A Lei Geral de Proteção de Dados prevê algumas bases legais, algumas justificativas jurídicas para o tratamento de dados, para além do dever geral da finalidade, adequação e necessidade. A seguir estão as hipóteses em que o agente está autorizado a tratar dados pessoais.
- Mediante o consentimento do titular: Essa base legal demanda certo cuidado no âmbito do Direito do Trabalho, mas este ponto será tratado de forma mais específica na próxima aula.
- Para o cumprimento de obrigação legal ou regulatória pelo controlador: em alguns casos, o agente trata determinados dados não por uma vontade própria, mas sim porque existe uma lei ou uma normativa própria do seu setor que o impõe. Por exemplo, o empregador é obrigado pelo artigo 911-A da CLT a recolher o INSS dos empregados.
- Pela administração pública: para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
- Para a realização de estudos por órgão de pesquisa: garantida, sempre que possível, a anonimização dos dados pessoais.
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular: tendo em vista que a relação de trabalho está definida dentro dos termos do contrato individual do trabalho, qualquer processo com tratamento de dados que decorra deste pacto está justificado por ele.
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral: o agente de tratamento tem a prerrogativa legal da LGPD para armazenar dados que possam resguardá-lo no caso de uma ação judicial. No caso trabalhista, como a prescrição se dá por até 5 anos na constância do contrato ou até 2 anos após sua rescisão, este é o prazo de retenção para documentos e dados que comprovem a jornada do empregado ou as férias aproveitadas, por exemplo.
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro: é importante dizer que o tratamento com essa base legal se restringe apenas para tratamentos em caso de emergência, como acidentes, em que o titular não pode por ele mesmo escolher como vai resguardar sua saúde.
- Para a tutela da saúde, em procedimento realizado por profissionais da área ou por entidades sanitárias: em tempos em que se discute a possibilidade de obrigar os funcionários a tomar vacina contra a COVID-19, é possível fazer uma interface entre o uso dessa base legal no âmbito do direito do trabalho. Ocorre, no entanto, que via de regra ela será usada no âmbito da área da saúde.
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro: exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
- Para a proteção do crédito: inclusive quanto ao disposto na legislação pertinente.
Aqui vale mencionar que, pela doutrina, não há uma hierarquia entre as bases legais; existem apenas justificativas que são mais adequadas que outras para determinados contextos. Levando em consideração que se deve sempre privilegiar a base mais “forte”, que melhor demonstra a finalidade, adequação e necessidade do tratamento, se houver um tratamento baseado ao mesmo tempo em uma obrigação legal e um consentimento, é recomendável ter a primeira como embasamento. Isso porque o consentimento é revogável a qualquer tempo, o que poderia prejudicar os processos internos do agente. Uma base legal adequada garante, portanto, a estabilidade do tratamento.
Além disso, no caso de dados pessoais sensíveis, o tratamento não pode ser justificado no legítimo interesse, mas pode pautar, além das outras bases legais, também na hipótese de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.