Informativos

LGPD - Bases legais para o tratamento de dados: tudo que você precisa saber

LGPD - Bases legais para o tratamento de dados: tudo que você precisa saber

A Lei Geral de Proteção de Dados - LGPD entrou em vigor em agosto de 2020, tornando essencial que todas as empresas estejam de acordo com as novas regras, no que diz respeito aos dados pessoais de seus trabalhadores, gestores, sócios e, também, de clientes, parceiros e fornecedores.

Em que pese a vigência a partir de agosto de 2020, as sanções passaram a ser aplicáveis apenas a partir do segundo semestre do ano de 2021, considerando a pandemia e a importância do lapso temporal para as empresas se adaptarem às novas normas.

A necessidade de se adequar não é somente para evitar multas aplicadas pela Autoridade Nacional de Proteção de Dados - ANPD, mas principalmente para impedir eventuais ações judiciais com pedido de reparação de danos por armazenamento de dados sem consentimento do titular. 

E um dos termos que são de extrema importância o conhecimento, com previsão na LGPD, diz respeito às bases legais. 

Para você entender melhor como realizar esta adaptação e o que são as bases legais, criamos um conteúdo completo. Confira  a seguir. 

O que são as bases legais da LGPD?

Inicialmente, é importante salientar que o objetivo da LGPD é garantir a liberdade, a privacidade e a formação de personalidade da pessoa natural.

A legislação “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art. 1º). 

E os fundamentos para a proteção da pessoa natural, segundo a lei, são:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Ou seja, trata-se de preservação das informações de qualquer pessoa natural, de modo que as garantias fundamentais previstas na Constituição Federal inerentes à personalidade do indivíduo sejam preservadas.

Assim, as bases legais são basicamente correspondentes ao fundamento ou à justificativa para o tratamento de certos dados pessoais por uma empresa.

As bases legais definem, então, como se dará o tratamento de dados, eis que restará claro qual a justificativa para o uso das respectivas informações.

Dessa maneira, quando uma empresa utiliza, coleta, armazena dados pessoais, é necessário que, segundo a LGPD, exista um enquadramento destas condutas em uma das 10 (dez) bases legais da LGPD.

E para decidir qual a base legal para aquele determinado tipo de conduta em relação aos dados pessoais, é importante entender o processo da empresa, quais são as pessoas envolvidas e quais são as necessidades do negócio empresarial. 

Como funcionam as bases legais LGPD?

Como mencionamos, as bases legais correspondem à justificativa para a conduta relacionada ao tratamento de dados pessoais. 

Para esclarecer, o tratamento de dados é toda conduta que utiliza um dado pessoal, que torne possível a identificação do titular (proprietário dos danos). Segundo a lei, algumas condutas são:

  • coleta; ato de recolher dados para algum fim;

  • recepção: receber dados após a transmissão;

  • transmissão: ato de movimentar os dados entre dois pontos por meio de utensílios digitais telefônicos, elétricos, dentre outros;

  • classificação: organizar os dados de forma criteriosa especificada pelo operador ou controlador dos dados;

  • utilização: aproveitamento de dados com finalidade específica, salvo aquelas previstas na LGPD (fins acadêmicos, jornalísticos, artísticos, particulares e não econômicos, segurança pública e outros);

  • armazenamento: conservar em local específico o dado;

  • eliminação: excluir o dado;

  • modificação: alterar o dado;

  • dentre outras.

Estabelecer qual a conduta de tratamento de dados pela empresa é essencial para definição da justificativa, ou seja, da base legal.

Existem 10 bases legais segundo o artigo 7º, da LGPD:

  • Consentimento;

  • Cumprimento de obrigação legal ou regulatória;

  • Realização de estudos por órgão de pesquisa;

  • Execução de políticas públicas;

  • Execução ou criação de contrato;

  • Exercício regular de direitos;

  • Tutela da saúde;

  • Legítimo interesse;

  • Proteção de crédito;

  • Proteção da vida.

Segundo a legislação, a motivação para o tratamento de dados, ou seja, o argumento para a finalidade estabelecida, deverá se enquadrar em uma destas hipóteses, sob pena de haver responsabilização do operador.

Princípios

Segundo o artigo 6º, da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quais são as bases legais da LGPD?

Nos termos supracitados, são dez as bases legais previstas pela LGPD, em especial no art. 7º, quais sejam:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos 

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;     

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Bases Legais da LGPD para tratamento de dados

Com a definição das bases legais, como já mencionamos, é extremamente importante conhecer o processo da empresa, os dados que são necessários de coleta, uso, armazenamento, compartilhamento e etc, assim como as pessoas que estão envolvidas e possam ter acesso a tais informações pessoais.

O que é o tratamento de dados?

Sobre tratamento de dados, falamos brevemente no início deste artigo, mas há previsão expressa no art. 5º, inc. X que tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. 

E quanto aos dados, a lei define como de caráter pessoal, os sensíveis e os anonimizados, da seguinte maneira:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa; e,

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Aplicação: como é feito o tratamento de dados?

A LGPD estabelece as hipóteses em que são permitidas o tratamento de dados pessoais, que são as justificativas (bases legais), conforme consta no art. 7º, da Lei, as quais já descrevemos anteriormente. 

Porém, quanto aos dados pessoais sensíveis, o tratamento somente poderá ocorrer:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou       

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

E quanto ao término do tratamento de dados pessoais,  a lei estabelece, no artigo 15, que ocorrerá quando houver:

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou

IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Ou seja, o tratamento de dados segue uma série de pressupostos legais, em especial, levando-se em conta a base legal estabelecida e tipo de dado a ser manuseado pela empresa.

Lembrando que cada empresa terá sua particularidade e suas necessidades, motivo pelo qual o tratamento de dados e as bases legais serão diferentes para cada caso em concreto.

E para tanto, considerando o exposto aqui neste artigo e as disposições legais, recomendamos que as empresas contem com o auxílio e orientação de advogados especialistas, evitando que sofram prejuízos e sanções no futuro.


 

Como as bases legais da LGPD atuam na sua empresa?

Por fim, resta importante tomar conhecimento de que as bases legais são importantíssimas, segundo as normas da LGPD, motivo pelo qual devem ser estabelecidas de acordo com a atuação da empresa. 

Lembrando que cada empresa tem um processo, um quantitativo de funcionários, de clientes, parceiros e etc, fatores estes que contribuem para as diferenças no estabelecimento das bases legais.

As bases legais justificam o tratamento de dados pessoais sensíveis e não sensíveis e permite que a empresa defina o tempo de utilização de tais dados, a finalidade, dentre outros elementos essenciais para o uso, permitindo ao titular dos dados consentir ou não.

E um dos desafios é a implementação  das bases legais nas empresas, de acordo com as ditas particularidades. 

Para lhe auxiliar, linkamos dois artigos detalhados sobre o tema, que podem te auxiliar na fase de implementação da LGPD na sua empresa. 

Confira aqui: Como implantar a LGPD na sua empresa e LGPD na prática aplicada à sua empresa

Gostou do tema? Tem alguma dúvida? Deixe seu comentário ou entre em contato, será um prazer orientá-lo.

Deixe seu comentário: