Aprofundamento do GDPR: o que conta como “interesse legítimo?”

Publicados: 2018-03-01
Aprofundamento do GDPR: o que conta como “interesse legítimo?”

Você sabe o que eles dizem - você lhes dá um dedo, eles pegam a mão.

Dê a eles uma exceção de interesse legítimo e eles enviarão e-mails frios para todo o LinkedIn.

O GDPR tem seis fundamentos legais para o processamento de dados pessoais, conforme descrito no Artigo 6. E os interesses legítimos estão bem configurados para serem os mais mal utilizados. Todo profissional de marketing que deseja evitar obter consentimento para processar dados tentará usar o interesse legítimo como uma maneira de solicitá-lo.

Mas tenha cuidado... muito cuidado. O interesse legítimo é uma disposição mais rigorosa do que parece.

Então, vamos falar sobre onde ele pode ser aplicado e como podemos entender melhor suas intenções.

Seis Fundamentos Legais para Processamento de Dados Pessoais

Você deve ter uma base legal válida para processar dados pessoais e há seis que agora são considerados legais.

Nenhuma base é "melhor" ou mais importante do que as outras. E qual base é mais apropriada para usar vai depender do seu propósito, e do relacionamento com o indivíduo.

Uma coisa a notar: você deve determinar sua base legal antes de iniciar o processamento. Você deve tê-lo documentado e disponível no caso de uma auditoria em potencial. Os funcionários não olharão com bons olhos para quaisquer mudanças de última hora.

Seu aviso de privacidade também deve incluir sua base legal para processamento e seus propósitos para processamento. Se seus propósitos mudarem, você poderá continuar processando sob a base legal original, supondo que sua nova finalidade seja compatível com sua base inicial (isso supondo que sua base legal não foi o consentimento). De qualquer forma: você deve atualizar sua política de privacidade.

Para fins de simplicidade, este artigo não se aprofundará em dados especiais, como passaportes, dados biométricos etc.

Manteremos as coisas pertinentes aos profissionais de marketing: análises, geração de leads, e-mails e testes a/b.

Aqui está o que você pode usar como fundamento legal:

  1. Consentimento
  2. Contrato
  3. Obrigação legal
  4. Interesses vitais
  5. Tarefa de interesse público
  6. Interesses legítimos

Resumo de 10 segundos:

1. Você precisa obter consentimento (essa caixa de seleção em seus formulários),
2. Você precisa ter um contrato com o indivíduo ou empresa (onde ambos concordaram que os dados pessoais precisavam ser processados).
3-5. Vamos deixar isso para outro momento, pois não são destinados a profissionais de marketing.
6. Interesse legítimo. Isso parece o mais fácil certo? Apenas certifique-se de ter um bom motivo “legítimo” para processar dados pessoais e pronto. Adeus consentimento?

Interesse legítimo: o que é?

Interesses legítimos são a base legal mais flexível para o processamento, mas você não pode presumir que será sempre a mais adequada.

É provável que seja mais apropriado quando você usar os dados das pessoas de maneira que elas razoavelmente esperariam e que tenham um impacto mínimo na privacidade. OU onde há uma justificativa convincente para o processamento. É o que diz o considerando 47 do GDPR sobre interesse legítimo.

Os interesses legítimos de um responsável pelo tratamento, incluindo os de um responsável pelo tratamento a quem os dados pessoais possam ser divulgados, ou de um terceiro, podem constituir uma base legal para o tratamento, desde que os interesses ou os direitos e liberdades fundamentais do titular dos dados sejam não prevalecendo, levando em consideração as expectativas razoáveis ​​dos titulares de dados com base em seu relacionamento com o controlador. Esse interesse legítimo pode existir, por exemplo, quando existe uma relação relevante e adequada entre o titular dos dados e o responsável pelo tratamento em situações como quando o titular dos dados é um cliente ou está ao serviço do responsável pelo tratamento. De qualquer forma, a existência de um interesse legítimo precisaria de uma avaliação cuidadosa, incluindo se um titular de dados pode razoavelmente esperar no momento e no contexto da coleta dos dados pessoais que o processamento para esse fim possa ocorrer. Os interesses e direitos fundamentais do titular dos dados podem, em particular, prevalecer sobre o interesse do controlador de dados quando os dados pessoais são processados ​​em circunstâncias em que os titulares dos dados não esperam razoavelmente processamento adicional. Dado que compete ao legislador prever por lei a base jurídica para que as autoridades públicas tratem dados pessoais, essa base legal não deve aplicar-se ao tratamento pelas autoridades públicas no exercício das suas funções. O tratamento de dados pessoais estritamente necessários para fins de prevenção de fraude também constitui um interesse legítimo do responsável pelo tratamento dos dados. O processamento de dados pessoais para fins de marketing direto pode ser considerado realizado por um interesse legítimo.

Se você optar por confiar em interesses legítimos, estará assumindo uma responsabilidade extra por considerar e proteger os direitos e interesses das pessoas .

Portanto, se você tem um sistema em que realmente tem certeza de que garantiu a privacidade dos usuários, esse é um forte indicador de que pode usar o interesse legítimo.

Existem três elementos para a base de interesses legítimos. Ajuda pensar nisso como um teste de três partes. Você precisa:

  1. identificar um interesse legítimo;
  2. mostrar que o processamento é necessário para alcançá-lo; e
  3. equilibrá-lo com os interesses, direitos e liberdades do indivíduo.

Os interesses legítimos podem ser seus próprios interesses ou os interesses de terceiros. Eles podem incluir interesses comerciais, interesses individuais ou benefícios sociais mais amplos.

