Complementando a série de artigos sobre a Lei Geral de Proteção de Dados (LGPD), iremos tratar sobre as 10 bases legais para o tratamento de dados pessoais, que autorizam o Controlador a utilizar os dados de uma pessoa física. São eles:
Consentimento
O consentimento é uma base, em que o titular do dado demonstra, por meio de contrato, que está ciente de como seus dados serão coletados e utilizados pelo controlador. Após a clara exposição do descritivo informando a finalidade da coleta, os dados poderão ser coletados e tratados pelo controlador. A Lei traz também a autoridade ao titular sobre revogar o consentimento ou solicitar a exclusão, a qualquer momento.
Cumprimento de Obrigação Legal ou Regulatória do Controlador
O cumprimento se enquadra quando uma lei anterior ou nova, aprovada pelo Governo, autoriza a coleta de dados pessoais para que seus requisitos sejam cumpridos. Utilizamos como exemplo, as leis trabalhistas que exigem que os dados de funcionários sejam armazenados por um período que varia de 5 a 20 anos, de acordo com o documento – (Portaria SPREV nº 211/2019).
Execução de Políticas Públicas
O Poder Público (Executivo, Legislativo – incluindo as Cortes de Contas, do Judiciário e do Ministério Público) poderá coletar dados pessoais, desde que os mesmos sejam utilizados para atender a finalidades específicas e claras de políticas públicas (por exemplo, Vacinação, Segurança, Investigações etc.) e sempre aplicadas sob previsão legal, contendo as finalidades e as práticas que serão efetivadas para a execução da atividade proposta e, de preferência, divulgadas em seus sites. (Artigo 7º)
Estudos por Órgãos de Pesquisa
Órgãos de Pesquisas (IPEA, IBGE, Embrapa etc.) são permitidas pela Lei de coletar dados pessoais, utilizando sempre que possível, técnicas de anonimização ou pseudonimização de dados sensíveis. Esses dados somente podem ser tratados exclusivamente dentro dos órgãos e estritamente para a finalidade de realização de estudos e pesquisa no qual deva garantir a segurança da informação. (Artigo 7º e 13º)
Execução de Contrato / Diligências Pré contratuais
Caso um contrato seja executado e o titular do dado esteja relacionado a sua execução (faz parte do contrato), e de acordo com o solicitado (o titular solicitou), o uso do dado também é permitido. Por exemplo, um contrato de aluguel de um imóvel no qual o titular queira alugar.
Exercício Regular de Direitos
No ambiente jurídico, o exercício regular de direito é definido pela realização de ações de acordo com a legalidade de um ponto de vista objetivo. Traduzindo, se um boxeador bate no seu oponente em um ringue, ele não responderá por lesão corporal. Ou, se um médico, em uma cirurgia, fizer um corte em paciente para realização de uma operação, ele também não responderá criminalmente por lesão corporal. Mas, se o boxeador continuar batendo, mesmo após o término do evento esportivo ou o médico realizar cortes desnecessários à cirurgia, eles serão criminalizados. Na LGPD não é diferente, se um agente dentro de suas funções legais coletar dados pessoais para fins do exercício de sua função (por exemplo um policial que aborda uma pessoa na rua e pede seus dados) ele está autorizado pela Lei, desde que não abuse de seu poder e o utilize para outros fins (exemplo quebra de sigilo bancário ou telefônico sem autorização).
Proteção da Vida
A coleta de dados é permitida no caso em que seja necessário para a proteção da vida do titular. Podemos exemplificar como uma pessoa que sofre um acidente e é encaminhada para um hospital. O Hospital colherá seus dados pessoais para avisar aos seus familiares, em busca de um histórico médico.
Tutela da Saúde
Permissão exclusiva para profissionais de saúde, serviço de saúde ou autoridade sanitária na realização de suas atividades, um exemplo é o controle de um posto de saúde para a campanha de vacinação.
Interesses Legítimos do Controlador / Terceiro
É permitido o uso de dados quando o titular dos dados solicita um serviço que o beneficie, desde que respeite as expectativas do titular na prestação do serviço, por exemplo, o titular solicita ao banco para abrir uma conta e o banco informa que para abrir a conta deverá informar seus dados pessoais.
Proteção ao Crédito
É permitido que uma empresa no qual o titular possui pendências de pagamento, disponibilizar sem a sua permissão os dados pessoais para os Órgãos de Proteção ao Crédito. O titular não poderá, neste caso, pedir sua exclusão. Caso uma pessoa compre algo, e fique inadimplente, a empresa poderá protestar seu nome no SPC/Serasa, por exemplo.
Diante deste novo cenário, muitas empresas terão que rever os seus processos e se adequar às exigências e direitos que a LGPD propõe na proteção de dados. A Central IT, tem uma equipe especializada, que irá apresentar a Lei através de um Workshop gratuito, que ajudará com as dúvidas de sua empresa. Entre em contato conosco e agende uma visita.
Autor: Fernando M. Dadamos
Analista de Governança e Especialista LGPD/GDPR