LGPD: As hipóteses que permitem o tratamento de dados pessoais pelas startups

Como exposto em artigos anteriores, para que as startups possam lidar com dados pessoais de acordo com a Lei Geral de Proteção de Dados (LGPD) é preciso que sejam respeitados alguns requisitos, que são:

• Os dados pessoais devem ser utilizados para finalidades específicas e legítimas;

• A startup deve respeitar o dever de informação, ou seja, explicar para o titular o fluxo dos seus dados e questões como: quais dados serão coletados, por quais motivos e com quem serão compartilhados;

• E, por fim, a startup deve estar resguardada por 1 (uma) das bases legais da LGPD.

As bases legais são as hipóteses previstas na Lei Geral de Proteção de Dados que permitem que o tratamento de dados pessoais seja realizado. Lembrando que os dados sensíveis possuem um rol específico que será abordado em um material futuro.

Avaliar qual base legal é a mais indicada para cada tratamento é papel do setor jurídico da sua startup, porém é indispensável que toda a empresa tenha conhecimento de quais possibilidades são essas, evitando condutas indevidas.

1) Consentimento

A primeira base legal disposta no artigo 7º da LGPD é o consentimento, que nada mais é do que uma autorização expressa, livre, inequívoca, destacada e informada do titular para o tratamento de seus dados pessoais para uma finalidade determinada.

Apesar de ser uma previsão legal muito conhecida, as startups precisam estar cientes que, por ser uma autorização livre, o consentimento pode ser revogado a qualquer momento, mediante requisição do titular ou de seu responsável legal. Isso significa que, revogada a autorização, a sua empresa não poderá mais lidar com essas informações.

Por isso, muitas vezes é recomendado que a coleta de dados seja respaldada no consentimento apenas quando não for possível enquadrá-la nas outras hipóteses da Lei Geral de Proteção de Dados.

Caso tenha interesse em entender mais sobre o consentimento e suas exigências, basta clicar aqui.

2) Cumprimento de Obrigação Legal ou Regulatória pelo Controlador

A segunda hipótese que permite o tratamento de dados pessoais é o cumprimento de obrigação legal ou regulatória pelo controlador.

Ou seja, quando a sua startup precisa da informação para cumprir alguma lei ou norma, o dado pode ser usado para esse fim, independentemente de consentimento do titular.

Por exemplo: no Marco Civil da Internet existe o dever do provedor de aplicações manter os registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses. Assim, por existir uma lei que cria a obrigação, a manutenção dessas informações se torna autorizada.

3) Execução de Contrato

Quando o dado pessoal for necessário para que a startup possa executar o contrato ou procedimentos preliminares relacionados ao contrato do qual seja parte o titular, a pedido do titular dos dados, o tratamento também é permitido pela LGPD.

Por exemplo: se a sua startup possui um e-commerce que é contratado para entregar produtos para o usuário, é evidente que o endereço de entrega poderá ser coletado e usado para essa finalidade.

4) Exercício de Direitos em Processos

A Lei Geral de Proteção de Dados também prevê a possibilidade de as empresas utilizarem dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral, nos termos da Lei de Arbitragem.

Assim, a startup pode tratar as informações que poderão ser usadas como provas, como os documentos que demonstram a sua regularidade, o cumprimento de obrigações, pagamentos, entre outros.

O ponto de atenção é que, se essa for a base legal, os dados só podem ser utilizados para essa finalidade e por um prazo compatível com a distribuição e duração dos eventuais processos.

5) Interesses Legítimos do Controlador ou de Terceiro

O tratamento de dados pessoais também pode ser realizado quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção das informações.

Vale destacar que o legítimo interesse do controlador somente poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam ao apoio e promoção de atividades da startup e a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

Além disso, quando essa for a base legal aplicada, a Autoridade Nacional de Proteção de Dados poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, observados os segredos comercial e industrial.

6) Proteção da Vida ou da Incolumidade Física

A LGPD também permite a operação de dados pessoais que tenha como objetivo proteger a vida ou a incolumidade física do titular dos dados ou de terceiros.

A ideia é garantir que, em casos de emergências e situações graves, as informações indispensáveis para garantir a vida ou o bem estar das pessoas possam ser usadas.

7) Tutela da Saúde

Essa permissão legal prevê que as informações pessoais podem ser tratadas para promover a saúde, desde que sejam utilizadas exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

8)  Proteção ao Crédito

A Lei Geral de Proteção de Dados dispõe que os dados pessoais podem ser tratados nos casos em que o objetivo for a proteção do crédito, observando as regras específicas sobre esse tema.

Dessa forma, as startups podem utilizar os dados essenciais para operações, como a análise de histórico de inadimplência dos titulares e a efetivação da cobrança de créditos.

9) Demais Bases Legais

Embora a 8 (oito) bases legais apresentadas acima sejam as mais comumente utilizadas por startups e empresas de base tecnológica, existem outras 2 (duas) hipóteses que também permitem o tratamento de dados pessoais, sendo elas:

• Execução de Políticas Públicas: permite que a Administração Pública realize o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

• Estudos por Órgão de Pesquisa: possibilidade que os órgãos de pesquisa realizem estudos, garantida, sempre que possível, a anonimização dos dados pessoais.

10) Conclusão

É importante ressaltar que, para cada operação envolvendo dados, as startups precisam estar respaldadas por somente 1 (uma) das bases legais, já que muitos empreendedores têm a ideia equivocada de que o titular precisa fornecer o seu consentimento em qualquer hipótese.

Lembrando que o consentimento é diferente de informação. Nem sempre a empresa precisa de uma autorização específica para suas atividades, mas a startup precisa sempre dar transparência às suas ações.

Procure uma assessoria jurídica especializada para descobrir as bases legais mais seguras para o seu negócio e para auxiliá-lo na elaboração e adequação dos documentos.

Por Natália Martins Nunes