Qual a base legal utilizada para o tratamento dos dados sensíveis?

A é, possivelmente, o assunto do momento. Trata-se de uma lei cujo principal objetivo é estabelecer critérios e limites para o tratamento de dados pessoais, e passará a ser exigida em todo território nacional a partir de agosto de 2020, quando entrará em vigor.

Show

Por ser uma lei que mudará a cultura de coleta excessiva e desmedida de dados pessoais sem a menor observação de nenhum tipo de critério, é razoável que as empresas brasileiras estejam um tanto quanto perdidas, sem saberem quais dados podem ou não serem tratados, de acordo com a lei.

Contudo, não é necessário ir longe para descobrir a resposta para as perguntas acima, uma vez que a própria LGPD expõe, de forma taxativa em seu art. 7º, as 10 bases legais para o tratamento de dados pessoais.

As bases legais da LGPD

Agora que já entendemos um pouco sobre a LGPD iremos explicar cada uma das 10 bases legais.

1 – Mediante o fornecimento de consentimento pelo titular

Esta possivelmente é a base legal de tratamento de dados mais difundida pelos consultores e estudiosos do tema em geral, mas ao mesmo tempo a mais problemática de se realizar a gestão. A LGPD exige que o consentimento seja ser fornecido por escrito ou por outro meio que demonstre a manifestação inequívoca de vontade do titular.

Quando o consentimento se der por escrito, ele deverá constar em uma cláusula destacada das demais contratuais, que não pode ser genérica, justamente para que seja comprovado que aquele consentimento foi dado para uma finalidade específica de tratamento.

Porém, o maior problema em tratar dados pessoais com base no consentimento do titular é o fato de que ele é considerado um autorizador temporário, uma vez que pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado. Em outras palavras, caso uma empresa colete dados através do consentimento dos titulares desses dados, será necessário dispor de algum tipo de plataforma que permita a exclusão dos dados após a requisição do titular e que mantenha evidência dessa exclusão para fins de comprovação posterior, caso necessário, tudo de forma gratuita.

Portanto, recomenda-se que a coleta de dados se dê com base no consentimento somente de forma residual, caso não seja possível o tratamento de dados através de alguma outra das outras 9 bases legais expostas ao longo deste texto.

A 2ª base legal para tratamento de dados pessoais prevista pela LGPD é o cumprimento de obrigação legal ou regulatória pelo controlador. Este é um autorizador da LGPD que possibilita que a lei não entre em conflito com outras legislações vigentes em nosso país, o que acabaria por gerar uma discussão sobre a possibilidade ou não do titular de dados registrar reclamação contra um tipo de tratamento de dados que estivesse em discordância com outra determinação legal.

No caso de uma obrigação decorrente de lei acarretar em um tratamento de dados pessoais por parte de uma empresa, essa estará autorizada a trata-los de modo a cumprir a dita exigência legal ou regulatória.

Exemplificando, seria o caso de uma empresa transmitir os dados de seus empregados constantes de seus registros internos de RH à Secretaria Especial do Ministério da Economia (antigo Ministério do Trabalho), a fim de cumprir com a entrega da Relação Anual de Informações Sociais (Rais). Nesse caso, os empregados não podem opor resistência ao compartilhamento de dados, uma vez que é necessária para o cumprimento de uma obrigação legal/regulatória por parte do controlador.

3 – Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Durante o trabalho de consultoria para adequação à LGPD, uma das principais dúvidas que surgem é a seguinte: esta lei se aplica ao tratamento de dados pessoais realizado por parte da Administração Pública? O inciso III do art. 7º da LGPD responde a esta pergunta: sim, órgãos da administração pública precisam se adequar e cumprir a lei ao tratarem e compartilharem dados pessoais para execução de politicas públicas ou respaldadas em contratos, convênios ou instrumentos congêneres, sem a necessidade de consentimento dos titulares.

Contudo, a Administração Pública é obrigada a fornecer ao titular dos dados informações claras e inequívocas sobre a base legal para o tratamento dos dados, a finalidade e quais os procedimentos utilizados ao longo do ciclo de vida do dado dentro dos sistemas da Administração Pública.

A Administração Pública somente não estará obrigada a cumprir com as exigências da LGPD no caso de tratamento de dados feito exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou de repressão de infrações penais.

De se ressaltar que os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado aos órgãos públicos, devendo fornecer acesso aos dados por meio eletrônico para a Administração Pública.

