Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Lgpd 10 bases legais
1. Lei Geral de Proteçãode Dados Pessoais(LGPD) é,possivelmente,oassuntodomomento.
Trata-se de uma lei cujoprincipal objetivoé estabelecercritériose limitesparao tratamento
de dados pessoais,e passaráa serexigidaemtodoterritórionacional a partirde agostode
2020, quandoentraráem vigor.
Por seruma lei que mudaráa cultura de coletaexcessivae desmedidade dadospessoaissema
menorobservaçãode nenhumtipode critério,é razoável que asempresasbrasileirasestejam
um tantoquanto perdidas,semsaberemquaisdadospodemounãoseremtratados,de
acordo com a lei.
Contudo,nãoé necessárioirlonge paradescobrirarespostapara as perguntasacima,uma vez
que a própriaLGPD expõe,de formataxativaemseuart.7º, as 10 baseslegais parao
tratamentode dadospessoais.
As baseslegaisdaLGPD
Agora que jáentendemosumpoucosobre aLGPD iremosexplicarcadauma das 10 bases
legais.
1 – Mediante o fornecimentode consentimentopelotitular
Esta possivelmente é abase legal de tratamentode dadosmaisdifundidapelosconsultorese
estudiososdotemaemgeral,masao mesmotempoa maisproblemáticade se realizara
gestão.A LGPD exige que oconsentimentosejaserfornecidoporescritoouporoutro meio
que demonstre amanifestaçãoinequívocade vontade dotitular.
Quandoo consentimentose derporescrito,ele deveráconstaremumacláusuladestacada
das demaiscontratuais,que nãopode sergenérica,justamente paraque sejacomprovadoque
aquele consentimentofoi dadoparauma finalidade específicade tratamento.
Porém,omaior problemaemtratar dadospessoaiscombase noconsentimentodotitularé o
fatode que ele é consideradoumautorizadortemporário,umavezque pode serrevogadoa
qualquermomento,mediantemanifestaçãoexpressadotitular,porprocedimentogratuitoe
facilitado.Emoutraspalavras,caso umaempresacolete dadosatravésdoconsentimentodos
titularesdessesdados,seránecessáriodisporde algumtipode plataformaque permitaa
exclusãodosdadosapósa requisiçãodotitulare que mantenhaevidênciadessaexclusãopara
finsde comprovaçãoposterior,casonecessário,tudode formagratuita.
Portanto,recomenda-seque acoletade dadosse dê com base no consentimentosomente de
formaresidual,casonão sejapossível otratamentode dadosatravésde algumaoutra das
outras 9 baseslegaisexpostasaolongodeste texto.
2. 2 – Para o cumprimentode obrigaçãolegal ouregulatóriapelocontrolador
A 2ª base legal paratratamentode dadospessoaisprevistapelaLGPDé o cumprimentode
obrigaçãolegal ouregulatóriapelocontrolador.Este é umautorizadordaLGPD que possibilita
que a lei não entre emconflitocomoutraslegislaçõesvigentesemnossopaís,o que acabaria
por gerar umadiscussãosobre a possibilidadeounão do titularde dadosregistrarreclamação
contra um tipode tratamentode dadosque estivesse emdiscordânciacomoutra
determinaçãolegal.
No caso de uma obrigaçãodecorrente de lei acarretaremumtratamentode dadospessoais
por parte de umaempresa,essaestaráautorizadaa trata-losde modoa cumprira dita
exigêncialegal ouregulatória.
Exemplificando,seriaocasode uma empresatransmitirosdadosde seusempregados
constantesde seusregistrosinternosde RHà SecretariaEspecial doMinistériodaEconomia
(antigoMinistériodoTrabalho),afimde cumprircom a entregada RelaçãoAnual de
InformaçõesSociais(Rais).Nessecaso,osempregadosnãopodemoporresistênciaao
compartilhamentode dados,umavezque é necessáriaparaocumprimentode uma obrigação
legal/regulatóriaporparte do controlador.
