O menu de bases legais da LGPD

A Lei Geral de Proteção de Dados (lei 13.709/18) traz em sua normativa a obrigação da escolha de base legal que justifique as atividades de tratamento de dados pessoais. Ou seja, para que os dados pessoais possam ser tratados aos olhos da legislação em tela faz-se necessário elencar as hipóteses previstas na normativa.

A escolha da base legal da LGPD confere maior clareza em relação ao tratamento dos dados pessoais e segurança jurídica. Contudo, há grandes desafios no que tange o enquadramento adequado das bases legais às atividades realizadas pelos agentes de tratamento. Desta forma, este artigo visa explorar os direcionamentos orientativos para a escolha correta das bases legais, não embarcando a descrição detalhada de todo o menu de bases legais ofertado pela LGPD.

Primeiramente é importante deixar claro que o menu das bases legais não anda sozinho, é preciso observar os acompanhamentos. Brincadeira à parte, a alusão é para se referir que a adequada escolha da base legal da LGPD está relacionada diretamente com atendimentos aos princípios para tratamento de dados pessoais.

Sendo assim, resumimos aqui os princípios elencados no art. 6° da LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não-discriminação e, responsabilização e prestação de contas.

A identificação correta da base legal repercute diretamente no campo dos direitos, deveres e obrigações dos agentes de tratamento dos dados pessoais. Desta forma, cabe diretamente ao controlador de dados a definição da escolha correta e aplicada da base legal relacionada à atividade de tratamento de dados pessoais dos titulares. Assim, não é preciso ir longe para entender que a escolha da base legal pelo controlador afeta diretamente o tratamento realizado pelo operador de dados.

Definido os princípios e quem está no comando da escolha das bases legais, podemos dividir o menu das bases legais de acordo com a natureza dos dados e suas correspondências em:

• Bases legais para tratamento de dados pessoais.

• Bases legais para tratamento de dados pessoais sensíveis.

• Bases legais para tratamentos de dados de crianças e adolescentes. 

Como explicado anteriormente, o presente artigo não irá desdobrar a explicação de cada base legal e sua aplicabilidade e sim, alinhar o que se faz necessário para a escolha das bases legais de acordo com processo e atividade de tratamento dos dados pessoais.

Desde já, trazemos um resumo do leque do menu oferecido no art. 7° da Lei Geral de Proteção de Dados para apreciação:

• Consentimento (art. 7°, I)

• Cumprimento de obrigação legal (art. 7°, II)

• Execução de políticas públicas (art. 7°, III)

• Estudos de órgão de pesquisa (art. 7°, IV)

• Execução de contrato (art. 7°, V)

• Exercício regular de direitos (art. 7°, VI)

• Proteção da vida ou incolumidade física (art. 7°, VII)

• Tutela da saúde (art. 7°, VIII)

• Interesse legítimo (art. 7°, IX)

• Proteção ao crédito (art. 7°, X)

Antes de abordar o passo a passo para escolha no menu de bases legais, algumas pequenas considerações devem ser observadas para eleição das bases legais oferecidas dentro do menu da LGPD.

Importante deixar claro, não existe competição entre as bases legais e nenhuma é mais importante que a outra. Trata-se de rol de hipóteses alternativas que no entendimento doutrinário e da autora deste artigo as bases podem conviver umas com as outras, podendo aplicar mais de uma base legal a depender do propósito da atividade de tratamento.

O âmbito da escolha da base legal deverá estar vinculado a um propósito para realizar tratamento dos dados pessoais. Desta forma, ao modificar o propósito para atividade de tratamento de dados será necessário nova análise da compatibilidade com novo propósito definido.

Por fim, vamos ao passo a passo para escolha da base legal, iniciando-se com o mapeamento correto do fluxo do tratamento dos dados pessoais nos processos empresariais. A estratégia escolhida para construir mapeamento da LGPD depende da estrutura definida na gestão do projeto de adequação e da estrutura organizacional da empresa. O mapeamento ainda pode ser chamado de Roadmap, Roupa de dados, Inventário de dados, Datamapping.

No entanto, é importante que o documento utilizado para levantamento das atividades e processos de tratamento de dados tenha uma visão consolidada e ágil visualizando todos os processos analisados, o propósito do tratamento, tipo de dados envolvidos, compartilhamento interno e externo, armazenamento das informações, sistemas, medidas de segurança e registros envolvidos como critérios mínimos de análise no levantamento do mapeamento. É o que chamamos de mapeamento consolidado das atividades de tratamento de dados pessoais.

Em conjunto com mapeamento faz necessário a análise dos fornecedores envolvidos, a definição dos critérios de riscos de cada processo e plano de ação imediato a ser tomado, chamado de atividade mapeamento consolidado. A tarefa consolidada e integrada é de extrema importância, pois prazos muitos longos de análises e devolutivas podem comprometer todos os avanços da tarefa de mapeamento e plano de adequação da LGPD na organização.

Vale ressaltar, que a conformidade da LGPD não termina tão somente com mapeamento do fluxo dos dados pessoais. Aqui é o começo, a base para adequação e futura consolidação da governança do sistema de proteção dos dados pessoais.

Nesse tocante, a autora do artigo deixa a recomendação de que a escolha da base legal esteja de forma documentada, uma vez que, a escolha de cada uma delas está relacionada a processos e atividade de tratamento de dados diversos, no qual irá produzir efeitos e direitos próprios aos agentes de tratamento. Contudo, vale lembrar, que tal sugestão não é uma obrigação legal trazida pela lei, assim como, não se faz necessário a obrigação de se informar a base legal ao titular dos dados pessoais.

Como se viu, a atividade de escolha e enquadramento das bases legais está recheadas de desafios para os agentes de tratamento, a definição de uma boa estratégia de gestão do projeto de adequação, a unidade de mapeamento consolidado, fundamentado no pilar da conscientização e garantida pela continuidade da governança é um caminho traçado para alcançar a conformidade com a Lei Geral de Proteção de Dados.