Se você conhece a LGPD ou o GDPR você com certeza já ouviu falar nos termos “OPT-IN” e “OPT-OUT”, mas ainda existem dúvidas sobre esses recursos, foi pensando em auxiliar no entendimento desses recursos que preparamos esse artigo!
Veja também:
- Por que as pessoas cometem fraudes?
- Teste de Ponderação: Você conhece essa ferramenta?
- Qual é o momento certo para implementar um programa de Compliance?
Origem dos recursos Opt-in e Opt-out
Opt-in e Opt-out são dois termos que surgiram no contexto do GDPR (legislação europeia para proteção de dados).
O GDPR cita expressamente o uso desses recursos como forma de obtenção ou revogação do consentimento de dados.
Tanto para a LGPD quanto para o GDPR há várias formas legais em que é possível que a empresa capte e trate dados.
Uma delas é a hipótese do consentimento, ou seja, você pode tratar dados com o consentimento do titular.
Assim, se o titular de dados deixou você tratar os dados dele, ele pode também revogar esse consentimento ao tratamento de dados.
Qual a diferença?
Os recursos opt-in e opt-out estão diretamente relacionados com essa hipótese de tratamento de dados.
O OPT-IN significa que o titular de dados deve realizar uma ação para consentir ao tratamento de dados.
Um exemplo clássico disso é quando temos que realizar a ação de clicar em uma “caixinha” para receber newsletters em um site.
Ao contrário do OPT-IN, o OPT-OUT é utilizado para revogar o consentimento.
Você já teve contato com um site ou serviço que as “caixinhas” já estavam previamente clicadas e para não recebe a newsletter ou oferta você teve que realizar a ação de clicar para não receber esses e-mails?
Isso é o opt-out, ou seja, quando você precisa realizar de fato a ação para que a empresa não trate seus dados.
As legislações no mundo tratam sobre esses assuntos por diferentes caminhos, por exemplo, o CCPA (legislação da California para proteção de dados) estabelece que as empresas podem tratar dados pessoais de titulares acima de 18 anos, mas devem garantir o direito de “opt-out” do titular.
Já o GDPR diz que para tratar dados pessoais você deve pedir o opt-in do titular e ele deve anuir com esse tratamento de dados.
No Brasil
A LGPD não faz menção expressa ao opt-out ou opt-in, mas estabelece que para utilizar a base legal do consentimento, o titular de dados precisa consentir com essa informação (esse consentimento não pode ser pré-estabelecido ou presumido).
Assim, quando estivermos falando de tratamento de dados no Brasil o recomendado é sempre disponibilizar o OPT-IN e evitar o uso de consentimento já pré-estabelecido.
Pelo menos evitar até que tenhamos um posicionamento da ANPD, Autoridade Nacional de Proteção de Dados, sobre esse assunto.
