10 bases legais da LGPD que justificam o tratamento de dados: consentimento, legítimo interesse e mais

Imagem ilustrando as bases legais da LGPD.

As bases legais da LGPD (Lei Geral de Proteção de Dados) são justificativas e argumentos que devem ser utilizados pela sua empresa para comprovar e legitimar o tratamento e o uso de dados pessoais.

Portanto, se a sua empresa coleta, armazena ou usa de qualquer forma dados pessoais, ela precisa estar enquadrada ou apoiada em pelo menos uma das 10 bases legais da LGPD.

Para definir qual é a melhor base legal para a empresa, é preciso avaliar com cuidado os processos, as pessoas envolvidas e as necessidades do negócio. Ou seja, cada caso é um caso.

Para facilitar este processo e garantir mais eficiência, é possível contar com o auxílio de uma consultoria para adequação à LGPD, como a Get Privacy.

Neste artigo, vamos explicar em detalhes cada uma das bases legais que são previstas na LGPD.

Confira neste artigo!

Quer ajuda para escolher a base legal mais adequada à sua empresa?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à LGPD, incluindo a escolha da melhor base legal.

LGPD: o que é dado pessoal e tratamento de dados?

Antes de tudo, é importante destacarmos dois conceitos básicos da LGPD: dado pessoal e tratamento de dados. 

O dado pessoal, segundo o Art. 5º da lei, é qualquer informação que identifique ou que, em conjunto com outros dados, permita identificar uma pessoa. Alguns exemplos de dados pessoais são nome, CPF, e-mail, idade e profissão.

A LGPD menciona ainda uma categoria especial chamada de dado pessoal sensível.

De acordo a lei, dado pessoal sensível é qualquer “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. 

Já o termo tratamento de dados se refere a qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso, classificação, produção, recepção, acesso, reprodução, transmissão, distribuição, arquivamento e eliminação.

Agora que definimos conceitos essenciais da LGPD, vamos apresentar as bases legais da lei.

Quais são as 10 bases legais da LGPD?

No Art. 7º, a LGPD determina 10 hipóteses ou bases legais que devem justificar o tratamento de dados pessoais. Estas bases são fundamentais para garantir que a empresa esteja em conformidade e adequada à lei.

1. Consentimento

O consentimento é uma das bases legais mais comentadas e conhecidas da LGPD. Basicamente, ele permite que as empresas tratem dados pessoais para fins específicos mediante a autorização do titular dos dados.

A lei prevê que o consentimento deve incluir finalidades específicas para o uso dos dados e que autorizações genéricas serão consideradas nulas.

Ou seja, a LGPD determina que as empresas devem ser transparentes com o titular, informando como seus dados serão utilizados de forma clara e inequívoca. O titular dos dados também deve poder recusar a autorização ou revogá-la quando quiser.

Embora muito se fale sobre o consentimento, ele não é a única hipótese prevista na lei e nem é hierarquicamente prioritário em relação às demais.

2. Cumprimento de obrigação legal ou regulatória

Outra hipótese para tratar legalmente dados pessoais é no caso de cumprimento de obrigação legal ou regulatória. Ou seja, quando lidar com dados pessoais é necessário para poder garantir o cumprimento de outras leis ou normativas.

Um exemplo comum são obrigações relacionadas aos dados de funcionários. Neste caso, as leis trabalhistas impactam diretamente o tratamento de dados pessoais, exigindo desde o envio de informações até o armazenamento de determinados dados por longos períodos de tempo.

3. Execução de políticas públicas

Esta é uma base legal muito específica da LGPD, pois se aplica somente à administração pública, e não a empresas.

Ela garante que o poder público poderá tratar e fazer uso compartilhado de dados pessoais se eles forem necessários para colocar em prática políticas públicas previstas em leis e regulamentos ou respaldadas em contratos e convênios.

É o caso de dados necessários para implementar programas de assistência social e de transferência de renda, dentre muitos outros exemplos possíveis.

Vale ressaltar ainda que o Art. 4º da lei deixa bem claro que ela não se aplica ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

4. Realização de estudos por órgão de pesquisa

A realização de estudos por órgãos de pesquisa, como IBGE e IPEA, também está prevista como base legal na LGPD. 

O detalhe é que a lei coloca que, sempre que possível, deve ser feita a anonimização dos dados. Ou seja, preferencialmente deve-se adotar procedimentos que impossibilitem a associação direta ou indireta entre um dado e um indivíduo.

