Usar, armazenar, processar… toda vez que precisávamos “tratar” um dado para realizar uma tarefa, antes da Lei Geral de Proteção de Dados – LGPD (Lei n.º 13.709/18), eram poucas as cautelas necessárias para que essa tarefa fosse considerada legítima perante a lei.
Agora, são muitos os cuidados a serem exigidos durante as operações de tratamento, o que inclui encontrar uma justificativa legal para cada uma dessas atividades.
Essas hipóteses previstas em lei que autorizam o tratamento de dados são chamadas de “bases legais” e estão listadas principalmente nos artigos 7 e 11 da LGPD.
A função delas é simples: traçar um limite entre os tratamentos de dados que são corretos (adequados, seguros, transparentes etc.) e incorretos (inseguros, prejudiciais ao usuário etc.), algo que pode ser utilizado como um indicativo poderoso da conformidade da empresa em processos administrativos e judiciais.
Além disso, o compliance com a LGPD é algo cada vez mais exigido no mercado, tanto como demonstrativo de segurança para outras empresas como para os seus clientes, algo que impulsiona significativamente a imagem de sua organização.
Portanto, conhecer as principais bases legais para as atividades dentro de sua empresa é um ótimo começo para iniciar um plano de conformidade, e é por isso que vamos explorá-las a seguir.
Termos importantes para conhecer
A fim de compreendermos melhor as bases legais da LGPD, antes de tudo é importante ter ciência das seguintes expressões.
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, utilização, acesso, armazenamento etc.
- Titulares de Dados Pessoais: são as pessoas a que se referem os dados coletados.
- Oficial de Proteção de Dados ou Encarregado (Data Protection Officer – DPO): pessoa indicada pelas empresas para atuar como canal de comunicação entre ela, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), e coordenar a proteção de dados corporativos.
- Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD
Bases legais da LGPD
Vamos começar com a primeira base legal prevista na LGPD, o consentimento:
1. Consentimento
O consentimento – a autorização dada pelo titular para que o tratamento possa ser realizado – é uma base legal robusta e segura para, por exemplo, ser usada na coleta de dados para o envio de newsletters, sendo essencial para a autorização da coleta de cookies em seu website.
Quando for necessário o consentimento do titular, os seguintes requisitos precisam ser observados:
- o consentimento deve servir para um fim específico (envio de newsletters, inscrição no site, etc), sendo nulo o consentimento para finalidades genéricas;
- ele deve ser destacado das outras cláusulas (usando, por exemplo, uma checkbox);
- ele deve ser inequívoco, ou seja, não deve haver dúvida para o usuário de que ele está consentindo com um tratamento específico, e a empresa deve dispor de meios de comprovar que isso de fato ocorreu;
- a revogação do consentimento deve ser disponibilizada a todo o momento ao titular, através de canal acessível e de fácil uso, que deve ser informado juntamente com as consequências da recusa do consentimento (por exemplo: se o consentimento do uso de dados para envio de e-mails for revogado, o titular não poderá mais receber promoções e newsletters);
No entanto, há hipóteses em que o consentimento não pode ser utilizado, como para salvar uma vida ou cumprir a lei, pois a revogação do tratamento pelo titular resultará no cancelamento de atividades que não podem deixar de ser cumpridas.
2. Cumprimento de obrigação legal ou regulatória
Se o tratamento de dados for exigido pela lei, como o cumprimento da legislação trabalhista, não será necessário se preocupar com o recolhimento do consentimento dos titulares de dados, pois, como alertamos acima, esta é uma atividade que não pode deixar de ser cumprida – a lei não pode conspirar contra ela mesma.
No entanto, isso não o desobriga de seguir os demais requisitos previstos na LGPD, como o respeito aos direitos dos titulares e o atendimento aos princípios da proteção de dados, elementos que se aplicam a todas as bases legais.
Para saber mais sobre quais são esses novos requisitos, acesse nossos artigos “LGPD em vigor, o que (efetivamente) mudou?” e “O que você precisa saber para adequar a sua empresa à LGPD”.
3. Execução de políticas públicas
Esta base legal se dirige especificamente à Administração Pública, e por isso raramente afetará empresas privadas.
Por meio desta base, o tratamento poderá ser feito quando for necessário para a execução de políticas públicas, como programas do governo destinados à educação e à moradia.
4. Realização de estudos por órgãos de pesquisa
Trata-se de outra situação pouco aplicável a empresas de porte privado, pois se destina exclusivamente a órgãos como o IBGE.
