A Lei Geral de Proteção de Dados afeta indistintamente todos os setores da sociedade, tanto no âmbito público quanto no privado, assim não é novidade que há uma corrida para que as empresas tomem medidas para se adequar às novas exigências quanto ao tratamento de dados pessoais.
Na palestra – Do Consentimento ao Legítimo Interesse: Panorama das Bases Legais de Tratamento de Dados Pessoais de Aplicação Genérica – Paulo Eduardo Lilla, advogado da Lefosse Advogados mostrou como utilizar bem as bases legais não associadas a tratamento específico.
Nos termos da nova lei, o tratamento de dados pessoais somente poderá ser realizado em uma das dez hipóteses previstas em seu artigo 7º. "Vale destacar que nenhuma das bases legais que legitimam o tratamento de dados tem mais ou menos relevância, importância em relação a qualquer uma das outras, assim, o melhor é se fazer uma análise caso a caso para identificar qual mais se adequa à situação de cada empresa", explica Lilla.
Conforme explicou o especialista, aqueles que vão manipular os dados pessoais, só poderão fazê-lo para finalidades legítimas, incluindo, por exemplo, o apoio e a promoção de suas atividades, desde que o tratamento não implique em violação desproporcional dos direitos e liberdades fundamentais do titular dos dados.
Assim, seria possível questionar o legítimo interesse como fundamento legal para o tratamento de dados pessoais para fins de profile e monitoramento de titulares de dados, cruzando bases de dados online e offline, para oferta de publicidade direcionada, na medida em que, pela própria natureza dos dados, sua coleta e tratamento poderiam ser considerados demasiadamente intrusivos, violando de forma desproporcional a privacidade e a intimidade de seus titulares.
A LGPD estabelece que o consentimento como base legal para o tratamento dos dados deve ser livre, informado e inequívoco, além de fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, caso contrário, não será considerado válido. O consentimento também deve se referir a finalidades determinadas, de modo que autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas.
