Símbolo do Jus.com.br Jus.com.br

Bases legais - LGPD - tratamento de dados

Agenda 02/09/2021 às 13:47

Neste artigo comentaremos sobre as bases legais da LGPD que autorizam o tratamento de dados pessoais.

Primeiramente, antes de falarmos sobre a utilização de cada uma das bases legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), precisamos entender o conceito de tratamento de dados pessoais.

Em resumo, a LGPD deu uma extensão ampla ao conceito de tratamento de dados pessoais, abarcando qualquer operação que utilize informações de pessoas naturais vivas, art. 5, inciso X).

Além disso, é importante destacar que a LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador utilizar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que veremos adiante.

Em outras palavras, o controlador é obrigado a informar qual base legal ele utiliza para cada tratamento de dados.

Vejamos agora quais são elas:

1. Consentimento do titular dos dados – art. 7, inciso I

I – mediante o fornecimento de consentimento pelo titular;

Primeiro, precisamos esclarecer o que é consentimento, art. 5 inciso XII:

consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Nesse sentido, uma empresa/controladora que pretende tratar dados de um titular deve solicitar a ele que forneça seu consentimento – de forma livre e informada para uma determinada finalidade.

Tal consentimento pode ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular – art. 8, caput.

E ainda vale ressaltar que, antes de obter o consentimento do titular, é recomendável que ele seja informado sobre todos os seus direitos de forma transparente.

2. Cumprimento de obrigação legal – art. 7, inciso II

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

Em síntese, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – art. 5, inciso VI.

Portanto, com essa base jurídica, o controlador pode tratar dados – sem o consentimento – do titular para cumprir uma obrigação legal, por exemplo:

3. Administração Pública – art. III

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Essa é uma das bases legais da LGPD que permite o tratamento de dados pessoais, sem consentimento dos titulares, com a finalidade de executar políticas públicas.

Contudo, a administração pública deverá seguir regras específicas para processar dados pessoais com essa fundamentação – artigos 23 a 32.

4. Estudos por órgão de pesquisa – art. 7, inciso IV

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

A LGPD definiu órgão de pesquisa da seguinte forma, art. 5, inciso XII:

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

Além disso, vale destacar que tanto os órgão públicos quanto os privados sempre que possível devem anonimizar os dados pessoais.

5. Execução de contrato – art. 7, inciso V

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

Essa é uma das bases legais que se assemelha a base legal do consentimento. Visto que, se o titular pretende formalizar o contrato, será necessário que ele forneça seus dados ao controlador.

Por exemplo:

6. Processo Judicial, administrativo ou arbitral, art. 7, inciso VI

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

O controlador poderá reter as informações pessoais do titular com intuito de, eventualmente, se defender de algum processo judicial, administrativo ou arbitral.

Por exemplo:

Por outro lado, o controlador, que reter os dados de um ex-funcionário, deverá observar os princípios de tratamento da LGPD, notadamente o da necessidade e o da finalidade.

7. Proteção da vida – art. 7, inciso VII

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

Neste caso, se for comprovado que a vida do titular ou de um terceiro está correndo risco, a LGPD permite que o controlador processe os dados pessoais, sem consentimento deles, com a finalidade de protegê-los.

Por exemplo:

8. Tutela da Saúde, art. 7, inciso VIII

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Essa é uma das bases legais que somente com amadurecimento de Lei e da jurisprudência poderemos saber como ela poderá ser aplicada.

Haja vista que não foi definido quais são as categorias de profissionais da saúde que podem utilizar dados pessoais sem o consentimento do titular.

Além disso, não sabemos quais são os “procedimentos” que estarão acobertados pela Lei.

9. Interesse legítimo – art. 7, inciso IX

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

A utilização da base legal do legítimo interesse do controlador – decerto – causará grandes debates jurídicos, sobretudo por sua ampla possibilidade interpretativa.

O legítimo interesse está conceituado no art. 10 da LGPD:

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Como podemos perceber, o artigo tem caráter exemplificativo e não taxativo, ou seja, deverá o controlador analisar se o tratamento que pretender executar respeita, em especial, os seguintes requisitos:

  1. finalidade legítima;
  2. uma situação concreta.

Por exemplo:

Ademais, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação.

Assim como, é sempre recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.

10. Proteção de Crédito – art. 7, inciso X

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O controlador/empresa pode tratar dados pessoais, sem o consentimento do titular, visando a proteção de crédito, por exemplo:

Contudo, vale ressaltar que este artigo também deve ser analisado em conjunto com a Lei do Cadastro Positivo (Lei nº 12.414/2011) e Código de Defesa ao Consumidor (Lei nº 8.078/90).

FONTE: https://www.giarllarielli.adv.br/bases-legais-tratamento-de-dados-lgpd/

Sobre o autor
Gustavo Giarllarielli

DPO da 12ª Subseção da OAB/SP. Sócio-fundador do escritório Giarllarielli Advogados. DPO certificado EXIN Atualmente, responsável pela implementação de projetos de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Com mais de 10 anos de experiência em assessoria jurídica empresarial - contenciosa e preventiva. Escreve artigos jurídicos sobre a LGPD e Direito do Trabalho: https://www.giarllarielli.adv.br/noticias-e-artigos/ Membro a Comissão de Privacidade e Proteção de Dados da OAB/SP. Membro da Comissão de Direito Digital, Internet e Tecnologia da 12ª Subseção OAB.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!