Bases legais da LGPD

A Lei Geral de Proteção de Dados (LGPD) trata, entre outros assuntos, da proteção de dados pessoais, estabelecendo: como os dados devem ser utilizados; quem pode se utilizar deles; e em quais hipóteses. Para entender melhor os aspectos iniciais da lei, confira nosso artigo “LGPD: o que é?”.

Nesse sentido, o art. 7º e incisos da LGPD determinam as bases legais de utilização dos dados pessoais, ou seja, as possibilidades de utilização desses dados.

A lei prevê 10 hipóteses e, ao utilizar os dados, o controlador/operador deve cumprir, ao menos, uma delas: consentimento, cumprimento de obrigação legal, uso da administração pública, estudo por órgãos de pesquisa, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, interesses legítimos e proteção do crédito.

Adiante, cada uma das bases legais será analisada.

Consentimento

Com o consentimento, normalmente, há relação de troca, em que o titular dos dados aceita fornecê-los e, em troca, recebe determinado serviço. Um exemplo dessa base legal foi mais observado recentemente, com o uso de cookies. Muitas pessoas notaram, ao entrar em determinados sites, uma notificação de utilização de cookies, juntamente à possibilidade de aceitá-los (caso aceite, o usuário consente em fornecer dados pessoais em troca do serviço digital oferecer melhorias na experiência, pois pode personalizar o conteúdo de acordo com o perfil do usuário). O consentimento do usuário pode ser revogado e, nesse caso, cabe ao controlador eliminar os dados pessoais já obtidos.

Cumprimento de obrigação legal

Caracteriza-se quando o controlador dos dados tem o dever legal de prestar informações sobre determinada pessoa. Por exemplo, no caso de uma empresa com diversos funcionários, o compartilhamento de dados destes pode ser necessário para questões fiscais e previdenciárias. Nessa hipótese, o controlador dos dados pessoais dos empregados poderá fornecê-los, pois lhe é exigido legalmente.

Uso da administração pública

A administração pública pode se utilizar de dados pessoais para executar políticas públicas, já que são benéficas para uma coletividade de pessoas e atendem ao interesse público em detrimento do particular. Um exemplo dessa utilização é observado na Lei Estadual nº 16.758/18, que obriga prestação de informações sobre cor ou identificação racial em cadastros no Estado de São Paulo. De acordo com a própria lei, esses dados servem para Coordenação de Políticas para População Negra e Indígena, o que caracteriza a base legal tratada aqui.

Estudo por órgãos de pesquisa

Nessa hipótese, os dados pessoais são tratados para se quantificar determinadas situações, como o número de cidadãos empregados e desempregados em certa localidade. Deve-se ter uma atenção especial a essa base legal: só pode ser utilizada pela administração pública ou por pessoa jurídica sem fins lucrativos. Por isso, um grande exemplo de órgão de pesquisa que utiliza dados pessoais, no Brasil, é o IBGE.

Execução de contrato

Essa base legal ocorre quando o fornecimento de dados pessoais é necessário para contratos em que o titular deles seja parte (e a pedido do titular). É simples observar a ocorrência dessa hipótese nas compras feitas online, em que o cliente fornece dados como nome completo, endereço e CPF para que possa receber o produto em casa.

Exercício regular de direitos

Em processos judiciais, administrativos ou arbitrais, pode ser necessário o fornecimento de dados pessoais para procedimentos, como citação e intimação, por exemplo. Nesses casos, a LGPD prevê a possibilidade de obtenção dos referidos dados.

Proteção da vida

Em determinadas situações, pode ser essencial a utilização de dados pessoais do titular para a preservação da própria vida/integridade física ou de terceiro. Um profissional da saúde, ao atender uma pessoa gravemente ferida (e impossibilitada de consentir), pode acessar dados clínicos pessoais do paciente, por exemplo.

Tutela da saúde

Essa hipótese só pode ser utilizada por profissionais da saúde, serviços de saúde ou autoridades sanitárias. Trata-se de casos em que, por exemplo, esses profissionais recolhem dados pessoais para controle de epidemias em certa localidade.

Interesses legítimos

Nessa hipótese, deve-se conciliar dois pilares: o interesse do controlador dos dados e os benefícios ao titular dos dados. O interesse, nesse caso, deve ser principalmente do titular e não pode ser contrário a direitos e liberdades fundamentais. Deve-se observar ainda que o art. 37 da LGPD prevê que, quando o tratamento de dados é baseado pelo legítimo interesse, o controlador e o operador devem manter o registro das operações.

Proteção do crédito

Os dados, nesse caso, são utilizados para tutelar o crédito em situações como a de financiamento, por exemplo. Dessa forma, através de dados pessoais, obtém-se o perfil de crédito do titular dos dados.

Assim, se o tratamento dos dados pessoais for motivado por uma das hipóteses elencadas acima, haverá base legal prevista na LGPD para que o tratamento seja feito corretamente.

Como resultado, evita-se problemas de inadequação à lei e, consequentemente, de penalidades – fato que preserva tanto o titular dos dados, como o controlador destes.

 

Perfil do Autor

Saulo Almeida
Saulo Almeida
Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.

Compartilhe