As bases legais da LGPD estão provocando dúvidas em muitos advogados.
Isso porque diversas bases legais possuem conceitos indeterminados e sua aplicação envolve diversas particularidades fazendo com que seja difícil compreendê-las.
Além disso, a compreensão das bases legais significa saber quais são as hipóteses autorizadas para o tratamento de dados.
Ou seja, se o seu propósito é investir em compliance em proteção de dados ou estar atualizado, conhecer as bases legais é fundamental.
Pensando nisso, reunimos neste post tudo o que você precisa saber sobre bases legais na LGPD, com as informações mais relevantes e atualizadas.
Temos uma tabela completa com todas as bases legais da LGPD.
Inscreva-se para receber atualizações jurídicas direto no seu e-mail!
O que é base legal da LGPD?
As bases legais da LGPD são os requisitos necessários para o tratamento de dados.
Em outras palavras, as bases legais constituem as hipóteses de tratamento de dados pessoais.
Elas são as orientações gerais que autorizam a atividade de tratamento de dados por qualquer controlador.
Nesse sentido, estamos nos referindo às condições determinadas pela LGPD para que seja possível fazer a coleta dos dados para o tratamento.
Elas estão evidenciadas no art. 7 da LGPD, e associam-se à necessidade ou não do consentimento do titular dos dados pessoais.
Mas, antes de apresentarmos cada uma das bases legais, veremos cada um de seus pressupostos. 😉
Quais são os pressupostos para as Bases Legais da LGPD?
Os fundamentos da LGPD são os seus princípios e os direitos do usuário.
Você deve estar se perguntando:
Qual é a relação entre os fundamentos da LGPD e as bases legais?
Os fundamentos da LGPD e as bases legais se relacionam porque os fundamentos são condições ao tratamento de dados e, por isso, são anteriores a aplicação das bases legais.
Não é possível ter uma coisa sem outra.
É necessário estar em conformidade com os princípios da LGPD e os direitos do usuário para que seja possível solicitar o consentimento ou recorrer às outras 9 bases legais.
Nesse sentido, destacamos o art. 7 § 6º da LGPD:
art. 7 § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Ou seja, você deve compor adequadamente todo o processo de tratamento de dados para aplicar uma das bases legais.
A seguir, sem mais delongas, apresentamos, brevemente, os princípios e direitos do usuário.
Confira uma tabela completa com todas as bases legais da LGPD.
Princípios da LGPD
Os princípios da LGPD incluem a finalidade delimitada para o tratamento de dados, a coleta apenas de informações necessárias, entre outros.
Eles estão estabelecidos no art. 6 da LGPD, os quais dividimos em 3 grupos, conforme os objetivos que visam atender:
| Princípios | Objetivos |
| Finalidade, Adequação e Necessidade | Limitar o uso de dados |
| Livre acesso, Qualidade dos dados e Transparência | Garantir aos titulares o acesso às informações relativas ao uso de seus dados |
| Segurança, Prevenção e Não Discriminação | Assegurar a proteção de dados |
| Responsabilização e prestação de contas | Salvaguardar a aplicação da LGPD |
Confira o nosso post sobre princípios da LGPD para conhecer cada um deles com profundidade.
Os princípios da LGPD devem ser seguidos à risca em cada etapa do ciclo de vida dos dados pessoais para que o tratamento de dados possa ser aplicado.
Ou seja, no momento da coleta, retenção, compartilhamento e armazenamento os dados devem ser tratados mediante a aplicação dos princípios.
Saiba como fazer o tratamento de dados em cada etapa de seu ciclo de vida lendo nosso post sobre Tratamento de Dados
Direitos do titular na LGPD
A grande mudança que a LGPD trás e você precisa saber se dá com os direitos do titular.
A Lei reconhece que o titular é dono de seus dados, isto é, sujeito de direitos de suas informações pessoais.
Assim, o exercício de seus direitos parte do princípio que o sujeito possui liberdade para exercer controle sobre o tratamento de seus dados pessoais, além de ser sempre informado sobre eles.
Para consolidar esta liberdade, é necessário que a entidade público ou privada siga os direitos e garantias do titular.
Por isso, conforme o art. 18 da LGPD, ele tem direito a obter do controlador a qualquer momento e mediante requisição:
- Acesso aos seus dados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei;
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Revisão de decisões automatizadas tomadas unicamente com base no tratamento de dados pessoais.
OBS. 1: Todos estes direitos devem ser seguidos, ainda que haja dispensa de consentimento.
OBS. 2: É direito do titular dos dados opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento. (art. 18, § 2º, LGPD)
Ou seja, o titular, em regra, deve poder recusar o tratamento de seus dados diante de todas as bases legais previstas na LGPD.
Sobre as decisões automatizadas, elas são as decisões tomadas apenas com base em tratamento automatizado de dados pessoais (art. 20).
Enfatizamos que o titular tem direito a explicação e de oposição a elas, podendo solicitar a sua revisão.
Como exemplo, imagine que você preencheu um cadastro de crédito, e um programa de computador negue o pedido de empréstimo, muito provavelmente essa decisão automática foi feita com base em seu perfil comportamental.
De acordo com a LGPD, é seu direito saber, em primeiro lugar, como se chegou a tal conclusão e, também, é seu direito recorrer dessa decisão automatizada.
Caso o controlador considere que algum desses direitos mencionados não pode ser exercido, precisa fazer esse esclarecimento justificando -com motivos concretos- a impossibilidade do requerimento.
E, caso o titular não se der por satisfeito, pode questionar e recorrer em relação à resposta dada.
A seguir, sem mais delongas, as bases legais da LGPD 😉
Quais são as bases legais da LGPD?
As bases legais da LGPD, ou seja, os requisitos de tratamento de dados estabelecidos na Lei são estabelecidos no art. 7, são:
| Hipóteses de tratamento de dados | Bases Legais |
| Consentimento do titular | art. 7, I, LGPD |
| Legítimo Interesse | art. 7, IX, LGPD |
| Cumprimento de obrigação legal ou regulatória | art. 7, II, LGPD |
| Tratamento pela administração pública | art. 7, III, LGPD |
| Realização de estudos e de pesquisas | art. 7, IV, LGPD |
| Execução ou preparação contratual | art. 7, V, LGPD |
| Exercício regular de direitos | art. 7, VI, LGPD |
| Proteção da vida e da incolumidade física | art. 7, VII, LGPD |
| Tutela de saúde do titular | art. 7, VIII, LGPD |
| Proteção de crédito | art. 7, X, LGPD |
Nosso objetivo neste post é pontuar cada uma das características centrais relacionadas às bases legais da LGPD.
Para isso, explicaremos o que cada uma significa e daremos exemplos para ilustrá-las.
Veja aqui uma Tabela Completa com todas as bases legais da LGPD.
#1 Consentimento
Em primeiro lugar, o consentimento fornecido pelo titular é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5, XII, LGPD).
Em suma, a necessidade do consentimento concretiza a autonomia da vontade do usuário.
Nesse sentido, o consentimento do usuário é a máxima para executar as operações com seus dados pessoais.
Por isso, tenha sempre em mente que:
Antes de recorrer a qualquer outra base legal para justificar o tratamento de dados, é necessário procurar ao máximo obter o consentimento.
Portanto, todas as demais bases legais de tratamento de dados serão válidas, em regra, sob a condição de a manifestação de consentimento não ter sido possível.
E então, como obter o consentimento?
Você deve fazer o seguinte:
- Atender às condições de validade do consentimento;
- Atender às condições de existência do consentimento.
Agora que já estabelecemos a premissa inicial do consentimento dos dados, iremos destrinchar as condições que você deve cumprir para requerer o consentimento.
I) Cumpra as condições de validade do consentimento
A vontade é condição de existência do consentimento, mas, para que se torne válida, você deve seguir alguns requisitos. Eles são:
- Manifestação de vontade livre e inequívoca;
- Formada mediante o conhecimento de todas as informações necessárias para tal, o que inclui a finalidade do tratamento de dados e eventual compartilhamento; e
- Restrita às finalidades específicas e determinadas que foram informadas ao titular dos dados.
Em resumo, é pressuposto que a manifestação de vontade seja livre, consciente e voluntária, ou seja, o consentimento não deve ter vícios.
De acordo com os requisitos apresentados, as condições de validade do consentimento se confundem com o cumprimento dos direitos do usuários e dos princípios previstos na LGPD.
Para materializar esses três pontos, é preciso tutelar os seguintes direitos do usuário:
- Acesso às informações sobre seus dados;
- Permita que o titular controle seus dados.
Explicaremos cada um deles e seus desdobramentos a seguir.
Fizemos uma tabela completa com todas as bases legais da LGPD!
Providencie ao usuário acesso às informações sobre seus dados
Para que o consentimento seja livre, o titular dos dados pessoais deve saber exatamente como seus dados serão e/ou estão sendo tratados.
Dessa forma, ele deve ser específico em relação à finalidade das operações feitas com seus dados.
Por exemplo, é necessário consentimento próprio para comunicação e/ou compartilhamento de dados pessoais com outros controladores.
Além disso, é necessário que sejam seguidos estes critérios a seguir, para que se obtenha consentimento sem vícios:
- Clareza das informações sobre o uso de dados, como os dados serão coletados, a finalidade de seu uso (art. 6, V, LGPD) ;
- Confirmação da existência de tratamento (art. 18, III, LGPD);
- Atualização das informações e do consentimento, conforme a alteração no tratamento de dados (art. 9, § 2º, LGPD);
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- O titular dos dados tem direito a solicitar a revisão de decisões tomadas apenas com base em tratamento automatizado de dados pessoais que afetem seus interesses (art. 20, LGPD).
Proporcione o controle do titular em relação aos seus dados
Para dar continuidade ao consentimento relativo ao uso de seus dados, o titular deve possuir controle em relação a eles.
Isso significa que o usuário deve poder alterar como os dados serão armazenados e coletados, ainda que possa resultar na revogação do consentimento.
Dessa forma, a LGPD estabelece as seguintes regras gerais:
- Correção de dados incompletos, inexatos ou desatualizados (art.18, III, LGPD );
- O armazenamento dos dados deve ser feito em formato que favoreça o exercício do direito de acesso (art. 18, § 1º, LGPD )
- Portabilidade dos dados (art. 18, V, LGPD)
Ainda, deve ser possível requerer que o controlador elimine os dados, mesmo que não estejam sendo tratados em desconformidade à Lei, salvo as seguintes exceções previstas no art. 16:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei;
- Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Nesse sentido, caso não seja possível eliminar os dados por conta das exceções declaradas em Lei, ou por conta de outras situações, o controlador de dados deve emitir declaração justificando os motivos que o impediram de fazer o procedimento (art. 18, § 4º, I e II, LGPD).
Revogação do consentimento do titular
O titular dos dados tem liberdade para autorizar, negar ou revogar (reconsiderar) autorização anteriormente concedida para tratamento de seus dados pessoais com procedimento gratuito e facilitado (art. 8, § 5º, LGPD)
Essa é uma condição fundamental para manutenção do consentimento, afinal, se o titular solicitar a revogação do consentimento, deixa de existir vontade em permanecer na relação jurídica em questão.
Mas, se não for possível a revogação, a Lei determina que o controlador enviará ao titular resposta em que poderá: comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
II) Realize a condição de eficácia do consentimento
A condição de eficácia do consentimento é a sua forma.
Diante disso, ao redigir a política de proteção de dados, você deve se atentar que prevalece a forma especial descrita na LGPD e, caso não for cumprida pelo agente o negócio jurídico será ineficaz.
A forma, em regra, é a seguinte:
Deve ser escrita, o consentimento deverá estar destacado das demais cláusulas contratuais com sua finalidade determinada, eventuais casos de compartilhamento, transferência e tempo de uso, sendo nula qualquer forma genérica de consentimento. (art. 9, LGPD)
Mas, em situações específicas, o consentimento pode ser inferido.
Isso ocorre quando os dados são tornados manifestamente públicos pelo titular, sendo resguardados seus direitos e princípios previstos em lei (art. 7 § 4º, LGPD);
Exemplo da base legal do consentimento
A base legal do consentimento é aplicada, por exemplo, quando aceitamos políticas de privacidade.
Então, imagine a seguinte situação:
Você está fazendo um cadastro na plataforma de e-commerce e te solicitam o aceite aos termos de privacidade dos dados.
Nela, a entidade privada estabelece quais dados serão coletados, qual é a finalidade de tratamento de cada um, entre outras informações previstas no art. 16 da LGPD.
O caráter da política de privacidade é, muitas vezes, semelhante ao de um contrato de adesão.
Ou seja, sua composição é unilateral, a parte contratante não costuma participar da estruturação do contrato, assim como não é atuante na política de privacidade.
Estes termos são fundamentais para a obtenção expressa do consentimento para o tratamento de dados, atribuindo eficácia à demonstração de vontade, caso a forma esteja sendo feita conforme a Lei.
Conheça a Legalcloud e tenha mais tranquilidade na sua contagem de prazos processuais
#2 Legítimo Interesse
Para recorrer a esta hipótese de tratamento de dados é necessário que você, antes de tudo, busque o consentimento do usuário.
Caso não seja possível recorrer ao consentimento e a nenhuma das demais 9 bases legais, a hipótese do legítimo interesse pode ser considerada.
Mas, afinal, como essa base legal é disposta na LGPD?
De acordo com o art. 7, IX e o art. 10 da LGPD: o legítimo interesse do controlador dos dados poderá basear o tratamento para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador;
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.
Percebe o quanto a definição do legítimo interesse é abrangente?
Isso ocorre por dois motivos:
- Não há uma definição específica para o legítimo interesse, sendo assim, será possível aferi-lo apenas mediante a análise do caso concreto.
- As previsões encontradas nos incisos do art. 7, IX são gerais exemplificativas, ou seja, o esta base legal poderá englobar hipóteses diversas de tratamento de dados.
Dessa forma, é aberta grande margem para o uso inadequado de dados por parte das entidades privadas.
No entanto, apesar da indefinição do legítimo interesse, é possível, a partir da Lei e do entendimento doutrinário, estabelecer:
- Noções preliminares sobre o que é legítimo interesse;
- Quais são as garantias que salvaguardam a hipótese do legítimo interesse;
- A relação entre a base legal na LGPD e na GPDR para formular critério de aplicação.
Vamos começar?
Veja aqui uma Tabela Completa com as bases legais da LGPD.
O que é Legítimo Interesse?
Legítimo interesse significa a vontade do controlador, ou da sociedade, em se beneficiar de forma legal com o tratamento de dados pessoais.
Nesse sentido, a intenção do controlador em fazer operações com os dados é limitada pelos direitos e liberdades fundamentais do titular.
Por ser uma hipótese de tratamento de dados tão ampla, é necessário cumprir requisitos específicos para a proteção dos dados.
A seguir, voltaremos nossa atenção à estas salvaguardas.
Legítimo interesse e direitos do titular: Como ocorre a Proteção?
Para proteger os dados pessoais tratados conforme o legítimo interesse, deve-se atentar às seguintes condições:
- Somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados (art. 10, § 1º,LGPD);
- O controlador deve adotar medidas para garantir a transparência do tratamento de dados (art. 10, § 2º, LGPD);
- As legítimas expectativas do titular devem ser respeitadas (art. 10, II, LGPD);
- Os princípios da LGPD e os direitos do titular devem ser assegurados (art. 10, II, LGPD);
- Adequação aos demais critérios de tratamento de dados de acordo com o tipo (dados sensíveis, de crianças e adolescentes).
A seguir, iremos nos aprofundar em uma definição que confunde muitos advogados, a das legítimas expectativas do titular.
O que são as legítimas expectativas do titular?
As legítimas expectativas do titular são as expectativas de uso de seus dados que ele deve -razoavelmente- prever que seus dados poderão ser tratados com a finalidade em questão, diante do contexto e do instante que foram coletados.
