de privacidade, como são chamados, não devem deixar margem para dúvidas do titular de dados, devendo cumprir os requisitos da clareza, transparência, linguagem acessível, além de trazer informações como o tempo de retenção do dado pela organização, entre outras.

Para isso, muitas empresas têm adotado a técnica do Visual Law, para facilitar a compreensão do titular quanto ao tratamento dos seus dados pessoais. A aplicação do design ao Direito tem transformado a forma como as informações jurídicas são apresentadas aos usuários dos serviços.

Dessa forma, a proposta do Visual Law é melhorar a comunicação de informações legais e a experiência do usuário de determinado sistema. Por meio da aplicação do Legal Design (design de produtos e serviços jurídicos), documentos, como o aviso de privacidade, podem ter estruturação visual, facilitando a compreensão de termos legais. Fizemos recentemente artigo ilustrado (disponível aqui) sobre como construir avisos de privacidade aplicando técnicas de Visual Law.

Em se tratando do consentimento, como na mais recente norma da ABNT, é imprescindível se falar em revogação, quando é dada a opção ao titular de cancelar a autorização para o tratamento dos dados pessoais. O agente de tratamento deverá apresentar ao titular detalhes sobre seus direitos, dando a ele, além da opção de corrigir os dados, a de interromper o compartilhamento. Mais do que isso: deve fornecer ao titular todas as informações necessárias, para que não restem dúvidas quanto à finalidade, ao tempo e à identidade do controlador, além de eventual compartilhamento com terceiros, sem as quais o consentimento torna-se nulo.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp