yes, consent, traffic light-238375.jpg

Breves Comentários à ABNT NBR ISO/IEC 29184:2021

A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS DO BRASIL (LGPD), em vigor desde setembro de 2020, tem feito com que questões relativas à proteção de dados pessoais e à privacidade dos titulares sejam regulamentadas e normatizadas por agentes responsáveis pela tecnicidade e aplicabilidade prática dessa norma no âmbito da tecnologia e segurança da informação.

A ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, que é o Foro Nacional de Normalização Técnica no Brasil, publicou em 25 de junho de 2021, a ABNT NBR ISO/IEC 29184:2021, que está inserida no contexto da LGPD em termos de tecnologia da informação para avisos de privacidade online e consentimento.
As publicações da ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS não substituem as leis, mas trazem orientações técnicas de cumprimento voluntário por aqueles que tem interesse em cumprir requisitos reconhecidos a nível mundial sobre assuntos dos mais variados.
A ABNT NBR ISO/IEC 29184:2021, por trazer em seu conteúdo técnico a aplicabilidade prática do princípio do consentimento livre, inequívoco e informado no que se refere à tecnologia da informação própria dos avisos de privacidade online e consentimento, é uma ferramenta orientativa estratégica em projetos de adequação dos processos de uma organização para cumprimento da LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS DO BRASIL (LGPD).
A aplicabilidade técnica da ABNT NBR ISO/IEC 29184:2021 está intrinsecamente ligada à garantia de exercício de dois direitos básicos do titular dos dados pessoais também previstos no artigo 9º. da LGPD: exercer livremente seu consentimento e ter acesso a um aviso de privacidade.
Os requisitos técnicos trazidos pela ABNT NBR ISO/IEC 29184:2021 se referem também ao cumprimento do princípio da transparência, consagrado no artigo 6º, IV da LEI GERAL DE PROTEÇÃO DE DADOS (LGPD), devendo o agente de tratamento disponibilizar ao titular dos dados pessoais a oportunidade de dar ou não o acesso a suas informações enquanto um serviço ou produto lhe são oferecidos online.
Em termos conceituais a LGPD estabelece que garantir transparência é disponibilizar informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, ressalvados os segredos comercial e industrial da organização.
O escopo da ABNT NBR ISO/IEC 29184:2021 leva em conta o cenário atual em termos de tecnologia quanto à extrema facilidade de coleta de dados que revelam as atividades dos indivíduos e que é feita por meio das infraestruturas de comunicação global desenvolvidas ao longo dos anos no uso de smartphones e outros dispositivos.
Esses dispositivos propiciam uma infinitude de análises tecnológicas aos controladores de dados pessoais, justificadas estas sob a alegação de melhora na perspectiva de atendimento ao consumidor e aumento das oportunidades de negócios.
A norma ISO/IEC 29184:2021 reforça a ideia de que o processo de acesso aos dados pessoais por meio de websites, aplicativos e páginas web não pode deixar dúvidas ao titular quanto ao objetivo da coleta e tratamento a ser realizado e deve derivar de consentimento justo, demonstrável, transparente, inequívoco e revogável (retirável), assim como previsto no artigo 5º. XII, da LGPD.
É interessante considerar que técnicas correlatas a estas foram utilizados quando da edição da ABNT NBO ISO/IEC 29100:2011, atualizada em 2020, que fornece uma estrutura de privacidade e especifica uma terminologia comum de privacidade, definindo os atores e seus papeis no tratamento de dados pessoais, descrevendo salvaguardas de privacidade e referências aos princípios conhecidos de privacidade para tecnologia da informação.
Também a ISO/IEC 27001:2013, padrão internacional para a gestão da segurança da informação, em seu Anexo A item 18.1.4, já indicava como boa prática implantar o controle da proteção e privacidade de informações de identificação como requisito de conformidade.
Portanto, cuidar da privacidade das informações pessoais é assunto que circula em meio às boas práticas em termos de tecnologia da informação há tempos.
E para garantir o cumprimento dessas boas práticas, o consentimento livre, informado e inequívoco deve sempre resultar de uma escolha orientada por uma explicação clara e objetiva, disponibilizada ao titular antes de qualquer coleta dos dados pessoais por parte do agente de tratamento.
A conduta do agente de tratamento deve ser transparente, prezando pela notificação imediata do titular dos dados pessoais nos controles e estrutura dos avisos de privacidade, onde o silêncio do titular não significa presunção de concordância com a coleta e tratamento de seus dados.
Insta destacar que o fato de o titular ler o aviso de privacidade online não significa que o consentimento foi concedido.
Não basta ao controlador criar o painel de cookies induzindo o titular a uma ideia ilusória de controle.
Em se tratando de privacidade e proteção de dados pessoais, o consentimento não é uma opção do controlador e não pode ser imposta por ele.
É um atributo exclusivo do titular.
Assim, a ISO/IEC 29184 reforça o entendimento de que o consentimento online deve ser expresso e resultar do opt-in.
O conteúdo e a estrutura dos avisos de privacidade online propostos devem expor ao titular dos dados pessoais os possíveis impactos que o tratamento de seus dados pode gerar e, também delimitar as consequências diretas e indiretas do seu consentimento e do tratamento realizado.
Em resumo, os critérios de controle trazidos pela ISO/IEC 29184 quanto aos avisos de privacidade online podem ser assim enumerados:

