Bases Legais na Lei Geral de Proteção de Dados – LGPD: sua organização trata dados pessoais somente nas hipóteses previstas na lei?
Por Gabriel Cunha - Coordenador da área de Direito de Proteção de Dados | 19/10/2022
Bases Legais na Lei Geral de Proteção de Dados – LGPD: sua organização trata dados pessoais somente nas hipóteses previstas na lei?
Por Gabriel Cunha - Coordenador da área de Direito de Proteção de Dados | 19/10/2022
A LGPD prevê em seus artigos 7º e 11º as possibilidades para o tratamento de dados pessoais. São as chamadas bases legais. Importante notar que o enunciado desses artigos (caupt) dizem que dados pessoais somente poderão ser tratados nas circunstâncias descritas em seus incisos.
Ou seja, é fundamental que a organização mapeie todos seus processos, identifique aqueles em que fluem dados pessoais e apurar se há base legal que possibilite o tratamento de dados pessoais da maneira que está sendo feito. Essa análise deve levar em consideração, ainda, se princípios e diretrizes da LGPD são cumpridos. Como exemplo tem-se a transparência do tratamento de dados para o titular e a limitação do uso dos dados às finalidades específicas.
Destaca-se que no artigo 7º são previstas 10 possibilidades de tratamento de dados pessoais que não sejam sensíveis. Para o tratamento destes dados tem-se as possibilidades descritas no artigo 11º.
As bases legais para tratamento de dados pessoais são:
I – Consentimento do titular do dado:
Considerações - Esta base legal considera a autonomia da vontade do titular de dados pessoais que, de forma livre, concorda com o tratamento dos seus dados pessoais para uma finalidade determinada e previamente informada.
Destaca-se que o titular que autorizou o tratamento de seus dados pessoais pode revogar esse consentimento a qualquer momento.
Nos termos do art. 7º da LGPD é dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na lei.
Quando o tratamento de dados pessoais tem como fundamento o consentimento do titular o controlador só pode compartilhar esses dados com outros controladores com consentimento específico para tal, ressalvadas as hipóteses de dispensa do consentimento previstas em Lei.
II - para o cumprimento de obrigação legal ou regulatória pelo controlador
Considerações - Essa base legal, assim como as seguintes, dispensa o consentimento do titular do dado. Trata-se da prevalência do interesse público sobre o particular, uma vez que, independentemente da vontade do titular, seus dados podem ser tratados pelo controlador para o cumprimento do disposto em leis e normas.
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres
Considerações - Trata-se de hipótese de tratamento de dados pessoais com a finalidade específica da execução de política pública formalmente instituída por Lei ou Ato administrativo.
Mesmo sendo dispensado o consentimento do titular para o tratamento de dados, é obrigatório que seja informada a finalidade e a forma como o dado será tratado.
IV - Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
Considerações - Esta hipótese de tratamento também dispensa o consentimento do titular. Entretanto, a utilização dos dados é restrita para realização de estudos por órgão de pesquisa público ou privado
V - Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Considerações - Hipótese que dispensa novo consentimento do titular, desde que: (a) o tratamento de dados em questão seja imprescindível para o devido cumprimento do contrato; e (b) o titular dos dados tenha previamente manifestado consentimento, na celebração do contrato.
VI - Para o exercício regular de direitos em processo judicial, administrativo ou arbitral
Considerações - Esta hipótese de tratamento compatibiliza as diretrizes da LGPD com o direito constitucional de acesso à justiça (art. 5º xxxv). Ou seja, a proteção aos dados pessoais não compromete o direito de se demandar ou defender judicialmente, administrativamente e em instancias arbitrais, mesmo que a produção de provas, por exemplo, seja composta por dados pessoais da parte contrária.
VII - Para a proteção da vida ou da incolumidade física do titular ou de terceiro
Considerações - O tratamento de dados pessoais nesta hipótese dispensa o consentimento do titular uma vez que a tutela do bem da vida se sobrepõe.
VIII - Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Considerações - Hipótese que dispensa o consentimento do titular do dado nos casos de estrita necessidade de tutela da saúde do titular, de terceiro ou pública. É a única hipótese de tratamento de dado manejado por agente exclusivo: profissionais de saúde, serviços de saúde ou autoridade sanitária.
IX - Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
Considerações - Com fundamento nessa base legal, o tratamento de dados pessoais dispensa o consentimento do titular. Entretanto, essa base legal só pode ser utilizada em determinadas situações e o controlador assume toda a responsabilidade sobre o uso dos dados. Nos termos do art. 10º da GPD o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD. Em tais circunstâncias, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados, devendo o controlador adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. Convém salientar que o tratamento autorizado por esta hipótese traz consigo conjunto adicional de medidas de salvaguarda dos dados, inclusive com a possibilidade de a ANPD solicitar ao controlador relatórios de impacto à proteção de dados pessoais, justamente pelo risco de violação que tal hipótese acarreta, em particular, para entidades privadas. A elaboração do referido relatório de impacto é abordada na seção 2.5 deste documento.
X - Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Considerações - Nesta hipótese, em que também se dispensa o consentimento, o tratamento de dados pessoais pode ser realizado para realizar cobranças, conceder crédito e outras atividades financeiras correlatas ao tema realizas pelo controlador.
Abaixo tem-se a listagem de bases legais para o tratamento de dados sensíveis trazidas no art. 11º:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Reitera-se que todos os tratamentos de dados pessoais realizados pelas empresas precisam estar enquadrados em alguma base legal acima descrita sob pena de multas, exigências à paralização dos processos e eventuais indenizações aos titulares dos dados.
Além disso, e talvez ainda mais importante, é que o devido tratamento de dados pessoais pela organização traz valor para o negócio, fortalece a confiança com as partes interessadas e traz melhoria para a governança, uma vez que qualifica a gestão dos processos.
