O começo de tudo são as chamadas “Bases Legais da LGPD”, ou seja, os motivos e as razões pelas quais as empresas não só podem, como devem ter acesso aos dados dos titulares para bem executarem as suas funções.

Sim, é possível pensarmos que o legitimo interesse da prestação de serviço, ou venda de produtos já seriam um motivo nobre. Como também, a força de contratos ou legislações paralelas que nos obrigam a ter acesso a tais informações para bem executá-los e, de fato o são.

Justamente por isso que a LGPD nos trás 10 Bases Legais, ou seja, 10 motivos que legitimam uso dos dados pessoais tentando enquadrar os mais variados motivos e hipóteses para o uso dos dados. Elas são a base estrutural que sustenta o uso de dados, sem que esta mesma legislação sirva também de subterfúgio para driblar outras normativas tão ou igualmente essenciais.

Seu papel como gestor, ou encarregado dos dados da empresa é de encontrar – dentre estas 10, a que melhor se adeque ao seu modelo de negócio e legislação própria. Isso vale para todos as eventuais etapas do dado dentro da sua empresa/processo, tais como:

• Coleta,

• Armazenamento,

• Tratamento,

• Transferência,

• Compartilhamento dos dados pessoais.

Lembre-se estamos falando de privacidade e dados que não só identificam o cidadão, como o qualificam em suas matrizes de comportamento e demografia.

Segundo a LGPD, dados pessoais sensíveis são:

Origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

A coleta de dados como Nome, RG, CPF e Gênero, independente da etapas de coleta, deve sempre respeitar os princípios de Finalidade e Transparência.

São elas:

1. Consentimento do Titular.

2. Legítimo Interesse.

3. Obrigação Legal.

4. Cumprimento de Políticas Públicas.

5. Órgãos de Pesquisa.

6. Execução de Contratos.

7. Exercício de Direitos.

8. Proteção à Vida.

9. Tutela da Saúde.

10. Proteção ao Crédito.

Antes de aprofundarmos cada uma das Bases Legais, eu gostaria de separá-las em 2 grandes grupos. Isolando as 2 primeiras: Consentimento e Legítimo Interesse. Pois, apesar de serem as mais populares elas pedem cuidados adicionais no seu uso. Enquanto as 8 demais, são mais “claras e seguras” em uma perspectiva jurídica, que legitima o seu enquadramento na sua empresa.

Abaixo então o detalhamento de cada uma delas, para te ajudar nesta compreensão e no porquê desta divisão entre elas.

Esta talvez seja a Base Legal mais popularmente conhecida em todo o mercado. Pois, já são muitos os sites que usam dela para se adequarem à LGPD, quando exibem aquele aviso tão conhecido por aí: “Este site usa de cookies...” Pois bem, seja no ambiente virtual ou off-line, o consentimento é uma maneira muito ágil de se conseguir a autorização dos titulares para podermos acessar os seus dados, e executarmos os nossos serviços.

Contudo, vale destacar que a Lei especifica que o consentimento deve ser: por escrito, ou por meio que demonstre a manifestação inequívoca da vontade do titular. Logo, quando o cidadão se deparar com uma ocasião que peça o seu consentimento este deve ter clareza, facilidade, e liberdade de fazê-lo de maneira autônoma.

Exatamente aqui está um destaque que difere esta base legal das demais.

A mesma facilidade com que o titular pode autorizar o uso dos seus dados, está para a revogação desta autorização. Assim, preza-se que a coleta do consentimento, ou opt-in (na linguagem do mercado) seja ágil e fácil, para ambos os lados. Bem como a revogação, ou opt-out. Pois, espera-se que o consentimento não gere atrito na relação comercial. Uma prática bastante aconselhada pelos advogados é que, como empresário, você não se apoie apenas nesta modalidade para legitimar o seu uso de dados. Pois, ela tende a ser frágil se olharmos apenas para a interação entre cliente e empresa.

Justamente por isso que a AdOpt preza tanto pela agilidade, rapidez e identificação da sua comunicação, com a identidade visual da empresa em questão. Quando estudamos a GDPR e seus impactos na vida dos grandes Publishers (portais de notícias e conteúdo) vimos que um dos maiores impactos daqueles avisos imensos e feios, que parecem que foi o departamento jurídico que desenhou no Word, é o “bounce rate” ou a chamada taxa de rejeição. Uma métrica de Marketing Digital e UX que demonstra o % de visitantes do seu site que assim que o acessam, já pulam fora por algum motivo qualquer.

Imagine você na sua loja vendo os clientes entrarem e saírem e questão de minutos. Sem se apresentarem, perguntarem por um produto, ou interagirem com um vendedor.

Essa é a analogia do mundo off-line para essa métrica. Então, pense bem no aviso de cookies que você irá colocar no seu site. Ele pode agir como uma barreira gigante para os seus clientes.

Por fim, entenda que o uso do consentimento nos ambientes on e off-line devem ser integrados às demais etapas de uso e tratamento dos dados dentro da sua empresa. Logo, busque sempre desenhar o mapeamento dos dados dentro da sua empresa para que você não realize uma etapa sem a segurança de que a outra está devidamente atrelada a esta.

Esta é a 2ª. Base Legal mais popular e talvez a mais propagada pois, para muitos, serve de tábua de salvação ou carta na manga caso não consigam enquadrar-se nas demais. Isso não faz dela menos importante ou ilegítima. Apenas, é preciso destacar que o chamado “Legítimo Interesse” é um tanto subjetivo quando nos colocamos diante das partes: Titular e Operador ou Controlador dos Dados. Afinal, o interesse comercial pode falar mais alto. Mas, não necessariamente irá configurar um interesse legítimo para o uso de tal dado.

Por que? Pois, este pode ferir algum direito individual do titular ou até mesmo outra disposição expressa na LGPD. O art. 10 da LGPD determina que o legítimo interesse do controlador somente poderá servir de fundamento ao tratamento de dados pessoais, para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: 1) apoio e promoção de atividades do controlador e; 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

Portanto, é importante que o uso de dados esteja legitimamente justificado para a prestação do serviço ou venda do produto, sem nenhuma brecha que enfraqueça esta base legal perante outras legislações vigentes.

Como a LGPD é uma lei bastante recente. Não faltam outras leis que obriguem às empresas, por exemplo, a coletarem, tratarem e compartilharem dados pessoais de cidadãos para outras finalidades anteriores. Assim, caso seu modelo de negócio, atividade ou processo tenha alguma legislação vigente que te obrigue à essa atividade, esta legislação já seria o melhor motivo/hipótese para manipular estes dados pessoais.

Um exemplo seriam os dados pessoais que as empresas devem coletar dos seus funcionários ao Ministério do Trabalho, Previdência Social, etc. Assim, os titulares – e neste caso também colaboradores, não poderiam opor-se a este compartilhamento por motivos de obrigação legal a ser cumprida pela empresa contratante.

Esse talvez seja um dos maiores ganhos que a LGPD deu aos titulares de dados, a todos nós cidadãos, a cada CPF deste país. Os governos também deverão se enquadrar na LGPD. Fazendo então desta uma das maiores – se não a maior, Bases Legal da LGPD.

Hoje o Governo uma das instituições que mais se beneficia dos dados de seus cidadãos, até mesmo de maneira comercial, também deverá andar na linha, mesmo nas suas inúmeras instâncias.

Segundo o paragrafo III do art. 7º da LGPD, órgãos da administração pública precisam se adequar e cumprir a lei ao tratarem e compartilharem dados pessoais para execução de politicas públicas ou respaldadas em contratos, convênios ou instrumentos congêneres, sem a necessidade de consentimento dos titulares.

Por mais que não haja a necessidade de consentimento, ainda assim os titulares têm o direito ao acesso claro e inequívoco das finalidades e processos envolvidos com cada um dos seus respectivos dados. Um último destaque, contudo, é que a administração pública não é passível de penalidade com multas. Mas, está sujeita a advertências, publicação da infração, e porque não, bloqueios ou até mesmo eliminação dos dados.

