A base legal do Cumprimento de uma Obrigação Legal ou Regulatória é uma das bases cuja escolha, quando feita de modo correto, é indiscutível.
Aqui a gente pode se valer da máxima: “contra fatos, não há argumentos”!
Vejamos!
O Art. 7º da LGPD, II dispõe: “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: II – para o cumprimento de obrigação legal ou regulatória pelo controlador”.
Para que seja possível que o controlador legitime o tratamento de dados pessoais que realiza por meio desta base legal, ele precisará justificar a utilização do dado pessoal para atender uma obrigação legal ou regulatória.
Mas o que isso significa na prática? É simples!
O controlador deverá justificar a utilização de um dado pessoal para atender uma lei ou regulamento.
Um exemplo bem pontual é a contratação de um colaborador. Nesse caso, a empresa tratará esses dados para atender às disposições da CLT (Consolidação das Leis do Trabalho).
Viram como a gente começa a desconstruir aquela ideia de que pra tudo seria necessário consentimento?
E aqui uma informação importante: nas relações trabalhistas o consentimento é considerado bastante inadequado, tendo em vista a assimetria de poder entre o controlador e o colaborador.
Conseguem perceber que o consentimento aqui não seria válido?
Em uma hipótese de consentimento do colaborador, este não seria livre, uma vez que ele estaria obrigado a fornecer seus dados para o controlador para as anotações na carteira de trabalho e para demais obrigações e e aí que verificamos a assimetria de poder e temos uma consentimento inválido.
Por isso a LGPD foi bastante inteligente e nos trouxe outras nove opções de bases legais que podem legitimar o tratamento de dados, e o cumprimento de obrigação legal ou regulatória é uma dessas opções.
Aqui vale outra observação também no que se refere a um dos direitos dos titulares, conforme disposição do art. 18, VI da LGPD: “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei”.
A Lei possibilita ao titular pedir a eliminação dos seus dados a qualquer tempo, entretanto, faz uma ressalva quanto às hipóteses do art. 16, que assim dispõe: “Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador”.
Aqui também podemos utilizar como exemplo a relação trabalhista.
Se ao término da relação trabalhista o colaborador solicitar a exclusão das suas informações pessoais à empresa, esta poderá negar a exclusão amparada pelo cumprimento de uma obrigação legal, por exemplo: o funcionário poderá ingressar em face da empresa requerendo eventuais créditos resultantes da relação de trabalho pelo prazo de cinco anos, assim, o controlador poderá manter os seus registros por este prazo, visando realizar uma defesa processual, se for caso.
Os exemplos aqui são muitos, pois existem diversas situações em que o tratamento de dados se enquadrará nesta base legal.
É muito importante, também, que o profissional que esteja trabalhando com implementações à LGPD e/ou a empresa tenha o cuidado de verificar o seu segmento para que possa verificar corretamente à qual obrigação legal ou regulatória o seu negócio está submetido.
Alguns exemplos:
Turismo – Embratur/Daer (para o transporte de passageiros)/Lei Geral do Turismo;
Fintechs/Bancos/Operadoras de Crédito – Bacen;
Aviação – ANAC;
Telecomunicação – ANATEL
Saúde – Anvisa
Estes são alguns poucos exemplos que ilustram a necessidade de um olhar atento à realidade das atividades da empresa.
Outro ponto que merece destaque, é que quando falamos em obrigação legal ou regulatória, estamos nos referindo também às portarias, decretos e todas as disposições pertinentes ao negócio da empresa.
É como se a implementação em geral fosse feita pelo “clínico-geral”e essas minúcias pelo “especialista”.
É preciso estudo e olhos fixos nos detalhes, pois às vezes é no detalhe que a base legal mais adequada será encontrada.
Ao utilizar essa base legal de forma correta o controlador possui argumentos indiscutíveis para legitimar o tratamento de dados que realiza.
Em uma eventual requisição do titular de dados ou da ANPD, a simples apresentação do regulamento ou legislação aos quais seus negócio se vincula e exige esse tratamento, será suficiente para provar que o tratamento é legítimo.
