Você sabe o que são as Bases Legais na LGPD? Aqui eu trago um material sobre o tema com alguns exemplos práticos.
Primeiramente, você já precisa saber sobre a previsão legal das Bases Legais na LGPD.
Bases Legais – Previsão Legal
A previsão legal acerca do tema vem disposta no Art. 7º da LGPD.
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios (…)
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Demais hipóteses legais
Além do mais, a lei prevê ainda outras hipóteses para a validação do tratamento de dados pessoais, tais como:
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Última hipótese para legitimação do tratamento – Bases Legais na LGPD
De igual forma, o Legítimo Interesse é mais uma base legal disposta na nossa legislação, capaz de validar o tratamento de dados realizado.
“Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”.
Agora que já apresentei para vocês a previsão legal das Bases Legais, ou seja, onde elas estão previstas na lei, vou falar sobre o que é uma Base Legal na LGPD.
O que é uma Base Legal na LGPD?
Um base legal na LGPD é o fundamento jurídico que dá amparo ao tratamento de dados pessoais realizado ou que se pretenda realizar.
Em outras palavras, é a fundamentação jurídica que dá amparo ao tratamento de dados pessoais realizado pelo controlador ou que este pretenda realizar.
Ainda mais, é o amparo legal que serve de validação para o tratamento de dados pessoais.
Em síntese, será por meio da opção por determinada base legal que controlador conseguirá justificar/legitimar o tratamento de dados pessoais que está realizando.
O rol apresentado acima é um rol taxativo, ou seja, o controlador não tem outra opção para legitimar o tratamento senão por meio daquelas hipóteses ali elencadas.
Ou seja, ele vai ter que escolher uma das bases legais elencadas na lei para justificar o tratamento de dados pessoais pretendido.
Mas como escolher a base legal adequada na LGPD?
EXEMPLO 1: Matrícula escolar de crianças e/ou adolescentes!
Bem, a escolha da base legal adequada aqui vai depender exclusivamente da finalidade do tratamento dos dados pessoais.
Ou seja, é preciso que o controlador identifique a finalidade do tratamento para depois verificar qual das hipóteses legais de tratamento é a mais adequada.
Abaixo vou disponibilizar um PASSO A PASSO para a ESCOLHA DA BASE LEGAL ADEQUADA.
Passo a passo para a escolha da base legal na LGPD
Sob o mesmo ponto de vista, o PASSO 1 é encontrar a FINALIDADE DO TRATAMENTO.
Assim, encontrada a FINALIDADE, você passa para o PASSO 2 que é a ESCOLHA DA BASE LEGAL.
Por exemplo, uma escola deseja coletar dados pessoais do aluno menor de idade para fins de matrícula.
À primeira vista, podemos pensar na formalização de um contrato, essa é a FINALIDADE!
Contudo, nesse caso, nós temos duas observações bem importantes e aqui vamos tratar da primeira.
Estamos diante do tratamento de dados pessoais de menor de idade, aqui obrigatoriamente, a escola terá de solicitar o consentimento dos pais do menor para tratar os referidos dados.
Mesmo que as informações do menor de idade sejam necessárias para a perfectibilização do contrato, a lei é clara:
“Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.
A única exceção vem disposta no “§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo”, o que aqui não é caso.
Bem, identificamos a finalidade (contratação/matrícula escolar), logo, diante do contexto, identificamos a base legal (consentimento específico por se tratar de criança, pois aqui estamos falando de tratamento de dados pessoais considerados sensíveis pela LGPD).
Segunda finalidade e a base legal adequada
A segunda finalidade, ainda no mesmo contexto da contrato escolar.
A escola solicita dados pessoais dos pais e/ou responsáveis para gerar o boleto para pagamento das mensalidades.
Nesse caso, não há necessidade de consentimento para o tratamento desses dados pessoais, uma vez que tais informações são necessárias para a efetivação do contrato.
