A LGPD estabelece que os dados pessoais e dados pessoais sensíveis só podem ser tratados se a atividade realizada estiver devidamente justificada com bases legais previstas em Lei. Entende-se as bases legais como justificativas para as atividades que utilizam os dados pessoais. Além disso, de acordo com a LGPD, obrigatoriamente, todas as atividades de tratamento de dados pessoais, acompanhadas das suas finalidades e bases legais, devem estar formalizadas no Registro das Atividades de Tratamento de Dados Pessoais.

A LGPD conta com 10 bases legais regulamentadas para o tratamento de dados pessoais. São elas:

Atenção!

Para justificar atividades com dados pessoais sensíveis (confira a lista dos dados que são considerados sensíveis aqui), as bases legais são mais restritas. A possibilidade de justificar as atividades de tratamento com execução de contratos, legítimo interesse e proteção ao crédito, por exemplo, são excluídas. Por outro lado, é permitida a utilização da base legal de prevenção a fraudes.

Em regra, as cooperativas devem justificar as atividades que envolvem o tratamento de dados pessoais com a base legal legítima e vinculada à finalidade do tratamento dos dados pessoais . Nesse sentido, é importante lembrar que justificar irregularmente a atividade, ou seja, optar pela base legal irregular, por si só, caracteriza infração à LGPD.

Conheça as bases legais mais comuns para justificar as atividades realizadas com dados pessoais pelas cooperativas:

Consentimento do titular:

Quando o titular consente de forma livre, informada e inequívoca com determinado tratamento de dados pessoais, por meio de uma ação positiva (explícita) pela qual expressa sua concordância. Exemplo: quando a cooperativa realiza atividades de marketing ou trata dados pessoais de crianças e adolescentes pode utilizar esta base legal, desde que, antes da atividade, o consentimento seja coletado – nos casos de menores, dos pais ou responsáveis;

Cumprimento de obrigação legal ou regulatória:

A base legal pode ser utilizada quando os dados pessoais são coletados e tratados pelas cooperativas porque uma Lei ou Regulamento impõem que o tratamento ocorra. Exemplo: a coleta e compartilhamento de dados pessoais dos colaboradores com o e-social ou a realização de exames admissionais, demissionais ou periódicos.

Execução de contratos ou de procedimentos preliminares relacionados ao contrato:

Esta base legal deve ser utilizada quando há um contrato com o titular de dados pessoais que justifique a utilização dos dados pessoais ou, ainda, para ações que antecedem o contrato. Exemplo: quando os dados pessoais são utilizados para prestar serviços ou entregar produtos ao cliente ou ao associado.

Exercício regular de direitos:

Está é a justificativa legal quando os dados pessoais são tratados para buscar direitos que a cooperativa possui. Exemplo: defesas em processos judiciais trabalhistas movidos por ex-colaboradores ou para realizar cobranças judiciais de débitos relacionados a clientes pessoas físicas.

Proteção da vida ou da incolumidade física do titular ou de terceiros:

Quando os dados pessoais são utilizados pelas cooperativas com o propósito de proteger a vida ou integridade física das pessoas. Exemplo: quando dados pessoais de colaboradores são utilizados para atendimento médico após acidentes de trabalho ou quando colaboradores são submetidos a testagem para identificação de COVID-19.

Legítimo interesse:

Quando o tratamento de dados pessoais é realizado para obtenção de interesses da cooperativa e observa as legitimas expectativas dos titulares. Exemplo: quando são enviados e-mails de campanha de marketing aos clientes que já tiveram relacionamento com a cooperativa para possibilitar a oferta de novos produtos; e, ainda, monitoramento do ambiente físico por meio da gravação de imagem.

Proteção do crédito:

Quando o tratamento de dados pessoais é realizado para procedimentos relacionados à avaliação e proteção do crédito. Exemplo: quando a cooperativa utiliza dados pessoais para consultas aos bureaus de crédito (Serasa, SPC etc.) para verificação de eventuais restrições de crédito.

Para lembrar

A LGPD obriga que as bases legais sejam registradas em documento denominado de Registro das Operações de Tratamento de Dados Pessoais. A regra vale para todas as cooperativas independentemente do porte. Neste documento devem constar todas as atividades realizadas com dados pessoais, devidamente detalhadas e justificadas de acordo com as bases legais previstas em Lei.