Em resumo, nossa legítima expectativa é o que esperamos que pode acontecer com nossos dados.
Isso significa que os dados pessoas não devem ser coletados de forma aleatória, sem correlação com os seus fins esperados.
O conceito de “legítima expectativa” teve como inspiração a noção de “expectativa razoável”, originada da Regulamentação de Proteção de dados da União Europeia. (conversaremos mais sobre isso no próximo tópico)
Agora, como exemplo, imagine que você se cadastrou em uma plataforma de e-commerce e, de repente descobriu que seus dados foram armazenados e vendidos na internet.
Não faz parte da nossa legítima expectativa, certo?
Pois é, por isso a importância da legítima expectativa, ela limita o alcance a base legal do legítimo interesse.
Para entender melhor como cumprir os requisitos de tratamento de dados, confira nossos posts sobre os princípios da LGPD
Depois de cumpridos estes critérios fundamentais, é importante seguir o seguinte conjunto de medidas de segurança:
- Produção de relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial, podendo ser solicitado pela ANP (art. 10, § 3º, LGPD)
- O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem (art. 37, LGPD);
Em relação à produção do relatório de uso de dados, é necessário que contenha, no mínimo, conforme o art. 37, parágrafo único:
- A descrição dos tipos de dados coletados;
- A metodologia utilizada para a coleta e para a garantia da segurança das informações;
- A análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Quanto a entrega do relatório à ANP, devemos destacar que ela é a Agência Nacional de Proteção de dados pessoais, responsável por salvaguardar as determinações da LGPD e complementá-la com novas disposições acerca do tratamento de dados.
A viabilidade da base legal dependerá do caso concreto e o legítimo interesse pode incluir interesses comerciais, individuais ou interesses da sociedade. Sua aplicação deve ser rígida e justificada.
Exemplos de tratamento de dados com legítimo interesse
Alguns exemplos de situações que podem envolver o legítimo interesse, são:
- Situações específicas para o marketing;
- Prevenção à Fraude;
- Entre outros propósitos éticos.
Ainda assim, todas elas possuem limites, os direitos do usuário e os fundamentos da LGPD, entre outros que serão definidos pela ANPD (Agência Nacional de Proteção de Dados)
Legítimo Interesse na LGPD e GPDR: Qual é a relação?
A Lei Geral de Proteção de Dados (LGPD), foi constituída tendo como base o Regulamento Geral sobre a Proteção de Dados ou General Data Protection Regulation (GPDR), proveniente da União Europeia.
Por essa razão, ambas as legislações possuem muito em comum, inclusive a disposição do legítimo interesse como hipótese de tratamento de dados, compartilhando semelhante indeterminação.
Assim, diversos advogados estão buscando, nas definições e considerações da GPDR e da Comissão Parlamentar Europeia, alguma forma de esclarecimento para compreender a aplicabilidade deste instituto.
Lembrando que são esclarecimentos referentes ao direito europeu, ou seja, não se aplicam diretamente ao Brasil!
Nada mais é do que uma forma de prever como o instituto pode vir a ser utilizado em nosso país, uma vez que a LGPD foi fortemente baseada na GPDR.
Nesse sentido, apresentaremos o Considerando 47, também chamado Razão 47, que contém a fundamentação do tratamento de dados por legítimo interesse.
O Considerando 47 determina que os seguintes critérios devem ser levados em consideração:
- As expectativas razoáveis dos titulares dos dados;
- O legítimo interesse quando, por exemplo, existir relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento.
Em relação ao primeiro ponto, a expectativa razoável do titular significa que ele deve razoavelmente prever, no momento e no contexto em que os dados pessoais são coletados, que esses poderão vir a ser tratados com a finalidade proposta.
E, com o segundo ponto, o considerando dispõe que a relação apropriada pode ocorrer, por exemplo, quando o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento.
A partir da análise destes aspectos, é possível inferir que o legítimo interesse se limita à relação bilateral entre o titular e o receptor de dados.
