Bases Legais LGPD – Veja como utilizá-las

Bases-legais-tratamento-de-dados-LGPD

Analisamos as bases legais da LGPD que autorizam o tratamento de dados pessoais.

Antes de falarmos sobre a utilização de cada uma das bases legais da Lei Geral de Proteção de Dados Pessoais (LGPD), precisamos entender alguns termos técnicos, vejamos:

  1. Tratamento de dados pessoais : qualquer operação que processe informações de pessoas naturais.
  2. Dados pessoais: são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).
  3. O titular dos dados: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
  4. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  5. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

A  LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador processar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que estudaremos adiante.

1. Consentimento do titular dos dados

Inicialmente, precisamos definir o que é consentimento, art. 5 inciso XII:

consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Nesse sentido, uma empresa que pretenda processar dados pessoais deve obter o consentimento do titular de forma livre e informada para uma determinada finalidade.

Dessa forma, o consentimento pode ser fornecido por escrito ou por outro meio que demonstre a manifestação da vontade do titular.

Além disso, recomendamos que, antes de coletar o consentimento, deve ser informado ao titular todos os seus direitos de forma transparente.

2. Para o cumprimento de obrigação legal ou regulatória do controlador

Em síntese, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Portanto, com essa base jurídica, o controlador pode tratar dados – sem o consentimento – do titular, por exemplo:

  • uma empresa que tem a obrigação legal de entregar a Declaração do Imposto sobre a Renda Retido na Fonte (DIRF) relativo a seus empregados.
3. Administração Pública

Essa é uma das bases legais da LGPD que permite o tratamento de dados pessoais, sem consentimento dos titulares, com a finalidade de executar políticas públicas.

Contudo, a administração pública deverá seguir regras específicas para processar  dados com essa fundamentação.

4. Estudos por órgão de pesquisa

A LGPD definiu órgão de pesquisa da seguinte forma, art. 5, inciso XII:

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

Além disso, vale destacar que tanto os órgão públicos quanto os privados sempre que possível devem anonimizar os dados.

5. Execução de contrato

Essa é uma das bases legais que se assemelha a base legal do consentimento.

Visto que, se o titular pretende formalizar o contrato, será necessário que ele forneça seus dados ao controlador. Por exemplo: a formalização de um contrato de locação, de compra e venda, prestação de serviços etc.

6. Processo Judicial, administrativo ou arbitral

O controlador poderá reter as informações do titular com intuito de, eventualmente, se defender de algum processo judicial, administrativo ou arbitral. Por exemplo: um controlador armazenar dados de um ex-empregado com a finalidade de se defender em um eventual processo trabalhista.

7. Proteção da vida 

Neste caso, se for comprovado que a vida do titular ou de um terceiro está correndo risco, a LGPD permite que o controlador processe os dados, sem consentimento deles, com a finalidade de protegê-los. Por exemplo, a utilização da geolocalização de um celular para encontrar uma pessoa que foi sequestrada.

8. Tutela da Saúde

Essa é uma das bases legais que somente com amadurecimento de Lei e da jurisprudência poderemos saber como ela poderá ser aplicada. Haja vista que não foi definido quais são as categorias de profissionais da saúde que podem utilizar dados sem o consentimento do titular. Além disso, não sabemos quais são os “procedimentos” que estarão acobertados pela Lei.

9. Interesse legítimo

A utilização da base legal do legítimo interesse – decerto – causará grandes debates jurídicos, sobretudo por sua ampla possibilidade interpretativa.

O legítimo interesse está conceituado no art. 10 da LGPD:

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Como podemos perceber, o artigo tem caráter exemplificativo e não taxativo, ou seja, deverá o controlador analisar se o tratamento que pretender executar respeita os seguintes requisitos:

  1. finalidade legítima;
  2. uma situação concreta.

Por exemplo:

  • uma empresa que analisa o histórico de compras de seus clientes com intuito de enviar e-mails com a indicação de produtos semelhantes.

Ademais, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação.

Assim como, é recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.

10. Proteção de Crédito

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O controlador pode tratar dados pessoais, sem o consentimento do titular, visando a proteção de crédito.

Por exemplo:

  • um banco pode analisar o histórico de inadimplência de determinado cliente para conceder ou não um empréstimo.

Contudo, vale ressaltar que este artigo também deve ser analisado em conjunto com a Lei do Cadastro Positivo (Lei nº 12.414/2011) e Código de Defesa ao Consumidor (Lei nº 8.078/90).

____________________________

Dúvidas sobre como adequar a sua empresa à LGPD?

Entre em contato conosco via WhatsApp ou e-mail: contato@giarllarielli.adv.br

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!