Esta base legal autoriza que o tratamento possa ser realizado para a criação de censos populacionais, levantamentos estatísticos e outros estudos similares quando realizados por órgãos de pesquisa.
Nesta hipótese, os dados recolhidos devem ser tratados de forma preferencialmente anonimizada, ou seja, mantendo impossível (ou muito perto disso) a identificação daqueles a quem se referem os dados.
5. Execução de contratos
Quando os dados pessoais forem necessários para os procedimentos preliminares ao contrato ou à sua execução, o tratamento dos dados pessoais dos participantes no acordo estará autorizado pela LGPD.
Os procedimentos preliminares ao contrato compreendem, por exemplo, as informações requisitadas em um due dilligence empresarial (situação financeira, conformidade com a lei etc.), enquanto a execução de contratos abrange todas informações necessárias para o seu cumprimento (nomes das partes, endereço, dados financeiros etc).
6. Exercício regular de direitos em processos
Esta base legal permite que os dados pessoais sejam tratados, no limite da lei, para uso em processos judiciais, administrativos ou arbitrais, com o intuito de assegurar o direito de defesa das partes.
Pode ser que, no âmbito de uma determinada relação com um cliente ou fornecedor, haja uma discussão que acarrete no ajuizamento de uma ação judicial, e seja necessária a apresentação dos dados referentes àquela relação para efetuar sua defesa. Neste caso, por conta desta base legal, o tratamento estará autorizado.
7. Proteção da vida
Esta base legal é usada em situações de emergência: quando a vida de uma pessoa estiver em perigo e, para salvá-la, seja necessário tratar algum dado pessoal.
Quando você presenciar um acidente e estiver em posição de ajudar, pode ser necessário repassar algumas informações sobre a vítima e o ocorrido para as autoridades, como o nome dos envolvidos e as condições do evento, hipótese que se encontra de acordo com a LGPD.
8. Tutela da saúde
Quando o tratamento de dados for direcionado à atividade médica, como no preenchimento dos prontuários com resultados de exames e estado de saúde de pacientes, a coleta dessas informações pode ser feita sem grandes obstáculos.
Entretanto, como muitos dos dados recolhidos durante o exercício da medicina são considerados sensíveis, um maior cuidado deve ser tomado ao manipulá-los, pois o seu vazamento poderá causar enormes danos aos titulares.
Para saber mais sobre os dados pessoais sensíveis, confira o nosso artigo “Dados sensíveis na LGPD: o que você precisa saber”
9. Legítimo interesse
Esta é a base legal mais abrangente da LGPD, permitindo muitas hipóteses diferentes tratamento de de dados, desde que a finalidade do tratamento seja legítima e haja um contexto concreto de aplicação
Isso significa que:
- o tratamento precisa ser feito com transparência, respeitando os direitos dos titulares e com a menor quantidade de dados possível;
- esta base legal só pode ser utilizada para situações bem definidas e atuais (como as pesquisas de satisfação de clientes feitas com a intenção de melhorar os serviços prestados), e não para eventualidades ainda pouco definidas.
Com o intuito de se certificar de que essas responsabilidades estão sendo cumpridas, a Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar à empresa um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), documento que lista as atividades de tratamento realizadas pela empresa e fornece uma análise legal aprofundada
Os limites de aplicação desta base legal são complexos e, por isso, devem ser estudados caso a caso pelo Encarregado (DPO) da empresa.
10. Proteção do crédito
Por fim, a proteção ao crédito se aplica a situações de cobranças de dívidas e cumprimento de obrigações econômicas.
Desta maneira, a empresa conseguirá proteger os seus direitos de crédito perante devedores, que não poderão requerer a eliminação dos dados ou a revogação de seu consentimento para escapar da dívida.
A extensão da aplicação desta base legal a situações concretas, assim como a do legítimo interesse, também precisa ser analisada atentamente pelos especialistas.
Como identificar qual base legal é a mais apropriada?
A identificação de cada base legal, para cada caso concreto, é uma tarefa árdua que deve ser feita preferencialmente pelos profissionais de proteção de dados: os Encarregados ou DPOs.
Em vista disso, é importante que todas as empresas nomeiem um Encarregado pelo Tratamento de Dados Pessoais (DPO), seja ela uma pessoa física ou por meio da contratação de um DPO as a service, como o oferecido pela Data Guide.
Para saber qual é a melhor proposta para a sua empresa, confira o nosso artigo DPO interno x DPO as a service: saiba qual contratar.