Consentimento, legítimo interesse e mais: entenda as bases legais da LGPD

Imagem ilustrando as bases legais da LGPD.

A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, estabelece as diretrizes que as empresas devem seguir em relação ao tratamento de dados pessoais. Dentre os pontos previstos na lei, um dos mais importantes é que para justificar o tratamento de dados pessoais as empresas devem se enquadrar em algumas hipóteses, que são as chamadas bases legais da LGPD.

Aliás, antes de tudo é importante destacar dois conceitos básicos: dado pessoal e tratamento de dados. Dado pessoal é qualquer informação que identifique ou que, em conjunto com outros dados, permita identificar uma pessoa (como nome, CPF, e-mail, idade ou profissão). Já o tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso e classificação.

Portanto, se a sua empresa coleta, armazena ou usa de qualquer forma algum tipo de dado pessoal, ela precisa se enquadrar em uma das bases legais da LGPD.

Para definir qual é a melhor base legal para a sua empresa, é preciso avaliar com cuidado os processos e necessidades do negócio. Para isso, você pode contar com o auxílio de uma assessoria jurídica ou de uma consultoria para adequação à LGPD, como a da Get Privacy.

Para explicar um pouco melhor o assunto, vamos falar sobre cada uma das hipóteses previstas em lei. Vale ressaltar que esse texto se refere às bases legais para tratamento de dados pessoais que não sejam dados sensíveis. Dados sensíveis, que são aqueles relacionados a questões como origem racial ou étnica e convicção religiosa, têm bases legais diferenciadas, que em breve abordaremos em outro post.

Confira neste artigo!

Quer ajuda para escolher a base legal mais adequada à sua empresa?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à LGPD, incluindo a escolha da melhor base legal.

Confira as dez bases legais da LGPD

1. Consentimento

O consentimento é uma das bases legais mais comentadas e conhecidas da LGPD. Basicamente, ele permite que as empresas tratem dados pessoais para fins específicos mediante a autorização do titular dos dados.

A lei prevê que o consentimento deve incluir finalidades específicas para o uso dos dados e que autorizações genéricas serão consideradas nulas. Basicamente, a LGPD determina que as empresas devem ser transparentes com o titular, informando como seus dados serão utilizados de forma clara e inequívoca. O titular dos dados também deve poder recusar a autorização ou revogá-la quando quiser.

Embora muito se fale sobre o consentimento, ele não é a única hipótese prevista na lei nem é hierarquicamente prioritário em relação às demais. Para muitas empresas, a base legal mais adequada pode ser, na verdade, alguma das outras previstas em lei. 

2. Cumprimento de obrigação legal ou regulatória

Outra hipótese para tratar legalmente dados pessoais é no caso de cumprimento de obrigação legal ou regulatória. Ou seja, quando lidar com dados pessoais é necessário para poder garantir o cumprimento de outras leis ou normativas.

Um exemplo muito comum é em relação a algumas obrigações relacionadas aos dados de funcionários. Neste caso, as leis trabalhistas impactam diretamente o tratamento de dados pessoais, exigindo desde o envio de informações ao INSS até o armazenamento de determinados dados e comprovantes por períodos que podem ir de 5 a 20 anos.

3. Execução de políticas públicas

Esta é uma base legal muito específica da LGPD, pois se aplica somente à administração pública, e não a empresas. Ela garante que o poder público poderá tratar e fazer uso compartilhado de dados pessoais se eles forem necessários para colocar em prática políticas públicas previstas em leis e regulamentos ou respaldadas em contratos e convênios.

É o caso de dados necessários para implementar programas de assistência social e de transferência de renda, dentre muitos outros exemplos possíveis.

Vale lembrar que, em seu artigo 4º, a Lei Geral de Proteção de Dados deixa bem claro que ela não se aplica ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

4. Estudos e pesquisa

A realização de estudos por órgãos de pesquisa, como IBGE e IPEA, foi prevista na quarta base legal da LGPD. A lei permite o tratamento de dados pessoais para que os estudos feitos por órgãos de pesquisa possam ser realizados.

O detalhe é que a lei coloca que, sempre que possível, deve ser feita a anonimização dos dados. Ou seja, preferencialmente deve-se adotar procedimentos que impossibilitem a associação direta ou indireta entre um dado e um indivíduo.

