⭐️ 💅🏽 👴🏻 GDPR: consentimento para o processamento de dados pessoais 💜 🔇 🧑🏽

Esta é uma tradução do manual de consentimento oficial para o tratamento de dados pessoais (Diretrizes sobre consentimento ao abrigo do Regulamento 2016/679 wp259rev.01) do grupo de trabalho da Comissão Europeia. O original é publicado em 23 línguas oficiais da União Europeia. Apesar de o russo não ser um deles, é muito comum na Europa. Se sua empresa atende clientes da UE, você é obrigado a cumprir os Regulamentos Gerais de proteção de dados pessoais (Regulamento Geral de Proteção de Dados), que entraram em vigor em 25 de maio de 2018.

Consentir no processamento de dados pessoais é a primeira coisa que seu cliente encontra. Apesar da aparente simplicidade, o Guia ocupa 30 páginas e ainda causa dificuldades: o vazamento de dados pessoais nos sites da UE varia de 12% a 41% e multas dos reguladores de milhares a dezenas de milhões de euros. As grandes empresas com uma equipe de advogados e engenheiros têm a capacidade de responder rapidamente às mudanças no ambiente de negócios, mas os empreendedores individuais e as pequenas empresas geralmente precisam confiar apenas em si mesmos, assumindo todos os riscos.

O autor tentou transmitir as disposições do Guia o mais próximo possível do original, amolecendo o clérigo particularmente rígido. A tradução é feita a partir dos originais em duas línguas, não tem força legal. O autor não fornece garantias e não é responsável por reivindicações, perdas ou lucros cessantes. Mas ele ficará feliz em receber comentários sensatos e melhorias na redação.

1. Introdução

Este guia fornece uma análise completa do conceito de consentimento contido no Regulamento 2016/679 - Regulamento Geral sobre Proteção de Dados Pessoais (RGPD). Até a presente data, o conceito de consentimento usado na Diretiva de proteção de dados (Diretiva 95/46 / CE) e na Diretiva Confidencialidade e Comunicações Eletrônicas (Diretiva 2002/58 / CE) evoluiu. O GDPR fornece esclarecimentos adicionais e esclarecimentos sobre os requisitos para a obtenção e demonstração de um consentimento juridicamente vinculativo. Este guia enfoca essas mudanças, oferecendo orientações práticas sobre como garantir a conformidade com o GDPR, com base na Conclusão 15/2011. O dever dos controladores de dados pessoais é introduzir inovações e buscar novas soluções no âmbito da lei,que contribuem para a proteção de dados pessoais e os interesses dos titulares de dados.

De acordo com o artigo 6 do GDPR, o consentimento é um dos seis motivos para o processamento legítimo de dados pessoais. Ao iniciar atividades relacionadas ao processamento de dados pessoais, o responsável pelo tratamento deve sempre levar em consideração a base legal do processamento pretendido.

Como regra, o consentimento pode ser uma razão legítima apenas se o titular dos dados tiver controle e livre escolha sobre a aceitação ou rejeição das condições propostas, sem consequências adversas. Ao solicitar o consentimento, o controlador é obrigado a avaliar se cumprirá todos os requisitos disponíveis. Consentimento obtido em total conformidade com o GDPR, é uma ferramenta que dá aos titulares de controle o controle sobre se seus dados pessoais serão processados ou não. Caso contrário, o titular dos dados não terá controle real e esse consentimento será considerado uma base ilegal para o processamento.

As conclusões existentes do grupo de trabalho (WP29) sobre o consentimento permanecem relevantes desde que sejam consistentes com a nova legislação, uma vez que as diretrizes e recomendações codificadas pelo GDPR, bem como os principais elementos do consentimento, permanecem inalteradas no GDPR. Assim, neste documento, o WP29 estende e complementa as conclusões anteriores sobre aspectos específicos do consentimento, que se referem ao acordo na interpretação da Diretiva 95/46 / CE, e não as substituem.

Conforme declarado na Conclusão 15/2011 sobre a definição do termo Consentimento, a proposta de aceitar uma operação de processamento de dados deve estar sujeita a regras estritas, no que se refere às liberdades fundamentais dos titulares de dados e ao desejo do controlador de participar dessas operações, o que seria ilegal sem o consentimento do titular dos dados. O papel crucial do consentimento é enfatizado nos artigos 7 e 8 da Carta dos Direitos Fundamentais da União Europeia. Além disso, o Consentimento obtido não exclui e de forma alguma altera a obrigação do controlador de cumprir os princípios consagrados no RGPD, especialmente no Artigo 5, no que diz respeito à justiça, necessidade, proporcionalidade e qualidade dos dados. Mesmo que o processamento de dados pessoais seja baseado no consentimento do titular dos dados, ele não legaliza a coleta de dados que não é necessária para a finalidade declarada do processamento, tornando-se injusto.

Ao mesmo tempo, o WP29 está ciente da revisão da Diretiva 2002/58 / CE. O conceito de consentimento no projeto desta diretiva ainda é consistente com o RGPD. É provável que as organizações exijam o consentimento para fazer isso na maioria das mensagens de marketing, chamadas e métodos de rastreamento da Internet, incluindo o uso de cookies, aplicativos ou outro software. Em relação ao consentimento, o WP29 já apresentou suas propostas e orientações ao legislador europeu.

No que diz respeito à versão atual da Diretiva 2002/58 / CE, o WP29 observa que as referências à Diretiva revogada 95/46 / CE devem ser entendidas como referências ao RGPD. Isso também se aplica a referências ao consentimento na Diretiva 2002/58 / CE, que expira em 25 de maio de 2018. De acordo com o artigo 95 do GDPR, as obrigações no contexto da prestação de serviços eletrônicos disponíveis ao público nas redes públicas de comunicação não são consideradas “adicionais”, mas antes, condições legais preliminares. Portanto, os requisitos para obter o consentimento no RGPD são aplicáveis em situações no âmbito da Diretiva 2002/58 / CE.

2. Consentimento no Artigo 4 (11) GDPR

O artigo 4 (11) do GDPR define o consentimento da seguinte forma: “uma expressão voluntária, específica, informada e inequívoca da vontade na qual o titular dos dados, usando uma declaração ou uma ação afirmativa clara, autoriza o processamento de seus dados pessoais”.

O entendimento da base do consentimento permanece o mesmo da Diretiva 95/46 / CE, e o consentimento é um dos fundamentos jurídicos nos quais o tratamento de dados pessoais deve basear-se em conformidade com o artigo 6.o do RGPD. Além da definição alterada no artigo 4 (11), o GDPR fornece orientações adicionais no artigo 7 e nos parágrafos 32, 33, 42 e 43 sobre como o responsável pelo tratamento deve agir para garantir a conformidade com os elementos do consentimento.

Finalmente, a inclusão de regras específicas sobre a retirada do consentimento confirma que o consentimento deve ser uma decisão reversível e controlada pelo titular dos dados.

3. Elementos do consentimento legal

O artigo 4 (11) do GDPR define o consentimento do sujeito como:

voluntário
específico
informado e
expressão inequívoca de vontade, na qual o titular dos dados, usando uma declaração ou uma ação afirmativa clara, autoriza o processamento de seus dados pessoais.

A seguir, analisa-se até que ponto o Artigo 4 (11) do GDPR exige que os controladores modifiquem seus pedidos / formulários de consentimento para garantir a conformidade com o GDPR.

3.1 Voluntário

Este elemento implica escolha e controle reais para os titulares dos dados. O GDPR estabelece que, se o titular dos dados não tiver uma escolha real, se sentir compelido a concordar ou sofrer danos por não concordar, esse consentimento será considerado ilegal. Se o consentimento for incluído nos termos de serviço como uma parte invariável, ele não será considerado voluntário. Por conseguinte, o consentimento não é considerado voluntário se o titular dos dados não puder recusá-lo ou retirá-lo sem consequências adversas para si próprio. O conceito de desequilíbrio entre o controlador e o titular dos dados também é levado em consideração no RGPD.

Ao avaliar se o consentimento foi dado voluntariamente, deve-se levar em consideração a situação específica em que está associado aos contratos de serviço, conforme descrito no artigo 7 (4). O artigo 7 (4) está incorretamente redigido com as palavras "em particular", o que significa que pode haver várias situações que se enquadram no escopo desta regra. Em geral, qualquer elemento de pressão ou influência sobre um titular de dados (que pode ocorrer de várias maneiras) que impeça o titular de exercer seu livre arbítrio, torna o Consentimento ilegal.

1

GPS- . , . , . , .

3.1.1.

O parágrafo 43 indica claramente que é improvável que as agências governamentais possam confiar no consentimento, porque quando o estado é o controlador de dados, geralmente há um desequilíbrio claro entre ele e o titular dos dados. Além disso, na maioria dos casos, é claro que o titular dos dados não tem alternativas reais para aceitar as condições desse controlador. O WP29 considera que existem outros fundamentos jurídicos que, em princípio, são mais adequados para as atividades dos órgãos estatais.

No entanto, o uso do Consentimento como base legal para o processamento de dados pelas autoridades governamentais não é uma exceção ao GDPR. Os exemplos a seguir mostram que o consentimento pode ser apropriado em determinadas circunstâncias.

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

Um desequilíbrio também aparece no contexto do emprego. Dada a relação entre o empregador e o funcionário, é improvável que o titular dos dados possa recusar seu consentimento para processar dados pessoais sem medo ou risco de consequências negativas como resultado da recusa. É improvável que um funcionário possa concordar voluntariamente, por exemplo, em ativar sistemas de monitoramento, como câmeras de vigilância no local de trabalho, ou preencher formulários de avaliação sem sofrer pressão. Assim, o WP29 considera problemático para os empregadores processar dados pessoais de funcionários com base no consentimento, uma vez que dificilmente podem ser considerados dados voluntários. Para a maioria dos casos de processamento de dados em produção, o consentimento dos trabalhadores (Artigo 6 (1) (a) GDPR) não pode ser uma razão legítima devido à natureza do relacionamento.

No entanto, isso não significa que os empregadores não possam confiar no consentimento como base legal para o processamento de dados pessoais. Podem surgir situações em que o empregador pode demonstrar que o consentimento é realmente dado voluntariamente. Dado o desequilíbrio entre o empregador e seus funcionários, os funcionários podem dar consentimento apenas voluntariamente, em circunstâncias em que não terá conseqüências negativas, independentemente de dar ou não consentimento.

Exemplo 5

Uma equipe de filmagem filma em uma parte específica do escritório. O empregador solicita a todos os funcionários que trabalham nesta área que dêem seu consentimento para o tiroteio, pois eles podem aparecer no fundo do vídeo. Aqueles que não querem agir de forma alguma não são punidos, mas recebem empregos equivalentes em outra parte do escritório durante a filmagem.

O desequilíbrio não se limita apenas a órgãos e empregadores estatais, mas também pode ocorrer em outras situações. O WP29 enfatiza que o consentimento é legal apenas se o titular dos dados puder fazer escolhas reais sem o risco de fraude, intimidação, coerção ou consequências negativas. O consentimento não será voluntário quando houver qualquer elemento de coerção, pressão ou incapacidade de exercer o livre arbítrio.

3.1.2 Opcional

O artigo 7 (4) do RGPD desempenha um papel importante na avaliação de um consentimento ser voluntário. Ela ressalta, em particular, que “vincular” o consentimento à aceitação dos termos de serviço ou “vincular” a prestação do serviço a uma solicitação de consentimento para processar dados pessoais que não são necessários para a execução do contrato é altamente indesejável. O consentimento dado em tal situação não é considerado voluntário (parágrafo 43). O artigo 7.º, n.º 4, visa garantir que a finalidade do tratamento de dados pessoais não seja disfarçada ou associada a um contrato para o qual esses dados não sejam necessários. O GDPR alega que o processamento de dados pessoais para os quais o consentimento é solicitado não pode direta ou indiretamente se tornar uma reconvenção.Duas razões para o processamento legítimo de dados pessoais - consentimento e prestação de serviços - não podem ser combinadas e confusas.

A coerção em consentir o uso de dados pessoais além dos limites necessários à escolha do titular dos dados e impede o exercício do livre arbítrio. Como a lei procura proteger os direitos fundamentais, o controle de dados é crítico. Argumenta-se que o consentimento para o uso de dados pessoais acima do necessário não pode ser uma suposição obrigatória em troca da execução de um contrato ou da prestação de serviços.

Sempre que o consentimento estiver relacionado à execução do contrato, o titular dos dados, que não deseja fornecer dados pessoais, corre o risco de receber uma negação de serviço.

Para avaliar se existe "vinculativo" ou "vinculativo", é importante determinar o escopo do contrato e os dados necessários para sua execução. De acordo com a Conclusão 06/2014 WP29, o termo "necessário para a execução do contrato" deve ser interpretado de maneira restrita. O processamento deve ser necessário para executar um contrato com cada indivíduo de dados. Por exemplo, no contexto de uma loja online, esse pode ser o endereço da entrega de mercadorias ou detalhes do cartão de crédito. No contexto do emprego, podem ser informações salariais e detalhes de contas bancárias. Deve haver uma conexão direta e objetiva entre os dados e a finalidade de seu uso no contrato.

Se o responsável pelo tratamento desejar processar dados pessoais realmente necessários para a execução do contrato, o Consentimento não é uma base obrigatória.

O artigo 7.º, n.º 4, aplica-se apenas nos casos em que os dados solicitados não são necessários para a execução do contrato, e a execução depende da recepção desses dados por meio do consentimento. Por outro lado, se os dados são necessários para a execução do contrato, o artigo 7 (4) não se aplica.

Exemplo 6 Um

banco solicita o consentimento dos clientes para permitir que terceiros usem seus detalhes para marketing direto. Esta atividade não é necessária para a execução do contrato e a prestação de serviços comuns. Se a recusa de um cliente em dar o consentimento levar a uma recusa em fornecer serviços bancários, fechamento de uma conta ou aumento de comissão, esse consentimento não será considerado voluntário.

O enfoque na facultatividade como presunção de falta de liberdade de consentimento demonstra que as condições para sua ocorrência devem ser cuidadosamente verificadas. O termo “preste mais atenção” no artigo 7 (4) significa que o responsável pelo tratamento deve ter especial cuidado quando o contrato contiver uma solicitação de consentimento para o tratamento de dados pessoais.

Como a redação do Artigo 7 (4) não é absoluta, pode haver casos em que a opcionalidade não torne o Consentimento ilegal. No entanto, a palavra "alegado" no parágrafo 43 indica que esses casos serão extremamente raros.

De qualquer forma, o ónus da prova previsto no artigo 7.o, n.o 4, cabe ao responsável pelo tratamento. Esta regra reflete o princípio geral de responsabilidade, que opera em todo o GDPR. No entanto, ao aplicar o artigo 7.º, n.º 4, será mais difícil para o responsável pelo tratamento provar que o titular dos dados deu o seu consentimento voluntariamente.

O controlador pode argumentar que a organização oferece aos titulares de dados uma escolha real se eles podem escolher entre um serviço que requer Consentimento para usar dados pessoais para fins adicionais e um serviço idêntico que não exige esse Consentimento. Desde que seja possível executar um contrato sem obter o consentimento para usar dados adicionais, isso não é considerado opcional. Nesse caso, os dois serviços devem ser praticamente idênticos.

O WP29 considera que o consentimento não é considerado voluntário se o controlador afirmar que existe uma escolha entre um serviço que exige que o consentimento use dados pessoais para fins adicionais e um serviço idêntico de outro controlador que não exija esse consentimento. Nesse caso, a liberdade de escolha dependerá do fato de o titular dos dados encontrar os serviços praticamente idênticos. Além disso, o controlador deverá monitorar o mercado para garantir a validade contínua de tal consentimento, uma vez que um concorrente pode alterar o serviço posteriormente. Portanto, esse argumento significa que o consentimento não cumpre os requisitos do RGPD.

3.1.3 Detalhe

Um serviço pode incluir várias operações de processamento de dados para mais de uma finalidade. Nesses casos, os titulares dos dados devem poder escolher para que finalidade eles dão consentimento separadamente. De acordo com o RGPD, vários Consentimentos podem ser solicitados para começar a prestar um serviço.

O parágrafo 43 esclarece que o consentimento não é considerado voluntário se o processo de recebimento não permitir que os titulares dos dados consentam em certas transações. A cláusula 32 diz: “O consentimento deve abranger todos os métodos de processamento de dados pessoais realizados para atingir o mesmo objetivo. Caso o processamento de dados pessoais tenha vários propósitos, é necessário obter consentimento para cada um deles. ”

Se o controlador combinou várias metas de processamento e não tentou obter um consentimento separado para cada uma delas, isso significa falta de liberdade. O detalhamento está intimamente relacionado à necessidade de concretização do Consentimento, descrita na seção 3.2. abaixo. Quando o processamento de dados é realizado para vários propósitos, uma condição de consentimento legal é a separação desses objetivos e a obtenção do consentimento para cada um.

7

, . , . . (. 3.3.1), , , .

3.1.4.

O responsável pelo tratamento é obrigado a demonstrar ao titular dos dados que ele pode retirar o consentimento sem prejuízo de si mesmo (parágrafo 42). Por exemplo, o responsável pelo tratamento precisa provar que a revogação do consentimento não acarreta custos para o titular dos dados e não cria um inconveniente óbvio para ele.

Outros exemplos de danos são engano, intimidação, coerção ou conseqüências negativas significativas se o titular dos dados não der seu consentimento. O responsável pelo tratamento deve provar que o titular dos dados tem livre escolha sobre dar ou não o consentimento e que pode retirá-lo sem prejuízo de si mesmo.

Se o controlador mostrar que o serviço inclui a capacidade de revogar o consentimento sem consequências negativas, por exemplo, sem comprometer a qualidade, isso pode servir como evidência de um consentimento voluntário. O GDPR não inclui todos os incentivos, mas o ônus da prova da voluntariedade deste consentimento recai sobre o controlador em todos os casos.

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

O Artigo 6 (1) (a) confirma que o Consentimento deve ser dado em relação a "um ou mais objetivos específicos" e que o titular dos dados tem uma escolha em relação a cada um deles. O requisito de que o consentimento deve ser específico visa garantir o controle do usuário e a transparência do titular dos dados. O GDPR não mudou esse requisito e permanece intimamente relacionado ao requisito de consentimento informado. Ao mesmo tempo, deve ser interpretado de acordo com o requisito de detalhes para obter um consentimento voluntário. Em geral, para ser específico, o controlador deve:

indicar o objetivo como uma medida protetora contra sua expansão,
detalhar o pedido de consentimento e,
separar claramente as informações relacionadas à obtenção do consentimento de qualquer outra.

Suplemento a 1. De acordo com o Artigo 5 (1) (b) do RGPD, o recebimento do Consentimento é sempre precedido pela determinação do objetivo específico, explícito e legal do processamento de dados pretendido. A necessidade de um consentimento específico, combinada com o conceito de restrição de objetivo no artigo 5 (1) (b), serve como proteção contra a expansão gradual do objetivo de coleta de dados após a entidade ter dado o consentimento. Esse fenômeno, também conhecido como fluência funcional, representa um risco para os titulares dos dados, pois pode levar ao uso imprevisto de dados pessoais pelo controlador ou por terceiros e perda de controle.

Se o responsável pelo tratamento se basear no artigo 6.o, n.o 1, alínea a), os titulares dos dados devem sempre consentir com a finalidade específica do tratamento. De acordo com o conceito de restrição de objetivo, o Artigo 5 (1) (b) e o parágrafo 32, o Consentimento pode abranger várias operações se servirem ao mesmo objetivo. Obviamente, um Consentimento específico só pode ser obtido quando os titulares dos dados são precisamente informados dos objetivos de processamento pretendidos.

Apesar da capacidade de combinar objetivos, o consentimento deve ser específico para cada um. Os titulares dos dados devem concordar com o entendimento de que eles controlam a situação e seus dados serão processados apenas para os fins especificados. Se o controlador processar legitimamente os dados para um propósito e desejar processá-lo também para outro, o controlador deverá solicitar consentimento adicional para ele, a menos que haja outra base legal que reflita melhor a situação.

11

, , . , ( ) . .

Suplemento a 2. Os mecanismos de consentimento não devem apenas ser detalhados para atender ao requisito de “voluntário”, mas também para cumprir o elemento de “especificidade”. Isso significa que o controlador que solicita o consentimento para vários propósitos deve fornecer uma opção para cada um deles, para permitir que os usuários concedam o consentimento para um propósito de processamento específico.

Suplemento a 3. Por fim, os supervisores devem fornecer informações específicas em cada solicitação de consentimento individual para cada finalidade, para que os titulares dos dados estejam cientes do impacto de diferentes opções. Portanto, os titulares dos dados têm a oportunidade de dar um consentimento específico. Este ponto está relacionado à obrigação de fornecer informações claras na seção 3.3. abaixo.

3.3 Informado

O GDPR exige que o consentimento seja informado. Com base no artigo 5 do GDPR, a exigência de transparência é um dos princípios fundamentais que estão intimamente relacionados aos princípios de justiça e legalidade. O fornecimento de informações aos titulares dos dados antes da obtenção do seu consentimento é importante para que eles tomem uma decisão informada, para entender exatamente com o que concordam e, digamos, entendendo o direito de retirar o seu consentimento. Se o controlador não fornecer informações acessíveis, o titular dos dados não receberá controle real e esse consentimento será considerado uma base ilegal para o processamento.

A conseqüência do não cumprimento do requisito de consentimento informado é sua ilegalidade, e o responsável pelo tratamento pode estar violando o artigo 6 do GDPR.

3.3.1 Requisitos mínimos de conteúdo para obter consentimento informado

Para que o consentimento seja informado, é necessário fornecer ao titular dos dados vários elementos que são cruciais para ele tomar uma decisão. Portanto, o WP29 é de opinião que pelo menos as seguintes informações são necessárias para obter um consentimento legal:

nome do controlador
fins de processamento para os quais os dados pessoais são destinados,
os tipos de dados que serão coletados e usados,
o direito de revogar o consentimento,
Informações sobre o processamento automático de dados em conformidade com o artigo 22.
informações sobre os possíveis riscos de transferência de dados devido à falta de uma solução adequada e de medidas de proteção descritas no artigo 46.

Em relação aos parágrafos 1. e 3., o WP29 observa que, no caso em que o consentimento solicitado deve ser obtido por vários controladores (conjuntos), ou se os dados devem ser transmitidos ou processados por outros controladores que desejam aderir a esse consentimento, todos eles devem ser estão listados. Os processadores de dados podem não ser indicados, embora seja necessário que os controladores forneçam uma lista completa dos destinatários de dados ou suas categorias, incluindo processadores, para cumprir os artigos 13 e 14 do GDPR. Em conclusão, o WP29 observa que, dependendo das circunstâncias, o titular dos dados pode precisar de informações adicionais para entender claramente as operações de processamento de dados.

3.3.2 Como fornecer informações

O GDPR não descreve a forma ou o tipo de como as informações devem ser fornecidas para cumprir o requisito de consentimento informado. Isso significa que ele pode ser representado de várias maneiras, como declarações escritas ou orais, mensagens de áudio ou vídeo. No entanto, no RGPD existem vários requisitos para o consentimento informado, principalmente no artigo 7 (2) e na cláusula 32. O que aumenta a clareza e a acessibilidade.

Ao solicitar o consentimento, o controlador sempre deve usar uma linguagem clara e simples. Isso significa que a mensagem deve ser facilmente entendida por uma pessoa comum, não apenas por um advogado. Os supervisores não devem usar políticas longas de privacidade difíceis de entender ou jargões legais. O consentimento deve ser claro, distinguível de outros problemas e fornecido de maneira compreensível e facilmente acessível. Esse requisito significa que as informações relacionadas à adoção de uma decisão informada sobre consentimento ou desacordo não podem ser ocultadas nas condições gerais de serviço.

O controlador é necessário para garantir que o Consentimento seja obtido com base em informações que permitam ao titular dos dados reconhecer facilmente quem é o controlador e com o que exatamente eles concordam. O responsável pelo tratamento deve descrever claramente a finalidade do processamento para o qual o consentimento é solicitado.

Outras diretrizes específicas de acessibilidade estão incluídas no WP29 em termos de transparência. Se o consentimento for concedido eletronicamente, a solicitação deve ser clara e concisa. Informações abrangentes e detalhadas são mais adequadas para obrigações bilaterais - precisas e completas, por um lado, e compreensíveis, por outro.

O controlador é necessário para avaliar o público-alvo, que transmite dados pessoais. Por exemplo, se incluir menores, o controlador deve garantir que as informações sejam compreensíveis para eles. Após essa avaliação, o controlador deve determinar quais informações e como deve fornecer aos titulares dos dados.

O artigo 7 (2) considera declarações de consentimento por escrito preparadas previamente e relacionadas a outros assuntos. Quando o consentimento é solicitado sob um contrato (em papel), essa solicitação deve ser claramente separada de outras questões. Se o contrato em papel contiver aspectos não relacionados ao Consentimento, a questão deverá ser considerada de maneira que se destaque claramente ou seja proposta como um documento separado. Da mesma forma, se o consentimento for solicitado eletronicamente, o pedido deve ser separado e não pode ser apenas um parágrafo nos termos de serviço, de acordo com o parágrafo 32. Quando colocado em telas pequenas ou em um espaço limitado, uma maneira abrangente de fornecer informações pode ser apropriada para evitar interação excessiva com violações de design de usuário ou produto.

O responsável pelo tratamento, que se refere ao consentimento, também é obrigado a cumprir os requisitos estabelecidos nos artigos 13 e 14, a fim de cumprir o RGPD. Na prática, uma abordagem integrada pode ser adotada para atender a esses requisitos e para atender ao requisito de consentimento informado. No entanto, esta seção do Guia está escrita no contexto em que o consentimento "informado" legítimo pode ser obtido, mesmo que nem todos os elementos dos Artigos 13 e / ou 14 sejam mencionados no processo de recebimento (esses pontos, é claro, devem ser mencionados em outros lugares, por exemplo, em política de Privacidade). O WP29 emitiu recomendações separadas sobre transparência.

Exemplo 12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

O GDPR determina que o consentimento exige uma declaração ou uma ação afirmativa clara do titular dos dados. Deveria ser óbvio que o titular dos dados deu seu consentimento para o processamento específico.
O artigo 2.o, alínea h), da Diretiva 95/46 / CE descreve o consentimento como "a expressão da vontade pela qual o titular dos dados expressa o seu consentimento no tratamento de dados pessoais a ele relacionados". O artigo 4 (11) do GDPR é baseado nessa definição, esclarecendo que um consentimento legal exige expressão expressa de vontade por meio de uma declaração ou uma ação afirmativa clara, de acordo com as instruções anteriores do WP29.

“Ação afirmativa clara” significa que o sujeito concorda conscientemente com um tratamento específico. A Seção 32 fornece mais orientações sobre este tópico. O consentimento pode ser obtido por meio de declaração oral escrita (ou gravada), bem como eletronicamente.

Talvez a maneira mais fácil de cumprir o requisito de uma "declaração por escrito" seja garantir que o titular dos dados explique ao responsável pelo tratamento o que concorda por carta ou e-mail. Muitas vezes isso não é viável. As respectivas declarações escritas do GDPR podem variar.

Sem prejuízo do direito contratual (nacional) existente, o Consentimento pode ser obtido por comunicação oral gravada, tendo previamente considerado as informações disponíveis para o titular dos dados. De acordo com o GDPR, o uso de opções pré-selecionadas não é permitido. Silêncio, inação ou trabalho contínuo com o serviço não é considerado um sinal de escolha.

Exemplo 14

Durante a instalação, o aplicativo solicita ao titular dos dados o consentimento para usar relatórios de falhas personalizados para melhorar sua qualidade. Uma política de privacidade abrangente, contendo todas as informações necessárias, é anexada à solicitação de consentimento. Ao marcar ativamente o campo opcional com a inscrição "Eu concordo", o usuário executa uma ação afirmativa clara, que dá seu consentimento ao processamento.

O responsável pelo tratamento deve levar em consideração que o Consentimento não pode ser obtido simultaneamente com o contrato para a prestação de serviços. A aceitação dos termos de serviço não pode ser considerada uma ação afirmativa clara sobre o uso de dados pessoais. O GDPR proíbe opções pré-selecionadas (por exemplo, o campo "cancelar inscrição") ou outros métodos que exigem que a intervenção do titular dos dados revogue o Consentimento.

Quando o consentimento é dado eletronicamente, a solicitação não deve interromper desnecessariamente o trabalho com o serviço. Uma ação afirmativa clara pela qual o titular dos dados fornece o consentimento pode ser necessária se uma maneira menos interruptiva de obtê-lo levar à ambiguidade. Assim, para solicitar o consentimento, pode ser necessário suspender parcialmente a interação com o usuário para legitimar a solicitação.

De acordo com o GDPR, os supervisores têm o direito de desenvolver independentemente o processo de Consentimento mais adequado à organização. Nesse sentido, as ações físicas podem ser qualificadas como afirmativas claras.

Os supervisores devem projetar mecanismos de consentimento de forma que sejam entendidos pelos titulares dos dados. Os supervisores devem evitar ambiguidade e garantir que a ação pela qual o Consentimento é dado possa ser distinguida de outras ações. Portanto, o uso continuado usual do site não é uma ação a partir da qual podemos concluir que o titular dos dados deseja expressar seu consentimento para a operação de processamento.

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

No mundo digital, muitos serviços exigem dados pessoais; portanto, os titulares dos dados recebem várias solicitações de consentimento, que precisam ser respondidas todos os dias clicando e passando o dedo na tela. Isso pode levar a alguma apatia: quando as solicitações são atendidas com muita frequência, o efeito de aviso real é reduzido.

Isso leva a uma situação em que a solicitação de consentimento não é mais lida. Essa situação é de alto risco para os titulares dos dados, pois o consentimento geralmente é solicitado para o processamento que seria ilegal sem ele. O GDPR impõe aos supervisores a obrigação de desenvolver métodos para resolver esse problema.

Um exemplo bem conhecido de tal situação é obter o consentimento de um usuário da Internet através das configurações em seu navegador. Tais configurações devem ser projetadas de acordo com o GDPR. Por exemplo, o consentimento deve ser detalhado para cada uma das metas e conter os nomes dos supervisores.

Em qualquer caso, o consentimento deve ser obtido antes que o controlador prossiga com o processamento de dados pessoais. Nas recomendações anteriores, o WP29 manteve consistentemente que o consentimento deve ser dado antes do início das atividades de processamento. Apesar do fato de o artigo 4 (11) do GDPR não prescrever literalmente a obtenção do consentimento antes do processamento, isso está claramente implícito. O título do artigo 6 (1) e a expressão “dada” no artigo 6 (1) (a) sustentam essa interpretação. Do artigo 6 e parágrafo 40, segue-se logicamente que antes de iniciar o processamento de dados deve haver uma base legal. Portanto, o consentimento deve ser dado antes do início do processo de processamento de dados. Em princípio, basta solicitar o consentimento do titular dos dados uma vez. No entanto, é necessário que os supervisores obtenham um novo consentimento se os objetivos do processamento forem alterados ou se um objetivo adicional aparecer.

4. Obtenção de consentimento explícito

O consentimento explícito é necessário em algumas situações em que existe um sério risco de proteção de dados; portanto, um alto nível de controle individual sobre dados pessoais é considerado apropriado. De acordo com o RGPD, o consentimento explícito desempenha um papel importante no artigo 9 com relação ao processamento de categorias especiais de dados, disposições sobre a transferência de dados para países terceiros ou organizações internacionais, se não houver medidas de proteção previstas nos artigos 49 e 22 sobre tomada de decisão automatizada, incluindo criação de perfil.

O GDPR estabelece que uma "declaração ou ação afirmativa clara" é um pré-requisito para um consentimento "simples". Como a importância do requisito de um consentimento "simples" no RGPD é maior do que na Diretiva 95/46 / CE, é necessário esclarecer quais esforços adicionais o responsável pelo tratamento deve realizar para obter o consentimento explícito do titular dos dados de acordo com o RGPD.

O termo explícito refere-se a um método de expressar consentimento por um titular de dados. Isso significa que o titular dos dados deve dar consentimento explícito. A maneira óbvia de garantir que o consentimento seja explícito é concedê-lo por escrito. Nesses casos, o responsável pelo tratamento pode garantir que a declaração escrita seja assinada pelo titular dos dados, a fim de eliminar todas as dúvidas possíveis e a potencial falta de evidência no futuro.

No entanto, uma declaração por escrito não é a única maneira de obter um consentimento explícito, e não se pode dizer que o GDPR exige que você obtenha um consentimento por escrito em todos os casos que exijam um consentimento explícito legítimo. Por exemplo, no mundo digital, um titular de dados pode consentir preenchendo um formulário eletrônico, enviando um e-mail, baixando um documento digitalizado com uma assinatura ou usando uma assinatura eletrônica. Teoricamente, o uso de declarações orais também pode ser suficiente para obter um consentimento explícito legítimo, mas será mais difícil para o controlador provar que todas as condições do consentimento explícito legítimo foram cumpridas ao registrar tal declaração.

A organização também pode obter o consentimento explícito por telefone, desde que as informações de seleção sejam justas, compreensíveis e claras, e uma ação específica seja solicitada ao titular dos dados (por exemplo, pressionando um botão ou fornecendo confirmação verbal).

Exemplo 17 Um

controlador de dados pode obter o consentimento explícito de um visitante em seu site oferecendo a tela de consentimento, que contém os sinalizadores Sim e Não, desde que o texto indique claramente o consentimento. Por exemplo, "Eu, por meio deste, concordo com o processamento de meus dados", e não, digamos, "Está claro para mim que meus dados serão processados". Obviamente, outras condições para obter consentimento legal devem ser observadas.

Exemplo 18

, . - . , , , .

Uma verificação de consentimento em duas etapas também pode ser uma maneira de confirmar se o consentimento explícito é válido. Por exemplo, o titular dos dados recebe um email informando o controlador de sua intenção de processar seus dados médicos. O controlador explica que está solicitando o consentimento para usar um conjunto de dados específico para uma finalidade específica. Se o titular dos dados concordar com esse processamento, o responsável pelo tratamento pede para responder por e-mail com o texto "Eu concordo". Após enviar a resposta, o titular dos dados recebe um link de transferência ou SMS com um código para confirmar o contrato.

O Artigo 9 (2) não reconhece a “necessidade de execução do contrato” como uma exceção à proibição geral de processar categorias especiais de dados. Portanto, os controladores e os países da UE que lidam com essa situação devem estudar as exceções contidas nas alíneas b) aj) do artigo 9.º, n.º 2. Se nenhum deles for aplicável, a obtenção do consentimento explícito de acordo com o RGPD continuará sendo a única exceção legal possível ao processamento desses dados.

Exemplo 19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5. Condições adicionais para obter consentimento legal

O GDPR introduz requisitos para que os supervisores tomem medidas adicionais para garantir que eles recebam, apóiem e possam demonstrar o consentimento legal. O artigo 7 do GDPR descreve essas medidas adicionais com disposições específicas para manter o diário de consentimento e o direito de fácil revogação do consentimento. O artigo 7 também se aplica ao consentimento referido em outros artigos do RGPD, por exemplo, nos artigos 8 e 9. As orientações sobre requisitos adicionais para a demonstração de um consentimento legal e sua revogação são fornecidas abaixo.

5.1 Demonstração de consentimento

A seção 7 (1) do GDPR define a obrigação explícita do responsável pelo tratamento de demonstrar o consentimento do titular dos dados. De acordo com a Seção 7 (1), o ônus da prova recai sobre o responsável pelo tratamento.

O parágrafo 42 diz: "Se o processamento se basear no consentimento do titular dos dados, o responsável pelo tratamento deve poder demonstrar que o titular dos dados consentiu com a operação de processamento".

Os supervisores podem desenvolver seus próprios métodos para atender a esse requisito, de maneira a se adequarem melhor às suas atividades. Ao mesmo tempo, a obrigação de demonstrar o consentimento legal obtido por si só não deve levar ao processamento adicional de dados excessivo. Isso significa que os controladores devem ter dados suficientes para demonstrar uma conexão com o processamento (mostrar recebimento do consentimento), mas não são obrigados a coletar dados além do necessário.

O controlador é obrigado a mostrar que o Consentimento atual foi obtido do titular dos dados. O GDPR não especifica exatamente como isso deve ser feito. No entanto, o responsável pelo tratamento deve provar que o titular dos dados deu seu consentimento. Enquanto as atividades de processamento de dados estiverem em andamento, há uma obrigação de demonstrar o consentimento. Após a conclusão do processamento, de acordo com o Artigo 17 (3) (b) e (e), a evidência do Consentimento não deve ser mantida por mais tempo do que o estritamente necessário para o cumprimento das obrigações legais, apresentação, execução ou defesa dos requisitos legais.

Por exemplo, o controlador pode armazenar um protocolo das declarações de consentimento recebidas para mostrar como e quando foram recebidas, e quais informações foram fornecidas ao titular dos dados naquele momento. O responsável pelo tratamento também deve mostrar que o titular dos dados foi informado e que o processo de recebimento atendeu a todos os critérios para consentimento legal. A razão lógica para essa obrigação do RGPD é que os supervisores devem assumir a responsabilidade de obter o consentimento legal do sujeito e seus mecanismos para obtê-lo. Por exemplo, em um contexto on-line, o controlador pode armazenar informações sobre a sessão durante a qual o consentimento foi fornecido, juntamente com a documentação do processo de recebimento e uma cópia das informações que foram apresentadas ao titular dos dados naquele momento. Não basta apenas se referir à configuração correta do site.

21

- « X», . , . . , « X».

O GDPR não especifica uma data de validade específica para o consentimento. O prazo de validade depende do contexto, escopo e expectativas do titular dos dados. Se as operações de processamento variarem significativamente, o Consentimento original não será mais válido. Nesse caso, você deve obter uma nova permissão.

O WP29 recomenda atualizar o Consentimento de tempos em tempos. O re-fornecimento de informações ajuda a garantir que o titular dos dados esteja bem ciente de seu uso e direitos.

5.2 Revogação de Consentimento

A revogação do consentimento ocupa um lugar importante no RGPD. As normas e requisitos do RGPD para revogar o consentimento podem ser considerados como uma codificação da interpretação existente desta questão nas conclusões do WP29.

