10 bases legais da LGPD que justificam o tratamento de dados: consentimento, legítimo interesse e mais
As bases legais da LGPD (Lei Geral de Proteção de Dados) são justificativas e argumentos que devem ser utilizados pela sua empresa para comprovar e legitimar o tratamento e o uso de dados pessoais.
Portanto, se a sua empresa coleta, armazena ou usa de qualquer forma dados pessoais, ela precisa estar enquadrada ou apoiada em pelo menos uma das 10 bases legais da LGPD.
Para definir qual é a melhor base legal para a empresa, é preciso avaliar com cuidado os processos, as pessoas envolvidas e as necessidades do negócio. Ou seja, cada caso é um caso.
Para facilitar este processo e garantir mais eficiência, é possível contar com o auxílio de uma consultoria para adequação à LGPD, como a Get Privacy.
Neste artigo, vamos explicar em detalhes cada uma das bases legais que são previstas na LGPD.
Confira neste artigo!
Quer ajuda para escolher a base legal mais adequada à sua empresa?
Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à LGPD, incluindo a escolha da melhor base legal.
LGPD: o que é dado pessoal e tratamento de dados?
Antes de tudo, é importante destacarmos dois conceitos básicos da LGPD: dado pessoal e tratamento de dados.
O dado pessoal, segundo o Art. 5º da lei, é qualquer informação que identifique ou que, em conjunto com outros dados, permita identificar uma pessoa. Alguns exemplos de dados pessoais são nome, CPF, e-mail, idade e profissão.
A LGPD menciona ainda uma categoria especial chamada de dado pessoal sensível.
De acordo a lei, dado pessoal sensível é qualquer “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Já o termo tratamento de dados se refere a qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso, classificação, produção, recepção, acesso, reprodução, transmissão, distribuição, arquivamento e eliminação.
Agora que definimos conceitos essenciais da LGPD, vamos apresentar as bases legais da lei.
Quais são as 10 bases legais da LGPD?
No Art. 7º, a LGPD determina 10 hipóteses ou bases legais que devem justificar o tratamento de dados pessoais. Estas bases são fundamentais para garantir que a empresa esteja em conformidade e adequada à lei.
1. Consentimento
O consentimento é uma das bases legais mais comentadas e conhecidas da LGPD. Basicamente, ele permite que as empresas tratem dados pessoais para fins específicos mediante a autorização do titular dos dados.
A lei prevê que o consentimento deve incluir finalidades específicas para o uso dos dados e que autorizações genéricas serão consideradas nulas.
Ou seja, a LGPD determina que as empresas devem ser transparentes com o titular, informando como seus dados serão utilizados de forma clara e inequívoca. O titular dos dados também deve poder recusar a autorização ou revogá-la quando quiser.
Embora muito se fale sobre o consentimento, ele não é a única hipótese prevista na lei e nem é hierarquicamente prioritário em relação às demais.
2. Cumprimento de obrigação legal ou regulatória
Outra hipótese para tratar legalmente dados pessoais é no caso de cumprimento de obrigação legal ou regulatória. Ou seja, quando lidar com dados pessoais é necessário para poder garantir o cumprimento de outras leis ou normativas.
Um exemplo comum são obrigações relacionadas aos dados de funcionários. Neste caso, as leis trabalhistas impactam diretamente o tratamento de dados pessoais, exigindo desde o envio de informações até o armazenamento de determinados dados por longos períodos de tempo.
3. Execução de políticas públicas
Esta é uma base legal muito específica da LGPD, pois se aplica somente à administração pública, e não a empresas.
Ela garante que o poder público poderá tratar e fazer uso compartilhado de dados pessoais se eles forem necessários para colocar em prática políticas públicas previstas em leis e regulamentos ou respaldadas em contratos e convênios.
É o caso de dados necessários para implementar programas de assistência social e de transferência de renda, dentre muitos outros exemplos possíveis.
Vale ressaltar ainda que o Art. 4º da lei deixa bem claro que ela não se aplica ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
4. Realização de estudos por órgão de pesquisa
A realização de estudos por órgãos de pesquisa, como IBGE e IPEA, também está prevista como base legal na LGPD.
O detalhe é que a lei coloca que, sempre que possível, deve ser feita a anonimização dos dados. Ou seja, preferencialmente deve-se adotar procedimentos que impossibilitem a associação direta ou indireta entre um dado e um indivíduo.
