A Lei Geral de Proteção de Dados cada vez mais tem conquistado o seu lugar de importância no país conforme o nível de consciência da população aumenta.
Uma vez que os titulares de dados tenham a consciência de buscar a proteção de suas informações, as empresas precisarão, por sua vez, investir em possuir uma estrutura robusta que ofereça essa proteção. Mas e o que as bases legais têm a ver com o assunto?
Sendo a LGPD uma regulamentação criada para fornecer garantias de proteção e privacidade para os usuários de modo que possuam controle sobre o uso, compartilhamento e tratamento de seus dados, é esperado que exista uma estrutura que faça essa lei valer de fato.
As bases legais da Lei Geral de Proteção de Dados são as hipóteses que tornam esse tratamento possível, ou seja, são condições estipuladas pela lei para fazer com que a coleta e o tratamento dos dados sejam feitos da forma correta.
Podemos dizer então, que uma empresa que colete e trate dados pessoais sem uma base legal devidamente adequada, está agindo de forma irregular.
Com o desenvolvimento acelerado da tecnologia e do mundo digitalizado, diversas brechas se criaram possibilitando acesso a informações que até então somente pessoas autorizadas possuíam.
Dessa forma, criou-se uma cultura de terra sem lei onde empresas obtiveram acesso a dados de forma irregular e os utilizaram para obtenção de lucro próprio, sem o consentimento dos titulares destes dados.
Conhecendo as bases legais da Lei Geral de Proteção de Dados (LGPD)
A partir disso, as bases legais da LGPD foram criadas como forma de fornecer uma maior proteção aos titulares de dados.
Ao todo são 10 as bases legais, que são pré-requisitos para o tratamento dos dados pessoais e não dependem uma da outra, permite às empresas optar pelas que mais condizem com sua forma de trabalhar:
- Consentimento do titular;
- Legítimo interesse;
- Cumprimento de obrigação legal ou regulatória;
- Tratamento pela administração pública;
- Realização de estudos e de pesquisa;
- Execução ou preparação contratual;
- Exercício regular de direitos;
- Proteção da vida e da incolumidade física;
- Tutela de saúde do titular;
- Proteção de crédito.
De acordo com o art. 5º, inciso X da LGPD define como tratamento de dados “toda operação realizada com dados pessoais […]”.
E esse tratamento deve ser realizado por um profissional encarregado de dados, mais conhecido como DPO. Depende dele a escolha dos dados que serão utilizados. A partir disso, deve-se escolher quais bases legais serão utilizadas.
Na base legal do consentimento, o tratamento de dados só pode ser feito mediante autorização do titular, proibindo o uso de dados coletados sem o conhecimento do mesmo.
O texto de Felipe Palhares, Luís Prado e Paulo Vidigal lista alguns pontos para auxiliar na escolha da melhor base legal a ser adotada pela empresa:
“(i) é ideal a eleição de uma única base legal para cada tratamento (ainda que, no caso concreto, possa haver certa sobreposição e/ou convivência de bases);
(ii) nenhuma base legal é mais importante ou melhor do que outra. Trata-se de cardápio de hipóteses alternativas, cuja aplicação dependerá do propósito perseguido pela atividade de tratamento, bem como das circunstâncias destacadas anteriormente;
(iii) a rigor, as bases legais requerem que o tratamento seja necessário para o atingimento de determinado propósito (seja, por exemplo, o cumprimento de uma norma ou a execução de um contrato). Assim, se for possível atingir o propósito sem realizar o tratamento, é provável que não se encontre uma base legal para este;
(iv) é recomendável que as bases legais sejam determinadas, de maneira documentada, anteriormente ao tratamento, haja vista que cada uma delas produz uma gama de efeitos próprios, os quais podem demandar ajustes nas atividades e providências a serem previamente endereçadas pelos agentes de tratamento;
(v) não há obrigação legal expressa para que se informe a base legal ao titular de dados pessoais, já que a base legal não é um dos critérios consagrados no art. 9 da LGPD;
(vi) após a definição, a rigor, não se deve trocar de base legal, sob pena de ser verificar que o enquadramento inicial foi feito erroneamente, deflagrando irregularidade da operação até então; e
(vii) em caso de modificação do propósito para tratamento de dados pessoais, será preciso avaliar se é possível sustentar o tratamento na base originalmente definida, o que passa pela análise de compatibilidade do novo propósito com o anterior. (PALHARES, PRADO e VIDIGAL, 2021, p. 149)”.
Por fim, é importante destacar que, de acordo com a LGPD, o controlador de dados só poderá utilizar dados pessoais que possuam fundamento em, pelo menos, uma das 10 bases legais mencionadas aqui. Ou seja, o controlador é obrigado a informar qual base legal ele utiliza em cada tratamento de dados pessoais.
