Como definir as bases legais na Lei Geral de Proteção de Dados Pessoais

A Lei Geral de Proteção de Dados Pessoais (LGPD) coloca o Brasil em consonância com a tendência mundial de garantias à proteção de dados pessoais e tem o objetivo de garantir aos titulares alguns de seus direitos considerados como fundamentais, como a privacidade e o livre desenvolvimento da personalidade.

A Lei coloca o titular dos dados pessoais (que pode ser qualquer informação que identifique ou que possibilite a identificação de uma pessoa) em foco, dando-lhe maior poder de controle e decisão sobre seus próprios dados, regulamentando como deverá ser realizado o tratamento e quais os direitos e deveres, tanto dos titulares, quanto dos responsáveis pelo tratamento.

Em que pese a lei ter sido sancionada em 2018 e ter entrado em vigor apenas agora, dois anos depois, ainda pairam sobre ela muitas dúvidas quanto a sua interpretação e aplicação. Dentre os vários pontos que ainda causam confusão quanto a sua aplicação é possível destacar a definição de base legal justificadora do tratamento dos dados. Essa é uma questão basilar que deve ser observada e bem implementada para que o tratamento possa ser legítimo e o responsável esteja em compliance com a lei.

A escolha da base legal deve ser feita com base no rol de hipóteses definidas pelo art. 7º da lei, o qual define dez possibilidades que justificam o tratamento, sendo importante ressaltar que essas bases são direcionadas ao tratamento de dados pessoais em geral, ou seja, aqueles que identificam ou possibilitam a identificação de uma pessoa, não abrangendo os dados pessoais sensíveis, definido como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”, os quais têm as bases legais para o tratamento definidas pelo art. 11.

Para a correta escolha da base legal que será utilizada para justificar o tratamento, primeiramente é necessário definir a finalidade para a qual o dado será utilizado, isso porque a base legal será definida de acordo com cada finalidade de tratamento e não para cada dado pessoal coletado. A finalidade é um dos princípios norteadores do tratamento de dados pessoais que deverá respeitar “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.”. Uma vez que um mesmo dado pode ser utilizado para diferentes finalidades, como por exemplo, o nome de alguém (dado pessoal) pode ser utilizado ao mesmo tempo para: i) cadastro; ii) marketing; iii) qualificação em contratos; etc., deverá ser determinada uma base legal específica para cada finalidade com a qual o dado será tratado e no momento em que a finalidade deixar de existir ou ainda se não houver finalidade definida, o tratamento não poderá acontecer.

A correta definição da base legal é importante para que o tratamento seja realizado de acordo com a lei e não cause a empresa problemas posteriores, como no famoso caso da PwC na Grécia, a qual recebeu uma multa de cerca de €150,000 (cento e cinquenta mil euros) por realizar o tratamento de dados pessoais de seus funcionários com a base legal errada, conforme determinava a GDPR (General Data Protection Regulation), que é a lei geral de proteção de dados europeia. Contudo, para além da multa recebida, um dos piores danos sofridos pela empresa foi o reputacional, o que pode acarretar danos ainda maiores a longo prazo. Este é um ótimo exemplo para empresas brasileiras, principalmente as que estão no início de seu processo de adequação, o quão importante é a fase de mapeamento de dados e elaboração de inventário, visto que nessa fase do processo os dados serão distribuídos considerando sua finalidade e posteriormente justificados em umas das dez bases legais permitidas pela lei.

De modo geral, o tratamento de dados pessoais poderá ser justificado em uma das seguintes bases legais:

• i) Cumprimento de Obrigações Legais;
• ii) Execução de Políticas Públicas;
• iii) Estudos por Órgãos de Pesquisa;
• iv) Execução de Contrato e Diligências Pré-Contratuais;
• v) Exercício Regular de Direitos (judicial, administrativo ou arbitral);
• vi) Proteção da Vida;
• vii) Tutela da Saúde;
• viii) Legítimo Interesse do Controlador e/ou Terceiro;
• ix) Proteção ao Crédito; e
• x) Consentimento.

Apesar de na lei o consentimento estar em primeiro, coloquei aqui ao final da lista pois não há ordem de prioridade na escolha, mas principalmente porque há uma grande confusão em se pensar que com a LGPD o consentimento será obrigatório e, na verdade, como já demonstrado, no total existem dez bases legais para a justificativa.

A definição da base legal pode não ser tão simples quanto parece, exemplo claro disso é o caso PwC acima apontado, mas é de extrema importância para que a empresa possa realizar corretamente o tratamento de dados pessoais, que não será considerado apenas com relação a dados de consumidores finais, mas sim a todo e qualquer dado que identifique ou que possibilite a identificação de uma pessoa a partir do tratamento que a empresa realize, dessa forma, procure sempre profissionais qualificados para auxiliar no processo de adequação de sua empresa.

Espero que ajude a entender um pouco melhor a importância da correta definição das bases legais para o tratamento de dados!