Bases legais LGPD: Dez hipóteses que autorizam o tratamento de dados

Antes de mais nada, no processo de adequação da sua empresa para a LGPD a lei viabiliza o tratamento de dados pessoais em algumas hipóteses previstas em lei, que são as bases legais LGPD. Portanto, se porventura a empresa trata os dados fora de uma dessas bases legais, ela está correndo o risco de estar tratando dados de forma ilegal.

Sendo assim, é importante ajustar as atividades de sua empresa para alguma dessas hipóteses de que vamos tratar (nem sempre será limitada a uma única hipótese) a empresa é a responsável por definir qual a base legal mais adequada.

A base legal está prevista no artigo 7º em seus respectivos incisos.

Art. 7º Os dados pessoais somente podem ser tratados nas seguintes hipóteses:

  • I – mediante o fornecimento de consentimento pelo titular;
  • II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • III – pela administração pública, para o tratamento e uso compartilhado de dados é necessário à execução de políticas públicas. Estas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • V – quando necessário para a execução de contrato ou de procedimentos preliminares. Esses relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)
  • IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro. Exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
bases legais da LGPD

1 Consentimento.

Não há sociedade sem comunicação, certo? As informações são bases sólidas para qualquer pessoa saber o que é melhor para si. Sendo assim, somente compreendendo a finalidade é que o titular poderá autorizar o tratamento dos dados. (conforme disposto no artigo 5º, XII da Lei Geral de Proteção de Dados).

Sua autorização deve ser para a finalidade específica ali descrita. Dessa forma, se houver a coleta de dados para finalidades distintas, elas deverão ser autorizadas uma a uma e não como um todo. Assim como reforça o artigo 9º, que dá todos os pontos para que haja um consentimento livre acerca dos dados:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. Portanto, estes deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação. Isso para o atendimento do princípio do livre acesso:

  • I – finalidade específica do tratamento;
  • II – forma e duração do tratamento, observados os segredos comercial e industrial;
  • III – identificação do controlador;
  • IV – informações de contato do controlador;
  • V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • VI – responsabilidades dos agentes que realizarão o tratamento; e
  • VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

2 Obrigação Legal.

Em sentido contrário ao da base legal anterior, a obrigação legal aqui disposta pode dispensar o consentimento do titular de dados.

Isso acontecerá quando houver lei, instrumento normativo, portaria ou regulamento que determine o tratamento de dados. Sendo esse tratamento de coleta, transferência ou armazenamento, sob pena de infringir a lei caso não o faça. Mas, para isso é necessário ter conhecimento sobre o ambiente legal, normas e regulamentos para o desenvolvimento das atividades econômicas da empresa.

Um exemplo em que o consentimento do titular se torna dispensável: Setores altamente regulados como o da saúde. Esses precisam armazenar prontuários por, pelo menos, 20 anos. Ou seja, mesmo ainda que o titular queira sua exclusão.

3 Políticas Públicas.

Órgãos públicos poderão ter acesso aos dados para realização de políticas públicas. Como é o exemplo de uma pesquisa que tem como objetivo desenvolver determinada área de uma cidade. Dando maior evasão ao trânsito, melhorando o transporte público, fazendo a análise através de dados de quantas pessoas utilizam o transporte público naquela área.

4 Pesquisa.

Somente órgãos de pesquisa, que conste no objeto social que é um órgão de pesquisa, poderão usar essa base legal para tratar dados. Isso exclui empresas que queiram fazer pesquisas internas. O tratamento dos dados podem ser para fins de estudos e pesquisa, devendo garantir a segurança da informação. (Art. 7 e 13)

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais. Entretanto, o tratamento deve acontecer exclusivamente dentro do órgão. Além disso, também precisam ser estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro.

Acima de tudo, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados. Bem como, considerem os devidos padrões éticos relacionados a estudos e pesquisas.

Artigo 13 – §1 ao 4

  • 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
  • 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.
  • 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
  • 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

5 Execução de contrato.

Para que uma obrigação seja cumprida as vezes é preciso tratar de dados, a exemplo de se contratar um novo colaborador ou precisar de um intermediário, precisando fornecer uma série de informações pessoais para esse terceiro e, assim, cumprir o contrato. Exemplo disso é nos casos das companhias aéreas. O destino é um só, mas para chegar até esse destino será necessário que um trecho da viagem seja operado por outra companhia. Portanto, se houver uma obrigação advinda de um contrato e desta for necessário o tratamento de dados, podemos utilizar essa base legal.

6 Exercício regular do Direito em processo.

Outra hipótese em que podemos dispensar o consentimento do titular para utilização de seus dados é para exercer um princípio constitucional: o do acesso à justiça. Dessa forma, há autorização expressa para tratar dados com a finalidade de ingressar com processos judiciais, administrativos e arbitrais.

7 e 8 Tutela da saúde e proteção da vida.

O primeiro caso vai tratar de profissionais da saúde, serviços de saúde ou autoridade sanitária que precisarão ter acesso aos dados para o melhor tratamento do paciente, como exemplo as campanhas de vacinação. Em igual sentido é a proteção da vida, caso ela esteja em risco iminente, podendo usar dados para localizar uma pessoa em área de risco, por exemplo. Ou ainda usar os dados para a busca de um histórico médico, para encontrar formas de salvar o paciente.

9 Legítimo interesse.

Essa base é de uso exclusivo da iniciativa privada e pessoas que tratam dados com finalidade econômica, podendo ser usada para promover seus interesses, inovar, empreender, gerar empregos e a empresa não conseguir encaixar determinada atividade em nenhuma outra base legal.

Para isso é necessário saber se o interesse da empresa é legítimo, se a atividade possui alguma proibição legal, saber quais dados serão usados e se eles são realmente necessários para seu propósito. Deve-se colocar na balança os interesses da empresa com os direitos dos titulares

10 Proteção ao crédito.

Instituições financeiras poderão realizar análises de crédito do cadastrado para protegê-lo ou evitar dar crédito àqueles que têm pouca credibilidade de quitação, assim viabilizando a instituição a disponibilizar os dados pessoais aos Órgãos de Proteção ao Crédito (SPC/Serasa, por exemplo).

Além disso, ainda que não seja necessário o consentimento do titular para tratar dados, a ele serão resguardadas garantias que poderão requerer acesso, correção ou cancelamento do cadastro, bem como a necessidade de informar aos cadastrados sobre a identidade do gestor responsável pelos dados e o objetivo do tratamento dos dados pessoais, devendo estar de acordo com a finalidade para a qual os dados foram coletados.

Ficou com alguma dúvida sobre as bases legais da LGPD? Manda para gente aqui nos comentários!

Posts relacionados

lgpd no futuro
LGPD

O que esperar da LGPD no futuro?

A Lei Geral de Proteção de Dados Pessoais (LGPD) tem impactado significativamente a forma como empresas e organizações coletam, armazenam, usam e compartilham dados pessoais