Quais são as bases legais da Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados entrou em vigor em 2020, e desde então vem gerando diversas dúvidas sobre sua aplicação. Um dos pontos que recebeu grande destaque foi a necessidade de consentimento do titular para tratamento de seus dados pessoais. Mas, ao contrário do que se tem comentado, essa não é uma regra que se aplica a qualquer tipo de manipulação de dados, sendo, na verdade, apenas uma das dez hipóteses autorizativas trazidas pela LGPD, as chamadas bases legais.
De acordo com a determinação legal, só será autorizado tratar dados caso seja possível enquadrar a situação em uma dessas hipóteses. Por isso, é de extrema importância conhecê-las e entender como cada uma deverá ser utilizada.
QUERO SABER MAIS SOBRE A ADEQUAÇÃO DA MINHA EMPRESA À LGPD.
Quais bases legais existem?
As bases legais da Lei Geral de Proteção de Dados estão definidas no seu artigo 7. São elas:
- Obrigação legal ou regulatória
- Execução de políticas públicas
- Realização de estudos
- Execução do contrato
- Exercício regular do direito
- Proteção da vida e incolumidade física
- Tutela da saúde
- Legítimo interesse
- Proteção do crédito
- Consentimento
Da forma como a Lei foi construída, não há uma hierarquia entre essas bases, o que significa que todas elas têm o mesmo valor legal, e nenhuma tem precedência sobre as demais. Vamos conhecê-las melhor:
1 – Obrigação legal ou regulatória
Essa base legal será aplicável quando o agente de tratamento (a empresa que trabalha com os dados) precise compartilhar informações pessoais por determinação de alguma lei ou regulamento. É o caso, por exemplo, do empregador, que precisa compartilhar dados do empregado tanto com o governo, através de programa como o E-social, como com sindicatos.
2 – Execução de políticas públicas
Essa é uma base legal que tem uma restrição importante: só poderá ser utilizada pela administração pública em razão do interesse público. A ação em questão deverá, ainda, estar prevista em leis, regulamento, ou algum outro instrumento oficial (como contratos e convênios). Por exemplo, ela pode ser utilizada para realização de censo escolar e populacional, ou para averiguar as consequências de uma inundação em uma comunidade, e definir a melhor forma de socorrer os atingidos.
É importante lembrarmos que a LGPD possui um capítulo dedicado ao tratamento de dados pela administração pública, no qual existem regras específicas que devem ser seguidas por todos os seus entes.
3 – Realização de estudos
Órgãos de pesquisas poderão usar essa base legal para a realização de sua atividade fim. Mas atenção: essa base legal só se aplica aqueles institutos regulamentes registrados como tal, e não poderá ser utilizada por outras entidades, ainda que com propósito legítimo.
Apesar da existência dessa hipótese de tratamento, a própria LGPD determina que, sempre que possível, os dados envolvidos em pesquisas deverão ser anonimizados, ou seja, desvinculados da pessoa a quem dizem respeito. Os estudos realizados pelo IBGE sobre o nível de escolaridade médio das pessoas de determinada região, por exemplo, em geral não permitem a identificação dos titulares de dados.
4 – Execução do contrato
Essa é uma das bases legais mais úteis no dia a dia das empresas, e, ainda assim, é muito pouco comentada. Ela permite que sejam tratados os dados pessoais necessários para que um contrato seja firmado, ou, posteriormente, para que as obrigações criadas sejam cumpridas. A execução do contrato será muito utilizada, por exemplo, nas relações de trabalho, onde será preciso tratar dados de um candidato para fazer sua contratação e para pagamento do salário.
5 – Exercício regular do direito
Caso seja necessário para a empresa que trata os dados pessoais usar essas informações para produção de provas em processo judicial, administrativo ou arbitral, essa será a base legal mais adequada. Ela se aplica tanto para a defesa contra acusações, quando para dar início a um processo de reivindicação dos próprios direitos.
A base legal do exercício regular do direito é um mecanismo para o cumprimento do direito constitucional de acesso à justiça. Um hospital processado por um de seus pacientes, por exemplo, pode usar os dados do prontuário em sua defesa.
6 – Proteção da vida e incolumidade física
Dentro do direto, a vida e a integridade física são consideradas bem jurídicos de elevado interesse público, ou seja, protegê-los é uma prioridade. Por isso, em caso de ameaça a uma delas, o tratamento de dados pessoais poderá ser realizado. A título de exemplo, uma pessoa acidentada é levada para um hospital no qual nunca se consultou, e é necessário pedir acesso a seu histórico de saúde para realização do tratamento.
7 – Tutela da saúde
Apesar de se parecer muito com a base legal anterior, a tutela da saúde tem uma diferença primordial: ela não precisa de uma situação de urgência. Essa base só poderá ser utilizada em procedimentos realizados por profissionais ou serviços de saúde, ou por autoridade sanitária. É o caso da equipe de saúde que, após a realização de uma cirurgia, vai até a casa do paciente periodicamente para acompanhar a recuperação e oferecer apoio.
8 – Legítimo interesse
O legítimo interesse merece atenção especial. Essa base legal parece permitir uma ampla gama de tratamentos, mas é preciso ser cauteloso, já que existem critérios bastante específicos para sua aplicação, aferidos através de um teste de proporcionalidade.
Primeiramente, é necessário determinar uma situação específica na qual o tratamento será realizado, que não pode ser genérica ou abstrata. Em segundo lugar, os dados coletados devem ser apenas os imprescindíveis para a finalidade que se busca. Deve-se observar, também, se não existe outra base legal que possa ser aplicada à situação. Por fim, o procedimento realizado deve estar de acordo com a expectativa da pessoa, e não pode desrespeitar seus direitos.
Um exemplo de utilização correta do legítimo interesse é o contato de marcas com influenciadores através das redes sociais, quando o assunto tratado tem relação com um de seus produtos.
9 – Proteção do crédito
A base legal de proteção ao crédito funciona para evitar que uma pessoa que tenha dívidas a pagar utilize a LGPD para fugir de cobranças legítimas. É a base legal utilizada, por exemplo, pelo SPC e SERASA.
10 – Consentimento
Por fim, temos a base legal do consentimento. Optamos por tratar dela por último para facilitar sua explicação: a empresa que trata os dados pessoais pode optar pelo consentimento em situações nas quais as outras bases legais não sejam aplicáveis. Não há um rol de situações nas quais ele possa ser aplicado, sendo a base legal mais ampla da LGPD. Mas, ainda assim, ele tem requisitos específicos que a tornam bastante complexa.
Segunda a definição legal, o consentimento deve ser livre, inequívoco e informado. Ou seja, a pessoa não pode sofrer nenhum tipo de coação para concordar com o tratamento. Diversos autores têm entendido que exigir o consentimento para acesso a uma rede social, por exemplo, é também uma forma de tirar a liberdade do titular. Além disso, não pode haver dúvidas quando à concordância, sendo que o silencio e a inação jamais podem demonstrar consentimento. Por fim, é preciso que a pessoa tenha conhecimento acerca do que será feito com seus dados, qual o objetivo buscado, e quem será o responsável pelo tratamento.
QUERO SABER COMO IMPLEMENTAR A LGPD NA MINHA EMPRESA.
Essas são as bases legais da Lei Geral de Proteção de Dados, e toda operação realizada com dados pessoais deverá estar de acordo com uma dessas hipóteses para se considerado legitimo.
Como as bases são trazidas em um rol fechado, caberá a cada empresa, independentemente do setor, aplicá-las às suas operações, podendo dar preferência para cada uma delas de acordo com o que mais lhe convir, mas nunca alterando seu sentido. Dessa forma, tanto instituições de ensino quanto indústrias, por exemplo, vão utilizar a mesma base legal do cumprimento de obrigação legal ou regulatória, mas de formas muito diferentes de acordo com seu setor. Enquanto a escola terá a obrigação de notificar o Conselho Tutelar em caso de evasão escolar, e indústria precisará fornecer ao sindicado listas com dados de seus funcionários.
Por que é importante conhecê-las?
Todo tratamento de dados deverá estar de acordo com uma das bases legais da LGPD, caso contrário, a empresa estará sujeita às penalidades da Lei. Se a base legal errada for atribuída, a consequência é a mesma, o tratamento é considerado ilegal, e cria uma fragilidade em todo o sistema de proteção de dados da empresaorganização.
Cada uma das bases legais tem exigências e limitações específicas, além de sujeitos que podem ou não a utilizar. Por isso, é preciso que a atribuição da base adequada para cada processo seja feita por um profissional preparado, que conheça bem os conceitos da Lei Geral de Proteção de Dados, e que tenha atenção para com todas as etapas do fluxo de informações na empresa.
Atribuição de bases legais: oportunidade
A atribuição das bases legais para cada processo que envolve dados pessoais dentro de uma empresa depende, primeiramente, de um mapeamento cuidadoso para identificar onde os dados estão dentro da estrutura da companhia.
Esse é um processo minucioso, e que passa por muitos setores, oferecendo uma oportunidade de conhecer profundamente a estrutura da empresa e de conhecimento profundo do negócio. É uma conjuntura que ultrapassa o escopo da Lei Geral de Proteção de Dados, e permite que seja realizado um diagnóstico completo, identificando gargalos e oportunidades para melhorar os serviços e diminuir os custos.
Se você tem interesse em saber mais sobre como funciona um projeto de implantação da LGPD, não deixe de entrar em contato! O escritório Camargo e Vieira possui profissionais capacitados, certificados em privacidade e proteção de dados por instituições internacionais, e estamos à disposição para conhecer mais sobre o seu negócio e apoiá-los em todo o processo!