O Artigo 7 (3) do GDPR prescreve que o responsável pelo tratamento é obrigado a garantir que o titular dos dados possa revogar o Consentimento a qualquer momento tão facilmente quanto foi concedido. O GDPR não exige que o fornecimento e a revogação do consentimento sejam a mesma ação.

No entanto, se o Consentimento for obtido eletronicamente com apenas um clique do mouse, passando a tela ou pressionando uma tecla, os titulares dos dados deverão poder retirar esse Consentimento com a mesma facilidade. Nos casos em que o Consentimento é obtido através da interface do usuário (por exemplo, através de um site, aplicativo, conta de login, interface do dispositivo Internet of things ou via email), o titular dos dados deve poder revogar o Consentimento através da mesma interface, desde que mude para outra interface pelo único motivo de revogar o consentimento exigirá esforços injustificados. Além disso, o titular dos dados deve poder retirar o seu consentimento sem prejuízo de si próprio. Isso significa, em particular, que o responsável pelo tratamento é obrigado a revogar o consentimento gratuitamente ou sem comprometer a qualidade do serviço.

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

O requisito de recall fácil é descrito como um requisito necessário de consentimento legal no RGPD. Se o direito de retirada não atender aos requisitos do GDPR, todo o processo de processamento do consentimento pelo controlador não atenderá aos requisitos do GDPR. Como já mencionado na seção 3.1. sobre os requisitos do consentimento informado, o responsável pelo tratamento é obrigado a informar o titular dos dados sobre o direito de revogar o consentimento antes de seu recebimento real, de acordo com o artigo 7 (3) GDPR. Além disso, o responsável pelo tratamento é obrigado, no âmbito de garantir a transparência, a informar o titular dos dados sobre o método de exercício desse direito.

Geralmente, quando o Consentimento é revogado, quaisquer operações de processamento de dados que foram construídas nele e executadas antes da revogação do Consentimento permanecem legais, no entanto, a partir desse momento, o controlador é obrigado a interromper o processamento. Se não houver outros motivos legais para o processamento de dados (por exemplo, armazenamento adicional), eles deverão ser excluídos.

Como mencionado anteriormente, é muito importante que os controladores determinem os objetivos e as bases legais para o processamento real dos dados antes do início da coleta de dados. Muitas vezes, as empresas precisam de dados pessoais para diversos fins ao mesmo tempo, e o processamento é baseado em mais de uma base legal; por exemplo, os dados do cliente podem estar no contrato e no consentimento. Então a retirada do consentimento não significa que o responsável pelo tratamento é obrigado a excluir os dados processados para cumprir o contrato. Portanto, o controlador é obrigado desde o início a indicar exatamente qual objetivo se relaciona com cada elemento de dados e em que base legal se baseia.

O controlador é obrigado a excluir os dados processados com base no consentimento, logo que sejam revogados, desde que não haja outro motivo para justificar o armazenamento adicional. Além desta situação descrita no artigo 17.º, n.º 1, alínea b), o titular dos dados pode exigir a remoção dos seus outros dados, que são tratados com outra base jurídica, por exemplo, com base no artigo 6.º, n.º 1, alínea b). O controlador deve avaliar a adequação do processamento adicional dos dados, mesmo na ausência de um pedido de exclusão.

Nos casos em que o titular dos dados retira seu consentimento, mas o controlador deseja continuar processando dados pessoais em outra base legal, ele não pode passar silenciosamente do consentimento (que é retirado) para outra base legal. Qualquer alteração na base jurídica do processamento deve ser levada ao conhecimento do titular dos dados, de acordo com os requisitos de informação estabelecidos nos artigos 13 e 14 e com o princípio da transparência.

6. Interação do consentimento com outras razões legais no artigo 6 do RGPD

O artigo 6 estabelece as condições para o tratamento legítimo de dados pessoais e descreve seis fundamentos jurídicos nos quais o responsável pelo tratamento pode confiar. A aplicação de um desses seis fundamentos deve ser estabelecida antes do início do processamento e ser relevante para a finalidade específica.

É importante observar aqui que, se o controlador decidir confiar no Consentimento em relação a qualquer parte do processamento, ele deverá estar preparado para finalizá-lo se a pessoa retirar seu Consentimento. A notificação de que os dados são processados com base no consentimento, quando de fato outra base jurídica é aplicada, é, em princípio, injusta para o titular dos dados.

Em outras palavras, o responsável pelo tratamento não pode substituir o consentimento por outra base legal. Por exemplo, não é permitido o uso retrospectivo de interesses legítimos como base legal para legalizar o processamento se surgirem problemas com a legalidade do Consentimento. Tendo em conta o requisito de divulgar a base jurídica em que o responsável pelo tratamento se baseia na coleta de dados pessoais, ele é obrigado a decidir antecipadamente qual base jurídica é aplicável.

7. Disposições especiais do RGPD

7.1 Crianças (artigo 8)

Comparado à diretiva atual, o GDPR cria um nível adicional de proteção no qual os dados pessoais das pessoas mais vulneráveis, especialmente crianças, são processados. O artigo 8 introduz obrigações adicionais para fornecer um nível aumentado de proteção a essas crianças em relação aos serviços de informação. As razões para a proteção aprimorada são indicadas no parágrafo 38: "... pois elas podem estar menos conscientes dos riscos, conseqüências, garantias e direitos associados ao processamento de dados pessoais ..." O parágrafo 38 também afirma que "Essa proteção especial deve, em particular, aplicar-se ao uso de dados pessoais de crianças para fins de marketing ou para criar perfis pessoais (de usuário) e coletar dados pessoais relacionados a crianças no processo de usá-los, serviços voltados especificamente para crianças."O texto" em particular "indica que a proteção não se limita ao marketing ou criação de perfil, mas inclui uma" coleta de dados pessoais de crianças "mais ampla.

O artigo 8.º, n.º 1, determina que, nos casos em que o consentimento é aplicado para oferecer serviços de informação diretamente à criança, o tratamento de dados pessoais é considerado legal se ele tiver pelo menos 16 anos de idade. Se a criança tiver menos de 16 anos, esse processamento será legal somente se e na medida em que o consentimento for dado por uma pessoa que represente os interesses da criança. Em relação ao limite de idade do consentimento, o GDPR permite que os países da UE estabeleçam um limite mínimo por si próprios, mas não pode ser inferior a 13 anos.

Como mencionado na seção 3.1. no que diz respeito ao consentimento informado, a mensagem deve ser clara para o público-alvo para o qual o responsável pelo tratamento se dirige, prestando atenção especial à opinião da criança. Para receber o "consentimento informado" da criança, o responsável pelo tratamento deve explicar em linguagem simples e compreensível para as crianças como ele planeja processar os dados coletados. Se os pais derem consentimento, poderá ser necessário um conjunto de informações para permitir que o adulto tome uma decisão informada.

Resulta do exposto que o artigo 8. O é aplicável apenas se forem cumpridas as seguintes condições:

o processamento está relacionado à prestação de serviços de informação diretamente à criança,
o processamento é baseado no consentimento.

7.1.1 Serviços de informação

Para determinar o escopo do termo "serviço de informações" no artigo 4 (25), o RGPD se refere à Diretiva 2015/1535.

Avaliando o escopo desta definição, o WP29 também se refere à prática do Tribunal Europeu. O tribunal decidiu que os serviços de informação cobrem contratos ou outros serviços concluídos ou comprometidos on-line. Se um serviço tiver dois componentes economicamente independentes, o primeiro online, por exemplo, uma oferta e sua aceitação associados à celebração de um contrato ou informações sobre produtos e serviços, incluindo marketing, esse componente será considerado um serviço de informações. Por sua vez, o segundo componente, sendo um fornecimento físico ou distribuição de mercadorias, não se enquadra no conceito de serviço de informações. A prestação de um serviço on-line está de acordo com a definição do termo "serviço de informações" contido no artigo 8 do RGPD.