3 – Pelaadministraçãopública,paraotratamentoe usocompartilhadode dadosnecessáriosà
execuçãode políticaspúblicasprevistasemleise regulamentosourespaldadasemcontratos,
convêniosouinstrumentoscongêneres,observadasasdisposiçõesdoCapítuloIV destaLei;
Durante o trabalhode consultoriapara adequaçãoà LGPD, uma dasprincipaisdúvidasque
surgemé a seguinte:estalei se aplicaaotratamentode dadospessoaisrealizadoporparte da
AdministraçãoPública?OincisoIIIdoart. 7º da LGPD responde aestapergunta:sim, órgãosda
administraçãopúblicaprecisamse adequare cumpriralei ao tratareme compartilharem
dadospessoaisparaexecuçãode politicaspúblicasourespaldadasemcontratos,convêniosou
instrumentoscongêneres,semanecessidade de consentimentodostitulares.
Contudo,a AdministraçãoPúblicaé obrigadaafornecerao titulardosdadosinformações
claras e inequívocassobre a base legal parao tratamentodosdados, a finalidade e quaisos
procedimentosutilizadosaolongodociclode vidado dadodentrodossistemasda
AdministraçãoPública.
A AdministraçãoPúblicasomentenãoestaráobrigadaa cumprircom as exigênciasdaLGPDno
caso de tratamentode dados feito exclusivamente parafinsde segurançapública,defesa
nacional,segurançadoEstado ouatividadesde investigaçãooude repressãode infrações
penais.
3. De se ressaltarque os serviçosnotariaise de registroexercidosemcaráterprivado,por
delegaçãodoPoderPúblico,terãoomesmotratamentodispensadoaosórgãospúblicos,
devendoforneceracessoaosdadospor meioeletrônicoparaa AdministraçãoPública.
Uma grande diferençadaaplicaçãodaLGPD aosórgãos públicosparao âmbitoprivadodiz
respeitoàs penalidadesaplicadas.Paraa AdministraçãoPública,nãoháa previsãode sanção
pecuniária,masapenasa advertência,apublicizaçãodainfração,bloqueiooueliminaçãodos
dadospessoaisaque se refere ainfração,semprejuízodassançõesprevistasnoEstatutodo
ServidorPúblicoFederal,nalei de ImprobidadeAdministrativae nalei de acessoà informação.
4 – Para a realizaçãode estudosporórgãode pesquisa,garantida,sempre que possível,a
anonimizaçãodosdadospessoais;
Tambémé permitidootratamentode dadospessoaisfeitopararealizaçãode estudospor
órgãos de pesquisa,de modoque,sempre que possível,estesdadosdeverãoser
anonimizados,afimde garantira privacidade dostitularese evitarpossíveisvazamentos,uma
vezque um dadoanonimizadosé aquele que nãoé possível identificaroseutitular,
considerandoautilizaçãode técnicasrazoáveisnaocasiãodotratamento.
Uma prática já utilizadapelosórgãosde pesquisacomointuitode anonimizarosdados
pessoaisé,porexemplo,quando emumapesquisaparaapuraçãode intençãode votosem
uma eleição,hajaaproporçãode votaçãopara cada candidatode acordo com sexo,
escolaridade,regiãogeográfica,classe social,etc.Oresultadodapesquisaé cumprido,ao
pontoque é praticamente impossívelsaberquemforamaspessoasque demonstraram
aquelasintençõesutilizando-se de técnicasrazoáveisparatentaratribuirumconjuntode
dadosa umapessoaindividualizada.
5 – Quandonecessárioparaa execuçãode contratoou de procedimentospreliminares
relacionadosacontratodo qual sejaparte o titular,apedidodotitulardosdados;
A 5ª base legal autorizadoradotratamentode dadospessoaisé anecessidade paraexecução
de um contrato ou de procedimentospreliminaresrelacionadasaumcontrato que o titular
dos dadosfigurarácomo integrante.
Nesse caso,o tratamentode dadosse dará a pedidodoprópriode titulardosdadospara
garantir a execuçãode umcontrato ou de seusprocedimentospreliminares.Essahipótesese
assemelhaumpoucocomo tratamentode dados viaconsentimento,comadiferençade que o
titulardosdadosnão poderárevogaro seufornecimentoaqualquermomento,umavezque a
outra parte estará resguardadapelaLGPDpara podermanterosdados fornecidospelotitular
enquanto durara vigênciadocontrato.
4. Um exemploseriaacontrataçãopor parte de um titularde dadosde um serviçocujoobjeto
principal é o tratamentode dadospessoais,tal comoacontece coma inserçãode dadosem
um serviçode armazenamentoemnuvem.
6- Para o exercícioregularde direitosemprocessojudicial,administrativoouarbitral,esse
últimonostermosda Lei nº 9.307/96 (Lei de Arbitragem);
Outra base legal possível de serutilizadapelocontroladoré otratamentode dados pessoais
para o exercício regularde direitosemprocessojudicial,administrativoouarbitral.
Esse autorizadorgarantidopelaLGPD é uma decisãoacertadacom o intuitode garantiro
direitode produçãode provasde uma parte contra a outra emum processojudicial (na
maioriadas vezes),administrativoouarbitral,este últimonostermosdaLei de Arbitragem.
Permitirque umadaspartes se oponhaa este tipode tratamentode dadosseriacercear o
direitode defesadaoutraemum processoe infringirospreceitosconstitucionaisda ampla
defesae docontraditório.
7 – Para a proteçãoda vidaou da incolumidade físicadotitularoude terceiro;
Ademais,aLGPD tambémadmite otratamentode dadosfeitocom o intuitode protegeravida
ou a incolumidadefísicadotitulardosdadosou de terceiros.
Trata-se de um autorizadorlegal cujoobjetivoé garantiraproteçãode bensde elevado
interesse público,taiscomoavidae a incolumidadefísica,desde que devidamente
comprovadaessanecessidadee expostaafinalidade dotratamentodosdadosnestasituação.
Esta é uma base legal autorizadoraparao tratamentode dadospessoaistãoespecíficaque,
até mesmooart. 11, II,e da LGPD estabelece que dadospessoaissensíveispoderãoser
tratados semo fornecimentode consentimentodotitular,casosejamindispensáveisparaa
proteçãoda vidaou da incolumidadefísicadotitularoude terceiro,hajavistao interesse
públicoenvolvidoneste tipode tratamento.
Um exemplodeste tipode tratamentode dadosé oseguinte:imagine umapessoa
inconsciente dandoentradaemumhospital que nuncaestevenavidaapóssofrerumgrave
acidente.Nessecaso,onovohospital precisaráde todoo históricomédicodopaciente
constante de um outrohospital que ele costumafrequentar,estando,portanto,autorizadoo
médicoque iráatende-lorequisitaradocumentaçãoao outrohospital,que poderá
compartilhartodaa documentaçãoque disponhadaquelepaciente.
8 – Para a tuteladasaúde,exclusivamente,emprocedimentorealizadoporprofissionaisde
saúde,serviçosde saúde ouautoridade sanitária;
5. Seguindoamesmaideiadabase legal mencionadanoitemanterior,aLGPDtambémautoriza
o tratamentode dadospara a tuteladasaúde,desde que realizadoporprofissionaisde saúde,
serviçosde saúde ouautoridade sanitária.
É tambémuma base legal que temcomoplanode fundoointeresse públiconotratamento
dos dadospessoais,sendoobjetode regrasespecíficasdentrodaprópriaLGPD quandoo
controladoratuar na área da saúde.Provavelmente seráumdositensde maiordebate ao
longoda formaçãoe consolidaçãodaconsciênciade proteçãode dadosna sociedade
brasileira.
Da mesmaforma que o itemanterior,estatambémé umabase legal autorizadoraparao
tratamentode dadospessoaisbastante específica,emque oart. 11, II,f da LGPD estabelece
que dadospessoaissensíveispoderãosertratadossemofornecimentode consentimentodo
titular,casosejamindispensáveisparaatutelada saúde,exclusivamente,emprocedimento
realizadoporprofissionaisde saúde,serviçosde saúde ouautoridade sanitária.