O processamento também deve ser necessário. Se você pode razoavelmente alcançar o mesmo resultado de outra maneira menos intrusiva - interesses legítimos não se aplicam mais,

Além disso, você precisa seguir as seguintes etapas usando o interesse legítimo:

  • Você deve equilibrar seus interesses com os do indivíduo. Se eles não esperarem razoavelmente pelo processamento, ou se isso causar danos injustificados, os interesses deles provavelmente prevalecerão sobre os seus interesses legítimos.
  • Mantenha um registro de sua avaliação de interesses legítimos (LIA) para ajudá-lo a demonstrar conformidade, se necessário.
  • Você deve incluir detalhes de seus interesses legítimos em seu aviso de privacidade.

Lista de verificação da autoridade de privacidade da ICO (Reino Unido) para interesse legítimo

O site da ICO (Information Commissioner's Office) tem uma lista de verificação destinada a ajudá-lo a determinar se o seu processamento de dados é justificado por interesses legítimos.

Se você quiser jogar pelo seguro, certifique-se de confirmar o seguinte:

  • Verificamos que interesses legítimos são a base mais adequada.
  • Entendemos nossa responsabilidade de proteger os interesses do indivíduo.
  • Conduzimos uma avaliação de interesses legítimos (LIA) e mantemos um registro dela, para garantir que possamos justificar nossa decisão.
  • Identificamos os interesses legítimos relevantes.
  • Verificámos que o tratamento é necessário e não existe forma menos intrusiva de obter o mesmo resultado.
  • Fizemos um teste de equilíbrio e estamos confiantes de que os interesses do indivíduo não se sobrepõem a esses interesses legítimos.
  • Só usamos os dados dos indivíduos da maneira que eles razoavelmente esperariam, a menos que tenhamos um motivo muito bom.
  • Não estamos usando os dados das pessoas de maneira que elas considerem intrusivas ou que possam prejudicá-las, a menos que tenhamos um motivo muito bom.
  • Se processarmos dados de crianças, tomamos cuidado extra para garantir que protegemos seus interesses.
  • Consideramos salvaguardas para reduzir o impacto sempre que possível.
  • Consideramos se podemos oferecer um opt-out.
  • Se nossa LIA identificar um impacto significativo na privacidade, consideramos se também precisamos realizar uma DPIA.
  • Mantemos nossa LIA sob revisão e a repetimos se as circunstâncias mudarem.
  • Incluímos informações sobre nossos interesses legítimos em nosso aviso de privacidade.

Como usar o interesse legítimo para testes A/B

No futuro, o GDPR e a Diretiva de Privacidade Eletrônica serão os dois pilares legais para os profissionais de marketing digital.

E como descreve: endereços IP, cookies – essas coisas agora são consideradas “dados pessoais”.

Portanto, interesses legítimos à parte: você provavelmente precisará de consentimento para cookies e outros identificadores com suas ferramentas de teste A/B atuais.

Aqui está o porquê:

É muito difícil ter um argumento para um interesse legítimo e equilibrado se você estiver usando software de terceiros para enriquecer seus segmentos ou armazenar cada movimento dos visitantes do seu site. Esse tipo de armazenamento é uma prática comum com ferramentas como Heap — ou qualquer programa semelhante que tenha pós-segmentação ou capacidades de análise preditiva.

Com muitas das principais soluções de teste A/B, você armazena muitos dados sobre um usuário. E você usa esses dados, depois, como quiser, sem informar o usuário sobre esse processo.

Voltando à lista de verificação…

Os usuários que entram em seu site “esperam razoavelmente” que você use seus dados para prever seus padrões de compra?

Sua “necessidade legítima” de armazenar um excesso de dados deles é a certeza de substituir as objeções que eles possam ter para você usá-los?

Esse tipo de coleta de dados provavelmente requer consentimento específico. O que significa que você não deve carregar cookies ou experimentos sem um opt-in específico.

Teste A/B, Menos Armazenamento de Dados Pessoais

Desde a aprovação do GDPR, redesenhamos as Experiências de conversão. E continuamos trabalhando nisso para que estejamos 100% prontos antes de 25 de maio de 2018.

Isso significa que quando você usa o Convert nas configurações padrão, ele estará em conformidade com o GDPR sem a necessidade de consentimento (veja nosso roteiro aqui).

Nenhum ID de cookie, nenhum identificador exclusivo e nenhum IP estão sendo armazenados. Realmente tudo é despojado, tanto quanto possível, para que nenhum dado pessoal seja armazenado ou usado.

Isso significa que não é necessário consentimento.

O que pode ser necessário é informar os visitantes do site sobre a maneira como você lida com os testes A/B.

Talvez, para estar no lado mais seguro, os usuários devam incluir interesse legítimo em suas políticas de privacidade – para sinalizar que aquele cookie colocado para software de teste A/B não armazena dados pessoais. E mencionar o interesse estratégico para você, como empresa, torna necessário colocar este cookie de análise, para melhorar o desempenho do seu negócio.

Resumindo:

O consentimento e o interesse legítimo são provavelmente as bases legítimas mais usadas pelos profissionais de marketing digital.

Sem dúvida, o consentimento é a maneira mais segura de evitar ações legais contra sua empresa.

O interesse legítimo deve ser usado apenas nos raros casos em que você se encontra com as costas contra a parede e tem certeza de que não há, ou há muito poucos dados pessoais armazenados e processados.

Certifique-se de que está 100% claro por que você acha que o interesse legítimo é viável e armazene isso no caso de uma auditoria.

Porque é complicado, mas não é ciência de foguetes. Se soar sorrateiro, peça consentimento. Se for um processamento realmente inofensivo, defenda fortemente o impacto mínimo em seus clientes e visitantes do site.

E lembre-se: o GDPR está a poucos meses de distância. Mantenha-se informado, converse com seus fornecedores e prepare-se para um cenário de processamento de dados mais transparente.