Tratamento de Dados

A Lei Geral de Proteção de Dados (LGPD) é a lei do momento para as empresas. Apesar da incerteza sobre a data de entrada em vigor da LGPD, é de conhecimento que tal lei irá afetar a maneira e a forma de tratamento dos dados pessoais, não só pelas empresas, mas também por qualquer pessoa física que trate dados pessoais.

Antes de começarmos de fato a apresentação das bases legais para o tratamento de dados, importante explicar primeiramente o que vem a ser dados pessoais. Os Dados Pessoais nada mais são do que dados que tornem uma pessoa natural identificada ou identificável. Por exemplo: Nome, CPF, número de telefone, e-mail, tudo isso são dados pessoais. Mas os dados pessoais não ficam somente nessa esfera óbvia, vai muito além, entretanto, trataremos desse assunto em um outro artigo

Outro conceito de extrema importância para termos um melhor entendimento sobre a lei, é o conceito de ‘’tratamento de dados’’. Considere tratar dados pessoais, toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.

Pronto, tendo conhecimento desses dois conceitos basilares da LGPD, passaremos agora as bases legais para o tratamento de dados pessoais.

As bases legais para o tratamento de dados se encontram no Art. 7º da LGPD. Cada fundamento legal possui características próprias, nenhum deles é inerentemente “melhor” ou “mais importante” que os demais, a questão é avaliar qual destes fundamentos é mais apropriado ao caso específico considerando a relação que possui com o titular dos dados.

Bem, temos dez bases legais, quais sejam:

1 – CONSENTIMENTO:

O consentimento possui alguns pontos específicos fundamentais, primeiramente deverá ser uma ação afirmativa, ou seja, o titular deverá ser expresso em consentir com a utilização de seus dados, eventual omissão deverá ser interpretada negativamente.

O consentimento significa que o titular foi devidamente informado das finalidades, tempo e meio de processamento de dados, por isso a comunicação deve ser clara e compreensível, e, também, é necessário informar quem será o responsável pelo processamento dos dados, quais eventuais terceiros possuirão acesso a ele (em quais circunstâncias). Importante também criar formas fáceis de remoção do consentimento, que deverá ser tão simples quanto a sua concessão.

2 – CUMPRIMENTO DE OBRIGAÇÃO LEGAL

A expressão “obrigação legal” engloba obrigações decorrentes de leis e/ou decisões judiciais vinculantes, nesse caso o tratamento de dados e seu eventual compartilhamento com terceiros decorre da existência de legislação nesse sentido. Por exemplo, uma empresa deve informar às autoridades fiscais o salário pago aos seus funcionários, nesse caso o titular dos dados não pode proibir o seu compartilhamento.

Nessas situações o tratamento e compartilhamento de dados deve ser interpretada restritivamente, apenas os dados especificados em lei deverão ser cedidos, considerando o princípio da legalidade.

3 – ADMINISTRAÇÃO PÚBLICA

A Administração Pública é obrigada a fornecer ao titular dos dados informações claras e inequívocas sobre a base legal para o tratamento dos dados, a finalidade e quais os procedimentos utilizados ao longo do ciclo de vida do dado dentro dos sistemas da Administração Pública.

A Administração Pública somente não estará obrigada a cumprir com as exigências da LGPD no caso de tratamento de dados feito exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou de repressão de infrações penais.

É necessário realizar a leitura deste dispositivo em conjunto com o art. 23 da LGPD relativas às regras de tratamentos de dados pessoais pelo Poder Público.

4 – REALIZAÇÃO DE ESTUDO POR ÓRGÃO DE PESQUISA

A base legal específica que não deve ser confundida com pesquisa para fins acadêmicos (que não se submete à LGPD). Assim, deverá ser garantida, sempre que for possível, a anonimização dos dados pessoais dos titulares por meio de procedimentos que impossibilitem a associação de determinado dado ao indivíduo.

5 – EXECUÇÃO DO CONTRATO

A lógica é a mesma quando se fala de obrigação legal ou regulatória, sendo admissível o tratamento de dados por imposição legal, procedimental, contratual ou ordem judicial.

Deve-se atestar a diferença na execução de contratos e da política de privacidade, visto que não se tratam de documentos similares.

A política de privacidade determina o formato do tratamento de dados dos titulares, indicação de quais informações serão coletas, como serão armazenados e tratados os dados, bem como previsão de como serão excluídos.

Já o contrato é celebrado entre particulares em que alguns dados pessoais deverão ser concedidos para sua celebração, como por exemplo, quando um indivíduo adquire produto ou serviço e precisa recebê-lo após a compra, indica seus dados pessoais como nome completo, CPF e endereço para que seja efetuada a entrega e eventual cobrança.

6 – EXERCÍCIO REGULAR DO DIREITO EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL

Aqui temos uma base legal para tratar de processos, permitindo que mesmo que não haja o consentimento do titular dos dados, estes poderão ser coletados com o intuito de garantir o direito de produção de provas em uma lide, sem que ocorra o cerceamento do direito de defesa de alguma das partes.

7 – PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIRO

Nessa situação, pode-se dizer que está relacionada a um estado de necessidade, ou seja, uma situação em que determinado indivíduo está em risco e que só pode ser resolvida por meio de compartilhamento de dados, seja por meio de acesso ao celular do indivíduo ou da carteira para verificação dos documentos pessoais.

8 – TUTELA DA SAÚDE

Exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, esta situação abrange a hipótese em que o profissional de saúde vai poder acessar os dados de saúde de um indivíduo em que deve ser resguardada tanto a integridade do titular dos dados, quanto do controlador que realiza a operação do tratamento de dados com a finalidade de preservar a vida e a saúde do indivíduo. Isto posto, é importante destacar que o destaque quanto ao “exclusivamente” é importante para afastar interesses de entidades como farmácias, tomadoras de plano de saúde e hospitais que pudessem violar a intimidade dos dados sensíveis relacionados à saúde do titular.

9 – LEGÍTIMO INTERESSE

O legítimo interesse é um ponto que gera diversas controvérsias dado o seu amplo escopo, dada a dificuldade em definir o que se enquadra como legítimo interesse e, em situações de conflito, como avaliar se o direito à privacidade do titular dos dados deve se sobrepor ao legítimo interesse e em qual medida.

O aspecto mais importante do legítimo interesse é que este precisa ser, além de legal, suficientemente definido e não especulativo, ou seja, um interesse real referente a possibilidades fáticas. O ponto é que a “preocupação” que motiva o interesse deve ser algo factível e claro, preocupações genéricas como “manter a segurança de nossos funcionários” não é suficiente, sendo necessário algo como “guardar informações de tipo sanguíneo de nossos funcionários que trabalham em áreas de risco”, existe aqui uma finalidade legal, bem definida e possível.

A previsão do legítimo interesse está previsto no art. 10 da LGPD, em que se trata de um rol exemplificativo para nortear as atividades do controlador de dados, visto que seria impossível o legislador prever todas as hipóteses, mas essa atividade deve identificar para quais finalidades o tratamento deverá ser realizado e se são legítimas e consideradas a partir de situações concretas, além de verificar se é necessário realizar o tratamento de dados para aquela finalidade e ainda, fazer o balanceamento dos direitos e liberdades fundamentais dos titulares de dados que seriam impactados por esse tratamento (baseando-se no art. 6º, II da LGPD que determina o princípio da adequação e também no princípio da minimização e necessidade).

Ressalte-se que quando for necessário realizar o tratamento de dados pessoais em função do legítimo interesse, o controlador deverá elaborar um relatório de impacto de proteção dos dados pessoais (DPIA), que deverá descrever os processos de tratamento dos dados pessoais dos titulares, bem como as medidas, salvaguardas e mecanismos para mitigação de riscos, na forma do art. 5º, XVII c/c art. 38 da LGPD.

10 – PROTEÇÃO DO CRÉDITO

Esta é a garantia aos principais órgãos de proteção ao crédito, que possam incluir dados pessoais dos consumidores em cadastros positivos de crédito sem o consentimento do titular. Tanto que para este inciso, o tratamento de dados pessoais sem consentimento estaria autorizado tendo em vista as finalidades indicadas no art. 7º da Lei do Cadastro Positivo (Lei nº 12.414/2011).

É imperioso lembrar que a proteção do crédito diz respeito a uma autorização de tratamento de dados em que a LGPD é um referencial normativo e que se relaciona a outros sistemas de proteção de dados, (Código de Defesa do Consumidor, Marco Civil da Internet, Comércio Eletrônico Virtual, Lei do Cadastro Positivo).

CONCLUSÃO

De uma forma bem resumida, essas são as dez bases legais para o tratamento de dados pessoais. Buscou-se expor e explicar brevemente cada uma delas, sendo assim, o presente artigo não teve como finalidade exaurir por completo o tema, bem como suas discussões.

ARTIGOS RELACIONADOSMais do autor