随着《通用数据保护法》(LGPD)的颁布,处理用户个人数据的假设已经确立,并且处理代理在处理这些数据时必须尊重或至少优先考虑的众多原则也已经确立。
其中,“同意”是最常见的法律基础,即用户自觉或不自觉地通过其意愿表达(或至少应该如此)授权特定实体(控制者或操作者)将其数据用于知情目的。
该法律依据必须由用户提供。然而,LGPD 本身在另一个法律基础上允许在无需数据主体同意的情况下,出于其认为合法的目的处理和使用个人数据,只要存在“合法利益”。
这种情况引发了人们对法律解释和应用的质疑:这种法律可能性是否会导致基于“合法利益”处理用户数据的正当性被淡化?
在这篇特别文章中,我们将尝试了解立法及其基础,寻求这个问题的答案。跟随!
用户同意数据处理和 LGPD
控制者和运营商并没有通过新的《通用数据保护法》(LGPD)来开始征求用户的同意以使用和处理他们的数据,尽管在绝大多数情况下,每个人都会同意,甚至不知道要同意什么。
数据处理机构之所以有这种“担忧”,是因为 whatsapp 号码数据 目前已经有法律保护用户的个人数据,例如《消费者保护法》、《积极登记法》和《互联网民事框架》。
事实证明,2018 年是规范用户和消费者隐私的分水岭一年,在欧洲,通用数据保护条例(GDPR)已生效,在巴西,LGPD 也已颁布,并将于 2020 年生效。
这是因为上述立法(其中巴西立法明显受到欧洲立法的启发)明确定义了处理代理(控制者和运营者)可以处理用户个人数据的情况。
在LGPD第7条所描述的十个假设中,同意只是其中之一。但是,该法本身在上述条款的第九部分中允许在未经持有人同意的情况下处理数据,“为了满足控制者或第三方的合法利益有必要,但持有人的基本权利和自由优先的情况除外… ”。
那么第一个问题就出现了:控制者或第三方的合法利益是什么,或者在什么情况下,控制者或第三方的合法利益是?此外,该法律依据在多大程度上会凌驾于持有人的权利和自由之上?
法律的不精确性和解释规则的必要性
这些是立法者最初并未公开说明的问题,而是 隐私技术解决方案通常包含强大的 将解释权交给了法律运营者、数据保护官员和国家数据保护局(由 MP 869 最近成立,等待总统批准)。
好吧,这就是我们敢于做的事情,尽管方式很简洁。
合法权益
合法利益假设在 LGPD 第 10 条及其条款中受到规定。为了说明法律的缺乏明确性,我们将引用该条款的开头部分,其中写道:“控制者的合法利益只能证明出于合法目的处理个人数据是合理的,这些目的考虑到具体情况,包括但不限于:(…) ”。
现在,“合法目的”、“具体情况”以及主要是“但不限于”等术语对我们来说似乎有些笼统。
需要向读者澄清的是,“合法利益”是 GDPR 和其他 加密数据库 私立法均规范的法律依据,这意味着,在某些情况下,公司(控制者或处理者)不需要数据主体的同意,也不可能使用其他法律依据。例子:
由于用户安全受到威胁,汽车制造商召回汽车;
对公司内部员工的监控,因为即使他们使用雇主的工具,在监控员工绩效时,也会对个人数据进行分析;
在并购中,当有来自不同公司的用户数据时,是不可能征得同意来进行操作的,因为这是一个极其机密的操作,还涉及商业模式、商业秘密等。
这些是一些假设,从理论上讲,这些假设是存在合法利益的。然而,当没有其他足够的数据处理法律依据时,该机构不能被轻视到被使用的地步,因为只需稍加解释就足以根据合法利益进行处理。
因此,第 10 条的段落可以更详细地阐明和具体说明合法利益的假设。相反,它们甚至更广泛和更通用,因为它们指的是“支持和促进控制者的活动”,以及“保护 持有人定期行使其权利或提供使其受益的服务”。
国家数据保护局和僵局的可能解决方案
由MP 869/2018正式成立的国家数据保护局倾向于采用有关合法利益的法律机制和指导方针。
正如我们所说,巴西立法以欧洲立法为基础,其处理合法利益的方式也与我们的标准一样模糊。事实证明,在 GDPR 中,有许多“序言”明确规定(尽管并非详尽无遗)何时可以使用合法利益的法律基础。
无论如何,我们的立法第 37 条规定,“控制者和运营者必须记录他们进行的个人数据处理操作,特别是基于合法利益时”。因此,尽管这份备受争议的规范性文本是由同一位立法者起草的,但我们可以看出立法者对前述法律依据的关注。
因此,选择使用合法利益法律依据的数据处理代理必须首先记录处理过程的步骤,回答“测试”中的问题以批准法律依据:所进行的活动是否合法?处理的目的是否合法?有没有必要?还有其他可以依赖的法律依据吗?用户是否期望他们的数据将被用于代理商预期的目的?数据主体有可能反对这种处理吗?
通过回答上述问题,数据控制者将知道他们是否实际上拥有合法手段在合法利益的合法基础下将用户的个人数据用于所需目的,并记录这些适应阶段。
此外,需要注意的是,只有在用尽其他九种合法可能性之后,才应考虑合法利益,而且即使如此,只要它“通过了上述测试”。如果不是这种情况,处理代理将承担使用不适当法律依据的风险。
你喜欢这篇有关《通用数据保护法》以及涉及处理用户个人数据的僵局的文章吗?因此,请抓住机会加深对这个主题的了解。请参阅 Camargo 和 Vieira 撰写的这篇关于数据隐私在公司中如何发挥作用的特别文章。