Bases Legais

Durante o mapeamento realizado, identificou-se as bases legais mais utilizadas para justificar o tratamento de dados pessoais realizado nos processos de negócio da POUPEX.

Cumprimento de obrigação legal ou regulatória

Consentimento

Proteção ao crédito

Legítimo interesse

Exercício regular de direitos

BASES LEGAIS

Execução de contrato

Relação de Trabalho: O tratamento de dados pessoais em uma relação de trabalho pode ser justificado em algumas situações pela base legal da execução de contrato, incluindo aqueles tratamentos realizados anteriormente à assinatura do contrato. Por outro lado, a relação de trabalho não configura uma autorização ou consentimento do empregado para uso dos dados para qualquer finalidade que não seja necessária à execução do contrato de trabalho no âmbito do relacionamento entre as partes. Isso significa que, se fundamentado na base legal da execução de contrato, o tratamento de dados pessoais no âmbito laboral deve ser limitado às finalidades necessárias para permitir a execução das atividades profissionais pelo empregado ou o cumprimento da contraprestação pelo empregador. Por exemplo: a. o tratamento dos dados bancários do empregado para pagamento da contraprestação pelo empregador pode ser justificado pela presente hipótese legal. b. Quando os dados pessoais são utilizados para contratação de novos integrantes, para o fornecimento de benefícios empregatícios não previstos em lei ou convenções coletivas de trabalho, e para demais atividades realizadas para cumprir contrato firmado com uma pessoa física.

Exemplos Práticos

Deve ser utilizada quando o tratamento é necessário para a execução de um contrato ou de procedimentos preliminares relacionados a um contrato, do qual seja parte o titular, a seu pedido. Essa base legal não se aplica para dados pessoais sensíveis.

Execução de Contrato

BASES LEGAIS

• Prospecção: Quando a FHE POUPEX deseja prospectar novos clientes, é possível justificar este tratamento em legítimo interesse. Isso porque a empresa possui um interesse legítimo de divulgar um serviço ou produto. Desta forma, a empresa realiza o tratamento de dados pessoais a fim de localizar titulares possivelmente interessados em receber tal anúncio. No entanto, para garantir que o titular possua sua expectativa de tratamento alinhada, a empresa precisará dar a opção de “opt-out” (descadastramento da base de dados para marketing), pois, desta forma, caso o titular não possua interesse, a empresa saberá e poderá parar o tratamento para esta finalidade, respeitando a legítima expectativa dos titulares. • Investigação corporativa: Quando a FHE POUPEX realizar uma investigação interna sobre um ou mais titulares de dados, o tratamento poderá ser justificado em legítimo interesse. Isso porque a empresa possui um interesse legítimo em averiguar denúncias e tomar as devidas medidas. O titular, que seria no caso um integrante, possui a legítima expectativa de que seus dados corporativos serão tratados e monitorados a fim de se manter o zelo nas relações de trabalho. • Envio de alertas de segurança e prevenção de fraudes. A FHE/POUPEX pode usar dados dos clientes para identificar comportamentos suspeitos. O interesse legítimo aqui é proteger os clientes contra fraudes e garantir a segurança de suas contas, desde que informe os clientes sobre essa prática e implemente medidas adequadas para proteger sua privacidade.

Exemplos Práticos

O legítimo interesse é a hipótese legal que autoriza o tratamento de dados pessoais (não sensíveis), quando necessário para atender aos interesses legítimos do controlador (FHE POUPEX) ou de terceiros, desde que tais interesses não violem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Legítimo interesse

BASES LEGAIS

• Interpretação restritiva: Criação de banco de dados de cadastros de inadimplentes e adimplentes; e compartilhamento de dados pessoais constantes em banco de dados de cadastros de inadimplentes e adimplentes para avaliação do risco de crédito quando o Titular solicita um empréstimo ou financiamento. • Interpretação extensiva: Avaliação de crédito, com utilização de dados pessoais de composição de patrimônio, dados de inadimplência e adimplência, para que o titular possa contratar serviço pós-pago; • Quando a empresa utiliza para concessão de crédito dados pessoais e histórico do cliente, consultas em bureau reputacional, para verificar possíveis restrições de crédito.

