A Lei Geral de Proteção de Dados (LGPD) trata, entre outros assuntos, da proteção de dados pessoais, estabelecendo: como os dados devem ser utilizados; quem pode se utilizar deles; e em quais hipóteses. Para entender melhor os aspectos iniciais da lei, confira nosso artigo “LGPD: o que é?”.
Nesse sentido, o art. 7º e incisos da LGPD determinam as bases legais de utilização dos dados pessoais, ou seja, as possibilidades de utilização desses dados.
A lei prevê 10 hipóteses e, ao utilizar os dados, o controlador/operador deve cumprir, ao menos, uma delas: consentimento, cumprimento de obrigação legal, uso da administração pública, estudo por órgãos de pesquisa, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, interesses legítimos e proteção do crédito.
Adiante, cada uma das bases legais será analisada.
Consentimento
Com o consentimento, normalmente, há relação de troca, em que o titular dos dados aceita fornecê-los e, em troca, recebe determinado serviço. Um exemplo dessa base legal foi mais observado recentemente, com o uso de cookies. Muitas pessoas notaram, ao entrar em determinados sites, uma notificação de utilização de cookies, juntamente à possibilidade de aceitá-los (caso aceite, o usuário consente em fornecer dados pessoais em troca do serviço digital oferecer melhorias na experiência, pois pode personalizar o conteúdo de acordo com o perfil do usuário). O consentimento do usuário pode ser revogado e, nesse caso, cabe ao controlador eliminar os dados pessoais já obtidos.
Cumprimento de obrigação legal
Caracteriza-se quando o controlador dos dados tem o dever legal de prestar informações sobre determinada pessoa. Por exemplo, no caso de uma empresa com diversos funcionários, o compartilhamento de dados destes pode ser necessário para questões fiscais e previdenciárias. Nessa hipótese, o controlador dos dados pessoais dos empregados poderá fornecê-los, pois lhe é exigido legalmente.
Uso da administração pública
A administração pública pode se utilizar de dados pessoais para executar políticas públicas, já que são benéficas para uma coletividade de pessoas e atendem ao interesse público em detrimento do particular. Um exemplo dessa utilização é observado na Lei Estadual nº 16.758/18, que obriga prestação de informações sobre cor ou identificação racial em cadastros no Estado de São Paulo. De acordo com a própria lei, esses dados servem para Coordenação de Políticas para População Negra e Indígena, o que caracteriza a base legal tratada aqui.
Estudo por órgãos de pesquisa
Nessa hipótese, os dados pessoais são tratados para se quantificar determinadas situações, como o número de cidadãos empregados e desempregados em certa localidade. Deve-se ter uma atenção especial a essa base legal: só pode ser utilizada pela administração pública ou por pessoa jurídica sem fins lucrativos. Por isso, um grande exemplo de órgão de pesquisa que utiliza dados pessoais, no Brasil, é o IBGE.
Execução de contrato
Essa base legal ocorre quando o fornecimento de dados pessoais é necessário para contratos em que o titular deles seja parte (e a pedido do titular). É simples observar a ocorrência dessa hipótese nas compras feitas online, em que o cliente fornece dados como nome completo, endereço e CPF para que possa receber o produto em casa.
Exercício regular de direitos
Em processos judiciais, administrativos ou arbitrais, pode ser necessário o fornecimento de dados pessoais para procedimentos, como citação e intimação, por exemplo. Nesses casos, a LGPD prevê a possibilidade de obtenção dos referidos dados.
Proteção da vida
Em determinadas situações, pode ser essencial a utilização de dados pessoais do titular para a preservação da própria vida/integridade física ou de terceiro. Um profissional da saúde, ao atender uma pessoa gravemente ferida (e impossibilitada de consentir), pode acessar dados clínicos pessoais do paciente, por exemplo.
Tutela da saúde
Essa hipótese só pode ser utilizada por profissionais da saúde, serviços de saúde ou autoridades sanitárias. Trata-se de casos em que, por exemplo, esses profissionais recolhem dados pessoais para controle de epidemias em certa localidade.
Interesses legítimos
Nessa hipótese, deve-se conciliar dois pilares: o interesse do controlador dos dados e os benefícios ao titular dos dados. O interesse, nesse caso, deve ser principalmente do titular e não pode ser contrário a direitos e liberdades fundamentais. Deve-se observar ainda que o art. 37 da LGPD prevê que, quando o tratamento de dados é baseado pelo legítimo interesse, o controlador e o operador devem manter o registro das operações.
Proteção do crédito
Os dados, nesse caso, são utilizados para tutelar o crédito em situações como a de financiamento, por exemplo. Dessa forma, através de dados pessoais, obtém-se o perfil de crédito do titular dos dados.
Assim, se o tratamento dos dados pessoais for motivado por uma das hipóteses elencadas acima, haverá base legal prevista na LGPD para que o tratamento seja feito corretamente.
Como resultado, evita-se problemas de inadequação à lei e, consequentemente, de penalidades – fato que preserva tanto o titular dos dados, como o controlador destes.
Perfil do Autor
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos
