A LGPD não veio para impedir a coleta, armazenamento ou a utilização dos dados pessoais de indivíduos: a LGPD apenas estabeleceu diretrizes de como esses dados devem ser mais bem utilizados para proteger as pessoas. Aliás, em algumas situações, como dito acima, a LGPD torna o tratamento de dados pessoais até mais flexível se comparada com a realidade atual.
A LGPD enumera uma série de bases legais que podem ser utilizadas como fundamento para o tratamento de dados pessoais. Nenhuma delas vale mais do que a outra, portanto será sempre necessário buscar a base legal mais adequada para autorizar o uso dos dados pessoais. Em outras palavras, não é necessário obter o consentimento do titular para tudo que será feito com o dado. Dentre as bases legais, é interessante destacar:
Consentimento
Nada mais é do que a autorização do indivíduo para tratar seus dados pessoais. Contudo, o consentimento exige que uma série de cuidados sejam observados para ser considerado válido: Deixe a pessoa escolher! O consentimento deve refletir a livre escolha do titular, por meio de uma ação afirmativa. É necessário um ato do titular que permita efetivamente concluir que ele ou ela concorda com a forma que seus dados serão utilizados. Atenção: checkboxes pré-selecionados em sites não são considerados válidos, muito menos o simples rolar do texto de uma política de privacidade.
Para tratamento de dados de crianças, ou seja, pessoas de até 12 anos, sempre será necessário o consentimento dos pais e/ou do responsável legal. São apenas duas as hipóteses em que o tratamento dos dados de crianças não precisará deste consentimento:
- quando a coleta for necessária para contatar os pais ou o responsável legal;
- quando utilizado para a proteção da criança.
Transparência
O consentimento pressupõe informações claras, objetivas e suficientes para que a pessoa decida, de maneira consciente, se concorda com o tratamento de seus dados pessoais. Não tente esconder o jogo, transparência traz confiança! Deixe claro para que sua empresa vai usar os dados O titular de dados deverá autorizar o tratamento de dados para uma finalidade específica e determinada. Autorizações genéricas (como, por exemplo, “iremos utilizar seus dados para melhorar a sua experiência”) não são válidas e, sempre que possível, autorizações específicas para cada finalidade (o que chamamos de consentimento granular) são mais transparentes e claras para o titular, tendo mais chances de serem consideradas válidas.
Registre o consentimento
Assim como você guarda recibos e contratos assinados, vai ser preciso também registrar quando, para que e como o titular consentiu (por exemplo, e-mail, telefone, formulário de cadastro etc.), sob o risco de o consentimento não poder ser utilizado como meio de prova.
Cumprimento de obrigações legais
Se uma lei ou uma regulamentação exige a utilização dos dados pessoais para algum motivo específico, não é preciso solicitar a autorização do titular de dados. É necessário cumprir o disposto na lei, nem que para isso seja necessário tratar dados pessoais do titular.
Cumprimento de contratos
Essa é a base legal que permite a utilização dos dados pessoais quando necessários para o cumprimento de obrigações de um contrato do qual o titular seja parte. Neste caso, novamente, não é necessário pedir a autorização do titular.
Legítimo Interesse
Essa é a base legal que permite à empresa tratar dados pessoais, mesmo sem autorização do titular, para finalidades que visem apoiar ou promover as suas atividades ou de terceiros, o que ficou conhecido como interesses legítimos, desde que respeitados os direitos e liberdades do titular.
Atenção aos Dados Sensíveis!
Dados Sensíveis são uma categoria de dados pessoais, que diz respeito a temas mais delicados e podem sujeitar seu titular a práticas discriminatórias. A lei lista todos os tipos de dados que entram nessa classificação: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico Em razão de seu potencial discriminatório, os Dados Sensíveis merecem uma proteção especial. Sempre quando o tratamento envolver Dados Sensíveis, por exemplo, quando uma campanha de marketing é segmentada em razão da raça, orientação sexual ou opinião política do indivíduo, este tratamento pode vir a ser considerado ilegal.