Uma grande diferença da aplicação da LGPD aos órgãos públicos para o âmbito privado diz respeito às penalidades aplicadas. Para a Administração Pública, não há a previsão de sanção pecuniária, mas apenas a advertência, a publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor Público Federal, na lei de Improbidade Administrativa e na lei de acesso à informação.

4 – Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

Também é permitido o tratamento de dados pessoais feito para realização de estudos por órgãos de pesquisa, de modo que, sempre que possível, estes dados deverão ser anonimizados, a fim de garantir a privacidade dos titulares e evitar possíveis vazamentos, uma vez que um dado anonimizados é aquele que não é possível identificar o seu titular, considerando a utilização de técnicas razoáveis na ocasião do tratamento.

Uma prática já utilizada pelos órgãos de pesquisa com o intuito de anonimizar os dados pessoais é, por exemplo, quando em uma pesquisa para apuração de intenção de votos em uma eleição, haja a proporção de votação para cada candidato de acordo com sexo, escolaridade, região geográfica, classe social, etc. O resultado da pesquisa é cumprido, ao ponto que é praticamente impossível saber quem foram as pessoas que demonstraram aquelas intenções utilizando-se de técnicas razoáveis para tentar atribuir um conjunto de dados a uma pessoa individualizada.

5 – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

A 5ª base legal autorizadora do tratamento de dados pessoais é a necessidade para execução de um contrato ou de procedimentos preliminares relacionadas a um contrato que o titular dos dados figurará como integrante.

Nesse caso, o tratamento de dados se dará a pedido do próprio de titular dos dados para garantir a execução de um contrato ou de seus procedimentos preliminares. Essa hipótese se assemelha um pouco com o tratamento de dados via consentimento, com a diferença de que o titular dos dados não poderá revogar o seu fornecimento a qualquer momento, uma vez que a outra parte estará resguardada pela LGPD para poder manter os dados fornecidos pelo titular enquanto durar a vigência do contrato.

Um exemplo seria a contratação por parte de um titular de dados de um serviço cujo objeto principal é o tratamento de dados pessoais, tal como acontece com a inserção de dados em um serviço de armazenamento em nuvem.

6- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/96 (Lei de Arbitragem);

Outra base legal possível de ser utilizada pelo controlador é o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Esse autorizador garantido pela LGPD é uma decisão acertada com o intuito de garantir o direito de produção de provas de uma parte contra a outra em um processo judicial (na maioria das vezes), administrativo ou arbitral, este último nos termos da Lei de Arbitragem. Permitir que uma das partes se oponha a este tipo de tratamento de dados seria cercear o direito de defesa da outra em um processo e infringir os preceitos constitucionais da ampla defesa e do contraditório.

7 – Para a proteção da vida ou da incolumidade física do titular ou de terceiro;

Ademais, a LGPD também admite o tratamento de dados feito com o intuito de proteger a vida ou a incolumidade física do titular dos dados ou de terceiros.

Trata-se de um autorizador legal cujo objetivo é garantir a proteção de bens de elevado interesse público, tais como a vida e a incolumidade física, desde que devidamente comprovada essa necessidade e exposta a finalidade do tratamento dos dados nesta situação.

Esta é uma base legal autorizadora para o tratamento de dados pessoais tão específica que, até mesmo o art. 11, II, e da LGPD estabelece que dados pessoais sensíveis poderão ser tratados sem o fornecimento de consentimento do titular, caso sejam indispensáveis para a proteção da vida ou da incolumidade física do titular ou de terceiro, haja vista o interesse público envolvido neste tipo de tratamento.

Um exemplo deste tipo de tratamento de dados é o seguinte: imagine uma pessoa inconsciente dando entrada em um hospital que nunca esteve na vida após sofrer um grave acidente. Nesse caso, o novo hospital precisará de todo o histórico médico do paciente constante de um outro hospital que ele costuma frequentar, estando, portanto, autorizado o médico que irá atende-lo requisitar a documentação ao outro hospital, que poderá compartilhar toda a documentação que disponha daquele paciente.

8 – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Seguindo a mesma ideia da base legal mencionada no item anterior, a LGPD também autoriza o tratamento de dados para a tutela da saúde, desde que realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

É também uma base legal que tem como plano de fundo o interesse público no tratamento dos dados pessoais, sendo objeto de regras específicas dentro da própria LGPD quando o controlador atuar na área da saúde. Provavelmente será um dos itens de maior debate ao longo da formação e consolidação da consciência de proteção de dados na sociedade brasileira.