Além disso, a lei aborda especificamente a realização de estudos em saúde pública, deixando claro que, nestes casos, os dados devem ser tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade do estudo.
5. Execução ou criação de contrato
A LGPD também prevê que os dados pessoais podem ser utilizados para executar ou preparar um contrato do qual o titular seja parte, a pedido do titular.
É o caso, por exemplo, de dados que precisam ser fornecidos para formalizar a contratação de um funcionário ou o aluguel de um imóvel; ou de dados que precisam ser usados para garantir o cumprimento do contrato em si.
Vale ressaltar, inclusive, que as hipóteses de tratamento de dados estejam previstas no contrato.
6. Exercício regular de direitos
O uso de dados pessoais para o exercício regular de direitos é garantido pela LGPD.
A sexta base legal prevê a hipótese de tratamento de dados para exercer direitos em processos judiciais, administrativos e arbitrais.
Ou seja, a proteção de dados não impede o uso de dados dentro da legalidade para produzir provas e se defender em processos, garantindo o direito ao contraditório e à ampla defesa.
7. Proteção da vida
Uma base legal bastante específica da LGPD é o tratamento de dados pessoais para a proteção da vida ou da integridade física do titular ou de terceiro.
Como exemplo, podemos citar o acesso a documentos de uma pessoa caso ela sofra um acidente e esteja impossibilitada de chamar uma ambulância ou de se comunicar com a família.
Se o uso desses dados pessoais for realizado para garantir a vida e a integridade física da pessoa, então, está respaldado pela lei.
8. Tutela da saúde
Profissionais da saúde, serviços de saúde ou autoridade sanitária têm o respaldo legal da LGPD para tratar dados pessoais que sejam necessários para a realização de suas atividades.
É o caso, por exemplo, da análise de dados necessária para uma campanha de vacinação ou para notificar um paciente sobre o resultado de um exame.
9. Legítimo interesse
O legítimo interesse é uma das bases legais mais genéricas e flexíveis previstas na LGPD.
A lei diz que dados pessoais podem ser tratados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro”, desde que isso não se sobreponha a direitos e liberdades fundamentais do titular.
No Art. 10º, a lei esclarece um pouco mais a respeito dos limites do legítimo interesse. Ela determina, por exemplo, que o tratamento deve ser feito para finalidades legítimas, consideradas a partir de situações concretas.
Como exemplo, a lei cita o apoio e promoção de atividades do controlador e a proteção do exercício de direitos e da prestação de serviços que beneficiem o titular.
Um ponto importante ao considerar o legítimo interesse como base legal é que ele traz também mais responsabilidades para a empresa, que tem que estar preparada para justificar a qualquer momento o uso dos dados.
Além disso, o legítimo interesse não pode ser utilizado para justificar o tratamento de dados pessoais sensíveis.
A LGPD deixa clara que, se o tratamento tiver como fundamento o legítimo interesse, a ANPD, responsável por fiscalizar o cumprimento da lei, pode solicitar ao controlador o relatório de impacto à proteção de dados pessoais (documento que descreve os tipos de dados coletados, a forma como eles foram obtidos e utilizados, dentre outros detalhamentos).
10. Proteção do crédito
A décima e última hipótese para o tratamento de dados pessoais é a proteção do crédito.
Ela é, basicamente, uma garantia aos órgãos de proteção ao crédito, como a Serasa, para que possam continuar incluindo dados de consumidores em cadastros positivos. E, também, para que as empresas com as quais o titular tenha pendências financeiras possam comunicar aos órgãos competentes que existe essa dívida.
Dessa forma, o mercado pode continuar consultando os órgãos de proteção ao crédito para avaliar o perfil do pagador.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
Como escolher a base legal mais adequada para a sua empresa
Como vimos, a LGPD traz hipóteses para o tratamento de dados que vão muito além do consentimento. O ideal é que cada empresa avalie sua situação específica antes de decidir em qual base legal se enquadrar.
A Get Privacy conta com uma equipe especializada em LGPD e pode ajudar nesse processo.
Nós atuamos com uma solução de ponta a ponta para a adequação à lei, atendendo as áreas de assessoria jurídica, compliance, TI e segurança da informação. Entre em contato.
Fale conosco para saber mais:
CONFIRA
OUTROS POSTS
