O que são e quais os tipos de bases legais de tratamento de dados pessoais

Atenção! Este artigo é apenas para fins de esclarecimento e não substitui a orientação de um profissional da área jurídica e/ou encarregado de dados (data protection officer ou "DPO").

A Lei Geral de Proteção de Dados (Lei 13.709/2018) tutela os dados de pessoas físicas, com o objetivo de proteger os direitos à liberdade, à privacidade e ao livre desenvolvimento da personalidade. A lei determina que as pessoas naturais ou pessoas jurídicas que farão o tratamento de dados pessoais deverão observar as hipóteses previstas na lei. 

Por dado pessoal, entende-se toda informação relacionada a uma pessoa natural (ou seja, pessoa física) determinada ou determinável, como por exemplo, seu nome e sobrenome, número de documento, e-mail, endereço residencial, telefone de contato, etc.

Já o tratamento de dados pessoais (previsto no art. 5º, inciso X da Lei 13.709/2018) é toda e qualquer operação realizada nos dados de uma pessoa natural, como a coleta, produção, recepção, classificação, utilização, acesso, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim, para que uma pessoa física ou jurídica realize o tratamento de dados pessoais, é necessário observar as hipóteses previstas na Lei Geral de Proteção de Dados, o que chamamos de base legal. É, portanto, a LGPD que determina em quais casos os dados pessoais poderão ser tratados (coletados, armazenados, utilizados e etc).

As bases legais são:

1. Consentimento: o titular dos direitos forneceu consentimento para o tratamento dos seus dados. É imprescindível que o consentimento seja obtido de forma clara e inequívoca para uma finalidade específica e determinada. Por exemplo, ao preencher um formulário online em um site, a pessoa concordou com as políticas de privacidade e termos de uso da empresa, fornecendo autorização para que entrem em contato via telefone e/ou e-mail. As autorizações genéricas e de conteúdo abusivo ou enganoso serão consideradas nulas;
2. Cumprimento de obrigação legal ou regulatória pelo controlador: o controlador é quem toma as decisões referentes ao tratamento de dados pessoais. Por exemplo, uma empresa precisa tratar determinados dados pessoais dos seus colaboradores para cumprir determinações previstas na CLT, como anotação da CPTS e cadastro no e-social. Neste caso, o tratamento dos dados é necessário para garantir o cumprimento da lei trabalhista;
3. Execução de políticas públicas, pela administração pública: dispõe dos casos em que os dados pessoais poderão ser tratados para a execução de políticas públicas previstas em lei e similares, como, por exemplo, implementação de programas de assistência social e de transferência de renda pelo governo;
4. Realização de estudos por órgão de pesquisa: é válida para instituições públicas e privadas que desejam fazer estudos e pesquisas de desenvolvimento científico, social ou econômico, como pesquisas do IBGE ou IPEA;
5. Execução de contrato: ao firmar um contrato que preveja ou necessite do tratamento de dados pessoais, implicitamente as partes concordam com o uso dos dados. Por exemplo, para formalizar um contrato de aluguel, o titular dos dados deverá fornecê-los para a imobiliária;
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral: os dados pessoais poderão ser utilizados na esfera judicial, administrativa ou arbitral, desde que dentro da legalidade, para exercer o direito de acesso à justiça, produção de provas e exercício dos direitos constitucionais do contraditório e da ampla defesa;
7. Proteção da vida ou da incolumidade física do titular ou de terceiros: possibilita o tratamento de dados pessoais quando indispensável para a proteção da vida e da segurança física do titular dos dados. Por exemplo, acessar os documentos de uma pessoa que está acidentada para identificá-la e contatar a família;
8. Para a tutela da saúde: esta possibilidade é aplicável, exclusivamente, em procedimentos realizados por profissionais de saúde, serviços de saúde e autoridade sanitária. Como exemplo, tem-se a comunicação para um paciente sobre o resultado de um exame, ou, ainda, por parte do poder público de campanhas de vacinação;
9. Interesse legítimo do controlador ou de terceiros: por ser mais subjetivo, é necessário analisar o caso concreto. A LGPD no seu artigo 10 dispõe que, entre outras, podem ser consideradas fundamentações legítimas: apoio e promoção de atividades do controlador e a proteção, em relação ao titular, do exercício regular dos seus direitos e a prestação de serviços que lhe sejam benéficos. É importante reforçar que o controlador, ao respaldar o tratamento dos dados no legítimo interesse, deverá justificá-lo, e não poderá invocá-lo quando for caso em que prevaleçam direitos fundamentais que exijam a proteção de dados do titular;
10. Proteção de crédito: é utilizada por órgãos de proteção de crédito (como o Serasa) para incluir consumidores em cadastros positivos e, também, para que as empresas comuniquem os órgãos competentes sobre a existência de dívidas por particulares.

Portanto, para tratar dados pessoais, você precisa se certificar de que está respaldado em algumas das bases legais especificadas acima.