Baixar para ler offline
Lgpd 10 bases legais
- 1. Lei Geral deProteçãode Dados Pessoais(LGPD) é,possivelmente,oassuntodomomento. Trata-se de uma lei cujoprincipal objetivoé estabelecercritériose limitesparao tratamento de dados pessoais,e passaráa serexigidaemtodoterritórionacional a partirde agostode 2020, quandoentraráem vigor. Por seruma lei que mudaráa cultura de coletaexcessivae desmedidade dadospessoaissema menorobservaçãode nenhumtipode critério,é razoável que asempresasbrasileirasestejam um tantoquanto perdidas,semsaberemquaisdadospodemounãoseremtratados,de acordo com a lei. Contudo,nãoé necessárioirlonge paradescobrirarespostapara as perguntasacima,uma vez que a própriaLGPD expõe,de formataxativaemseuart.7º, as 10 baseslegais parao tratamentode dadospessoais. As baseslegaisdaLGPD Agora que jáentendemosumpoucosobre aLGPD iremosexplicarcadauma das 10 bases legais. 1 – Mediante o fornecimentode consentimentopelotitular Esta possivelmente é abase legal de tratamentode dadosmaisdifundidapelosconsultorese estudiososdotemaemgeral,masao mesmotempoa maisproblemáticade se realizara gestão.A LGPD exige que oconsentimentosejaserfornecidoporescritoouporoutro meio que demonstre amanifestaçãoinequívocade vontade dotitular. Quandoo consentimentose derporescrito,ele deveráconstaremumacláusuladestacada das demaiscontratuais,que nãopode sergenérica,justamente paraque sejacomprovadoque aquele consentimentofoi dadoparauma finalidade específicade tratamento. Porém,omaior problemaemtratar dadospessoaiscombase noconsentimentodotitularé o fatode que ele é consideradoumautorizadortemporário,umavezque pode serrevogadoa qualquermomento,mediantemanifestaçãoexpressadotitular,porprocedimentogratuitoe facilitado.Emoutraspalavras,caso umaempresacolete dadosatravésdoconsentimentodos titularesdessesdados,seránecessáriodisporde algumtipode plataformaque permitaa exclusãodosdadosapósa requisiçãodotitulare que mantenhaevidênciadessaexclusãopara finsde comprovaçãoposterior,casonecessário,tudode formagratuita. Portanto,recomenda-seque acoletade dadosse dê com base no consentimentosomente de formaresidual,casonão sejapossível otratamentode dadosatravésde algumaoutra das outras 9 baseslegaisexpostasaolongodeste texto.
- 2. 2 – Parao cumprimentode obrigaçãolegal ouregulatóriapelocontrolador A 2ª base legal paratratamentode dadospessoaisprevistapelaLGPDé o cumprimentode obrigaçãolegal ouregulatóriapelocontrolador.Este é umautorizadordaLGPD que possibilita que a lei não entre emconflitocomoutraslegislaçõesvigentesemnossopaís,o que acabaria por gerar umadiscussãosobre a possibilidadeounão do titularde dadosregistrarreclamação contra um tipode tratamentode dadosque estivesse emdiscordânciacomoutra determinaçãolegal. No caso de uma obrigaçãodecorrente de lei acarretaremumtratamentode dadospessoais por parte de umaempresa,essaestaráautorizadaa trata-losde modoa cumprira dita exigêncialegal ouregulatória. Exemplificando,seriaocasode uma empresatransmitirosdadosde seusempregados constantesde seusregistrosinternosde RHà SecretariaEspecial doMinistériodaEconomia (antigoMinistériodoTrabalho),afimde cumprircom a entregada RelaçãoAnual de InformaçõesSociais(Rais).Nessecaso,osempregadosnãopodemoporresistênciaao compartilhamentode dados,umavezque é necessáriaparaocumprimentode uma obrigação legal/regulatóriaporparte do controlador. 3 – Pelaadministraçãopública,paraotratamentoe usocompartilhadode dadosnecessáriosà execuçãode políticaspúblicasprevistasemleise regulamentosourespaldadasemcontratos, convêniosouinstrumentoscongêneres,observadasasdisposiçõesdoCapítuloIV destaLei; Durante o trabalhode consultoriapara adequaçãoà LGPD, uma dasprincipaisdúvidasque surgemé a seguinte:estalei se aplicaaotratamentode dadospessoaisrealizadoporparte da AdministraçãoPública?OincisoIIIdoart. 7º da LGPD responde aestapergunta:sim, órgãosda administraçãopúblicaprecisamse adequare cumpriralei ao tratareme compartilharem dadospessoaisparaexecuçãode politicaspúblicasourespaldadasemcontratos,convêniosou instrumentoscongêneres,semanecessidade de consentimentodostitulares. Contudo,a AdministraçãoPúblicaé obrigadaafornecerao titulardosdadosinformações claras e inequívocassobre a base legal parao tratamentodosdados, a finalidade e quaisos procedimentosutilizadosaolongodociclode vidado dadodentrodossistemasda AdministraçãoPública. A AdministraçãoPúblicasomentenãoestaráobrigadaa cumprircom as exigênciasdaLGPDno caso de tratamentode dados feito exclusivamente parafinsde segurançapública,defesa nacional,segurançadoEstado ouatividadesde investigaçãooude repressãode infrações penais.
- 3. De se ressaltarqueos serviçosnotariaise de registroexercidosemcaráterprivado,por delegaçãodoPoderPúblico,terãoomesmotratamentodispensadoaosórgãospúblicos, devendoforneceracessoaosdadospor meioeletrônicoparaa AdministraçãoPública. Uma grande diferençadaaplicaçãodaLGPD aosórgãos públicosparao âmbitoprivadodiz respeitoàs penalidadesaplicadas.Paraa AdministraçãoPública,nãoháa previsãode sanção pecuniária,masapenasa advertência,apublicizaçãodainfração,bloqueiooueliminaçãodos dadospessoaisaque se refere ainfração,semprejuízodassançõesprevistasnoEstatutodo ServidorPúblicoFederal,nalei de ImprobidadeAdministrativae nalei de acessoà informação. 4 – Para a realizaçãode estudosporórgãode pesquisa,garantida,sempre que possível,a anonimizaçãodosdadospessoais; Tambémé permitidootratamentode dadospessoaisfeitopararealizaçãode estudospor órgãos de pesquisa,de modoque,sempre que possível,estesdadosdeverãoser anonimizados,afimde garantira privacidade dostitularese evitarpossíveisvazamentos,uma vezque um dadoanonimizadosé aquele que nãoé possível identificaroseutitular, considerandoautilizaçãode técnicasrazoáveisnaocasiãodotratamento. Uma prática já utilizadapelosórgãosde pesquisacomointuitode anonimizarosdados pessoaisé,porexemplo,quando emumapesquisaparaapuraçãode intençãode votosem uma eleição,hajaaproporçãode votaçãopara cada candidatode acordo com sexo, escolaridade,regiãogeográfica,classe social,etc.Oresultadodapesquisaé cumprido,ao pontoque é praticamente impossívelsaberquemforamaspessoasque demonstraram aquelasintençõesutilizando-se de técnicasrazoáveisparatentaratribuirumconjuntode dadosa umapessoaindividualizada. 5 – Quandonecessárioparaa execuçãode contratoou de procedimentospreliminares relacionadosacontratodo qual sejaparte o titular,apedidodotitulardosdados; A 5ª base legal autorizadoradotratamentode dadospessoaisé anecessidade paraexecução de um contrato ou de procedimentospreliminaresrelacionadasaumcontrato que o titular dos dadosfigurarácomo integrante. Nesse caso,o tratamentode dadosse dará a pedidodoprópriode titulardosdadospara garantir a execuçãode umcontrato ou de seusprocedimentospreliminares.Essahipótesese assemelhaumpoucocomo tratamentode dados viaconsentimento,comadiferençade que o titulardosdadosnão poderárevogaro seufornecimentoaqualquermomento,umavezque a outra parte estará resguardadapelaLGPDpara podermanterosdados fornecidospelotitular enquanto durara vigênciadocontrato.
- 4. Um exemploseriaacontrataçãopor partede um titularde dadosde um serviçocujoobjeto principal é o tratamentode dadospessoais,tal comoacontece coma inserçãode dadosem um serviçode armazenamentoemnuvem. 6- Para o exercícioregularde direitosemprocessojudicial,administrativoouarbitral,esse últimonostermosda Lei nº 9.307/96 (Lei de Arbitragem); Outra base legal possível de serutilizadapelocontroladoré otratamentode dados pessoais para o exercício regularde direitosemprocessojudicial,administrativoouarbitral. Esse autorizadorgarantidopelaLGPD é uma decisãoacertadacom o intuitode garantiro direitode produçãode provasde uma parte contra a outra emum processojudicial (na maioriadas vezes),administrativoouarbitral,este últimonostermosdaLei de Arbitragem. Permitirque umadaspartes se oponhaa este tipode tratamentode dadosseriacercear o direitode defesadaoutraemum processoe infringirospreceitosconstitucionaisda ampla defesae docontraditório. 7 – Para a proteçãoda vidaou da incolumidade físicadotitularoude terceiro; Ademais,aLGPD tambémadmite otratamentode dadosfeitocom o intuitode protegeravida ou a incolumidadefísicadotitulardosdadosou de terceiros. Trata-se de um autorizadorlegal cujoobjetivoé garantiraproteçãode bensde elevado interesse público,taiscomoavidae a incolumidadefísica,desde que devidamente comprovadaessanecessidadee expostaafinalidade dotratamentodosdadosnestasituação. Esta é uma base legal autorizadoraparao tratamentode dadospessoaistãoespecíficaque, até mesmooart. 11, II,e da LGPD estabelece que dadospessoaissensíveispoderãoser tratados semo fornecimentode consentimentodotitular,casosejamindispensáveisparaa proteçãoda vidaou da incolumidadefísicadotitularoude terceiro,hajavistao interesse públicoenvolvidoneste tipode tratamento. Um exemplodeste tipode tratamentode dadosé oseguinte:imagine umapessoa inconsciente dandoentradaemumhospital que nuncaestevenavidaapóssofrerumgrave acidente.Nessecaso,onovohospital precisaráde todoo históricomédicodopaciente constante de um outrohospital que ele costumafrequentar,estando,portanto,autorizadoo médicoque iráatende-lorequisitaradocumentaçãoao outrohospital,que poderá compartilhartodaa documentaçãoque disponhadaquelepaciente. 8 – Para a tuteladasaúde,exclusivamente,emprocedimentorealizadoporprofissionaisde saúde,serviçosde saúde ouautoridade sanitária;
- 5. Seguindoamesmaideiadabase legal mencionadanoitemanterior,aLGPDtambémautoriza otratamentode dadospara a tuteladasaúde,desde que realizadoporprofissionaisde saúde, serviçosde saúde ouautoridade sanitária. É tambémuma base legal que temcomoplanode fundoointeresse públiconotratamento dos dadospessoais,sendoobjetode regrasespecíficasdentrodaprópriaLGPD quandoo controladoratuar na área da saúde.Provavelmente seráumdositensde maiordebate ao longoda formaçãoe consolidaçãodaconsciênciade proteçãode dadosna sociedade brasileira. Da mesmaforma que o itemanterior,estatambémé umabase legal autorizadoraparao tratamentode dadospessoaisbastante específica,emque oart. 11, II,f da LGPD estabelece que dadospessoaissensíveispoderãosertratadossemofornecimentode consentimentodo titular,casosejamindispensáveisparaatutelada saúde,exclusivamente,emprocedimento realizadoporprofissionaisde saúde,serviçosde saúde ouautoridade sanitária. Uma especificidade dotratamentocombase neste incisoé aautorizaçãodo art. 11 da referida lei para a comunicaçãoou o usocompartilhadoentre controladoresde dadospessoais sensíveisreferentesàsaúde noscasosde prestaçãode serviçosde saúde,de assistência farmacêuticae de assistênciaàsaúde,incluídososserviçosauxiliaresde diagnose e terapia, com objetivode obtervantagemeconômica,desdeque embenefíciodosinteressesdos titularesde dados,sendovedadoàsoperadorasde planosprivadosde assistênciaàsaúde o tratamentode dadosde saúde para a prática de seleçãode riscosna contratação de qualquer modalidade,assimcomonacontrataçãoe exclusãode beneficiários.Qualqueroutrotipode comunicaçãoou usocompartilhadode dadosreferentesàsaúde é categoricamente vedado pelaLGPD. 9 – Quandonecessárioparaatenderaosinteresseslegítimosdocontroladoroude terceiro, excetonocaso de prevaleceremdireitose liberdadesfundamentaisdotitularque exijama proteçãodos dadospessoais; Apóso consentimento,a2ª base legal autorizadorade tratamentode dadosmaispropagadaé o legítimointeresse docontroladoroude terceiros.Noentanto,assimcomooconsentimento, estabase legal é potencialmente problemática,sendorecomendadoutiliza-lasomente quando não houveroutrabase legal aplicável aocaso,pelanebulosidade e fragilidadeque envolvemo tema. Alémde serum tantoquanto difícil apontar,neste momento,oque seriao“legítimo interesse”docontroladoroude terceiro,umavezque nãohá uma previsãolegal no ordenamentojurídicobrasileiroarespeitodadefiniçãodeste termo,é sempre muito importante sopesaraté que pontoolegítimointeressedocontroladoroude terceirosobrepõe o do titulardosdados,ou fere algumaoutradisposiçãoexpressadaLGPD.
- 6. O art. 10da LGPD determinaque olegítimointeresse docontroladorsomentepoderá fundamentartratamentode dadospessoaisparafinalidadeslegítimas,consideradasapartir de situaçõesconcretas,que incluem, mas nãose limitama:1) apoioe promoção de atividades do controladore 2) proteção,emrelaçãoao titular,doexercícioregularde seusdireitosou prestaçãode serviçosque o beneficiem, respeitadasaslegítimasexpectativasdelee osdireitos e liberdades fundamentais. Portanto,para que se possa utilizarestabase legal comoautorizadoraparao tratamentode dadosé necessárioidentificaruminteresse inequivocamente legítimo,demonstrarque o tratamentode dadosé necessárioparase atingirtal objetivo e tomaro devidocuidadopara não violarnenhumdispositivolegal ounenhumdireitodotitulardaquelesdados. 10 – Para a proteçãodo crédito,inclusive quantoaodispostonalegislaçãopertinente. A 10ª e últimabase legal possívelde utilizaçãoparase realizarotratamentode dados pessoais é a proteçãodo crédito,emobservânciaàsregrasespecificasparaeste tema. O objetivodolegisladorfoi evitarque titularesde dadospessoaisse utilizemde umabrecha legislativaparacriaremmecanismosde escaparemde cobrançaspordívidascontraídas. Seriainimaginável pensaremumtitularde dadosrequerendoaexclusãodosmesmosdos cadastros doSPC e Serasa,por exemplo,sobaalegaçãode que não autorizouoreferido tratamentoouque violariaasua privacidade,safando-se,assim,de instrumentosparaefetivar a cobrança do crédito. Debatesacaloradossobre umpossível conflitoentreainclusãoautomáticanoCadastro Positivoe aLGPD surgiramnomeioacadêmico,discussãoessaque possivelmente somente será resolvidacoma efetivacriaçãoda Autoridade Nacional,que buscaráharmonizaras determinaçõesde ambosdispositivoslegais,umavezque é simpossível que oCadastro Positivosigaasregrasda LGPD, notadamente noque dizrespeitoàtransparênciae à informaçãosobre otratamentodos dadospessoais. Conclusão De umaforma bastante concisa,estassãoas 10 baseslegaispermitidaspeloart.7º da LGPD para se realizarotratamentode dadospessoais.Buscou-se exporbrevemente cadaumadelas com utilizaçãode exemplosparafacilitaracompreensãoe difundiroconhecimentoaosmais variadosramosde estudoe até mesmoa leigosnoassunto.