Conheça as bases legais da LGPD, seus princípios e como ela afeta o Compliance

Desde agosto, a Lei Geral de Proteção de Dados Pessoais entrou em vigência no Brasil. O objetivo da nova legislação é impor limites ao tratamento de dados individuais de terceiros, que seguia de maneira desmedida. Para realizar a tratativa de dados agora, deve-se respeitar as bases legais da LGPD, ou seja, os pontos específicos que são autorizados.

Por se tratar de uma nova legislação envolvendo empresas e seus consumidores, a LGPD impacta nas práticas de Compliance, inclusive no Compliance em compras, que envolve redes de fornecedores. É preciso atualizar as políticas internas para tratar os dados de consumidores e certificar que os seus fornecedores seguem os mesmos princípios.

Para realizar essa atualização, é necessário conhecer a nova lei em todos os detalhes. Por isso, montamos um guia completo com as 10 bases legais da LGPD, que mostram as hipóteses jurídicas que permitem o tratamento de dados.

Além disso, vamos explicar brevemente o que provocou essa mudança na legislação e os princípios da LGPD, para que fique claro como deve ser conduzido o processamento de dados pessoais.

O escândalo Facebook-Cambridge Analytica

A nova Lei Geral de Proteção de Dados surgiu inspirada no Regulamento Geral de Proteção de Dados, realizado pela União Europeia em resposta a grandes escândalos envolvendo empresas de tecnologia e o vazamento de dados pessoais de forma desautorizada e antiética.

Entre eles, o que teve maior destaque na mídia e consequência no mundo físico foi o escândalo da Cambridge Analytica, uma empresa de assessoria britânica contratada pela campanha eleitoral de Donald Trump nas eleições de 2016. 

Segundo admitido pelo Facebook, a assessoria utilizou aplicativos para coletar dados pessoais de 87 milhões de seus usuários, sem conhecimento ou autorização para tal. Esses dados foram utilizados para auxiliar na propaganda política, impulsionando informes personalizados para convencer essas pessoas e ajudar Trump a vencer a disputa eleitoral.

O infográfico abaixo, produzido pelo portal G1, mostra um panorama claro do ocorrido:

Fonte: G1

Com as investigações na Europa e nos Estados Unidos, era questão de tempo que mudanças das leis vigentes fossem feitas para evitar casos similares. 

Princípios da LGPD

Antes de abordar as 10 bases legais da LGPD, vamos falar sobre os princípios da LGPD, ou seja, as diretrizes de boa-fé que devem ser observadas para executar atividades de tratamento de dados. São eles:

  1. Finalidade: o titular dos dados deve conhecer para quais fins os dados serão utilizados, sem possibilidade de alteração sem conhecimento do mesmo;
  2. Adequação: os dados solicitados devem estar adequados à finalidade, exigindo apenas aqueles pertinentes ao tratamento executado;
  3. Necessidade: a solicitação de dados pessoais deve se limitar ao mínimo necessário de acordo com a atividade;
  4. Livre acesso: os titulares dos dados devem ter acesso a todos os dados que fornecer, além de conhecer a forma que essas informações serão utilizadas;
  5. Qualidade: é preciso garantir aos usuários a garantia de dados claros, relevantes, exatos e atualizados;
  6. Transparência: manter uma abordagem transparente sobre o tratamento dos dados e os envolvidos no processo;
  7. Segurança: é necessário aplicar medidas de segurança para proteger os dados de terceiros e evitar o vazamento ou acesso de pessoas não autorizadas;
  8. Prevenção: é exigido pela lei que se tome medidas preventivas para evitar danos aos titulares dos dados;
  9. Não discriminação: o recebimento e tratamento de dados não pode ser usado para atos discriminatórios, ilícitos ou abusivos;
  10. Responsabilidade e prestação de contas: o responsável pelo tratamento de dados deve comprovar as medidas e capacidades empregadas para cumprir as normas de proteção de dados.

Ao compreender os princípios básicos da LGPD, podemos observar o direcionamento a ser adotado para o cumprimento da legislação vigente, essencial para executar a gestão de riscos na sua empresa.

Bases legais da LGPD

Depois de compreender o direcionamento utilizado pela Lei Geral de Proteção de Dados Pessoais, é hora de conhecer as bases legais da LGPD. De modo geral, podemos entender as bases legais como hipóteses e cenários específicos onde o tratamento de dados é autorizado pela lei.

Dito isso, as 10 bases legais da LGPD, descritas no art. 7º da nova lei, são as seguintes:

1. Mediante consentimento do titular

A primeira das bases legais da Lei de Proteção de Dados Pessoais diz respeito ao consentimento. O titular dos dados deve fornecer o consentimento expresso de que a empresa pode coletar e tratar os seus dados.

Importante ressaltar, no entanto, que o consentimento deve seguir os princípios mencionados anteriormente, com o titular sendo informado das finalidades e quais dados serão utilizados. Toda atividade não estipulada no documento de consentimento pode ser considerada ilegal.

2. Cumprimento de obrigação legal ou regulatória

A hipótese de cumprimento de obrigação legal ou regulatória é a base legal da LGPD voltada para colocá-la em acordo com outras legislações vigentes. Nesse caso, a empresa pode realizar o tratamento e transmissão de dados mediante uma exigência legal para sua atividade.

Por exemplo, a empresa pode compartilhar dados de funcionários a entidades que regulam suas atividades, para comprovar o cumprimento às normas.

3. Para execução de políticas públicas

A solicitação e tratamento de dados pessoais pela administração pública está prevista nas bases legais da LGPD. Dessa forma, para execução de políticas públicas, os dados podem ser compartilhados pelas empresas, que deve seguir as exigências de finalidade, consentimento e outros princípios, salvo ocasiões que envolvam a segurança pública.

4. Para realização de estudos e pesquisas

É permitido o tratamento de dados na atividade de pesquisas e estudos, porém, vale ressaltar a importância de garantir, sempre que possível, o anonimato aos titulares.

5. Necessidade para execução de contratos e procedimentos preliminares

Também previsto nas bases legais da LGPD está o cenário onde é necessário realizar a coleta e tratamento de dados pessoais para executar contratos ou mesmo procedimentos preliminares que envolvam o titular dos dados.

6. Para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais

Prevista no inciso VI do art. 7º da LGPD, está a hipótese de tratamento de dados pessoais por parte do controlador em situações que fazem parte de processos judiciais, administrativos ou arbitrais. O objetivo da base legal é permitir o direito à produção de provas entre as partes de um processo.

7. Proteção à vida ou incolumidade do titular ou terceiros

Nesse caso, temos um autorizador legal para garantir a proteção à vida e a integridade física do titular dos dados ou de terceiros. De acordo com essa base legal da LGPD, até mesmo dados sensíveis poderão ser tratados sem o consentimento, visando o interesse do poder público em garantir o bem-estar da população.

8. Para a tutela de saúde

Em caso de realização de procedimentos por profissionais ou serviços de saúde, bem como autoridades sanitárias, existe a base legal da LGPD para tratamento de dados para tutela de saúde. Assim como a anterior, essa também visa o interesse público em proteger e garantir o bem-estar da população.

9. Para atender o legítimo interesse de terceiros, sem ferir os direitos e liberdades do titular

Aqui temos uma questão de difícil compreensão nas bases legais da LGPD, já que não se tem clareza do que seria o legítimo interesse. Ainda assim, essa base legal autorizadora permite tratamento de dados quando este se fizer necessário para proteger o interesse de terceiros ou do controlador, desde que não sejam violados os direitos fundamentais e a liberdade do titular.

10. Com o intuito de realizar a proteção de crédito

A última das bases legais da LGPD diz respeito ao tratamento de dados pessoais para garantir a proteção ao crédito. Isso permite que a legislação específica dessa natureza se mantenha sem qualquer conflito, permitindo a análise e divulgação de dados cadastrais por entidades como SPC e Serasa.

Impacto e penalizações da LGPD

A função principal da LGPD é garantir a privacidade e o controle dos dados pessoais aos seus titulares. Com a quantidade de mecanismos digitais que solicitam dados dessa natureza, é essencial contar com normas que limitem a sua exploração, trazendo uma série de impactos da LGPD no Brasil.

O descumprimento à LGPD afeta a gestão empresarial e resulta em penalidades de alto risco, podendo proibir total ou parcialmente as atividades que envolvem os dados tratados. Há ainda a aplicação de multas, em torno de 2% do faturamento da empresa ou um montante máximo de R$ 50 milhões por infração.

Além disso, descumprir a Lei de Proteção de Dados Pessoais ou atuar com fornecedores que não seguem essa norma representa uma falha de Compliance com consequências graves. Não só representando uma ameaça ao faturamento, como também pode causar danos à imagem perante o consumidor.

Adotar uma conduta ética se torna ainda mais pertinente no cenário nacional e mundial, já que a própria LGPD foi motivada por mudanças nas leis de outros países.

Quer encontrar fornecedores em Compliance e que atendam às exigências legais da LGPD e outras normas? Com a Linkana, a análise de informações públicas é automatizada para garantir uma conduta ética na sua rede de fornecedores.

Preencha o formulário para que nossos especialistas entrem em contato:

Leo Cavalcanti

Leo Cavalcanti

Advogado, especialista em Planejamento Tributário e Finanças, soma mais de 05 anos de experiência com rotinas de auditoria empresarial e tributária, além de conhecimento em controladoria e práticas de departamento jurídico corporativo. Atualmente é CEO e um dos co-fundadores da Linkana.