Quais são as hipóteses legais para o tratamento de dados pessoais trazido pela LGPD?

Equivocadamente, foi gerada uma ideia de que a Lei Geral de Proteção de Dados (LGPD) equivale-se ao consentimento do titular. As pessoas costumam pensar que só é possível realizar o tratamento e a coleta dos dados pessoais se o titular deles oferecer seu consentimento para tanto. Ou, ainda, há a ideia de que o consentimento possui maior valor do que as demais bases legais.

Porém, isso não é verdade. Muito pelo contrário: o consentimento é a base legal mais frágil e delicada, tendo em vista que o titular possui o direito de revogá-lo a qualquer momento.

⠀⠀⠀⠀⠀⠀⠀⠀

Mas, o que são bases legais?

Bases legais são hipóteses trazidas pela LGPD, que tornam possível o tratamento de dados pessoais por parte do controlador. Isto é, o controlador somente pode realizar o tratamento de dados se observado um dos casos específicos, previstos no art. 7º, salvo se houver outra disposição autorizativa.

⠀⠀⠀⠀⠀⠀⠀⠀

São 10 as bases legais – ou hipóteses de tratamento – trazidas pela LGPD:

(i) Consentimento; 

(ii) Cumprimento de obrigação legal ou regulatória pelo controlador; 

(iii) Administração pública, políticas públicas previstas em lei e regulamentos ou respaldado em contratos; 

(iv) Realização de estudos por órgãos de pesquisa; 

(v) Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte do titular, a pedido deste; 

(vi) Exercício regular de direitos em processo judicial, administrativo ou arbitral; 

(vii) Proteção da vida do titular ou de terceiro; 

(viii) Tutela da saúde; 

(ix) Interesses legítimos do controlador; e 

(x) Proteção do crédito.

⠀⠀⠀⠀⠀⠀⠀⠀

Pode-se notar que apenas duas delas – consentimento e legítimo interesse – não expressam literalmente a sua finalidade concreta. O termo “consentimento”, por si só, é muito abrangente, assim como o “legítimo interesse”, que mostra-se abstrato e flexível, visto que várias situações podem se enquadrar como o legítimo interesse de um controlador.

Essas situações são diferentes do que ocorre com as demais bases legais, pois não é necessária uma interpretação ou outras disposições para compreender o significado de execução de contrato, proteção do crédito ou cumprimento de obrigação legal ou regulatória, por exemplo.

Para o consentimento do titular ser válido, ele deve ser livre, informado e inequívoco.  Assim, o tratamento de dados pessoais, neste caso, é baseado em uma vontade do titular e, por isso, é necessário por parte dele uma ação afirmativa ou uma movimentação inequívoca que demonstre sua aceitação. Além disso, para que o consentimento seja válido, o titular deve ser informado sobre todos os requisitos do tratamento, como a finalidade, armazenamento, compartilhamento dos dados, medidas de segurança e etc.

⠀⠀⠀⠀⠀⠀⠀⠀

Para utilizar o legítimo interesse como base legal, deve-se fazer a seguinte análise:

1. Se a finalidade é legítima, lícita, baseada em uma situação concreta, que realmente vai acontecer (não pode ser abstrata, muito aberta), por exemplo: (i) apoio e promoção de atividades do controlador; (ii) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiam; (iii) monitoramento dos funcionários dentro da empresa e etc.;

1. Se os dados tratados são realmente necessários. A empresa deve verificar quais são os dados pessoais que realmente precisa para aquela finalidade específica;

1. Balanceamento entre a expectativa do titular com os interesses da empresa, observando sempre se não viola os direitos e liberdades fundamentais do titular;

1. Implementação de salvaguardas: transparência, direito de oposição por parte do titular e mitigação de riscos (adoção de medidas técnicas, administrativas e atenção aos princípios da LGPD).

As demais bases legais são menos complexas, porém não há uma hierarquia entre elas. O que existe é uma base legal mais segura juridicamente diante de um caso concreto e uma análise que levará em consideração as características particulares dos dados pessoais tratados e das finalidades para o tratamento.

⠀⠀⠀⠀⠀⠀⠀⠀

Mas o que devemos levar em consideração no momento de escolher uma base legal? Selecionamos abaixo alguns pontos para que você atente-se nesta hora:

1) Primeiramente, é necessário analisar a origem do dado pessoal. Se o dado pessoal é fornecido diretamente pelo titular, se são dados compartilhados por terceiros, se são coletados de plataformas e redes sociais, e se os dados são observados ou inferidos pela própria empresa.

2) Qual a categoria dos dados pessoais? São dados pessoais cadastrais, dados sensíveis, dados bancários, dados de crianças ou adolescentes? Dependendo da categoria desses dados, algumas bases legais não podem ser escolhidas ou possuem alguns requisitos para sua utilização.

3) Qual a real finalidade do tratamento de dados pessoais? Essa finalidade observa todos os princípios elencados na LGPD? Se a resposta for negativa, por mais que a base legal escolhida seja a mais adequada, o tratamento será ilegal. Da mesma forma que, se o controlador utilizar uma base legal equivocada, o tratamento poderá ser inválido.

4) Analisar se os dados pessoais, objetos do tratamento, serão compartilhados com terceiros ou transferidos para outro país, visto que tal fato também influencia no momento de escolher a base legal.

5) Garantir o princípio da transparência. O titular dos dados pessoais deverá ter ciência de que o tratamento dos dados ocorre, porque ocorre, qual a finalidade, quais as medidas de segurança, quem são os terceiros envolvidos na atividade, como exercer seus direitos, qual o prazo do tratamento e como contatar o encarregado. Quanto mais transparente a empresa for, maior o nível de accountability. No legítimo interesse, a empresa pode realizar o tratamento e depois informar ao titular e dar-lhe o direito de oposição. Primeiro, no consentimento, o titular deve ser informado, para, após o consentimento, o tratamento ocorrer.

6) Verificar se o tratamento dos dados pessoais pode acarretar em algum risco aos direitos fundamentais e às liberdades do titular. Em caso positivo, será necessário elaborar um Relatório de Impacto. Além disso, através desse documento será possível avaliar o apetite de risco da empresa à atividade específica. Muitas vezes pode não valer a pena prosseguir, levando em consideração a probabilidade e a gravidade do dano (matriz de risco).

7) Manter um programa de proteção e governança de dados pessoais que contemple medidas adequadas do ponto de vista técnico e administrativo, e que tenha por objetivo garantir que essas medidas assegurem um nível de segurança condizente com os riscos apresentados pelo tratamento, a natureza dos dados pessoais e as tecnologias de segurança disponíveis e razoavelmente aplicadas no setor de atuação das partes.

8) Por fim, garantir aos titulares de dados pessoais o exercício de todos os seus direitos previstos na LGPD.