Exemplos Práticos

A base legal da proteção ao crédito visa assegurar que, em situações de cobrança de dívidas, o titular não utilize os mecanismos da LGPD para evitar suas obrigações financeiras.

Proteção ao crédito

BASES LEGAIS

• Cumprimento de obrigações de combate aos crimes de “lavagem” de dinheiro: uma instituição financeira – conforme exigido pela Circular 3.461/2009 do Banco Central do Brasil (“BACEN”) – deverá tratar alguns dados pessoais. • Lei 12.414/11 – Lei do Cadastro Positivo: os bureaus (birô) de créditos autorizados pelo Bacen deverão tratar dados pessoais para a criação da base de dados do cadastro positivo. • Consolidação das Leis Trabalhistas (artigo 168) e Normas Regulamentadoras nº 4 e nº 7: determinam e regulamentam a obrigação das empresas em realizar o exame médico para comprovar o estado de saúde física e psíquica do funcionário. • Código Civil 2002 (artigo 118): justifica a obrigatoriedade de os contratos sociais das empresas possuírem os dados pessoais dos representantes legais. • A coleta e o compartilhamento de dados pessoais de empregados com o INSS (Instituto Nacional do Seguro Social), a realização de exames admissionais, demissionais ou periódicos, manutenção de documentos conforme exigências da CLT (Consolidação das Leis do Trabalho), e de outros órgãos governamentais, e atividades realizadas em cumprimento a determinações regulatórias do BACEN/ CMN / TCU, etc.

Exemplos Práticos

Essa base legal deve ser utilizada quando a empresa tratar os dados pessoais por força de lei ou de regulamento, ou seja, por existência de lei, norma, decisão judicial ou regulação vigente, pela qual o tratamento se torna obrigatório, não opcional. (Art 7º e 11º - Sensível)

Cumprimento de obrigação legal ou regulatória

BASES LEGAIS

• Apresentação de documentação em juízo: por exemplo, no caso de o empregador necessitar de dados do empregado para comprovar o pagamento de verbas ou concessão de benefícios, e apresentar tais documentos em juízo. Em casos mais sensíveis, pode haver a necessidade de apresentação de relatórios de performance ou de documentos que justifiquem eventual demissão por justa causa. • Prova em processo judicial: pode ser necessário acostar aos autos de processo administrativo, judicial ou arbitral um documento, ou fotografia que contenha dados pessoais. • Armazenamento de dados pessoais para prevenção a eventuais ações judiciais e/ou administrativas: como explicado no exemplo acima, poderá ser necessário juntar aos processos documentos que contenham dados pessoais dos titulares como meio de prova. No entanto, considerando que a empresa não sabe ao certo quando enfrentará as demandas judiciais ou administrativas nas quais será necessário fazer uso de tais provas, poderá utilizar essa base legal para armazenar os dados pessoais conforme os prazos prescricionais e decadenciais do direito brasileiro.

Exemplos Práticos

Deve ser utilizada para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Ademais, para o caso de dado pessoal sensível, o direito poderá ser exercido com base, inclusive, em contrato. Quando os dados pessoais são tratados para alcançar direitos que a empresa possui. (Art 7º e 11º - Sensível)

Exercício regular de direitos

BASES LEGAIS

• Formulário de envio de newsletter e fins diversos: alguns websites contêm um formulário para aqueles que desejam receber notícias ou informativos. Nesse caso, o consentimento para envio é coletado. É possível criar outras opções de consentimento (checkbox) para finalidades diversas, como envio de promoções e produtos da empresa ou de outros parceiros comerciais. Quando as atividades de tratamento não se enquadram em outra base legal ou se a empresa trata dados pessoais de crianças e adolescentes, desde que, antes da atividade, o consentimento seja coletado dos pais ou responsáveis.

Exemplos Práticos

Quando há declaração clara e inequívoca de uma pessoa expressando que concorda com o uso dos seus dados para as finalidades propostas pela empresa. O consentimento concretiza a autonomia da vontade do titular. É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, sendo que autorizações genéricas serão nulas. (Art 7º e 11º - Sensível) Existem circunstâncias em que o controlador pode entender adequado solicitar o consentimento como base legal aplicável. Alguns exemplos de potencial aplicabilidade da base legal são:

Consentimento

BASES LEGAIS