Ou seja, a base legal em questão não se adequaria ao uso compartilhado de dados, levando em conta, também, que não é possível, razoavelmente, depreender uma situação como essa.
Por fim, a GPDR trás uma tentativa interessante de estabelecer critérios para a aplicação do legítimo interesse: o Teste de Ponderação.
Entenderemos mais sobre ela no próximo ponto.
Teste de Ponderação
O teste de ponderação é um mecanismo previsto na GPDR para orientar o uso do legítimo interesse como base legal.
Antes de prosseguir com a explicação, destacamos:
Não há previsão do teste de ponderação na LGPD!
Ou seja, o seu uso não é obrigatório, uma vez que, em nosso país, ele não existe como requisito de aplicação do legítimo interesse, apenas como referência doutrinária ao sopesamento de direitos fundamentais.
No entanto, pode ser útil para avaliar se será possível recorrer a esta base legal.
Com isso em mente, podemos continuar a explicação.
Como fazer o teste de ponderação?
Como dissemos, o teste de ponderação tem como objetivo avaliar a utilização do legítimo interesse conforme o caso concreto.
Ao iniciá-lo, você já deve começar a se questionar por que o tratamento de dados específico não se encaixa nas demais bases legais do artigo 7º da LGPD.
Isso porque ele só pode fundamentar o tratamento de dados em último caso, ou seja, quando não for possível recorrer ao consentimento.
Em seguida, é necessário se questionar:
- Qual é a finalidade desse tratamento? Essa finalidade é legal?
- Este processamento é indispensável para atingir o propósito? Pode ser utilizado outro método?
- Qual é o impacto que este tratamento trará ao titular? Seus direitos serão ofendidos?
Portanto, se houver finalidade legal, o tratamento for indispensável, necessário e sem ofensas aos direitos do titular e fundamentos da LGPD, é provável que o legítimo interesse pode ser aplicado.
#3 Cumprimento de obrigação legal ou regulatória
O tratamento de dados para cumprimento de obrigação legal ou regulatória é uma regra de legalidade ampla que busca preservar o interesse público.
Em outras palavras, esta hipótese de tratamento de dados se concretiza por força de lei anterior ou para garantir a ordem e segurança social.
Diante dessa base legal, é possível compreender sua existência diante de um objetivo fundamental à garantia da segurança jurídica.
Autoriza que a LGPD não entre em conflito com outras legislações e regulamentos vigentes, como:
- Lei de Acesso à Informação (Lei nº 12.527/2011 – LAI),
- Lei processo administrativo na administração pública federal (Lei nº 9.784/1999) e o
- Marco Civil da Internet (Lei nº 12.965/2014).
Dessa forma, mesmo após o encerramento do vínculo negocial que originou o tratamento, é permitido armazenar dados pessoais em função do cumprimento de obrigações do ordenamento jurídico como um todo.
Em casos específicos, há a obrigação, não somente a autorização do armazenamento de dados sem consentimento expresso.
Ficou com curiosidade? A seguir iremos abordar alguns exemplos.
Elaboramos uma tabela completa com as bases legais da LGPD.
Exemplos da base legal de cumprimento de obrigação
Como exemplo de aplicação da base legal para cumprir obrigação legal, podemos mencionar:
- A Constituição Federal de 1988 autoriza a empresa a guardar os dados pessoais pelo prazo de defesa de uma possível ação trabalhista que possa ser impetrada pelo ex-empregado, assegurando a garantia da ampla defesa ao empregador.
- Em função de investigações criminais tributárias, cíveis, contábeis ou administrativas;
Mas, fique atento! Há prazos para o armazenamento dos dados nas normas específicas.
Em razão disso, o período de retenção do dado deverá ser fortemente observado pelos Agentes de Tratamento sob pena de descumprimentos legais.
Como exemplo, podemos mencionar um dispositivo da Lei de Acesso à Informações:
Art. 21. Não poderá ser negado acesso à informação necessária à tutela judicial ou administrativa de direitos fundamentais.
Parágrafo único. As informações ou documentos que versem sobre condutas que impliquem violação dos direitos humanos praticada por agentes públicos ou a mando de autoridades públicas não poderão ser objeto de restrição de acesso.
