A Lei Geral de Proteção de Dados Pessoais – LGPD além de proteger os dados da pessoa física, também tem a função de estabelecer limites para o uso deles, e defender os direitos atrelados aos titulares de dados.
Para isso a lei precisou deixar claras as hipóteses em que haveria o uso dos dados pessoais, de modo que a proteção dos direitos não fosse fatal para o desenvolvimento dos modelos de negócio. Desse modo foram criadas bases legais, sendo essas bases pré-requisitos para o tratamento dos dados pessoais.
Deve se destacar que a “base legal nada mais é do que um motivo justo e lícito, aos olhos da legislação para que os dados pessoais possam ser tratados” (PALHARES, PRADO e VIDIGAL, 2021, p. 144)
Nesse sentido, a lei trouxe em seu art. 7º, 10 hipóteses para que pudessem ser realizados tratamentos com os esses dados:
i) o consentimento;
ii) legítimo interesse;
iii) cumprimento de obrigação legal ou regulatória;
iv) tratamento realizado pela administração pública;
v) Realização de estudos e pesquisa;
vi) execução ou preparação contratual;
vii) exercício regular de direitos;
viii) proteção da vida e da incolumidade física.
ix) tutela de saúde do titular e proteção de crédito e
x) proteção de crédito.1
Antes de entender as bases legais que regem a proteção de dados pessoais, é necessário definir o que é o tratamento de dados e os agentes responsáveis por sua realização, para então entender o porquê de a lei apontar hipóteses para que ele ocorra.
O art. 5º, inciso X da LGPD define como tratamento “toda operação realizada com dados pessoais [...]”. Sendo que o agente que realiza esse tratamento é chamado de:
(i) controlador: quando a este competir as decisões sobre o tratamento;
(ii) Operador: quando para realizar o tratamento agir em interesse do controlador e sob sua supervisão e
(iii) encarregado: pessoa indicada pelo controlador para realizar a ponte entre o titular de dados, o próprio controlador e a Autoridade Nacional de Proteção de Dados (ANPD).
Os agentes devem sempre observar as hipóteses de bases legais, tendo estas como resguardo e também como condição para realizar qualquer tratamento que envolva dados de pessoas físicas.
Assim, cabe ao controlador ter clareza quanto à escolha da base de dados que irá utilizar, devendo este considerar um bom primeiro-passo a observância dos princípios do Art. 6º da LGPD.2
Das hipóteses a serem utilizadas, a primeira a ser considerada pelo legislador ao criar a lei, e que às vezes pode até mesmo ser confundida como “única” ou “soberana” é o consentimento do titular. Sobre esse entendimento, dispõe Bioni:
É interessante notar que, na primeira versão do anteprojeto de lei colocada sob consulta pública em 2010, o consentimento era, em termos topográficos, a única base legal para o tratamento de dados pessoais. Isso se repetiu na segunda consulta pública em 2015, quando o que hoje são as demais bases legais da LGPD eram hipóteses nas quais o consentimento poderia ser dispensado. Após tais consultas públicas, o texto enviado ao Congresso Nacional, que depois veio a ser aprovado e sancionado, acabou por posicionar o consentimento como sendo uma das hipóteses legais e não na cabeça do dispositivo. Isso significa que, em termos de técnica legislativa, o consentimento não só deixou de ser a única base legal para o tratamento de dados, como também foi alocado topograficamente sem ser hierarquicamente superior às demais bases legais por estarem todos elas horizontalmente elencadas em incisos do art. 7º da LGPD. (BIONI, Bruno. 2019, p.188)
Dessa maneira, entende-se o motivo pelo qual acreditava-se que somente poderia ser realizado o tratamento de dados pessoais mediante o consentimento do titular destes. Apesar dessa ideia de que o consentimento seria a base prevalecente entre as outras taxadas no art. 7º, todas as bases legais têm a mesma hierarquia.3
A Lei Geral de Proteção de Dados define o consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (Art. 5º, XII). Nessa base legal, só pode haver o tratamento de dados mediante o prévio consentimento do titular, sendo ilegítimo qualquer tratamento cuja o consentimento for generalizado ou então que não foi obtido por manifestação livre do titular.
Essa base legal traz a ideia de que sob nenhuma hipótese pode-se haver o uso dos dados de uma pessoa natural sem que esta seja informada e anua com isso. Porém a lei apresenta outras bases pelas quais o agente de tratamento pode se resguardar ao realizar qualquer tipo de ação que envolva o uso de dados pessoais. Conforme discorre Bruno Bioni (2019, p.191):
“(...) apenas com uma informação adequada o cidadão estará capacitado para controlar seus dados”.
Em contrapartida à base legal do consentimento, tem-se outras bases legais que asseguram o uso dos dados pessoais, sem a necessidade de anuência do titular deles. Porém, mesmo sem a obrigatoriedade do consentimento, os agentes de tratamento ainda precisam observar e seguir, não somente os fundamentos previstos em lei, como também os princípios da LGPD.4
Uma dessas hipóteses que não necessita de prévio consentimento do titular é a de uso de dados pessoais para o exercício regular de direitos em processo judicial. Não faria sentido ter que pedir autorização prévia do titular para poder abrir um inquérito e apurar um possível crime, ou infração. (Art. 7 º, VI)
Em contrapartida o titular ainda tem seus direitos resguardados no caso da aplicação dessa e de outras bases legais, podendo exigir alguma correção de informação inverídica ou desatualizada, ou até mesmo a exclusão da informação.
A LGPD tem em seu escopo bases legais mais gerais, como a do consentimento e do legítimo interesse, que podem ser usadas tanto por pessoais naturais, quanto jurídicas de direito privado ou público, como também tem hipóteses específicas, que só podem ser usadas por agentes de tratamento do poder público. Como a base legal de tratamento realizado pela administração pública.
Cabe ao controlador de dados se atentar a qual base legal se encaixa melhor no tratamento a ser realizado e garantir que todos os direitos fundamentais do titular estão sendo respeitados, a fim de evitar quaisquer consequências jurídicas e sanções pela Autoridade Nacional de Proteção de Dados (ANPD).
Assim, é necessário, antes de decidir qual hipótese autorizadora do tratamento de dados pessoais o controlador irá aderir ao seu tratamento, a observância de alguns pontos listados por Felipe Palhares, Luís Prado e Paulo Vidigal, em seu texto, que podem auxiliar na definição da melhor base legal a ser adotada:
(i) é ideal a eleição de uma única base legal para cada tratamento (ainda que, no caso concreto, possa haver certa sobreposição e/ou convivência de bases);
(ii) nenhuma base legal é mais importante ou melhor do que outra. Trata-se de cardápio de hipóteses alternativas, cuja aplicação dependerá do propósito perseguido pela atividade de tratamento, bem como das circunstâncias destacadas anteriormente;
(iii) a rigor, as bases legais requerem que o tratamento seja necessário para o atingimento de determinado propósito (seja, por exemplo, o cumprimento de uma norma ou a execução de um contrato). Assim, se for possível atingir o propósito sem realizar o tratamento, é provável que não se encontre uma base legal para este;
(iv) é recomendável que as bases legais sejam determinadas, de maneira documentada, anteriormente ao tratamento, haja vista que cada uma delas produz uma gama de efeitos próprios, os quais podem demandar ajustes nas atividades e providências a serem previamente endereçadas pelos agentes de tratamento;
(v) não há obrigação legal expressa para que se informe a base legal ao titular de dados pessoais, já que a base legal não é um dos critérios consagrados no art. 9 da LGPD;
(vi) após a definição, a rigor, não se deve trocar de base legal, sob pena de ser verificar que o enquadramento inicial foi feito erroneamente, deflagrando irregularidade da operação até então; e
(vii) em caso de modificação do propósito para tratamento de dados pessoais, será preciso avaliar se é possível sustentar o tratamento na base originalmente definida, o que passa pela análise de compatibilidade do novo propósito com o anterior. (PALHARES, PRADO e VIDIGAL, 2021, p. 149)
Por fim, entende-se o ponto de definição das bases e a importância do correto enquadramento destas no tratamento de dados, bem como a relevância que a definição de bases legais teve para a proteção dados e para manter um equilíbrio entre essa proteção e a garantia de que o mercado não seria bruscamente afetado pela lei.
_____________
1 BRASIL. Lei 13.709, 2018
2 Palhares, Prado e Vidigal, 2021, p. 145
3 BIONI, 2019, p.188
4 PALHARES, PRADO e VIDIGAL, 2021, p. 145