A pesquisa e o desenvolvimento científico também têm acesso autorizado pela LGPD aos dados pessoais, pela finalidade dos seus estudos. Recomenda-se contudo, que sejam sempre anonimizados, afim de garantir a privacidade dos titulares evitando assim possíveis vazamentos. Com isso, não só a amostra da população entrevistada pela pesquisa tem sua identidade protegida, com os pesquisadores também ficam mais tranquilos quanto a segurança dos seus métodos científicos.

Uma vez celebrado um contrato as partes têm suas obrigações e direitos ali estabelecidos pelo objeto em questão. Assim, uma vez tendo um dos titulares como integrante direto do contrato, esta será a base legal para o uso dos dados de maneira apropriada.

Neste caso o próprio titular é quem cede os seus dados e legitima a Base Legal, por fazer parte do contrato celebrado. Neste momento é uma situação bastante semelhante à do consentimento, contudo, a revogação por parte do titular não é tão simples, uma vez que o contrato também tem sua força de vigência e suas amarrações legais de outras legislações eventualmente envolvidas no acordo.

Outra finalidade legal para uso de dados pessoais, à escolha do controlador, é a de exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

Esta Base Legal tem como intuito garantir o direito de produção de provas de uma parte contra a outra em processos judiciais. Permitindo assim que uma das partes não obstrua a outra ao acesso e tratamento dos dados, como mecanismo de defesa durante o processo.

O uso dos dados também tem a proteção e outorga de lei, em casos de proteção à vida ou integridade física dos titulares, ou de terceiros.

Com base no artigo 11 da LGPD, II, os dados sensíveis dos titulares poderão ser tratados sem o fornecimento do consentimento do titular caso sejam indispensáveis para a proteção da vida ou a chamada incolumidade física destes, ou de terceiros.

Como exemplo imaginem o trabalho de socorristas que dão entrada de pessoas inconscientes em casos de emergências. Uma vez identificado o cidadão e até mesmo o prontuário médico em alguma rede médica e hospitalar, tais informações poderão ser compartilhadas entre os médicos pelo bem da pessoa, sem o seu consentimento.

Assim como no item anterior, a LGPD também fornece uma base legal que autoriza o acesso e tratamento dos dados para a tutela da saúde, desde que realizada por profissional de saúde, serviços de saúde ou autoridade sanitária.

Essa base legal tende a ser bastante discutida e posta à prova, principalmente pelo interesse das informações que podem ser utilizadas em caráter público e comercial. Contudo, a legislação destaca que o compartilhamento dos dados não pode ser feito para prejudicar o titular ou, obter vantagem econômica sobre este.

Como assim? Imagine um cenário onde o acesso a alguma informação de saúde do titular, automaticamente reajuste o seu plano de saúde, por exemplo. Este é um exemplo categoricamente vetado pela LGPD. Ou seja, é vetado às operadoras dos planos de saúde o uso destes dados para seleção de riscos ou acepção de clientes.

A 10ª. e última base legal tem por finalidade garantir que em situações de cobrança ou dívidas contraídas, os titulares não usem os mecanismos da LGPD como brecha para escaparem de suas obrigações financeiras.

Um exemplo, seria que o titular solicitasse à instituição financeira credora a exclusão dos seus dados de sua base de dados, ou até mesmo de órgãos como Boa Vista e Serasa, driblando assim a cobrança.

Esta também tende a ser uma Base Legal bastante discutida dadas as proporções polêmicas que o contexto é envolvido.

Por fim, espero ter deixado claro a você leitor – ainda que brevemente, as 10 Bases Legais para que você possa realizar o tratamento de dados, dentro das diretrizes da Lei. Tendo isto em mão, é seguro que possamos avançar para águas mais profundas, discutindo então os próximos passos que servirão de base para o seu caminho de adequação.

Um próximo capítulo pra você continuar nesta compreensão, será: Qual a política de privacidade ideal para a sua empresa?