7.1.2 Oferecido diretamente a uma criança

A inclusão da frase “oferecido diretamente à criança” indica que o artigo 8 aplica-se apenas a determinados serviços de informação. Se o provedor de serviços de informação deixar claro para os possíveis usuários que ele oferece serviços apenas para pessoas com mais de 18 anos de idade, e isso não é refutado por outras evidências (por exemplo, o conteúdo do site ou dos planos de marketing), esse serviço não é considerado "oferecido diretamente à criança" e O artigo 8 não é aplicável.

7.1.3 Era

O GDPR determina que "os países da UE podem prever legislativamente uma idade menor para esses fins, desde que essa idade não seja inferior a 13 anos". O controlador deve estar ciente das leis locais e levar em conta a comunidade a quem ele oferece serviços. Deve-se notar especialmente que o controlador que oferece o serviço transfronteiriço nem sempre pode se referir apenas às normas em sua jurisdição, mas também pode precisar cumprir as leis de cada país em que oferece serviços de informação. Depende se o país decide confiar na jurisdição do responsável pelo tratamento ou no local de residência do titular dos dados. Antes de mais nada, ao fazer essa escolha, todos os países da UE são obrigados a levar em consideração os interesses da criança. O Grupo de Trabalho pede uma decisão acordada sobre esse assunto.

Se os serviços de informação forem fornecidos às crianças com base no consentimento, espera-se que os supervisores tomem medidas para garantir que o usuário atinja a idade mínima do consentimento digital, e essas medidas devem ser proporcionais ao processamento de dados e riscos.

Se os usuários alegarem ter idade superior à idade mínima do consentimento digital, o controlador poderá realizar uma revisão para verificar isso. Embora o GDPR não obriga a realizar essa verificação, é implicitamente necessário, pois o processamento de dados se tornará ilegal se a criança der consentimento, não tendo idade suficiente para fornecer consentimento legal em seu nome.

Se o usuário afirmar que não atingiu a idade mínima do consentimento digital, o controlador poderá aceitar esta declaração sem verificação, mas precisará obter permissão dos pais e verificar se a pessoa que fornece o consentimento tem direitos dos pais.

A verificação da idade não pode ser atribuída ao processamento excessivo de dados. O método selecionado para verificar a idade do titular dos dados deve incluir uma avaliação de risco do tratamento proposto. Em situações de baixo risco, pode ser suficiente solicitar o ano de nascimento ou preencher um formulário no qual ele é (não) menor de idade. Em caso de dúvida, o supervisor deve alterar os métodos de verificação da idade e considerar a necessidade de verificações alternativas.

7.1.4 Consentimento das crianças e direitos dos pais

O GDPR não determina como obter o consentimento dos pais ou estabelecer quem tem o direito de fazê-lo. Portanto, o WP29 recomenda uma abordagem proporcional, de acordo com os artigos 8 (2) e 5 (1) © GDPR (minimização de dados). Uma abordagem proporcional é obter uma quantidade limitada de informações, como os detalhes de contato dos pais ou responsáveis.

O que é razoável para verificar se o usuário tem idade suficiente para fornecer seu próprio consentimento e se a pessoa que fornece o consentimento da criança tem direitos dos pais, pode depender dos riscos de processamento e da tecnologia disponível. Em situações de baixo risco, a confirmação por email pode ser suficiente. Por outro lado, em situações de alto risco, pode ser apropriado solicitar provas adicionais para que o responsável pelo tratamento possa verificá-las e armazená-las de acordo com o artigo 7 (1) do RGPD. Serviços de verificação de terceiros podem oferecer soluções que minimizam a quantidade de dados pessoais que o controlador deve processar por si próprio.

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

O exemplo mostra que o controlador pode demonstrar que foram feitos esforços razoáveis para garantir que haja um consentimento legal para os serviços prestados à criança. O Artigo 8 (2) diz que “o Controlador, levando em consideração as capacidades tecnológicas disponíveis, deve fazer esforços razoáveis para garantir que o Consentimento tenha sido dado por uma pessoa com direitos dos pais em relação à criança ou tenha sido aprovado com sua aprovação.”

O controlador é obrigado a determinar quais medidas são apropriadas em um caso específico. Normalmente, os supervisores devem evitar verificações que levem à coleta excessiva de dados pessoais.

O WP29 reconhece que pode haver situações em que a verificação é complicada (por exemplo, quando as crianças que consentiram ainda não deixaram uma pegada digital ou quando os direitos dos pais são difíceis de verificar. A complexidade pode ser levada em consideração ao determinar medidas razoáveis, mas espera-se que os controladores monitorem constantemente seus processos. e tecnologias disponíveis.

Com relação ao direito do sujeito de consentir com o processamento de dados pessoais e de ter controle total sobre eles, assim que o sujeito de dados atingir a idade do consentimento digital, o consentimento dos pais ou responsáveis pode ser confirmado, alterado ou revogado. Na prática, isso significa que, se a criança não tomar nenhuma ação, o consentimento para o processamento dado pelos pais ou responsáveis, concedido antes da idade do consentimento digital, permanecerá a base legal para o processamento. Ao atingir a idade do consentimento digital, a criança pode revogar o consentimento em conformidade com o artigo 7 (3). De acordo com os princípios de justiça e transparência, o responsável pelo tratamento é obrigado a informar o filho dessa possibilidade.

É importante observar que, de acordo com a cláusula 38, o consentimento dos pais ou responsáveis não é necessário para os serviços de prevenção ou aconselhamento oferecidos diretamente à criança. Por exemplo, o fornecimento de serviços de proteção infantil online não requer permissão dos pais.

Em conclusão, o GDPR determina que as regras para a emissão de procurações em relação a menores não afetam "o direito contratual geral dos países da UE, por exemplo, na conclusão ou execução de acordos em relação à criança". Assim, os requisitos para o consentimento legal para o uso dessas crianças fazem parte da estrutura legal, que deve ser considerada separadamente do direito contratual dos países. Portanto, o Guia não trata da questão da legalidade dos contratos on-line firmados por menores. Ambos os regimes legais podem ser aplicados simultaneamente, e o escopo do RGPD não inclui a harmonização do direito contratual dos países.

7.2 Pesquisa científica

A definição dos objetivos da pesquisa tem um impacto significativo em todo o espectro de atividades de processamento de dados que o controlador pode realizar. O termo "pesquisa científica" não está definido no RGPD. O parágrafo 159 declara: "... No âmbito deste regulamento, o processamento de dados pessoais para fins de pesquisa científica deve ser interpretado de maneira ampla ...", no entanto, o WP29 acredita que esse conceito não pode ser mais amplo que seu significado geral; portanto, "pesquisa científica" neste contexto significa um projeto de pesquisa criados de acordo com os padrões éticos e metodológicos da indústria e com as melhores práticas.

Quando o Consentimento é a base legal para a realização de pesquisas de acordo com o GDPR, ele deve ser separado de outros requisitos do Consentimento, atendendo a padrões éticos ou obrigações processuais. Um exemplo dessa obrigação processual quando o processamento é baseado não no Consentimento, mas em outra base legal pode ser encontrado no Cronograma de Ensaios Clínicos. No contexto dos direitos de proteção de dados, a última forma de consentimento mencionada pode ser considerada uma medida de proteção adicional. Ao mesmo tempo, o GDPR não limita a aplicação do Artigo 6 apenas ao Consentimento ao processamento de dados para fins de pesquisa. Enquanto existirem medidas de proteção, como os requisitos do artigo 89., N. 1, e o tratamento for justo, jurídico, transparente e em conformidade com os padrões de minimização de dados e os direitos individuais,Podem estar disponíveis outros fundamentos jurídicos, como as alíneas e) ou f) do no 1 do artigo 6.o O mesmo se aplica a categorias especiais de dados, em conformidade com as exceções do artigo 9.º, n.º 2, alínea j).

O parágrafo 33 parece trazer certa flexibilidade ao grau de concretização e refinamento do consentimento no contexto da pesquisa científica. Ele diz: “Muitas vezes é impossível determinar completamente o objetivo do processamento de dados pessoais destinados à pesquisa científica no momento da coleta de dados. Portanto, os titulares dos dados devem ter a oportunidade de dar seu consentimento a determinadas áreas da pesquisa científica, com base na conformidade de seus objetivos com os padrões éticos reconhecidos da pesquisa científica. Os titulares dos dados devem poder dar seu consentimento apenas em relação a certas áreas de pesquisa ou parte de projetos de pesquisa, de acordo com o objetivo pretendido. ”

Primeiro, note-se que o parágrafo 33 não cancela a obrigação de exigir um consentimento específico. Isso significa que, em princípio, os projetos de pesquisa podem incluir dados pessoais com base no consentimento apenas se tiverem um objetivo bem descrito. Nos casos em que os objetivos do processamento de dados no âmbito de um projeto de pesquisa não possam ser determinados no início, o parágrafo 33 permite a exceção de que o objetivo pode ser descrito de uma maneira mais geral.

Dadas as rigorosas condições estabelecidas no artigo 9 do RGPD em relação ao processamento de categorias de dados especiais, o WP29 observa que, nos casos em que categorias de dados especiais são processadas com base no consentimento explícito, uma abordagem flexível deve ser interpretada com mais rigor e exigir um estudo mais cuidadoso.

Considerando o RGPD como um todo, ele não pode ser interpretado de forma a permitir que o responsável pelo tratamento contorne o princípio fundamental de determinar os propósitos para os quais o consentimento do titular dos dados é solicitado. Quando os objetivos da pesquisa não podem ser totalmente definidos, o supervisor deve procurar outras maneiras de garantir que a essência dos requisitos de Consentimento seja mais adequada, por exemplo, permitir que os titulares de dados consigam o objetivo da pesquisa em termos mais gerais e para fases específicas do projeto de pesquisa conhecidas desde o início. À medida que a pesquisa avança, o consentimento para a próxima etapa pode ser obtido antes de começar. No entanto, esse consentimento deve continuar a ser consistente com os padrões éticos da pesquisa científica.

Além disso, nesses casos, o controlador pode tomar precauções adicionais. Por exemplo, o artigo 89 (1) enfatiza a necessidade de salvaguardas no processamento de dados para fins científicos, históricos ou estatísticos. Esses objetivos "incluem garantias dos direitos e liberdades do titular dos dados". Possíveis medidas de proteção incluem minimização, anonimização e segurança dos dados. O anonimato é preferido se o objetivo do estudo puder ser alcançado sem o processamento de dados pessoais.

A transparência é uma salvaguarda adicional quando as circunstâncias do estudo não permitem um consentimento específico. A falta de concretização da meta pode ser compensada por informações sobre sua evolução, fornecidas regularmente pelos supervisores durante a implementação do projeto de pesquisa, para que, com o tempo, o consentimento se torne o mais específico possível. Ao mesmo tempo, o titular dos dados tem pelo menos um entendimento básico da situação, o que possibilita avaliar se, digamos, o direito de revogar o consentimento deve ser usado de acordo com o artigo 7 (3).

Além disso, ter um plano de pesquisa abrangente disponível para os titulares dos dados, antes de Dar consentimento, pode ajudar a compensar a falta de detalhes sobre a meta. Nesse plano de pesquisa, os tópicos de pesquisa e os métodos de trabalho devem ser tão claramente definidos quanto possível. Um plano de pesquisa pode ajudar a cumprir o Artigo 7 (1), uma vez que os supervisores devem mostrar quais informações estavam disponíveis para os titulares de dados no momento da obtenção do Consentimento, a fim de demonstrar que é legal.

É importante lembrar que, quando o Consentimento é usado como base legal para o processamento, o titular dos dados deve poder revogá-lo. O WP29 observa que a revogação do consentimento pode interferir com a pesquisa que exige dados de indivíduos, mas o GDPR indica claramente que o consentimento pode ser revogado e os supervisores devem agir de acordo com isso - não há exceção para a pesquisa científica. Se o responsável pelo tratamento receber uma solicitação de revogação do consentimento, ele será obrigado a excluir imediatamente os dados pessoais, se desejar continuar a pesquisa.

7.3 Direitos do titular dos dados

Se o processamento de dados for baseado no consentimento do titular dos dados, isso afetará os direitos dessa pessoa. Os titulares dos dados têm direito à portabilidade de seus dados (artigo 20). Ao mesmo tempo, o direito de contestar (Artigo 21) não se aplica se o processamento for baseado no Consentimento, mesmo que o direito de retirar o Consentimento a qualquer momento dê o mesmo resultado.

Os artigos 16 a 20 do GDPR indicam que (quando o processamento de dados é baseado no consentimento) os titulares de dados têm o direito de excluir dados quando o consentimento é revogado, bem como o direito de restringi-los, ajustá-los e acessá-los.

8. Consentimento obtido em conformidade com a Diretiva 95/46 / CE

Os supervisores que já processam dados com base no Consentimento, de acordo com a legislação local, se preparando para o GDPR, não precisam atualizar automaticamente todas as relações com os titulares de dados. O consentimento já obtido permanece legal na medida em que cumpre o RGPD.

É importante que os supervisores examinem detalhadamente os processos e registros atuais até 25 de maio de 2018, a fim de garantir que os Contratos existentes estejam em conformidade com o GDPR (consulte o parágrafo 171 do GDPR). O GDPR apresenta o mais alto padrão para mecanismos de consentimento e introduz muitos novos requisitos que exigem que os supervisores alterem os processos de consentimento, não apenas reescrevendo as políticas de privacidade.

Por exemplo, como o GDPR exige que o controlador possa demonstrar que o consentimento legal foi obtido, todos os outros consentimentos não são automaticamente compatíveis com o GDPR e devem ser substituídos. Da mesma forma, como o GDPR exige uma “declaração ou ação afirmativa clara”, todos os outros consentimentos baseados nas ações indiretas do titular dos dados (por exemplo, uma caixa de seleção predefinida) também não corresponderão ao GDPR.

Além disso, para demonstrar que o consentimento foi obtido ou para refinar a escolha do titular dos dados, os processos e sistemas podem precisar ser revistos. Além disso, deve ser possível revogar facilmente o consentimento e devem ser fornecidas informações sobre como fazer isso. Se os procedimentos de gerenciamento de Consentimento existentes não atenderem aos requisitos do GDPR, o controlador deverá obter um novo Consentimento correspondente a eles.

Por outro lado, como a condição de um consentimento informado nem sempre exige todos os elementos mencionados nos artigos 13 e 14, as obrigações ampliadas do GDPR não contradizem necessariamente a continuidade do consentimento que foi fornecido antes da entrada em vigor do GDPR. Na Diretiva 95/46 / CE, não havia exigência de informar os titulares dos dados sobre os motivos do processamento.

Se o responsável pelo tratamento determinar que o Consentimento obtido anteriormente sob a antiga legislação não está mais em conformidade com o GDPR, ele é obrigado a tomar medidas para cumpri-lo, por exemplo, para atualizar o Consentimento. De acordo com o RGPD, a substituição de uma base jurídica por outra é inaceitável. Se o controlador não puder atualizar o Consentimento e não puder continuar em conformidade com o GDPR, processando os dados em outra base legal, garantindo ao mesmo tempo que o processamento continue de maneira justa e transparente, a atividade de processamento deverá ser interrompida. De qualquer forma, o responsável pelo tratamento deve cumprir os princípios de processamento de dados legais, justos e transparentes.

GDPR: consentimento para o processamento de dados pessoais