Uma das etapas cruciais antes de qualquer tratamento de dados pessoais é a identificação da base legal aplicável. Sob a Lei Geral de Proteção de Dados (LGPD), a escolha dentre 12 Bases Legais da LGPD é fundamental para garantir a conformidade e a proteção dos direitos dos titulares de dados.
O que é uma Base Legal para Tratamento de Dados Pessoais?
As bases legais, conforme definido pela LGPD, são os fundamentos jurídicos que legitimam o tratamento de dados pessoais. Elas estabelecem as condições sob as quais as organizações podem coletar, armazenar e utilizar essas informações.
12 Bases Legais da LGPD
1. Consentimento
O consentimento é uma manifestação livre, informada e inequívoca do titular dos dados, concordando com o tratamento para uma finalidade específica. Assim, a autorização do titular deve ser intencional e ele deve saber exatamente para que fim seus dados serão tratados, sendo vedada a autorização tácita e para finalidades genéricas.
No caso de consentimento para o tratamento de dados pessoais sensíveis é vital que o mesmo seja explícito, destacado e relacionado à finalidades específicas.
Além disso, o consentimento pressupõe uma escolha efetiva entre autorizar e recusar o tratamento dos dados pessoais, incluindo a possibilidade de revogar o consentimento a qualquer momento.
Uma pessoa que se inscreve para um evento, tem a opção de fornecer e-mail, caso queira receber informações de outros eventos realizados pela empresa e uma mensagem esclarece que o fornecimento do e-mail é facultativo e a recusa não impede a participação no evento.
Exemplo
2. Cumprimento de Obrigação Legal ou Regulatória
Seguindo com as 12 bases legais da LGPD, quando o tratamento de dados é exigido por lei, como no cumprimento de obrigações trabalhistas, não é necessário obter consentimento dos titulares, uma vez que a legislação prevalece sobre a vontade individual nesses casos.
Tribunal de Justiça trata dados pessoais contidos em documentos em processos. Os dados pessoais em questão se referem, entre outros, as partes, testemunhas e especialistas ouvidos em audiências públicas.
Exemplo
3. Execução de Políticas Públicas
Órgãos e entidades do Poder Executivo, Legislativo e Judiciário, inclusive das Cortes de Contas e do Ministério Público, desde que estejam atuando no exercício de funções administrativas, podem realizar “o tratamento e uso compartilhado de dados necessários à execução de políticas públicas”, estas entendidas como qualquer programa ou ação governamental, definido em lei, regulamento ou ajuste contratual, cujo conteúdo inclui, via de regra, objetivos, metas, prazos e meios de execução.
4. Realização de Estudos por Órgão de Pesquisa
A utilização dessa base legal exige o atendimento a dois requisitos: o primeiro deles refere-se à natureza do agente de tratamento autorizado à realização de pesquisas envolvendo dados pessoais, o qual deve ser enquadrado como órgão de pesquisa, ou seja, órgão ou entidade da administração pública direta ou indireta ou, ainda, pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País.
Pessoas naturais ou pessoas jurídicas de direito privado com fins lucrativos que atuam como controlador ou operador podem realizar tratamento de dados pessoais para fins de estudos e pesquisa, desde que amparados em outra base legal, a exemplo do consentimento e do legítimo interesse, vedada a utilização deste último no caso de dados pessoais sensíveis.
Além da necessária avaliação da natureza e da finalidade institucional do agente de tratamento, outro requisito que deve ser observado para as operações fundamentadas na base legal em estudo é a garantia, sempre que possível, da anonimização dos dados pessoais.
4.1 Tratamento de dados pessoais para fins acadêmicos
Nas situações em que o tratamento de dados pessoais esteja estritamente vinculado ao exercício da liberdade acadêmica, a aplicação da LGPD é parcialmente derrogada.
5. Execução ou Criação de Contrato
Nas 12 bases legais da LGPD também se tem que o tratamento de dados é legítimo quando necessário para a execução de um contrato do qual o titular seja parte ou para a realização de procedimentos preliminares relacionados a esse contrato.