#4 Tratamento de dados pela administração pública
Conforme o art. 7, III, a administração pública, poderá fazer o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou previstas em contratos, convênios ou similares, observadas as disposições do Capítulo IV da LGPD.
Com esta hipótese de tratamento de dados, não é necessário obter o consentimento do titular dos dados pessoais.
O Estado fica submetido à autorização legal como requisito principal de licitude para recorrer a esta base legal.
Ou seja, administração pública deverá se ater ao tratamento de dados apenas mediante autorização expressa presente no ordenamento jurídico.
Em resumo, como requisito para esta base legal, o poder público é obrigado a informar a finalidade e a forma como o dado será tratado, respeitando os fundamentos da LGPD, ainda que o consentimento não seja requisito para que seja feito o tratamento.
#5 Realização de estudos e de pesquisas
Com relação à realização de estudos e de pesquisas, essa hipótese de tratamento de dados é válida para as entidades públicas e privadas.
Dessa forma, dados pessoais podem ser utilizados sem consentimento em pesquisas e desenvolvimento científico, social e econômico como função administrativa do Estado, como as funções do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC)
Nessa hipótese, prevalece o interesse público diante dos resultados dos estudos e pesquisas.
#6 Execução ou preparação contratual
Com relação ao tratamento de dados em função de execução contratual, você deve partir da seguinte ideia:
O contrato faz lei entre as partes, uma vez celebrado deverá ser cumprido na sua integralidade, nas condições em que prevalece a autonomia da vontade.
Partindo disso, se houver necessidade de operação com dados pessoais com o objetivo de cumprimento ou realização dos termos ajustados em contrato, o consentimento do titular pode ser inferido pela expressão de vontade no momento da formalização do contrato.
Assim, torna desnecessária previsão expressa para o tratamento de dados derivado do contrato.
Sintetizando, em regra, a partir do firmamento de contrato entre as partes, é possível inferir o consentimento do tratamento de dados em função da execução e preparação do contrato.
Exemplos da base legal do contrato
Imagine a seguinte situação:
Ao preencher o contrato de uma empresa, você precisa dispor de uma série de dados pessoais necessários à sua formalização, como nome, CPF, entre outros.
Dessa forma, para executar o contrato, a empresa contratada poderá enviar comunicados, notificações, processar pagamentos…
Assim, não será necessário que a parte contratada disponha no contrato uma série de cláusulas sobre a execução desses procedimentos, uma vez que já são esperados pela contratante.
Portanto, ao assinar o contrato, seu consentimento é tácito para os usos dos dados em função da preparação e execução contratual
#7 Exercício regular de direitos
Esta base legal está disposta no art. 7, VI,com ela o tratamento de dados pode ser feito para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem).
A base legal do exercício regular de direitos esclarece que a proteção aos dados pessoais não compromete o direito que as partes têm de produzir provas umas contra as outras, ainda que estas se refiram a dados pessoais do adversário;
Em resumo, significa que não cabe oposição ao tratamento de dados pessoais no contexto dos processos judiciais, administrativos e arbitrais.
Assim, a previsão do tratamento de dados para exercício regular de direito, possui o objetivo de proporcionar o contraditório, a ampla defesa e o devido processo legal.
#8 Proteção da vida e da incolumidade física do titular ou terceiro
O tratamento de dados pode ser autorizado quando for indispensável à proteção da vida ou à segurança física do titular ou de terceiro, ainda que sem o consentimento do titular.
Nesse caso, é necessário tutelar o bem maior da pessoa natural, a vida e a proteção de sua integridade física, os quais encontram fundamento na Constituição Federal, desdobramentos da dignidade da pessoa humana.
#9 Tutela de Saúde do titular
A hipótese de tratamento de dados para a tutela da saúde vale exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Assim, dispensa o consentimento do titular do dado, mas somente em casos de necessidade de tutela da saúde do titular, de terceiro ou da saúde pública.
Destacamos que é a única hipótese de tratamento de dado por agente exclusivo: profissionais de saúde, serviços de saúde ou autoridade sanitária.
