A GDPR é uma legislação que regulamenta o uso de dados privados no âmbito europeu, e para a comercialização de dados é necessário ter uma base legal válida em conformidade com certos princípios básicos para processar dados pessoais. Ao todo, são seis bases legais disponíveis para processamento, sendo a base mais apropriada para utilizar a depender do seu propósito ou relacionamento com os indivíduos.
A maioria das bases legais requer que o processamento ou comercialização ou uso sejam requisitos necessários. Logo, a base legal depende do propósito fim da empresa com aqueles dados.
Nesse sentido, as bases previstas no artigo 6º da GDPR são:
a. Consentimento: o(s) indivíduo(s) deu claro consentimento para que você/sua empresa processasse seus dados pessoais para um propósito específico.
b. Contratual: o processamento é necessário por causa de um contrato que você tem com um indivíduo(s), ou porque pediram para que você fizesse passos específicos antes de entrar em um contrato.
c. Obrigação Legal: o processamento é necessário para que você esteja de acordo com o requerido pela lei (não incluído em obrigações contratuais).
d. Interesses vitais: o processamento é necessário para proteção da vida de alguém.
e. Tarefa Pública: o processamento é necessário para que você performe uma tarefa de interesse público ou para cumprimento de suas funções oficiais, a tarefa ou função deve ter uma clara base na lei.
f. Interesses Legítimos: o processamento é necessário para os seus interesses legítimos ou para os interesses legítimos de um terceiro, a menos que exista uma boa razão para a proteção desses dados pessoais do(s) indivíduo(s) que sobreponha esses interesses legítimos. (Isso não se aplica se você é uma autoridade pública processando dados para suas obrigações oficiais).
Dando continuidade, é necessário determinar a sua base legal antes de iniciar o processamento, devendo documentá-la. Além disso, é importante frisar que a empresa acerte já na primeira vez a sua adequação, pois será extremamente sensível mudar a sua base legal para outra diferente sem uma justificativa viável.
No caso de mudança de propósito, será permitido continuar processando dentro da sua base legal original, se o seu novo propósito for compatível com o inicial.
Também é necessário que se tenha no aviso/nota de privacidade da empresa a sua base legal e seus propósitos, se atendo ao fato de que se a Empresa vier a processar uma categoria especial de dados, será preciso identificar tanto uma base legal para processamento geral, como também uma condição adicional para processar esse tipo de dado em específico.
Porém, tais requisitos são os básicos, necessitando que a empresa se atente a 4 (quatro) etapas de checklist: documentação, responsabilidade e governança, direitos dos indivíduos e segurança de dados.
No caso da primeira etapa, serão observados dois pontos: se a empresa realizou uma auditoria de informação para mapeamento do fluxo de dados e se existe a documentação dos dados pessoais que a empresa possui, de onde vem, com quem se partilha e o que se faz com tais dados. O primeiro ponto serve para identificar risco na transferência de dados, e o segundo para que a empresa se adeque ao princípio da responsabilidade da GDPR, e demonstre ter procedimentos efetivos e orientações para funcionários.
A segunda etapa é mais longa, envolve a criação de uma política de proteção de dados, a nomeação de um responsável pela proteção de dados ou designação de um setor especial para isso (Data Protection Office), uma gestão responsável de dados, treinamento de funcionários, autorização dos controladores de dados, a representação da Empresa na Europa, processos efetivos para lidar com violação de dados, etc.
Já a terceira etapa, relacionada aos direitos dos indivíduos visa saber se a empresa está adequada aos direitos previstos na GDPR como: o do acesso, a portabilidade dos dados, de restringir o processamento, a correção, ao esquecimento, a contestar etc.
Por último, a quarta etapa requer a criação de uma Política de Segurança em relação aos dados utilizados pela empresa, estando de acordo com as medidas de segurança previstas na GDPR. Todas essas etapas e suas especificações podem ser consultadas no link: https://ico.org.uk/fororganisations/resources-and-support/data-protection-self-assessment/dataprocessors/.
A GDPR ainda traz diretivas acerca de como a empresa apresenta as suas informações acerca do seu processamento de dados. As informações precisam ser concisas, transparentes, inteligíveis e de fácil acesso. Além disso, é necessário que a escrita seja evidente, simples e clara, principalmente se o público alvo for infantil e que tais informações sejam livres de cobrança.
