O tratamento de dados pessoais deve estar fundamentado em uma das hipóteses legais previstas no artigo 7º da Lei Geral de Proteção de Dados (LGPD) para poder ser implementado. A base legal do tratamento é, de certa forma, a justificativa para a própria existência do tratamento de dados. E, a escolha da base legal impactará diretamente as condições para a execução do processamento de dados e dos direitos dos seus titulares.
Assim, estabelecer desde o início qual será a base legal para o tratamento de dados do seu projeto permitirá integrar melhor as funções necessárias para o processamento de acordo com à LGPD e respeitando os direitos individuais dos titulares.
Hipóteses legais previstas pela LGPD
No contexto de um desenvolvimento por uma organização privada (empresas, associações, etc.), as hipóteses legais mais usadas são:
– Contrato: o tratamento é necessário para a execução ou a elaboração de um contrato entre o titular de dados e a organização que implementa o tratamento.
– Interesse Legítimo: o organismo que realiza o tratamento busca um interesse “legítimo” ao implementar o tratamento, não sendo permitido que esse interesse afete ou suprima os direitos e liberdades dos titulares.
Veja também: Blog Solere: A LGPD e o interesse legítimo para tratamento de dados
– Consentimento: o titular dos dados pessoais fornece o consentimento expressamente para o tratamento.
Por sua vez, no âmbito público, seja por órgão público ou daquele que exerce atividades de interesse público, a Lei prevê outras hipóteses como:
– Obrigação legal ou regulatória: o tratamento de dados é imposto por lei.
– Para execução de políticas públicas: o tratamento de dados é necessário para a execução de uma atividade de interesse público.
A LGPD ainda estabelece a possibilidade de tratamento de dados pessoais para casos específicos como para salvaguardar a vida ou a incolumidade física do titular de dados ou terceiros.
Escolha a base legal adequada
Para cada finalidade do tratamento de dados, uma base legal deve ser escolhida, sendo vedada a possibilidade de cumulação. Caso um mesmo tratamento tenha diversas finalidades, ou seja, vários objetivos, deve-se definir, então, uma base legal para cada um deles.
Na hipótese de ser um órgão público ou privado que exerça atividade de interesse público, a obrigação legal e o interesse públicos prevalecerão sobre as demais finalidades. Já se o tratamento fizer parte de uma relação contratual, cuja finalidade é objetiva e estritamente necessária para a prestação do serviço ao usuário (por exemplo, nome, sobrenome e endereço para criar uma conta em um site de e-commerce), então, a base legal apropriada será a contratual.
Veja também: Blog Solere: A LGPD e a responsabilidade dos agentes com os dados pessoais
Agora, se o tratamento de dados não se enquadrar numa relação contratual com o usuário, então, ele deverá ter como fundamento jurídico o consentimento ou o interesse legítimo. E, caso o tratamento seja potencialmente invasivo (criação de perfil, coleta de dados de geolocalização, etc.), provavelmente, o consentimento será a base legal mais apropriada.
Por fim, quando o tratamento envolver dados pessoais classificados como sensíveis (dados de saúde, dados relacionados à vida ou orientação sexual, etc), será necessário enquadrá-lo numa das exceções previstas no artigo 11 da LGPD, além da base legal.
Caso específico dos cookies e outras ferramentas de rastreio
O Brasil ainda não possui regulamentação própria sobre o tema, por tal razão, utiliza-se como referência a diretiva europeia de ePrivacy. Ela exige o consentimento do usuário antes de qualquer ação para armazenar informações – por meio de cookies, identificadores ou outros rastreadores (impressões digitais de software, pixels) ou para acessar informações armazenadas no equipamento terminal do utilizador.
Contudo, o requisito do consentimento prévio do usuário é excetuado quando os cookies têm o objetivo exclusivo de permitir ou de facilitar a comunicação por meios eletrônicos ou são estritamente necessários para a prestação de um serviço solicitado pelo usuário.
Veja também: Blog Solere: A LGPD e o princípio da limitação de finalidade de dados
Ressalta-se que o fato de usar um único rastreador para múltiplas finalidades não o isenta de obter o consentimento para cada um dos fins que o exijam.
Em conclusão, este texto procura tratar sobre as hipóteses envolvendo a base legal para um tratamento de dados de acordo com as normas da LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: iStock