De forma bastante simples e didática, uma base legal é a fundamentação que dá amparo ao tratamento de dados pessoais realizado pelo controlador, ou seja, por meio da opção por determinada base legal é que o controlador conseguirá justificar o tratamento de dados pessoais que está realizando.
O raciocínio é bastante simples: se o controlador deseja tratar um dado pessoal, ele terá de identificar uma finalidade para tratar determinado dado pessoal do titular, ao identificar uma finalidade, deverá, obrigatoriamente, escolher uma base legal adequada ao tratamento de dados que está realizando, uma base que dê suporte, que valide esse tratamento, ou seja, uma base capaz de legitimar essa operação envolvendo os dados pessoais que ele está tratando, pois só assim ele atenderá às disposições da lei.
E para dar legitimidade ao tratamento de dados pessoais e não obstar a continuidade de nenhum modelo de negócio, a LGPD trouxe um rol com 10 bases legais que podem ser aplicáveis ao tratamento de dados realizado.
O art. 7º da LGPD assim dispõe: “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente”.
As bases acima mencionadas são as 10 bases legais da LGPD que poderão ser utilizadas para justificar a realização do tratamento de dados pessoais, e aqui faço uma observação importante sobre elas: nenhuma base legal é mais importante do que a outra.
E é interessante ter essa frase como mantra, pois ela nos ajuda na desconstrução da ideia do protagonismo do consentimento.
É chegada a hora de desconstruirmos essa ideia de que o consentimento é a principal base legal, e entendermos que ele é só mais uma das bases legais capazes de legitimar o tratamento de dados pessoais que a empresa realiza.
O consentimento não é obrigatório para todo e qualquer tratamento de dados, e a empresa não precisa de consentimento do titular para realizar todo e qualquer tratamento de dados.
Você poderá e certamente irá utilizar o consentimento quando essa for a base ideal, contudo, a LGPD trouxe outras bases legais adequadas à validação do tratamento sem a necessidade do consentimento, mas não esqueçam: tudo será de acordo com a análise do caso concreto!
Sempre deverá ser levado em conta o contexto do tratamento de dados que a empresa está realizando e só assim enquadrar esse tratamento em uma das hipóteses acima.