Da mesma forma que o item anterior, esta também é uma base legal autorizadora para o tratamento de dados pessoais bastante específica, em que o art. 11, II, f da LGPD estabelece que dados pessoais sensíveis poderão ser tratados sem o fornecimento de consentimento do titular, caso sejam indispensáveis para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Uma especificidade do tratamento com base neste inciso é a autorização do art. 11 da referida lei para a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde nos casos de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, com objetivo de obter vantagem econômica, desde que em benefício dos interesses dos titulares de dados, sendo vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Qualquer outro tipo de comunicação ou uso compartilhado de dados referentes à saúde é categoricamente vedado pela LGPD.

9 – Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

Após o consentimento, a 2ª base legal autorizadora de tratamento de dados mais propagada é o legítimo interesse do controlador ou de terceiros. No entanto, assim como o consentimento, esta base legal é potencialmente problemática, sendo recomendado utiliza-la somente quando não houver outra base legal aplicável ao caso, pela nebulosidade e fragilidade que envolvem o tema.

Além de ser um tanto quanto difícil apontar, neste momento, o que seria o “legítimo interesse” do controlador ou de terceiro, uma vez que não há uma previsão legal no ordenamento jurídico brasileiro a respeito da definição deste termo, é sempre muito importante sopesar até que ponto o legítimo interesse do controlador ou de terceiro sobrepõe o do titular dos dados, ou fere alguma outra disposição expressa da LGPD.

O art. 10 da LGPD determina que o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: 1) apoio e promoção de atividades do controlador e 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

Portanto, para que se possa utilizar esta base legal como autorizadora para o tratamento de dados é necessário identificar um interesse inequivocamente legítimo, demonstrar que o tratamento de dados é necessário para se atingir tal objetivo e tomar o devido cuidado para não violar nenhum dispositivo legal ou nenhum direito do titular daqueles dados.

10 – Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

A 10ª e última base legal possível de utilização para se realizar o tratamento de dados pessoais é a proteção do crédito, em observância às regras especificas para este tema.

O objetivo do legislador foi evitar que titulares de dados pessoais se utilizem de uma brecha legislativa para criarem mecanismos de escaparem de cobranças por dívidas contraídas.

Seria inimaginável pensar em um titular de dados requerendo a exclusão dos mesmos dos cadastros do SPC e Serasa, por exemplo, sob a alegação de que não autorizou o referido tratamento ou que violaria a sua privacidade, safando-se, assim, de instrumentos para efetivar a cobrança do crédito.

Debates acalorados sobre um possível conflito entre a inclusão automática no Cadastro Positivo e a LGPD surgiram no meio acadêmico, discussão essa que possivelmente somente será resolvida com a efetiva criação da Autoridade Nacional, que buscará harmonizar as determinações de ambos dispositivos legais, uma vez que é sim possível que o Cadastro Positivo siga as regras da LGPD, notadamente no que diz respeito à transparência e à informação sobre o tratamento dos dados pessoais.

Conclusão

De uma forma bastante concisa, estas são as 10 bases legais permitidas pelo art. 7º da LGPD para se realizar o tratamento de dados pessoais. Buscou-se expor brevemente cada uma delas com utilização de exemplos para facilitar a compreensão e difundir o conhecimento aos mais variados ramos de estudo e até mesmo a leigos no assunto.

A fim de aprofundar os estudos e os conhecimentos acerca do tema, sugiro que façam o download do infográfico “LGPD: o caminho para a conformidade” em que são tratados diversos temas bastante interessantes a respeito desta lei que irá certamente modificar paradigmas e criar novas culturas em nossa sociedade no que diz respeito ao senso de privacidade e proteção de dados.

Agora se você tem dúvidas de como deixar sua empresa em conformidade com a LGPD, fale com nossos especialistas. Estamos prontos para te auxiliar em sua jornada.

Quais são as bases legais para o tratamento de dados pessoais?.
Mediante o fornecimento de consentimento pelo titular;.
Para o cumprimento de obrigação legal ou regulatória pelo controlador;.
Para a execução de políticas públicas, pela administração pública;.
Para a realização de estudos por órgão de pesquisa;.

Como tratar dados sensíveis na LGPD?

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas.
As bases legais da LGPD são hipóteses que autorizam o tratamento de dados. Em outras palavras, são condições determinadas pela Lei Geral de Proteção de Dados para que seja possível fazer a coleta de dados pessoais e o tratamento deles. Empresas que utilizam dados sem uma base legal adequada estarão infringindo a lei.

O que são dados sensíveis com base na LGPD?

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.