Lei Geral de Proteção de Dados: o tratamento de dados precisa ser justificado em uma das hipóteses legais
Fernanda Galvão e Rômulo Inácio da Silva Caldas
Em postagem anterior, tratou-se dos aspectos mais gerais face aos vindouros impactos da Lei Geral de Proteção de Dados, a LGPD, ou Lei nº 13.709/2018. Na ocasião, alguns princípios orientadores da atividade de tratamento de dados foram apontados, como necessidade, finalidade e adequação. Estes, e os demais princípios elencados no artigo 6º da LGPD são responsáveis por orientar toda a sua aplicação e sempre devem ser levados em consideração. Agora, dá-se um passo adiante para abordar aspectos mais técnicos e práticos da LGPD, e talvez um dos pontos mais importantes da lei: as bases legais para o tratamento de dados.
Primeiramente, é de extrema importância estar ciente de que dados pessoais (1), ou dados pessoais sensíveis (2) só podem ser tratados (3) – isso vale tanto para os dados do meio on-line quanto off-line – se o responsável pelo tratamento justificar sua atividade em ao menos uma das dez bases legais elencadas no artigo 7º da LGPD. Assim, a regra, não sendo possível justificar o tratamento de dados por meio destas bases legais, a sua atividade de tratamento pode estar correndo grandes riscos de conformidade legal. Vejamos, de forma breve, quais são estas bases legais.
A primeira das bases legais é o consentimento do titular dos dados, termo que, de acordo com a própria LGPD, define-se como sendo: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada O consentimento, apesar de ser uma das bases legais que ocupa lugar de destaque no âmbito da LGPD, não ocupa posição hierarquicamente superior às demais bases legais, inclusive, vale mencionar que as demais 9 bases legais independem do consentimento para se tornarem válidas. Além disso, apesar de parecer ser base legal ideal para justificar o tratamento de dados, ela não o é justamente pelo que pode ser revogado pelo titular dos dados a qualquer momento, conforme prevê o artigo 18, inciso IX da LGPD. Ademais, o consentimento certamente não significa dizer que a permissão do titular de dados é uma “carta branca” para o tratamento de dados, afinal, os princípios da necessidade e finalidade orientam todo o processo de tratamento, por exemplo.
A segunda base legal é o cumprimento de obrigação legal ou regulatória. Assim, o controlador dos dados poderá tratá-los sempre que houver uma determinação de legislação federal, estadual ou municipal. Normalmente, o titular de dados possui o direito de requerer a eliminação de todos os dados pessoais tratados com seu consentimento (art. 18º, inciso VI), mas, por exemplo, para cumprimento de obrigação legal, essa faculdade não é dada ao titular de dados, conforme prevê o artigo 16, inciso I da LGPD. Para ilustrar o uso dessa base legal, por exemplo, o 6º, inciso IV da Lei nº 12.414/11, impõe ao gestor de banco de dados de adimplementos o dever de manter dados sobre consulentes por um mínimo de seis meses após a consulta, sendo obrigado a informar ao cadastrado quando solicitado a respeito das consultas.
A terceira base aplica-se à administração pública, viabilizando o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Para os agentes públicos, o tratamento ainda é condicionado ao atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
A quarta base legal aplica-se para a realização de estudos por órgão de pesquisa. Como “órgão de pesquisa”, entenda-se todo órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Por mais que a “necessidade” seja um princípio geral para o tratamento de dados, o legislador ainda optou por recomendar, para esta hipótese permissional do tratamento de dados, que a anonimização (4) seja preferencialmente observada.
A quinta base legal aplica-se quando o tratamento for necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a seu próprio pedido. Esta base aplica-se, potencialmente e por exemplo, à maior parte das relações negociais, como contratos de consumo, e justifica o tratamento de dados em procedimentos prévios à contratação, como no caso das diligências que antecedem um contrato de fusão e aquisição.
A sexta base legal que justifica o tratamento de dados aplica-se para o exercício regular de direitos em processo judicial, administrativo ou arbitral, servindo, inclusive, aos propósitos constitucionais de exercício de ampla defesa.
A sétima base legal aplica-se para a proteção da vida ou da incolumidade física do titular ou de terceiro. Essa base legal é bastante restritiva e somente pode ser utilizada em situações muito específicas. Por exemplo, a utilização de geolocalização de telefones celulares para localizar vítimas em escombros após um acidente.
A oitava base legal, de maneira um tanto quanto similar à sétima base legal, permite o tratamento de dados para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Assim, médicos, farmacêuticos, enfermeiros, enfim, profissionais da saúde em geral e entidades sanitárias estão autorizados a proceder ao tratamento de dados pessoais. Tais bases legais possuem tamanho destaque, que permitirão mesmo o tratamento de dados pessoais sensíveis, dispensando consentimento do titular (conforme exceções do art. 11º da LGPD).
A nona base legal resume-se ao legítimo interesse do controlador ou de terceiro, e a própria lei aponta como legítimos interesses que, de modo geral, devem ser avaliados no caso concreto, mas destacando o apoio e promoção das atividades do controlador; ou a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. Para a utilização desta base legal, a LGPD indica como requisito a manutenção de um Relatório de Impacto à Proteção de Dados Pessoais, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Este documento poderá ser requisitado pela Autoridade Nacional de Proteção de Dados.
Por fim, a décima base legal justifica o tratamento de dados desde que executado para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente, tal como a já referida Lei nº 12.414/11, ou a recém sancionada Lei do Cadastro Positivo (Lei Complementar 166/2019).
Por certo, a coleta e retenção de dados de usuários de maneira injustificada para o exercício das atividades específicas é completamente rechaçada pela Lei Geral de Proteção de Dados, exigindo-se um esforço de readequação institucional cujo prazo vai se apertando a cada novo dia. Nunca é demais lembrar: a LGPD produzirá efeitos totais em agosto de 2020.
Para estes e demais assuntos pertinentes à proteção de dados, entre em contato com a equipe VLF Advogados.
Fernanda Galvão
Sócia-executiva da Equipe de Consultoria do VLF Advogados
Rômulo Inácio da Silva Caldas
Estagiário da Equipe de Consultoria do VLF Advogados
(1) Informação relacionada a pessoa natural identificada ou identificável.
(2) Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
(3) O tratamento refere-se a toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
(4) A anonimização do dado refere-se ao procedimento da utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