Além disso, o artigo 13 da lei aborda especificamente a realização de estudos em saúde pública, deixando claro que nesses casos os dados devem ser tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade do estudo. Além disso, também deve-se adotar medidas de segurança da informação para proteger esses dados.

5. Execução de contrato

A lei também prevê que os dados pessoais de uma pessoa podem ser utilizados para executar ou preparar um contrato do qual o titular seja parte, a pedido do titular.

É o caso, por exemplo, de dados que precisam ser fornecidos para formalizar a contratação de um funcionário ou o aluguel de um imóvel ou de dados que precisam ser usados para garantir o cumprimento do contrato em si. Vale ressaltar que é importante que as hipóteses de tratamento de dados estejam previstas no contrato.

6. Exercício regular de direitos

O uso de dados pessoais para o exercício regular de direitos é garantido pela LGPD. A sexta base legal prevê a hipótese de tratamento de dados para exercer direitos em processos judiciais, administrativos e arbitrais.

Ou seja, a proteção de dados não impede o uso de dados dentro da legalidade para produzir provas e se defender em processos, garantindo o direito ao contraditório e à ampla defesa.

7. Proteção da vida

Uma base legal bastante específica da LGPD é o tratamento de dados pessoais para a proteção da vida ou da integridade física do titular ou de terceiro.

Como exemplo, podemos citar o acesso a documentos de uma pessoa caso ela sofra um acidente e esteja impossibilitada de chamar uma ambulância ou se comunicar com a família. Se o uso desses dados foi feito para garantir a vida e a integridade física da pessoa, então está respaldado pela lei.

8. Tutela da saúde

Profissionais da saúde, serviços de saúde ou autoridade sanitária têm o respaldo legal para tratar dados pessoais que sejam necessários para a realização de suas atividades.

É o caso, por exemplo, da análise de dados necessários para uma campanha de vacinação ou para notificar sobre o resultado de um exame.

9. Legítimo interesse

O legítimo interesse é uma das bases legais mais genéricas e flexíveis previstas na LGPD. A lei diz que dados pessoais podem ser tratados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro”, desde que isso não se sobreponha a direitos e liberdades fundamentais do titular.

No artigo 10, a lei esclarece um pouco mais a respeito dos limites do legítimo interesse. Ela determina, por exemplo, que o tratamento deve ser feito para finalidades legítimas, consideradas a partir de situações concretas. Como exemplo, a lei cita o apoio e promoção de atividades do controlador e a proteção do exercício de direitos e da prestação de serviços que beneficiem o titular.

Um ponto importante ao considerar o legítimo interesse como base legal é que ele traz também mais responsabilidades para a empresa, que tem que estar preparada para justificar a qualquer momento o uso dos dados. Além disso, o legítimo interesse não pode ser utilizado para justificar o tratamento de dados pessoais sensíveis.

A LGPD deixa claro que, se o tratamento tiver como fundamento o legítimo interesse, a autoridade nacional responsável por fiscalizar o cumprimento da lei pode solicitar ao controlador o relatório de impacto à proteção de dados pessoais (documento que descreve os tipos de dados coletados, a forma como eles foram obtidos e utilizados, dentre outros detalhamentos).

10. Proteção do crédito

A décima e última hipótese para o tratamento de dados pessoais é a proteção do crédito.

Ela é, basicamente, uma garantia aos órgãos de proteção ao crédito, como a Serasa, para que possam continuar incluindo dados de consumidores em cadastros positivos. E, também, para que as empresas com as quais o titular tenha pendências financeiras possam comunicar aos órgãos competentes que existe essa dívida.

Dessa forma, o mercado pode continuar consultando os órgãos de proteção ao crédito para avaliar o perfil do pagador.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Como escolher a base legal mais adequada para a sua empresa

Como vimos, a Lei Geral de Proteção de Dados traz hipóteses para o tratamento de dados que vão muito além do consentimento. 

O ideal é que cada empresa avalie sua situação específica antes de decidir em qual base legal se enquadrar.

A Get Privacy conta com uma equipe especializada em LGPD e pode ajudar nesse processo. 

Nós atuamos com uma solução de ponta a ponta para a adequação à lei, atendendo as áreas de Assessoria Jurídica, Compliance e Segurança da Informação.

Fale conosco e veja como podemos ajudar a sua empresa!

Fale conosco para saber mais:

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS