Bases legais – tratamento de dados – LGPD

Bases-legais-tratamento-de-dados-LGPD

Neste artigo comentaremos sobre as bases legais da LGPD que autorizam o tratamento de dados pessoais.

(Antes de tudo, se você não conhece os termos: controlador, operador, titular de dados, tratamento, consentimento, bases legais, entre outros. Recomendamos a leitura deste Manual, onde explicamos os principais conceitos da LGPD).

Primeiramente, antes de falarmos sobre a utilização de cada uma das bases legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), precisamos entender o conceito de tratamento de dados pessoais.

Em resumo,  a  LGPD deu uma extensão ampla ao conceito de tratamento de dados pessoais, abarcando qualquer operação que utilize informações de pessoas naturais vivas, art. 5, inciso X).

Além disso, é importante destacar que a LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador utilizar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que veremos adiante.

Em outras palavras, o controlador é obrigado a informar qual base legal ele utiliza para cada tratamento de dados.

Vejamos agora quais são elas:

1. Consentimento do titular dos dados – art. 7, inciso I

I – mediante o fornecimento de consentimento pelo titular;

Primeiro, precisamos esclarecer o que é consentimento, art. 5 inciso XII:

consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Nesse sentido, uma empresa/controladora que pretende tratar dados de um titular deve solicitar a ele que forneça seu consentimento – de forma livre e informada para uma determinada finalidade.

Tal consentimento pode ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular – art. 8, caput.

E ainda vale ressaltar que, antes de obter o consentimento do titular, é recomendável que ele seja informado sobre todos os seus direitos de forma transparente.

2. Cumprimento de obrigação legal – art. 7, inciso II

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

(Se você não conhece as definições de controlador, operador, tratamento entre outras, recomendamos a leitura deste Guia no qual detalhamos os principais termos das bases legais da LGPD)

Em síntese, o controlador é: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – art. 5, inciso VI.

Portanto, com essa base jurídica, o controlador pode tratar dados – sem o consentimento – do titular para cumprir uma obrigação legal, por exemplo:

3. Administração Pública – art. III

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Essa é uma das bases legais da LGPD que permite o tratamento de dados pessoais, sem consentimento dos titulares, com a finalidade de executar políticas públicas.

Contudo, a administração pública deverá seguir regras específicas para processar  dados pessoais com essa fundamentação – artigos 23 a 32.

4. Estudos por órgão de pesquisa – art. 7, inciso IV

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

A LGPD definiu órgão de pesquisa da seguinte forma, art. 5, inciso XII:

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

Além disso, vale destacar que tanto os órgão públicos quanto os privados sempre que possível devem anonimizar os dados pessoais.

5. Execução de contrato – art. 7, inciso V

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

Essa é uma das bases legais que se assemelha a base legal do consentimento. Visto que, se o titular pretende formalizar o contrato, será necessário que ele forneça seus dados ao controlador.

Por exemplo:

  • formalização de um contrato de locação, de compra e venda, prestação de serviços etc.
6. Processo Judicial, administrativo ou arbitral, art. 7, inciso VI

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

O controlador poderá reter as informações pessoais do titular com intuito de, eventualmente, se defender de algum processo judicial, administrativo ou arbitral.

Por exemplo:

  • seria legítimo um controlador armazenar dados de um ex-empregado com a finalidade de se defender em um eventual processo trabalhista.

Por outro lado, o controlador, que reter os dados de um ex-funcionário, deverá observar os princípios de tratamento da LGPD, notadamente o da necessidade e o da finalidade.

7. Proteção da vida – art. 7, inciso VII

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

Neste caso, se for comprovado que a vida do titular ou de um terceiro está correndo risco, a LGPD permite que o controlador processe os dados pessoais, sem consentimento deles, com a finalidade de protegê-los.

Por exemplo:

  • a utilização da geolocalização de um celular para encontrar uma pessoa que foi sequestrada.
8. Tutela da Saúde, art. 7, inciso VIII

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Essa é uma das bases legais que somente com amadurecimento de Lei e da jurisprudência poderemos saber como ela poderá ser aplicada.

Haja vista que não foi definido quais são as categorias de profissionais da saúde que podem utilizar dados pessoais sem o consentimento do titular.

Além disso, não sabemos quais são os “procedimentos” que estarão acobertados pela Lei.

9. Interesse legítimo – art. 7, inciso IX

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

A utilização da base legal do legítimo interesse do controlador – decerto – causará grandes debates jurídicos, sobretudo por sua ampla possibilidade interpretativa.

O legítimo interesse está conceituado no art. 10 da LGPD:

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Como podemos perceber, o artigo tem caráter exemplificativo e não taxativo, ou seja, deverá o controlador analisar se o tratamento que pretender executar respeita, em especial, os seguintes requisitos:

  1. finalidade legítima;
  2. uma situação concreta.

Por exemplo:

  • uma empresa/controladora que analisa o histórico de compras de seus clientes  com intuito de enviar e-mails com a indicação de produtos semelhantes para eles comprarem.

Ademais, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação.

Assim como, é sempre recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.

10. Proteção de Crédito – art. 7, inciso X

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O controlador/empresa pode tratar dados pessoais, sem o consentimento do titular, visando a proteção de crédito, por exemplo:

  • um banco pode analisar o histórico de inadimplência de determinado cliente para conceder ou não um empréstimo.

Contudo, vale ressaltar que este artigo também deve ser analisado em conjunto com a Lei do Cadastro Positivo (Lei nº 12.414/2011) e Código de Defesa ao Consumidor (Lei nº 8.078/90).

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!