As bases legais da LGPD são um assunto pertinente, neste artigo, vamos focar em todas as 10 bases legais através de um resumo rápido e pontual sobre o seu significado e suas implicações para que você esteja ciente de tudo que pode – ou não – ser realizado no tratamento de dados. Também falaremos de algumas obrigações que você terá enquanto controlador de dados.
As Bases Legais da LGPD
Elas estão em vigor desde agosto de 2020, apesar de terem sido sancionadas em 2018. Foram dois anos para se adaptar às mudanças, e agora é a hora de estar com tudo em prática.
Se você ainda não conhece todas as bases e no que elas implicam, seu negócio pode até mesmo estar praticando atividades ilegais no tratamento de dados sem você saber.
Por isso, você deve ter conhecimento das bases e sustentar suas ações em pelo menos uma delas, sem exceções.
“Mas afinal: quais são todas as bases legais?”
Vamos listá-las a seguir.
1. Consentimento
Esta é a base mais importante para qualquer ação, e todas as outras bases derivam dela.
O usuário deve consentir para que o controlador de um banco de dados acesse algumas de suas informações e as mantenha em um banco de dados.
Porém, consentimento, na prática, não quer dizer apenas clicar em “aceito os termos” e ponto:
Sempre que um controlador de dados for realizar uma ação que trata dados de alguém, independentemente da forma, ele terá que informar o usuário, de maneira clara, sobre:
Por isso, o usuário terá que acessar menus manuais e ler o conteúdo de um possível contrato ou políticas de privacidade para, então, clicar em “li e aceito”. Não vale mais oferecer formulários onde esta opção já vem marcada, ou permitir que o usuário aceite sem navegar por todos os termos descritos.
O consentimento tem que ser fundamentado e o controlador de dados deverá oferecer meios e incentivos para que o consentimento exista de fato, declaradamente.
2. Cumprimento de ação/obrigação legal
Para garantir que a LGPD não entre em conflito com outras leis existentes, o interesse público é preservado acima do privado no que tange ao tratamento de dados.
Uma das principais implicações desta base é que o controlador poderá coletar dados sem o consentimento caso haja uma solicitação por parte de um órgão público ou um integrante do estado em virtude da proteção da lei, da segurança pública ou caso haja a necessidade de se colaborar com investigações federais, e até regionais.
3. Cumprimento de ação/obrigação legal
Além de solicitar que certos dados sejam coletados, o estado também pode demandar o compartilhamento dos mesmos.
Na prática, se o estado precisar solicitar dados de uma empresa privada por causa de investigações, pesquisas e/ou levantamento de dados, o controlador do banco de dados tem o dever de fornecê-los, sem a necessidade de consentimento ativo (sem notificar) por parte do titular.
4. Realização de estudos e de pesquisas[h3]
Esta base, apesar de parecer repetitiva, está descrita para demonstrar que até entidades privadas podem levantar e compartilhar dados sem consentimento em caso de pesquisas para o desenvolvimento científico, social e/ou humano. Isto é possível desde que a pesquisa esteja vinculada a algum órgão público.
5. Legítimo Interesse
Esta base é a mais problemática já que não há uma definição legal e concreta do que é “legítimo interesse”.
Um dos intuitos da base é tentar permitir que ações que beneficiam o titular dos dados possam ser tomadas pelo controlador de dados de maneira não burocrática.
No entanto, é recomendado que busque por consultoria jurídica para usar esta base para sustentar suas ações, pois a análise jurídica desta base será feita de caso em caso, e o resultado da análise pode variar muito dependendo de subjetividades.
6. Execução ou preparação contratual
Um contrato prevê comprometimento das devidas partes em agir de acordo com o descrito e concordado legalmente. Neste processo, por várias vezes, inúmeros dados são disponibilizados por ambas as partes.
Assim, devido a esta base legal, se for necessário tratar dados disponibilizados em um contrato entre as partes envolvidas, não é necessário que se obtenha consentimento para utilizá-los, pois eles já foram concedidos no ato de assinatura.
Além disso, também não é necessário que haja no contrato uma cláusula que descreva a possibilidade do tratamento de dados em casos do gênero, justamente porque eles já estão previstos em lei.
7. Exercício regular de direitos
Dados coletados podem ser utilizados para fins judiciais e arbitrais, mesmo que não descritos em contratos. Seja em julgamentos ou para preparação de provas, os dados concedidos podem ser utilizados.
Porém, não é permitido coletar dados não justificados ou não declarados para estes fins. Os dados já têm que estar armazenados em um banco de dados previamente ao processo.
8. Proteção da vida e da incolumidade física do titular (ou terceiro)
Em casos extremos, compartilhar ou praticar qualquer outra ação de tratamento de dados pode significar preservar vidas. Em casos de ameaças, sequestros, etc.; para proteger a integridade física de alguém, é permitido tratar dados sem consentimento.
Porém, obviamente, é ilegal forçar uma situação deste gênero.
9. Tutela de Saúde do titular
Em caso de grande necessidade, compartilhar dados com profissionais de saúde, serviços de saúde ou autoridade sanitária é permitido, mesmo que sem o consentimento do titular.
Novamente uma base que pretende preservar a saúde, e também acelerar processos burocráticos em hospitais para preservar tempo em situações extremas.
10. Proteção de crédito
Para preservar direitos dos consumidores envolvendo a proteção do direito de, ou posse de, créditos, é possível tratar dados sem consentimento do titular.
Na prática, a ação deve ser tomada estritamente para preservar direitos e beneficiar o titular.
Qualquer outra ação relacionada a créditos – como consulta, por exemplo –, necessitará o consentimento do titular.
Estas são as 10 bases legais que estão vigentes neste exato momento para o tratamento de dados. Se necessário, procure por ajuda especializada para avaliar se as ações de marketing ou qualquer outro processo que envolva os dados dos seus clientes seja justificado por pelo menos uma base legal.