Ultimamente é difícil passar um dia sem se deparar com textos sobre a adequação à LGPD. Fato é que o planejamento envolve vários profissionais e necessita ser implementado nas organizações de maneira que todos absorvam os preceitos discutidos. Após mapear os dados, é necessário que o departamento jurídico aponte qual (ou quais) as bases legais mais convenientes para que o tratamento dos dados aconteça da maneira mais acertada o possível.
Essas bases legais são o alicerce para o tratamento de dados, e, de dez hipóteses previstas pela legislação brasileira, seis são semelhantes às previstas pelo GDPR.
Apesar da LGPD apresentar quatro hipóteses a mais em relação à lei europeia para que o tratamento de dados seja realizado, observa-se com frequência uma ênfase muito grande em relação ao consentimento. Existente em ambas as leis, a referida base legal muitas vezes é tratada como uma das principais, ou até mesmo única hipótese prevista pela LGPD, mas a verdade é que o consentimento é apenas uma das dez hipóteses que legitimam o tratamento de dados.
Ainda, há que se observar que o consentimento pode ser um tanto quanto complexo como base legal a ser definida. Isso porque, primeiramente, ele precisa ser fornecido de maneira livre, informada e inequívoca pelo titular dos dados pessoais, e pode ser revogado a qualquer momento. Mesmo que já tenha sido alardeado algumas milhares de vezes quando o assunto é debatido, é sempre bom relembrar que os termos de uso genéricos e enormes são vetados, assim como a ideia de adquirir consentimento do titular uma vez e utilizá-lo para um sem número de finalidades.
Daí vem a ideia de granularidade do consentimento, ou seja: o usuário vai consentindo conforme a necessidade, e se for de seu interesse, claro.
Diversidade de bases legais:
Sobre as outras nove bases legais previstas, tem-se que algumas só serão utilizadas em casos muito específicos, como no caso de tutela da saúde e no caso da proteção ao crédito, por exemplo.
Mesmo no caso de alguma base legal ser aparentemente genérica, não quer dizer que pode ser utilizada como uma carta coringa, como é o caso do legítimo interesse do controlador ou de terceiro. Apesar de supostamente ampla, essa base legal possui, sim, limites.
O mesmo ocorre inclusive sob a ótica do GDPR. Na Opinion 06/2014 existem diretrizes claras a respeito da utilização da supracitada base legal, que, à primeira vista pode passar a ideia de possuir interpretação muito aberta, entretanto, não significa que pode ser aplicada visando a preencher lacunas ou ser utilizada como um último recurso em algum caso concreto.
No caso da lei brasileira, não houve delimitação pelo legislador em relação ao conceito de “interesse legítimo”, mas a identificação de situações onde ele poderia ser observado. Porém, isso não significa a possibilidade de ser aplicado em qualquer hipótese, tendo-se que observar se há propósito legítimo e a existência de uma situação concreta.
A análise das bases legais para legitimar o tratamento dos dados não é uma atividade tão banal. Exemplo disso foi a penalidade aplicada a uma das maiores empresas de auditoria do mundo por ter designado uma base legal equivocada para tratar os dados dos seus funcionários. Independentemente do valor da multa, a maior repercussão, sem dúvidas, foi em relação à reputação da organização. Afinal, pega mal uma grande empresa sofrer sanções em função de um projeto de adequação mal conduzido, certo?
Dessa maneira, fica evidente que o processo de adequação à lei é complexo e melindroso, por isso é fundamental não negligenciar nenhum aspecto que o envolve.