Desse modo, será legítima a utilização da base legal de execução de contrato sempre que houver a necessidade da manipulação de informações pessoais pelo controlador advinda de uma obrigação contratual em que o titular de dados seja parte ou que este tenha solicitado e que as informações requeridas sejam aquelas necessárias para atingir a finalidade da prestação do serviço solicitado.
Um usuário fornece dados pessoais para um cadastro em e-commerce para a concretização da venda de produto e emissão de nota fiscal eletrônica.
Exemplo
6. Exercício Regular de Direitos
Dados pessoais podem ser tratados para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, ou seja, para produzir provas e realizar a defesa em processos, garantindo o direito ao contraditório e à ampla defesa.
Uma pessoa teve seu carro atingido por um motorista embriagado e apresenta as filmagens e fotos do condutor responsável com os documentos que instruem a petição inicial de um processo de indenização.
Exemplo
7. Proteção da Vida ou da Incolumidade Física
É permitido o tratamento de dados para proteger a vida ou a integridade física do titular ou de terceiros.
Uma pessoa sofre um acidente nas dependências de uma empresa e se encontra impossibilitada de chamar uma ambulância ou se comunicar com a família.
Exemplo
8. Tutela da Saúde
O tratamento de dados é permitido exclusivamente para a tutela da saúde, em procedimentos realizados por profissionais de saúde ou autoridades sanitárias.
9. Legítimo Interesse
O legítimo interesse permite o tratamento de dados pessoais não sensíveis quando necessário para atender a interesses legítimos do controlador ou de terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular.
A aplicação do legítimo interesse requer um teste de balanceamento, no qual os interesses do controlador ou de terceiros são ponderados em relação aos direitos e legítimas expectativas dos titulares.
O interesse legítimo deve atender três condições: i) compatibilidade com a legislação, ii) ter lastro em situações concretas e iii) ser vinculado à finalidades legítimas, específicas e explícitas.
Uma empresa realiza o tratamento de dados pessoais de seus funcionários visando a garantir a segurança dos sistemas de informação utilizados para viabilizar a autenticação de usuários e prevenir que softwares maliciosos possam criar vulnerabilidades na rede interna.
Exemplo
10. Proteção do Crédito
Essa hipótese legal pede uma interpretação restritiva e pode ser utilizada quando as atividades de tratamento visem a melhorar a análise de risco em situações em que o controlador deseja avaliar a capacidade de o titular honrar os compromissos financeiros que assume por ocasião de um contrato.
Um controlador do setor financeiro e de telecomunicações estaria autorizado a compartilhar dados pessoais com outros agentes de tratamento com base nessa hipótese legal apenas quando necessário para análise de risco de inadimplência do titular de dados pessoais.
Exemplo
11. Prevenção à Fraude
Essa base legal é direcionada aos processos de identificação e autenticação de cadastro dos titulares dos dados em sistemas eletrônicos, utilizada especificamente para o tratamento de dados pessoais sensíveis.
Uma empresa pode dispensar o consentimento dos titulares para tratar dados biométricos visando a confirmar se um funcionário é autorizado a entrar em área de acesso restrito da organização.
Exemplo
12. Dados Pessoais Sensíveis e Transferência Internacional de Dados
As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.
Escolhendo a Base Legal Adequada
Não há uma base legal superior; a escolha depende do contexto e das necessidades específicas de cada tratamento. Considerações como a finalidade da atividade e o tipo de dados envolvidos são essenciais para determinar a base legal mais apropriada.
Em suma, a LGPD estabelece um conjunto robusto de bases legais para garantir que o tratamento de dados pessoais seja feito de maneira ética, transparente e legalmente sólida. Um bom software LGPD e profissionais capacitados podem sempre facilitar sua jornada nesta escolha. Ao seguir as disposições da lei e compreender as nuances de cada base legal, as organizações podem proteger os direitos dos titulares de dados e fortalecer a confiança em suas práticas de tratamento de dados.
Referências:
