Curso de LGPD GRÁTIS - Semana de LGPD na Prática (5, 6 e 7 de março)
Geral

Cumprimento de uma Obrigação Legal ou Regulatória

A base legal do Cumprimento de uma Obrigação Legal ou Regulatória é uma das bases cuja escolha, quando feita de modo correto, é indiscutível.

Aqui a gente pode se valer da máxima: “contra fatos, não há argumentos”!

Vejamos!

O Art. 7º da LGPD, II dispõe: “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: II – para o cumprimento de obrigação legal ou regulatória pelo controlador”.

Para que seja possível que o controlador legitime o tratamento de dados pessoais que realiza por meio desta base legal, ele precisará justificar a utilização do dado pessoal para atender uma obrigação legal ou regulatória.

Mas o que isso significa na prática? É simples!

O controlador deverá justificar a utilização de um dado pessoal para atender uma lei ou regulamento.

Um exemplo bem pontual é a contratação de um colaborador. Nesse caso, a empresa tratará esses dados para atender às disposições da CLT (Consolidação das Leis do Trabalho).

Viram como a gente começa a desconstruir aquela ideia de que pra tudo seria necessário consentimento?

E aqui uma informação importante: nas relações trabalhistas o consentimento é considerado bastante inadequado, tendo em vista a assimetria de poder entre o controlador e o colaborador.

Conseguem perceber que o consentimento aqui não seria válido?

Em uma hipótese de consentimento do colaborador, este não seria livre, uma vez que ele estaria obrigado a fornecer seus dados para o controlador para as anotações na carteira de trabalho e para demais obrigações e e aí que verificamos a assimetria de poder e temos uma consentimento inválido.

Por isso a LGPD foi bastante inteligente e nos trouxe outras nove opções de bases legais que podem legitimar o tratamento de dados, e o cumprimento de obrigação legal ou regulatória é uma dessas opções.

Aqui vale outra observação também no que se refere a um dos direitos dos titulares, conforme disposição do art. 18, VI da LGPD: “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei”.

A Lei possibilita ao titular pedir a eliminação dos seus dados a qualquer tempo, entretanto, faz uma ressalva quanto às hipóteses do art. 16, que assim dispõe: “Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador”.

Aqui também podemos utilizar como exemplo a relação trabalhista.

Se ao término da relação trabalhista o colaborador solicitar a exclusão das suas informações pessoais à empresa, esta poderá negar a exclusão amparada pelo cumprimento de uma obrigação legal, por exemplo: o funcionário poderá ingressar em face da empresa requerendo eventuais créditos resultantes da relação de trabalho pelo prazo de cinco anos, assim, o controlador poderá manter os seus registros por este prazo, visando realizar uma defesa processual, se for caso.

Os exemplos aqui são muitos, pois existem diversas situações em que o tratamento de dados se enquadrará nesta base legal.

É muito importante, também, que o profissional que esteja trabalhando com implementações à LGPD e/ou a empresa tenha o cuidado de verificar o seu segmento para que possa verificar corretamente à qual obrigação legal ou regulatória o seu negócio está submetido.

Alguns exemplos:

Turismo – Embratur/Daer (para o transporte de passageiros)/Lei Geral do Turismo;

Fintechs/Bancos/Operadoras de Crédito – Bacen;

Aviação – ANAC;

Telecomunicação – ANATEL

Saúde – Anvisa

Estes são alguns poucos exemplos que ilustram a necessidade de um olhar atento à realidade das atividades da empresa.

Outro ponto que merece destaque, é que quando falamos em obrigação legal ou regulatória, estamos nos referindo também às portarias, decretos e todas as disposições pertinentes ao negócio da empresa.

É como se a implementação em geral fosse feita pelo “clínico-geral”e essas minúcias pelo “especialista”.

É preciso estudo e olhos fixos nos detalhes, pois às vezes é no detalhe que a base legal mais adequada será encontrada.

Ao utilizar essa base legal de forma correta o controlador possui argumentos indiscutíveis para legitimar o tratamento de dados que realiza.

Em uma eventual requisição do titular de dados ou da ANPD, a simples apresentação do regulamento ou legislação aos quais seus negócio se vincula e exige esse tratamento, será suficiente para provar que o tratamento é legítimo.

Write A Comment