Caso os pais e/ou responsáveis não disponibilizem os dados, a escola não conseguirá concluir esse contrato, pois o pagamento das mensalidades compõem uma das obrigações contratuais previstas no instrumento.
Assim, encontrada a FINALIDADE, encontrada também a BASE LEGAL ADEQUADA: Execução de Contrato. “Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados“.
Tal qual como na primeira finalidade, percebem que a base foi escolhida de acordo com o contexto do tratamento de dados pessoais.
Outro exemplo de tratamento e a escolha da base legal – Bases Legais na LGPD
EXEMPLO 2 – titular de dados precisa ingressar com uma ação judicial.
Nesse caso, todos os dados pessoais que ele vai disponibilizar para o advogado serão utilizados para a elaboração da peça inicial e não haverá necessidade de consentimento.
FINALIDADE: entrar com um processo!
BASE LEGAL: Exercício regular de direitos.
“VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem).
Viu como não existe segredo?
Sempre que o controlador for tratar um dado, ele deve informar uma finalidade.
Assim, ao encontrar a finalidade, o controlador vai ter que indicar uma base legal para legitimar o tratamento pretendido.
Na LGPD nenhuma base é mais importante do que a outra!
É isso mesmo!
Não existe hierarquia entre as bases legais.
Ou seja, nenhuma base é mais importante do que a outra e nenhuma se sobrepõe quando da escolha.
Alguma base pode ser a mais adequada ao tratamento, mas NUNCA a mais importante dentre as opções de legitimação trazidas pela LGPD.
As bases legais nada mais são do que os instrumentos utilizados para justificar/legitimar/dar amparo legal a realização do tratamento de dados pessoais.
No mesmo sentido, vale anotar outro ponto MUITO importante e que eu quero que você memorize como uma mantra: o consentimento NÃO É OBRIGATÓRIO para todas as operações de tratamento de dados pessoais.
Ele é uma das hipóteses de legitimação de tratamento e deverá ser utilizado quando for necessário.
Ou seja, o consentimento não é obrigatório para todo e qualquer tratamento de dados realizado e a empresa não precisa de consentimento do titular para realizar todo e qualquer tratamento de dados como temos visto por aí.
E aqui reitero: a escolha da base legal sempre vai depender do contexto do tratamento, da finalidade pretendida pelo controlador.
O consentimento não é o protagonista dentre as bases legais
Quando a LGPD surgiu, muito se falava sobre o consentimento, que era a principal base e que deveríamos obter o consentimento do titular para todo e qualquer tratamento de dados.
Contudo, essa não é a realidade trazida pela legislação.
Há tempos eu já venho falando sobre isso, sobre a desconstrução da ideia do protagonismo do consentimento.
É isso mesmo! Eu quero que você desconstrua a ideia de que o consentimento é a principal base legal da LGPD: ELE NÃO É!
O consentimento não é o protagonista, ele é só mais uma das bases legais que pode ser utilizada pelo controlador, a depender do contexto em que ocorre esse tratamento de dados pessoais.
E aqui eu faço uma ressalva importante: você poderá e certamente irá utilizar o consentimento quando essa for a base ideal!
Contudo, a LGPD trouxe um rol de bases legais adequadas à validação do tratamento, basta interpretar e escolher a mais adequada.
Além disso, o consentimento é uma base bastante frágil para o controlador, uma vez que o ônus de provar que o obteve de maneira inequívoca, lícita e livre será sempre dele.
Por fim, um outro ponto que MERECE ATENÇÃO: a ANPD já aplicou sanções pela ausência de indicação de base legal.
Lembre-se: indicar a base legal é uma obrigação legal imposta ao controlador, ou seja, ele não escolhe se indica a base legal ou não. Ao realizar qualquer tratamento, ele precisa indicar a base que ampare o tratamento pretendido.
Se você gostou desse conteúdo, cadastre-se em nossa NEWSLETTER!
Estamos sempre enviando conteúdos como este!