De acordo com o Artigo 10, LGPD, e o Artigo 6, GDPR, os controladores podem tratar dados pessoais com base em um interesse legítimo. A grande pergunta que precisa ser respondida é: quando um interesse é legítimo e quando não é? Normalmente, esta pergunta é respondida em um processo chamado de Avaliação de Interesse Legítimo (AIL) ou LIA. Neste artigo, mostraremos a você como a ECOMPLY apoia os responsáveis pela proteção de dados na realização de uma LIA (AIL). Este processo é baseado nas recomendações das autoridades europeias de proteção de dados.
Processo
A fim de avaliar se um processamento é legítimo, é necessário ponderar os riscos do tratamento em relação aos benefícios do tratamento. Se os riscos para as pessoas em questão forem aceitáveis e os benefícios superarem os riscos, então o tratamento pode ser assumido como legítimo.
As questões maiores de legitimidade podem ser subdivididas em questões menores. Em conjunto, as respostas a estas perguntas fornecem o LIA.
Por que o PII está sendo processado?
Ao justificar o interesse legítimo como base legal, recomenda-se reiterar por que o PII está sendo processado. O objetivo é identificar quem são os benfeitores do tratamento. Especialmente se o benfeitor do tratamento for apenas o controlador, é importante descrever o raciocínio que está por trás dele. Um exemplo típico é o Web Tracking, que é comum e parece inicialmente não ter nenhum benefício imediato para a pessoa interessada.
Que benefícios surgem para o controlador?
No caso da resposta à pergunta anterior listar outros benfeitores além do controlador, esta pergunta tem o objetivo de se aprofundar nos benefícios do controlador. Afinal de contas, a LIA trata de identificar a legitimidade dos interesses do responsável pelo controle. Se o controlador é o único benfeitor, isto pode apontar para a falta de legitimidade.
Outras partes também se beneficiam com o processamento?
Como o controlador é o único beneficiário aponta para a falta de legitimidade, então ter vários outros beneficiários aponta para o oposto. Como tal, é uma consideração relevante da LIA identificar possíveis outras partes beneficiárias. Mais benfeitores aumentam a legitimidade.
Existe um interesse público no processamento?
Se o público tem um benefício ou mesmo um interesse ativo no processamento, então a justificação da legitimidade se torna muito mais fácil. Como tal, esta pergunta tem o objetivo de acionar o avaliador a considerar este ponto de vista.
Por que os benefícios são importantes para o controlador?
Aproveite esta oportunidade para destacar a importância do tratamento. Diga por que é importante e por que não fazer o tratamento seria um problema para o controlador.
O controlador adere às leis de proteção de dados?
Naturalmente, você não estaria trabalhando em uma LIA se o controlador em questão não estivesse comprometido com a proteção de dados. Independentemente disso, recomenda-se tornar este compromisso explícito, declarando a adesão a todas as leis de proteção de dados aplicáveis.
O tratamento (de fato) ajuda a alcançar o benefício descrito?
Uma pequena armadilha é reclamar o benefício do controlador e então perceber que o tratamento não está realmente contribuindo (muito) para a obtenção do referido benefício. Esta pergunta é um lembrete para prestar atenção especial ao vínculo entre o tratamento e a obtenção do benefício legítimo do controlador.
Existe alguma outra maneira de se obter o benefício?
Os controladores são obrigados por lei a realizar a privacidade por projeto e por padrão, trabalhando com a quantidade mínima possível de dados pessoais. Como tal, cada consideração de processamento deve pesar se existem alternativas menos invasivas (com esforço razoável e resultados similares). Se não existirem alternativas melhores, isto ajuda a argumentar a legitimidade do tratamento.
Este processamento é tão minimamente invasivo quanto possível para alcançar este benefício?
Semelhante à questão das alternativas, a LIA faz questão de esclarecer que o tratamento em questão está ajustado para ser minimamente invasivo. Por exemplo, ele não deve coletar dados pessoais que não são realmente necessários.
Resultado
O assistente da ECOMPLY LIA fornece a estrutura e as ferramentas para conduzir rapidamente uma LIA. As respostas às perguntas acima são imediatamente convertidas no texto de justificativa da LIA. Este texto pode ser prontamente inserido na documentação da atividade de processamento em questão.