Com a vigência da Lei Geral de Proteção de Dados – LGPD, indubitável que os titulares possuem direitos sobre seus dados, dentre os quais direito à retificação, anonimização, eliminação ou bloqueio destes dados.

As empresas precisam ter cautela ao alicerçar e fundamentar os tratamentos de dados às bases legais, a escolha errada poderá trazer inúmeros prejuízos.

Ao todo a LGPD traz 10 (dez) bases legais que autorizam as empresas a tratar dados pessoais (artigo 7), são eles:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Assim, verifica-se que as empresas não precisam do consentimento do colaborador para tratar todos os seus dados pessoais, e até existem situações, que sequer é aconselhável a utilização desta base legal, como, por exemplo, o endereço e CPF,  que a coleta pode ser alicerçada através das bases legais da execução de contrato e obrigação legal.

Precisamos acabar com este equívoco de que o consentimento é a base legal para todo tratamento de dados pessoais.

Imagina se o colaborador solicitar ao seu empregador o direito legal a eliminação de seu CPF ou endereço, como mencionado no exemplo acima.

Neste caso se o dado foi tratado com base no consentimento, o empregador deverá proceder a exclusão deste dado, o que inegavelmente trará inúmeros prejuízos.

Vale lembrar que o Consentimento pode ser revogado a qualquer momento pelo titular do dado, é uma base legal frágil.

Porém se o CPF e o endereço, no exemplo, foram tratados utilizando como bases legais a execução do contrato e obrigação legal, o empregador poderá, e deverá negar o pedido do titular/colaborador, justificando a necessidade de mantê-los.

Contudo, há dados, como orientação sexual ou opiniões políticas do colaborador, que o consentimento será necessário.

Neste sentido, podemos também mencionar a obrigatoriedade legal das empresas solicitarem o CPF na hora da compra.

No Estado de São Paulo, o Decreto no. 45.490 obriga todas as empresas a coletarem o CPF de seus clientes para compras iguais ou superiores a R$ 13,00 (treze reais), já no Estado do Ceará o Decreto no. 31922 exige para compras iguais ou superiores a R$ 200,00 (duzentos reais) e no Estado de Pernambuco o Decreto no. 46087 exige para compras iguais ou superiores a R$ 1.000,00 (hum mil reais), não necessitando de consentimento nestes casos, pois há uma obrigação legal para esta finalidade.

Por isso, é imprescindível observar concomitantemente toda a legislação pátria, inclusive legislações estaduais e regulamentos, para a correta especificação da base legal e finalidade para tratamento de dados pessoais, e assim promover adequação correta à LGPD.