Quer uma tabela completa com todas as bases legais da LGPD?
#10 Proteção de crédito
Com o tratamento de dados em função da proteção de crédito, os serviços de sua manutenção e proteção dispensam consentimento, desde que realize negócio jurídico de interesse do titular.
Em outros casos, para controle do crédito, empresas ou pessoas físicas que tratarem de dados pessoais deverão colher autorização para uso, com finalidade clara e expressa sobre este tratamento.
Levando isso em consideração, a LGPD não impede o tratamento de dados hoje fundamentais para a análise de crédito.
Com essa base legal, percebemos que o consentimento continua sendo necessário para as demais situações de tratamento de dados relacionados ao crédito, apenas há a exceção em caso da proteção de crédito
Perguntas Frequentes sobre Bases Legais da LGPD
O que são bases legais da LGPD?
As bases legais da LGPD são os requisitos necessários para o tratamento de dados.
Em outras palavras, as bases legais constituem as hipóteses de tratamento de dados pessoais.
Quais são as bases legais da LGPD?
Consentimento do titular;
Legítimo Interesse;
Cumprimento de obrigação legal ou regulatória;
Uso compartilhado de dados pela administração pública;
Realização de estudos e pesquisas;
Execução ou preparação de contrato;
Exercício de direitos em processo;
Proteção da vida ou da incolumidade física;
Tutela de saúde do titular;
Proteção de crédito
O que é legítimo interesse na LGPD?
De acordo com o art. 7, IX e o art. 10 da LGPD: o legítimo interesse do controlador dos dados poderá basear o tratamento para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador;
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.
Entender as bases legais da LGPD é fundamental para advogados
Vimos neste post os principais pontos relacionados às bases legais da LGPD.
Apresentamos cada uma das bases legais, minuciosamente, para que você domine a LGPD e tenha sucesso em seu compliance.
Além de saber sobre LGPD, um outro ponto para o sucesso do advogado é ter controle sobre sua contagem de prazos processuais.
Com a nossa Calculadora de Prazos, você poderá simular seus prazos com facilidade de acordo com seu período de tempo, o Tribunal escolhido e a legislação (CPC, CPP, CLT e JEC), diminuindo o risco de você perder seu prazo.
Espero que este post tenha contribuído para sua vida profissional.
Se tiver restado qualquer dúvida ou caso tenha alguma crítica conta para a gente nos comentários.
Sua opinião é muito importante para nós.
Gostou? Compartilhe com seus amigos!
Referências Bibliográficas
Manual de implementação da Lei Geral de Proteção de Dados / Coordenadores Luciano Vasconcelos Leite, Christian Karl de Lamboy, Marcelo Henrique Lapolla Aguiar Andrade. – São Paulo, SP: Via Ética, 2019.
SANTOS, R; CARVALHO, A. “Comentários à Lei Geral de Proteção de Dados”. São Paulo: OAB, 2020.
BIONI, Bruno: “Proteção de dados pessoais: a função e os limites do consentimento”. Rio de Janeiro: Forense, 2019.
PEREIRA, Caio Mário da Silva: “Instituições de direito civil”. – 24. cd. – Rio de Janeiro, Editora Forense, 2011.
Texto produzido por Mariana Barros, pesquisadora da Faculdade Nacional de Direito (UFRJ), colaboradora da Legalcloud e integrante do Núcleo de Assessoria Jurídica Popular Luiza Mahin, projeto de pesquisa e extensão da UFRJ.
Bom dia!
Sou Analista de Sistemas de um hospital psiquiátrico, sem fins lucrativos em Anápolis-GO.
Estava preocupado e batendo a cabeça em como montar um treinamento para os colaboradores da instituição.
Havia feito um, mas achei um pouco vago, e, com esse artigo, o treinamento vai ser outro nível.
Passo aqui apenas para deixar meu agradecimento.
Muita paz!
Olá Rogério, tudo bem? Ficamos muito felizes em saber que nosso conteúdo contribuiu no seu trabalho! Obrigado pelo comentário!