Blog da Privally
Notícias e Novidades
Conheça a Privally e descubra a maneira mais rápida e fácil de se adequar à LGPD.
+ Saiba mais
Data Discovery
Incident Response
+ mais
Vendor Risk Management
+ mais
Ethics & Compliance
+ mais
Consentimento Universal
+ mais
Risk Management
+ mais
DSAR - Atendimento aos Pedidos dos Titulares
+ mais
Data Mapping
+ mais
Consentimento de Cookies
+ mais
+ mais
Solucionamos de forma simples problemas globais complexos
solicitar demonstração
Conheça nossos Módulos
Solicite uma demonstração
personalizada para sua empresa
Nós temos a solução em LGPD
Solicite uma Demo
emailSoluções para LGPD
Quem somos
Programa de Parceiros
Blog
Conheça as dez bases legais da LGPD
A Lei Geral de Proteção de Dados (LGPD) estabelece as regras para o tratamento de dados pessoais no Brasil, com direitos para os titulares e obrigações para as pessoas e empresas que fazem uso desses dados. Uma das regras mais importantes é a obrigatoriedade de enquadrar todo tratamento de dados em uma das bases legais previstas na lei.
Aliás, é importante lembrar que qualquer atividade envolvendo um dado pessoal é considerada como tratamento de dados. Isso inclui, por exemplo, a coleta, o uso, o compartilhamento, o armazenamento, a exclusão e mesmo a simples visualização de um dado pessoal.
Qualquer um desses procedimentos deve estar justificado por uma das bases legais da LGPD. Portanto, entender o conceito de base legal e como ele deve ser aplicado pelas empresas é essencial para garantir a conformidade com a lei.
Neste artigo, nós vamos explicar o que são as bases legais da LGPD e detalhar mais cada uma delas.
O que são as bases legais da LGPD
As bases legais da LGPD são as hipóteses em que é permitido tratar dados pessoais. Elas são a justificativa legal das empresas para a coleta e o uso de informações como nome, endereço, e-mail, CPF etc.
As bases legais existem porque uma das premissas da LGPD é que uma empresa não pode tratar um dado pessoal simplesmente porque quer. É preciso que esse tratamento seja justificado, e é a própria lei que determina quais são as justificativas aceitáveis. Ou seja, não é possível criar ou escolher nenhuma outra justificativa: é obrigatório utilizar uma das hipóteses previstas na lei.
Como escolher a base legal mais adequada
A LGPD estabelece dez hipóteses possíveis para o tratamento de dados, todas previstas no Art. 7º da lei. A empresa pode se enquadrar em qualquer uma delas, já que nenhuma base legal é hierarquicamente superior às outras. Porém, é preciso escolher apenas uma para cada tratamento de dados.
Essa escolha depende de uma série de fatores, como a finalidade do tratamento, a área de atuação da empresa e os objetivos do negócio. Determinar qual é a base legal mais adequada exige análise jurídica e uma avaliação de riscos cuidadosa.
Caso a empresa faça um tratamento que não é justificado por nenhuma base legal, ela estará infringindo a LGPD. Isso deixa a corporação suscetível às sanções administrativas previstas na lei, incluindo multa, e a ações judiciais.
Quais são as dez bases legais da LGPD?
Consentimento do titular
Uma das bases legais da LGPD é o consentimento do titular. Ou seja, quando uma pessoa autoriza explicitamente o tratamento de seus dados pessoais para uma finalidade específica. Esta base legal é uma das mais conhecidas e utilizadas pelas empresas, mas exige alguns cuidados.
Isso porque o consentimento deve atender a alguns critérios para ser de fato considerado válido, como ser livre e informado. Também é responsabilidade da empresa comprovar o consentimento, portanto ele deve ser sempre armazenado. Além disso, o titular também pode revogar seu consentimento a qualquer momento.
É importante destacar que o consentimento é uma das opções para justificar o tratamento de dados pessoais, mas não é a única e nem necessariamente a melhor para a empresa.
Cumprimento de obrigação legal ou regulatória pelo controlador
Outra hipótese que justifica o tratamento de dados pessoais é quando eles são necessários para que o controlador cumpra alguma obrigação legal ou regulatória.
Por exemplo, para fins trabalhistas e previdenciários pode ser necessário armazenar dados de colaboradores por períodos que vão de 5 a 30 anos. Já no setor da saúde é obrigatório por lei armazenar prontuários médicos por 20 anos. Nestes casos, as instituições podem utilizar esta base legal para justificar essa atividade de tratamento, independentemente do consentimento do titular.
Execução de políticas públicas pela administração pública
Esta é uma base legal que vale exclusivamente para a administração pública.
Com esta hipótese, a LGPD protege a atuação do poder público caso seja preciso tratar dados pessoais para executar políticas públicas previstas em leis e regulamentos ou que estejam respaldadas em contratos, convênios e outros instrumentos.
É o caso, por exemplo, do uso de dados pessoais para implementar políticas de assistência social, matrículas em escolas e universidades públicas etc.
Realização de estudos por órgão de pesquisa
O tratamento de dados para a realização de estudos por órgão de pesquisa também está protegido por sua própria base legal na LGPD.
Dessa maneira, órgãos como o IBGE podem continuar atuando em pesquisas que envolvam a coleta e análise de dados pessoais, como ocorre no Censo.
O detalhe é que a lei deixa claro que deve-se garantir, sempre que possível, a anonimização dos dados pessoais. Ou seja, usar técnicas para desassociar o dado pessoal de uma pessoa física específica, tornando impossível identificar o indivíduo com base naquela informação.
