Dentre as novas diretrizes trazidas pela Lei Geral de Proteção de Dados (Lei n° 13.709/2018), destaca-se a obrigatoriedade de os Controladores[1] só poderem tratar Dados Pessoais se houver uma Base Legal que dê lastro a sua atuação.

Entenda-se Base Legal como sendo o fundamento jurídico, acostado expressamente na LGPD (arts. 7° e 11) em ROL TAXATIVO, que autoriza os Agentes de Tratamento (Controlador e Operador[2]) tratarem Dados Pessoais de pessoas naturais no território brasileiro para fins de: (i) ofertarem produtos e/ou serviços; ou, (ii) tratarem dados de indivíduos que aqui se localizam.

Simplificando, se os Agentes de Tratamento, mormente o Controlador, não enquadrarem o tratamento dos Dados Pessoais que estão custodiando em uma ou mais das 11 (onze) Bases Legais trazidas pela LGPD, agirão em DESCONFORMIDADE com a legislação e, logicamente, poderão ser sancionados pela ANPD, Titulares e demais Órgão de Controle.

Resumidamente, são estas as Bases Legais albergas pela Lei:

Importante frisar que o rol das Bases Legais destoa se estivermos falando de tratamento de Dados Pessoais Comuns ou Sensíveis, pois para esta segunda espécie, as possibilidades são mais restritas, uma vez que o art. 11 da LGPD não faz qualquer referência a CONTRATOS e seus procedimentos preliminares; ao LEGÍTIMO INTERESSE; e, para a PROTEÇÃO DE CRÉDITO. Logo, em se tratando de Dados Pessoais Sensíveis teremos, apenas, 08 (oito) Bases Legais capazes de justificar o respectivo tratamento pelos Agentes.

Merece ressalvar ainda que, algumas dessas Bases Legais possuem especificidades, como por exemplo:

• Tutela à Saúde – só pode ser utilizada por profissionais da saúde e Instituições/Órgãos que possuírem tal escopo como objeto principal de sua atividade fim;

• Políticas Públicas – só pode ser utilizada pela Administração Pública Direta (pois esta, sem sombra de dúvida, realiza finalidade pública); pela Administração Indireta, desde que esteja exercendo atividade pública ou a esta equiparada por, por exemplo, descentralização; por Entes Privados que estejam exercendo atividade delegada do Poder Público de modo legítimo e pactuado;

• Legítimo Interesse – para utilização desta base recomenda-se a realização de um Relatório Prévio de Impacto sobre Dados Pessoais para verificar se realmente é a Base Legal apropriada ao caso em concreto e se sua utilização não poderá ocasionar riscos acima dos aceitáveis aos direitos fundamentais de liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoa natural.

Crucial conhecer também que, o Consentimento, demanda cuidados especiais, mormente em face dos direitos dos Titulares (arts. 18 até 23 da LGPD) e se houver mudança da finalidade determinada para a qual ele foi originalmente coletado no curso do período de retenção.

Notem, portanto, que, os operadores (Controladores, Operadores, DPO, Advogados, Privacy Chapions...) devem ter a preocupação de analisarem muito bem o inventário de Dados Pessoais que lhes for posto para verificarem se há uma Base Legal que justifica a realização do tratamento e qual ou quais esta seria. Além disso, devem, periodicamente, realizar um overview dos inventários custodiados para verificarem se o nexo causal entre os Dados Pessoais coletados e as Bases Legais estipuladas continua atualizado, pois estas não são estanques e, logicamente, podem sofrer alterações periodicamente.

[1] Art. 5° (...) VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; (...)

[2] Art. 5° (...) VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; (...)

Fonte da Imagem: Negócio foto criado por rawpixel.com - br.freepik.com