Neste artigo comentaremos sobre as bases legais da LGPD que autorizam o tratamento de dados pessoais.
Primeiramente, antes de falarmos sobre a utilização de cada uma das bases legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), precisamos entender alguns termos técnicos, vejamos:
- Tratamento de dados pessoais : qualquer operação que processe informações de pessoas naturais.
- Dados pessoais: são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).
- O titular dos dados: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
(Caso queriam estudar com mais profundidade os termos técnicos, recomendamos leitura do Guia LGPD)
A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador processar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que estudaremos adiante.
Vejamos agora quais são elas:
1. Consentimento do titular dos dados – art. 7, inciso I
I – mediante o fornecimento de consentimento pelo titular;
Primeiro, precisamos definir o que é consentimento, art. 5 inciso XII:
consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Nesse sentido, uma empresa que pretenda processar dados pessoais deve obter o consentimento do titular de forma livre e informada para uma determinada finalidade.
Tal consentimento pode ser fornecido por escrito ou por outro meio que demonstre a manifestação da vontade do titular – art. 8.
E ainda recomendamos que, antes de coletar o consentimento, deve ser informado ao titular todos os seus direitos de forma transparente.
2. Cumprimento de obrigação legal – art. 7, inciso II
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
Em síntese, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – art. 5, inciso VI.
Portanto, com essa base jurídica, o controlador pode tratar dados – sem o consentimento – do titular para cumprir uma obrigação legal, por exemplo:
- uma empresa que tem a obrigação legal de entregar a Declaração do Imposto sobre a Renda Retido na Fonte (DIRF) relativo a seus empregados.
3. Administração Pública – art. 7, inciso III
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
Essa é uma das bases legais da LGPD que permite o tratamento de dados pessoais, sem consentimento dos titulares, com a finalidade de executar políticas públicas.
Contudo, a administração pública deverá seguir regras específicas para processar dados pessoais com essa fundamentação – artigos 23 a 32.
4. Estudos por órgão de pesquisa – art. 7, inciso IV
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
A LGPD definiu órgão de pesquisa da seguinte forma, art. 5, inciso XII:
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
Além disso, vale destacar que tanto os órgão públicos quanto os privados sempre que possível devem anonimizar os dados pessoais.
5. Execução de contrato – art. 7, inciso V
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Essa é uma das bases legais que se assemelha a base legal do consentimento.
Visto que, se o titular pretende formalizar o contrato, será necessário que ele forneça seus dados ao controlador.
Por exemplo:
- formalização de um contrato de locação, de compra e venda, prestação de serviços etc.
6. Processo Judicial, administrativo ou arbitral, art. 7, inciso VI
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
O controlador poderá reter as informações do titular com intuito de, eventualmente, se defender de algum processo judicial, administrativo ou arbitral.
Por exemplo:
- seria legítimo um controlador armazenar dados de um ex-empregado com a finalidade de se defender em eventual um processo trabalhista.
Por outro lado, o controlador que reter os dados de um ex-funcionário deverá observar os princípios de tratamento da LGPD.
7. Proteção da vida – art. 7, inciso VII
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Neste caso, se for comprovado que a vida do titular ou de um terceiro está correndo risco, a LGPD permite que o controlador processe os dados pessoais, sem consentimento deles, com a finalidade de protegê-los.
Por exemplo:
- a utilização da geolocalização de um celular para encontrar uma pessoa que foi sequestrada.
8. Tutela da Saúde, art. 7, inciso VIII
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Essa é uma das bases legais que somente com amadurecimento de Lei e da jurisprudência poderemos saber como ela poderá ser aplicada.
Haja vista que não foi definido quais são as categorias de profissionais da saúde que podem utilizar dados pessoais sem o consentimento do titular.
Além disso, não sabemos quais são os “procedimentos” que estarão acobertados pela Lei.
9. Interesse legítimo – art. 7, inciso IX
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
A utilização da base legal do legítimo interesse – decerto – causará grandes debates jurídicos, sobretudo por sua ampla possibilidade interpretativa.
O legítimo interesse está conceituado no art. 10 da LGPD:
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
Como podemos perceber, o artigo tem caráter exemplificativo e não taxativo, ou seja, deverá o controlador analisar se o tratamento que pretender executar respeita os seguintes requisitos:
- finalidade legítima;
- uma situação concreta.
Por exemplo:
- uma empresa que analisa o histórico de compras de seus clientes com intuito de enviar e-mails com a indicação de produtos semelhantes.
Ademais, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação.
Assim como, é recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.
10. Proteção de Crédito – art. 7, inciso X
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O controlador pode tratar dados pessoais, sem o consentimento do titular, visando a proteção de crédito, por exemplo:
- um banco pode analisar o histórico de inadimplência de determinado cliente para conceder ou não um empréstimo.
Contudo, vale ressaltar que este artigo também deve ser analisado em conjunto com a Lei do Cadastro Positivo (Lei nº 12.414/2011) e Código de Defesa ao Consumidor (Lei nº 8.078/90).
Informações adicionais
Se você estiver em busca de informações sobre como se adequar à LGPD, recomendamos a leitura do artigo em destaque.