1 – critério de necessidade
1.1 – identificar situações em que os avisos são necessários
2 – critério obrigacional
2.1 – linguagem apropriada, clara e de fácil entendimento
2.2. – redação multilíngue
2.3 – preceder à coleta dos dados, inclusive em caso de coleta adicional
2.4 – ser facilmente encontrado na página inicial ou de destino de web site ou inicial de aplicativos moveis, formulários online ou portais de captura
3 – critério de acessibilidade
3.1 – formato padronizado e apropriadamente legível pela máquina ou o software oferecido
4 – critério de conteúdo
4.1 – manter e disponibilizar ao titular as versões da notificação enquanto estiverem associadas aos dados pessoais retidos
4.2 – ser acessível às tecnologias subjacentes online, como por ex. ser convertido em som para os titulares com problemas visuais
4.3 – incluir informações claras sobre a finalidade do tratamento, reeditando-os quando necessário
4.4 – explicações claras sobre os propósitos imediatos de cada elemento ou dado coletado
4.5 – identificar o controlador de forma apropriada
4.6 – informar quais dados estão sendo coletados, ainda que isso seja óbvio, evitando linguagem genérica
4.7 – informar de forma clara os métodos de coleta (direta ou indireta) e riscos associados a eles
4.8 – explicar quando e onde os dados são coletados
4.9 – informar o método de uso dos dados coletados
4.10 – informar a geolocalização e jurisdição legal sobre o armazenamento dos dados, inclusive em caso de granularidade da localização geográfica.
4.11 – informar se os dados são transferidos para terceiros
4.12 – informar o período de retenção ou cronograma de descarte dos dados coletados
4.13 – informar os direitos direitos e indiretos do titular
4.14 – informar os dados de contato para consultas ou reclamações sobre o tratamento dos dados coletados
4.15 – informar onde e como acessar as escolhas referentes ao consentimento
4.16 – informar as hipótese legais de tratamento (bases legais) aplicáveis àquela coleta
4.17 – especificar os riscos plausíveis, impacto de privacidade e probabilidade de ocorrência destes riscos
5 – critério de consentimento
5.1 – assegurar a obtenção do consentimento de forma justa, demonstrável, transparente, inequívoca e revogável
5.2- identificar os casos de consentimento apropriado ou explicito
5.3 – garantir ao titular o consentimento informado e livre
5.4 – fornecer informação clara sobre qual conta está vinculada àquele consentimento
5.5 – separar o consentimento relacionado à privacidade do consentimento relacionado a termos e condições contratuais
5.6 – definir a frequência e os intervalos para confirmar o consentimento existente ou obter novo consentimento
5.7 – obter o consentimento no tempo hábil
6 – critério de mudança de condições
6.1 – assegurar a oportunidade de novo consentimento em caso de mudanças significativas no consentimento inicial
6.2 – avisar sobre a atualização no conteúdo do aviso
6.3 – renovar o consentimento quando alteradas as condições do controlador

Após descrever os critérios, a ABNT NBR ISO/IEC 29184:2021 traz no Anexo A o exemplo de interface do usuário para obter o consentimento do titular dos dados pessoais em computadores e smartphones, levando em conta que a apresentação e a interface disponível ao usuário podem variar amplamente, dependendo das circunstâncias e do contexto disponível naquele momento.
O modelo sugere a identificação da conta específica utilizada pelo titular, já que eventualmente podem existir várias contas ligadas àquele controlador e o uso de tabelas para de comparação dos avisos de privacidade, para ajudar os titulares a se decidirem sobre o consentimento.
O anexo B traz o exemplo de recibo de consentimento ou registro de consentimento, ressaltando a importância de que o layout utilizado possa aumentar a capacidade do titular observar, manter e gerenciar permissões de coleta de seus dados.
A ABNT NBR ISO/IEC 29184:2021 consolida a concepção de que o aprimoramento das técnicas e estratégias de uso dos dados pessoais por meio da tecnologia ligada à infraestrutura mundial de comunicação, em momento algum, pode deixar de lado o respeito à vida privada dos titulares.
Também atende aos princípios do privacy by design e privacy by default e confere transparência à metodologia de tratamento adotada pelo agente controlador dos dados pessoais.
Assim, é correto afirmar que a aplicação dos critérios de tecnologia da informação para avisos de privacidade online e consentimento propostos pela ABNT NBR ISO/IEC 29184:2021 é uma boa prática essencial em programas de privacidade e projetos de adequação à LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS.