Por Daniel Versoza Alves, Trainee do Núcleo Contencioso e Graduando em Direito pela Universidade Federal do Paraná
Em agosto de 2020, a Lei Geral de Proteção de Dados (“LGPD”) entrará em vigor. Seu principal objetivo consiste na proteção dos titulares de dados pessoais, o que se busca por meio do incremento da segurança e previsibilidade das relações que envolvam tratamento de dados. Com o advento da LGPD, da mesma forma que o titular dos dados poderá reclamar seus direitos, as empresas e os agentes de tratamento de dados estarão seguros de que não sofrerão sanções inesperadas – desde que atuem de acordo com as previsões legais.
A fim de auxiliar as pessoas físicas e jurídicas a agir em conformidade com a LGPD, abordaremos as autorizações jurídicas que permitem o tratamento de dados pessoais e que garantirão maior segurança em operações dessa natureza.
O artigo 7º da LGPD traz dez hipóteses taxativas para o tratamento de dados, o que significa dizer que o tratamento de dados somente poderá ser legalmente realizado dentro dessas previsões.
A primeira hipótese é a obtenção do consentimento do titular (inc. I). Conforme definido na própria lei, o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, inc. XII).
Para a obtenção do consentimento, é necessário que este seja livre, informado, inequívoco, específico e expresso, de modo a deixar clara a manifestação de vontade do titular (art. 8º). Quando escrito, deverá ser obtido em termo ou cláusula destacada das demais, para garantir que o titular tenha ciência das finalidades específicas para as quais está fornecendo seus dados (art. 8º, §4º).
A segunda autorização é para o cumprimento de obrigação legal ou regulatória pelo controlador (inc. II). Sua utilização se torna possível no caso de imposição de ordem para tratamento (seja para fornecimento, adequação ou modificação de dados pessoais) caso lei ou ato normativo assim imponha, não sendo o tratamento, nestes casos, uma escolha discricionária das empresas ou agentes.
A terceira base legal é a execução de políticas públicas (inc. III). Não se aplica às empresas e aos agentes de tratamento em geral, mas apenas à Administração Pública. Deverá sempre ser observada a adequação do tratamento à execução de política pública, observando-se as regras do Capítulo IV da Lei, que regulamenta o uso de dados pessoais pelo poder público.
A quarta hipótese é a de estudos e pesquisas (inc. IV). Neste caso, deverá ser garantida, sempre que possível, a anonimização dos dados pessoais por meio de procedimentos impossibilitem a associação de um dado a um indivíduo, seja mediante criptografia ou outro mecanismo anonimizador.
No caso de estudos em saúde pública, os dados serão tratados estritamente para fins de estudos e pesquisas, devendo ser mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados (art. 13).
A quinta e sexta hipóteses são semelhantes e valem para a execução de contratos (inc. V) e em processo judicial, administrativo ou arbitral (inc. VI). Assim como no cumprimento de obrigação legal ou regulatória, estará autorizado o tratamento dos dados pessoais para finalidades específicas caso haja ordem judicial, imposição legal, procedimental, ou contratual.
A sétima autorização diz respeito à proteção da vida ou da incolumidade física do titular (inc. VII). Bastante excepcional, está relacionada a estado de necessidade do titular. O exemplo mais comum é o acesso de telefone celular ou documentos do indivíduo no caso de acidente que este tenha sofrido, a fim de viabilizar a comunicação com sua família, acionar o plano de saúde ou chamar uma ambulância.
A oitava hipótese, alterada pela Lei nº 13.853/19 para incluir a expressão “exclusivamente”, é a da tutela da saúde (inc. VIII). Esta hipótese não serve a finalidades outras que não aquelas expressamente descritas no dispositivo legal, ou seja, no caso de procedimento realizado por profissional de saúde, serviços de saúde ou autoridade sanitária. O destaque quanto ao “exclusivamente” é importante para afastar interesses de entidades como farmácias, tomadoras de plano de saúde e hospitais que pudessem violar a intimidade dos dados sensíveis relacionados à saúde do titular.
A nona e, sem dúvidas, mais polêmica de todas as bases legais, é o caso de legítimo interesse do controlador (inc. IX). Inédita no direito brasileiro, mas muito utilizada fora do país, essa base legal autoriza o controlador a tratar dados pessoais para diversas finalidades sem o consentimento do titular para cada uma delas.
Ainda assim, para utilização desta hipótese, é necessário avaliar a proporcionalidade entre os interesses da empresa em tratar os dados e a legítima expectativa do titular dos dados, bem como seus direitos e liberdades fundamentais. Por tal razão, a base legal é bastante abstrata e incerta, podendo representar certo risco tanto ao controlador quanto aos titulares dos dados, visto que ambos ficarão à mercê deste teste de proporcionalidade.
Apesar disso, por facilitar o procedimento para legitimar o tratamento de dados, o interesse legítimo tem sido a base legal mais utilizada pelas grandes corporações que atuam com tratamento massivo de dados.
Por fim, a décima e última autorização legal diz respeito à proteção do crédito (inc. X). Esta é a garantia aos tradicionais órgãos de proteção ao crédito, para que possam incluir dados pessoais dos consumidores em cadastros positivos sem o consentimento do titular. A base legal serve como garantia que vai para além do próprio indivíduo e favorece a coletividade em geral. No caso de compartilhamento ou transferência de tais dados, os agentes deverão observar as premissas do interesse legítimo ou consentimento, na medida em que ultrapassarão a estrita proteção do crédito.
Nenhuma das hipóteses legais prepondera sobre as demais, sendo sempre necessário buscar a base legal que seja mais adequada às operações do controlador. Por tal razão, é importante que as empresas que trabalham com tratamento de dados pessoais em suas operações adequem seus procedimentos internos e suas políticas de compliance desde logo, a fim de estar em conformidade com a lei e garantir a regularidade de suas operações de tratamento.
Deste modo, a Poletto & Possamai Sociedade de Advogados está disposta a auxiliar as companhias com a adequação às bases legais para tratamento de dados pessoais de acordo com a Lei Geral de Proteção de Dados, a fim de garantir, da maneira mais eficiente, a conformidade à Lei.