Uma especificidade dotratamentocombase neste incisoé aautorizaçãodo art. 11 da referida
lei para a comunicaçãoou o usocompartilhadoentre controladoresde dadospessoais
sensíveisreferentesàsaúde noscasosde prestaçãode serviçosde saúde,de assistência
farmacêuticae de assistênciaàsaúde,incluídososserviçosauxiliaresde diagnose e terapia,
com objetivode obtervantagemeconômica,desdeque embenefíciodosinteressesdos
titularesde dados,sendovedadoàsoperadorasde planosprivadosde assistênciaàsaúde o
tratamentode dadosde saúde para a prática de seleçãode riscosna contratação de qualquer
modalidade,assimcomonacontrataçãoe exclusãode beneficiários.Qualqueroutrotipode
comunicaçãoou usocompartilhadode dadosreferentesàsaúde é categoricamente vedado
pelaLGPD.
9 – Quandonecessárioparaatenderaosinteresseslegítimosdocontroladoroude terceiro,
excetonocaso de prevaleceremdireitose liberdadesfundamentaisdotitularque exijama
proteçãodos dadospessoais;
Apóso consentimento,a2ª base legal autorizadorade tratamentode dadosmaispropagadaé
o legítimointeresse docontroladoroude terceiros.Noentanto,assimcomooconsentimento,
estabase legal é potencialmente problemática,sendorecomendadoutiliza-lasomente quando
não houveroutrabase legal aplicável aocaso,pelanebulosidade e fragilidadeque envolvemo
tema.
Alémde serum tantoquanto difícil apontar,neste momento,oque seriao“legítimo
interesse”docontroladoroude terceiro,umavezque nãohá uma previsãolegal no
ordenamentojurídicobrasileiroarespeitodadefiniçãodeste termo,é sempre muito
importante sopesaraté que pontoolegítimointeressedocontroladoroude terceirosobrepõe
o do titulardosdados,ou fere algumaoutradisposiçãoexpressadaLGPD.
6. O art. 10 da LGPD determinaque olegítimointeresse docontroladorsomentepoderá
fundamentartratamentode dadospessoaisparafinalidadeslegítimas,consideradasapartir
de situaçõesconcretas,que incluem, mas nãose limitama:1) apoioe promoção de atividades
do controladore 2) proteção,emrelaçãoao titular,doexercícioregularde seusdireitosou
prestaçãode serviçosque o beneficiem, respeitadasaslegítimasexpectativasdelee osdireitos
e liberdades fundamentais.
Portanto,para que se possa utilizarestabase legal comoautorizadoraparao tratamentode
dadosé necessárioidentificaruminteresse inequivocamente legítimo,demonstrarque o
tratamentode dadosé necessárioparase atingirtal objetivo e tomaro devidocuidadopara
não violarnenhumdispositivolegal ounenhumdireitodotitulardaquelesdados.
10 – Para a proteçãodo crédito,inclusive quantoaodispostonalegislaçãopertinente.
A 10ª e últimabase legal possívelde utilizaçãoparase realizarotratamentode dados pessoais
é a proteçãodo crédito,emobservânciaàsregrasespecificasparaeste tema.
O objetivodolegisladorfoi evitarque titularesde dadospessoaisse utilizemde umabrecha
legislativaparacriaremmecanismosde escaparemde cobrançaspordívidascontraídas.
Seriainimaginável pensaremumtitularde dadosrequerendoaexclusãodosmesmosdos
cadastros doSPC e Serasa,por exemplo,sobaalegaçãode que não autorizouoreferido
tratamentoouque violariaasua privacidade,safando-se,assim,de instrumentosparaefetivar
a cobrança do crédito.
Debatesacaloradossobre umpossível conflitoentreainclusãoautomáticanoCadastro
Positivoe aLGPD surgiramnomeioacadêmico,discussãoessaque possivelmente somente
será resolvidacoma efetivacriaçãoda Autoridade Nacional,que buscaráharmonizaras
determinaçõesde ambosdispositivoslegais,umavezque é simpossível que oCadastro
Positivosigaasregrasda LGPD, notadamente noque dizrespeitoàtransparênciae à
informaçãosobre otratamentodos dadospessoais.
Conclusão
De umaforma bastante concisa,estassãoas 10 baseslegaispermitidaspeloart.7º da LGPD
para se realizarotratamentode dadospessoais.Buscou-se exporbrevemente cadaumadelas
com utilizaçãode exemplosparafacilitaracompreensãoe difundiroconhecimentoaosmais
variadosramosde estudoe até mesmoa leigosnoassunto.