Além disso, a lei aborda especificamente a realização de estudos em saúde pública, deixando claro que, nestes casos, os dados devem ser tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade do estudo.

5. Execução ou criação de contrato

A LGPD também prevê que os dados pessoais podem ser utilizados para executar ou preparar um contrato do qual o titular seja parte, a pedido do titular.

É o caso, por exemplo, de dados que precisam ser fornecidos para formalizar a contratação de um funcionário ou o aluguel de um imóvel; ou de dados que precisam ser usados para garantir o cumprimento do contrato em si. 

Vale ressaltar, inclusive, que as hipóteses de tratamento de dados estejam previstas no contrato.

6. Exercício regular de direitos

O uso de dados pessoais para o exercício regular de direitos é garantido pela LGPD.

A sexta base legal prevê a hipótese de tratamento de dados para exercer direitos em processos judiciais, administrativos e arbitrais.

Ou seja, a proteção de dados não impede o uso de dados dentro da legalidade para produzir provas e se defender em processos, garantindo o direito ao contraditório e à ampla defesa.

7. Proteção da vida

Uma base legal bastante específica da LGPD é o tratamento de dados pessoais para a proteção da vida ou da integridade física do titular ou de terceiro.

Como exemplo, podemos citar o acesso a documentos de uma pessoa caso ela sofra um acidente e esteja impossibilitada de chamar uma ambulância ou de se comunicar com a família.

Se o uso desses dados pessoais for realizado para garantir a vida e a integridade física da pessoa, então, está respaldado pela lei.

8. Tutela da saúde

Profissionais da saúde, serviços de saúde ou autoridade sanitária têm o respaldo legal da LGPD para tratar dados pessoais que sejam necessários para a realização de suas atividades.

É o caso, por exemplo, da análise de dados necessária para uma campanha de vacinação ou para notificar um paciente sobre o resultado de um exame.

9. Legítimo interesse

O legítimo interesse é uma das bases legais mais genéricas e flexíveis previstas na LGPD. 

A lei diz que dados pessoais podem ser tratados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro”, desde que isso não se sobreponha a direitos e liberdades fundamentais do titular.

No Art. 10º, a lei esclarece um pouco mais a respeito dos limites do legítimo interesse. Ela determina, por exemplo, que o tratamento deve ser feito para finalidades legítimas, consideradas a partir de situações concretas. 

Como exemplo, a lei cita o apoio e promoção de atividades do controlador e a proteção do exercício de direitos e da prestação de serviços que beneficiem o titular.

Um ponto importante ao considerar o legítimo interesse como base legal é que ele traz também mais responsabilidades para a empresa, que tem que estar preparada para justificar a qualquer momento o uso dos dados. 

Além disso, o legítimo interesse não pode ser utilizado para justificar o tratamento de dados pessoais sensíveis.

A LGPD deixa clara que, se o tratamento tiver como fundamento o legítimo interesse, a ANPD, responsável por fiscalizar o cumprimento da lei, pode solicitar ao controlador o relatório de impacto à proteção de dados pessoais (documento que descreve os tipos de dados coletados, a forma como eles foram obtidos e utilizados, dentre outros detalhamentos).

10. Proteção do crédito

A décima e última hipótese para o tratamento de dados pessoais é a proteção do crédito.

Ela é, basicamente, uma garantia aos órgãos de proteção ao crédito, como a Serasa, para que possam continuar incluindo dados de consumidores em cadastros positivos. E, também, para que as empresas com as quais o titular tenha pendências financeiras possam comunicar aos órgãos competentes que existe essa dívida.

Dessa forma, o mercado pode continuar consultando os órgãos de proteção ao crédito para avaliar o perfil do pagador.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Como escolher a base legal mais adequada para a sua empresa

Como vimos, a LGPD traz hipóteses para o tratamento de dados que vão muito além do consentimento. O ideal é que cada empresa avalie sua situação específica antes de decidir em qual base legal se enquadrar.

A Get Privacy conta com uma equipe especializada em LGPD e pode ajudar nesse processo. 

Nós atuamos com uma solução de ponta a ponta para a adequação à lei, atendendo as áreas de assessoria jurídica, compliance, TI e segurança da informação. Entre em contato. 

Fale conosco para saber mais:

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS