Primeiramente, antes de falarmos sobre a utilização de cada uma das bases legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD Lei nº 13.709/2018), precisamos entender o conceito de tratamento de dados pessoais.
Em resumo, a LGPD deu uma extensão ampla ao conceito de tratamento de dados pessoais, abarcando qualquer operação que utilize informações de pessoas naturais vivas, art. 5, inciso X).
Além disso, é importante destacar que a LGPD limitou taxativamente as possibilidades de tratamento de dados, ou seja, somente poderá o controlador utilizar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que veremos adiante.
Em outras palavras, o controlador é obrigado a informar qual base legal ele utiliza para cada tratamento de dados.
Vejamos agora quais são elas:
1. Consentimento do titular dos dados art. 7, inciso I
I mediante o fornecimento de consentimento pelo titular;
Primeiro, precisamos esclarecer o que é consentimento, art. 5 inciso XII:
consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Nesse sentido, uma empresa/controladora que pretende tratar dados de um titular deve solicitar a ele que forneça seu consentimento de forma livre e informada para uma determinada finalidade.
Tal consentimento pode ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular art. 8, caput.
E ainda vale ressaltar que, antes de obter o consentimento do titular, é recomendável que ele seja informado sobre todos os seus direitos de forma transparente.
2. Cumprimento de obrigação legal art. 7, inciso II
II para o cumprimento de obrigação legal ou regulatória pelo controlador;
Em síntese, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais art. 5, inciso VI.
Portanto, com essa base jurídica, o controlador pode tratar dados sem o consentimento do titular para cumprir uma obrigação legal, por exemplo:
uma empresa que tem a obrigação legal de entregar a Declaração do Imposto sobre a Renda Retido na Fonte (DIRF) relativo a seus empregados.
3. Administração Pública art. III
III pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
Essa é uma das bases legais da LGPD que permite o tratamento de dados pessoais, sem consentimento dos titulares, com a finalidade de executar políticas públicas.
Contudo, a administração pública deverá seguir regras específicas para processar dados pessoais com essa fundamentação artigos 23 a 32.
4. Estudos por órgão de pesquisa art. 7, inciso IV
IV para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
A LGPD definiu órgão de pesquisa da seguinte forma, art. 5, inciso XII:
XVIII órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
Além disso, vale destacar que tanto os órgão públicos quanto os privados sempre que possível devem anonimizar os dados pessoais.
5. Execução de contrato art. 7, inciso V
V quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Essa é uma das bases legais que se assemelha a base legal do consentimento. Visto que, se o titular pretende formalizar o contrato, será necessário que ele forneça seus dados ao controlador.
Por exemplo:
formalização de um contrato de locação, de compra e venda, prestação de serviços etc.
6. Processo Judicial, administrativo ou arbitral, art. 7, inciso VI
VI para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
O controlador poderá reter as informações pessoais do titular com intuito de, eventualmente, se defender de algum processo judicial, administrativo ou arbitral.
Por exemplo:
seria legítimo um controlador armazenar dados de um ex-empregado com a finalidade de se defender em um eventual processo trabalhista.
Por outro lado, o controlador, que reter os dados de um ex-funcionário, deverá observar os princípios de tratamento da LGPD, notadamente o da necessidade e o da finalidade.
7. Proteção da vida art. 7, inciso VII
VII para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Neste caso, se for comprovado que a vida do titular ou de um terceiro está correndo risco, a LGPD permite que o controlador processe os dados pessoais, sem consentimento deles, com a finalidade de protegê-los.
Por exemplo:
a utilização da geolocalização de um celular para encontrar uma pessoa que foi sequestrada.
8. Tutela da Saúde, art. 7, inciso VIII
VIII para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Essa é uma das bases legais que somente com amadurecimento de Lei e da jurisprudência poderemos saber como ela poderá ser aplicada.
Haja vista que não foi definido quais são as categorias de profissionais da saúde que podem utilizar dados pessoais sem o consentimento do titular.
Além disso, não sabemos quais são os procedimentos que estarão acobertados pela Lei.
9. Interesse legítimo art. 7, inciso IX
IX quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
A utilização da base legal do legítimo interesse decerto causará grandes debates jurídicos, sobretudo por sua ampla possibilidade interpretativa.
O legítimo interesse está conceituado no art. 10 da LGPD:
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I apoio e promoção de atividades do controlador; e
II proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
Como podemos perceber, o artigo tem caráter exemplificativo e não taxativo, ou seja, deverá o controlador analisar se o tratamento que pretender executar respeita, em especial, os seguintes requisitos:
finalidade legítima;
uma situação concreta.
Por exemplo:
uma empresa/controladora que analisa o histórico de compras de seus clientes com intuito de enviar e-mails com a indicação de produtos semelhantes para eles comprarem.
Ademais, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação.
Assim como, é sempre recomendável que o controlador em caso de dúvida solicite um novo consentimento ao titular.
10. Proteção de Crédito art. 7, inciso X
X para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O controlador/empresa pode tratar dados pessoais, sem o consentimento do titular, visando a proteção de crédito, por exemplo:
um banco pode analisar o histórico de inadimplência de determinado cliente para conceder ou não um empréstimo.
Contudo, vale ressaltar que este artigo também deve ser analisado em conjunto com a Lei do Cadastro Positivo (Lei nº 12.414/2011) e Código de Defesa ao Consumidor (Lei nº 8.078/90).
Informações adicionais
Se você estiver em busca de informações sobre como se adequar à LGPD, recomendamos a leitura do artigo em destaque.
FONTE: https://www.giarllarielli.adv.br/bases-legais-tratamento-de-dados-lgpd/