Pular para o conteúdo
Compliance MSPA

Artigo 7º: As 10 Permissões Legais para Tratar Dados (Bases Legais)

Art. 7º O de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de pelo ;

II - para o cumprimento de obrigação legal ou regulatória pelo ;

III - pela administração pública, para o e necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o , a pedido do dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - para a proteção da vida ou da incolumidade física do ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito.

§ 3º O de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do previsto no caput deste artigo para os dados tornados manifestamente públicos pelo , resguardados os direitos do e os princípios previstos nesta Lei.

§ 5º O que obteve o referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter específico do para esse fim, ressalvadas as hipóteses de dispensa do previstas nesta Lei.

§ 6º A eventual dispensa da exigência do não desobriga os das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do .

§ 7º O posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo e a preservação dos direitos do , assim como os fundamentos e os princípios previstos nesta Lei.

O que isso significa na prática?

Seção intitulada “O que isso significa na prática?”

Este artigo é a espinha dorsal da operação da LGPD. Ele estabelece que você não pode tratar dados pessoais por qualquer motivo que queira. Para cada finalidade de , sua empresa precisa de uma “permissão” ou “justificativa” legal. Essas justificativas são chamadas de bases legais, e o Artigo 7º lista as 10 hipóteses permitidas para dados pessoais comuns.

As mais utilizadas no dia a dia das empresas são:

  1. : A mais famosa, mas não a única. É quando o autoriza de forma livre, informada e inequívoca o uso de seus dados para um fim específico.

  2. Cumprimento de Obrigação Legal: Quando uma outra lei obriga sua empresa a coletar e tratar os dados.

  3. Execução de Contrato: Quando o é essencial para cumprir um contrato com o (ex: vender um produto e entregá-lo).

  4. : Uma base flexível, mas que exige muito cuidado. Permite o para finalidades legítimas da empresa (como marketing direto para clientes ou prevenção à fraude), desde que os direitos do não se sobreponham a esse interesse. Exige uma análise de ponderação (o “LIA”).

  5. Proteção da Vida e Tutela da Saúde: Situações de emergência médica ou para procedimentos de saúde.

É crucial entender que não existe uma base legal mais importante que a outra. A escolha depende do contexto e da finalidade do . Para cada processo, sua empresa deve identificar e documentar qual base legal está utilizando.

Como se Aplica ao seu Negócio?

Seção intitulada “Como se Aplica ao seu Negócio?”

Identificar a base legal correta para cada atividade é uma das tarefas mais importantes da adequação à LGPD.

👍 : Um visitante se cadastra na sua newsletter para receber promoções. Ele precisa clicar ativamente em uma caixa de seleção (opt-in) que diz claramente “Aceito receber e-mails com novidades e ofertas”.

⚖️ Obrigação Legal: O RH da sua empresa coleta os dados dos funcionários para enviar as informações ao eSocial do Governo Federal. A empresa não pede para isso, pois é uma obrigação imposta por lei.

✍️ Execução de Contrato: Um cliente compra um software da sua empresa. Você precisa tratar os dados dele para emitir a nota fiscal, processar o pagamento e liberar o acesso ao sistema. Tudo isso faz parte da execução do contrato de venda.

🤔 : Sua empresa analisa o histórico de compras de seus clientes para enviar ofertas personalizadas de produtos similares. Você não precisa de um novo para isso, mas deve garantir que o cliente possa se opor a esse (opt-out) e documentar por que seu interesse é legítimo e não fere os direitos do cliente.

🚑 Proteção da Vida: Um funcionário passa mal na empresa e está inconsciente. O RH pode acessar a ficha dele para encontrar um contato de emergência ou informações sobre seu plano de saúde para acionar o socorro.

Transforme a Teoria em Prática.

Seção intitulada “Transforme a Teoria em Prática.”

Escolher a base legal errada pode invalidar toda uma operação de e expor sua empresa a multas. Como ter certeza de que cada processo, do marketing ao RH, está amparado pela justificativa correta? O MSPA Compass é a ferramenta que te ajuda a mapear suas atividades, conectar cada uma à sua base legal e documentar essa decisão, criando um panorama claro da sua conformidade.