Execução de contrato, a pedido do titular
Sempre que o titular for parte de um contrato, o controlador pode tratar os dados pessoais do titular para realizar procedimentos preliminares ou para garantir que o contrato seja executado.
Isso vale para todo tipo de contrato, como de compra e venda, locação de imóveis ou prestação de serviços.
Exercício regular de direitos em processos
Esta base legal existe para garantir que a LGPD não seja um impedimento para o exercício de direitos em processos judiciais, administrativos ou arbitrais.
Ou seja, é plenamente legal tratar dados pessoais para exercer seus direitos, incluindo produzir provas e preparar a defesa em processos.
Proteção da vida ou da incolumidade física
A LGPD também previu que pode ser necessário utilizar dados pessoais sem consentimento prévio para proteger a vida ou a integridade física do titular ou de um terceiro.
Isso vale, por exemplo, para situações em que alguém precisa de socorro médico ou policial, mas está impossibilitado de se comunicar ou de apresentar voluntariamente seus dados de identificação.
Tutela da saúde
Esta base legal vale exclusivamente para profissionais de saúde, serviços de saúde ou autoridade sanitária.
Na prática, ela respalda o uso de dados pessoais pelo setor da saúde para procedimentos como consultas, exames, atendimentos hospitalares, campanhas de vacinação etc.
Legítimo interesse
O legítimo interesse é uma base legal muito conhecida e utilizada. Por ser bastante genérica, ela amplia a gama de possibilidades para as empresas.
Basicamente, esta hipótese prevê que é legal tratar dados pessoais para atender aos interesses legítimos do controlador ou de terceiro, desde que o tratamento não atente contra direitos e liberdades fundamentais do titular.
A lei não detalha a fundo quais seriam exatamente as situações válidas para legítimo interesse, mas estabelece alguns critérios em seu Art. 10º.
Este artigo determina que o legítimo interesse só pode fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas. Por exemplo, o apoio e a promoção das atividades do controlador e a prestação de serviços que beneficiem o titular, respeitadas as suas expectativas.
Caso a empresa opte por utilizar o legítimo interesse como base legal para o tratamento de dados, é preciso ficar atento a alguns pontos:
O controlador pode tratar somente os dados estritamente necessários para a finalidade pretendida;
É preciso adotar medidas para garantir a transparência do tratamento de dados baseado no legítimo interesse;
Sempre que o tratamento tiver como base o legítimo interesse, a ANPD (Autoridade Nacional de Proteção de Dados), que é o órgão da administração pública federal responsável por fiscalizar o cumprimento da lei, pode solicitar ao controlador, a qualquer momento, um relatório de impacto à proteção de dados pessoais;
Esta base legal não é válida para o tratamento de dados pessoais sensíveis.
Proteção do crédito
Por fim, a última base legal da LGPD tem como objetivo garantir a atuação de órgãos que atuam na proteção do crédito, como o Serasa.
Essa hipótese permite que dados pessoais sejam utilizados, por exemplo, para consultar informações sobre histórico de crédito e pendências financeiras.
Porém, é preciso ressaltar que essa base legal não necessariamente legitima a venda de dados pessoais dos titulares ou o compartilhamento de absolutamente todas as informações relativas a eles. O Serasa, inclusive, já foi alvo de processo por conta dessas práticas.
Gerencie sua adequação à LGPD com a Privally
A escolha de uma base legal é apenas uma das etapas da adequação à LGPD. O processo de manter-se em conformidade com a lei e fazer a gestão da privacidade na empresa é bem mais amplo e complexo.
Para facilitar a vida dos DPOs e profissionais da proteção de dados, nós criamos uma ferramenta que reúne todas as soluções de privacidade que as empresas precisam. Com o console da Privally, você concentra e gerencia recursos que vão do consentimento de cookies ao mapeamento das atividades de tratamento.
A Privally ressalta que os visitantes não são obrigados a divulgar seus dados pessoais como condição de utilização deste site. Não obstante, caso os destinatários solicitem informações através do [email protected] ou forneçam à Privally seus dados pessoais, eles aceitam que estes serão utilizados com o propósito de atender ao pedido ou requisição submetida pelo destinatário e viabilizar outras informações sobre a Privally que possam ser do interesse do destinatário, bem como reconhecem que estão cedendo seus dados (i.e., nome e e-mail) para estes fins. Não obstante, em nenhum caso, será gerado perfis individualizados a partir dos dados coletados, de forma que o anonimato de cada destinatário será garantido. Por fim, os destinatários têm o direito de consultar os seus Dados Pessoais, corrigi-los, se necessário, e retirar o seu Consentimento para a utilização destes, sendo que o processamento de dados pessoais deve ser limitado ao volume necessário e em conformidade com os objetivos definidos na LGPD.
Institucional
Quem Somos
Soluções em LGPD
Consentimento de Cookies
Data Mapping
DSAR - Atendimento aos Pedidos dos Titulares
Risk Management
Consentimento Universal
Ethics & Compliance
Vendor Risk Management
Incident Response
Data Discovery
Privally na Mídia
Nosso Blog
Programa de Parceiros
Parceiro
Política de Privacidade
+55 11 3626-2521
privally.global [email protected]emailAv. Das Nações Unidas, 8501 | 9º Andar
(entrada pela Rua Ofélia)
05423-110 | Pinheiros | SP | Brasil
location_onAcesse nossas Redes Sociais
Fale Conosco
Case de Sucesso
Timeline
TIVIT
Localização Demonstração