• Mariana Camilo Pinho

Conhecendo a LGPD: princípios e bases legais do tratamento de dados pessoais

Com a entrada em vigor da LGPD em setembro deste ano, todas as empresas precisaram se adaptar para seguir as novas regras no que diz respeito ao uso de dados e à privacidade de clientes e usuários. Diante disso, é necessário conhecer a nova lei e os principais aspectos que devem estar presentes em qualquer operação que envolva informações pessoais de indivíduos.



Antes da Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018), não havia uma lei abrangente que regulasse qualquer tratamento de dados pessoais. Assim, as operações que envolviam dados eram disciplinadas apenas por leis esparsas, aplicáveis a atividades e setores específicos. Era o caso, por exemplo do Código de Defesa do Consumidor e da Lei do Cadastro Positivo. Com a LGPD, o Brasil passou a ter uma legislação própria e geral para o tratamento de dados pessoais, a qual se aplica a toda e qualquer operação que envolva o uso de dados pessoais e: (i) seja realizada em território brasileiro; (ii) tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil ou (iii) cujos dados tenham sido coletados dentro do território brasileiro.


Como é uma lei abrangente, a LGPD se aplica a quase todas as atividades realizadas por empresas que, de alguma forma, envolvem dados pessoais. Por isso, é importante conhecer e entender o que significam, na prática, os seus princípios, bem como as bases legais que podem justificar e fundamentar os tratamentos de dados pessoais.


1. Conceitos importantes


Antes de explicar cada um dos princípios e fundamentos que devem estar presentes nas operações, devemos explicar alguns conceitos importantes para que se possa compreender a LGPD. Em primeiro lugar, é necessário definir o que e quais são os dados sob a incidência dessa nova lei e o que significa o seu “tratamento”.


No seu artigo 5º, a Lei n. 13.709/2018 traz uma definição didática e clara de alguns conceitos. Nele, dados pessoais são compreendidos como “informação relacionada a pessoa natural identificada ou identificável”. Isso significa, basicamente, que pode ser considerada dado pessoal qualquer informação – objetiva ou subjetiva, verdadeira ou falsa - que contenha elementos indicativos que digam respeito a uma pessoa, a cuja identidade seria possível chegar a partir do dado ou do seu cruzamento com outras informações. Pouco importa se ela está em formato digital ou físico e se é pública ou não.


Ainda, a lei traz a definição de dados pessoais sensíveis: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Trata-se de informações cujo uso e manipulação oferece algum risco mais significativo de discriminação ou prejuízo ao indivíduo a quem elas se referem. Embora cor de pele e identidade de gênero não estejam expressamente no enunciado do artigo 5º, são elas dados pessoais que também devem ser considerados sensíveis, justamente porque têm o potencial para encadear comportamentos discriminatórios.


Com relação a ideia de “tratamento”, este é um termo técnico que abrange todas as operações que envolvem dados pessoais. Assim, representam tratamento atividades como: coleta, produção, utilização, acesso, reprodução, transmissão, compartilhamento, armazenamento, dentre outras. Nesse sentido, o artigo 5º da LGPD também conceitua os agentes de tratamento, ou seja, os indivíduos ou entidades que realizam o tratamento. São eles o controlador e o operador. O primeiro corresponde à pessoa (física ou jurídica) que decide qual será a finalidade do tratamento de dados, para que esses dados serão utilizados. Já o segundo, é a pessoa que age em nome do controlador para de fato executar o tratamento.


2. Princípios da LGPD


Em última instância, o objetivo da LGPD é assegurar ao usuário a sua autodeterminação informativa – ou seja, o seu direito de decidir o que será feito com os seus dados – e a sua privacidade. Por isso, a lei estabelece que todas as operações que envolvem dados pessoais vão precisar seguir, além da boa-fé, os seguintes princípios:


Finalidade: o propósito, o objetivo do tratamento dos dados deve ser legítimo, específico, explícito e informado ao titular. Isso significa que a finalidade do tratamento deve ser lícita (autorizada pela lei), não pode ser genérica e o titular precisa ter conhecimento dela. Importante destacar que caso a finalidade esteja descrita de forma genérica, o consentimento do titular será considerado nulo. Toda vez que houver uma mudança na finalidade das operações que envolvem os dados, o titular deles (pessoa a quem eles se referem) deverá ser informado.


Adequação: a forma como o tratamento é feito deve ser compatível com as suas finalidades divulgadas para o titular dos dados pessoais.


Necessidade: os dados somente devem ser tratados na medida em que isso for estritamente necessário para que se chegue à finalidade do tratamento. Assim, deve ser coletada a menor quantidade de dados pessoais necessária e estes não devem ser usados para propósitos que sejam apenas úteis ou convenientes para a empresa, ou que não tenham sido informados ao titular.


Livre acesso e transparência: os titulares dos dados pessoais devem ter como se informar fácil e gratuitamente sobre como e por quanto tempo o tratamento é feito e sobre quais de seus dados foram coletados e estão sendo utilizados. Além disso, as informações sobre o tratamento fornecidas a eles devem ser claras e precisas, observados os limites do segredo comercial e industrial.


Qualidade dos dados: os dados pessoais tratados devem ser completos, relevantes, exatos e atualizados, segundo a necessidade do tratamento. Isso se relaciona à proteção do titular, já que dados imprecisos ou de baixa qualidade podem levar a decisões equivocadas que prejudiquem os titulares.


Segurança e prevenção: os agentes de tratamento devem utilizar meios que protejam os dados pessoais, prevenindo acessos não autorizados ou acidentes que envolvem o uso ilícito e o vazamento dos dados. Assim, é de responsabilidade dos agentes minimizar os danos que podem ser causados aos titulares em virtude do tratamento.


Responsabilização e prestação de contas: relacionado aos princípios da segurança e prevenção, significa que o agente de tratamento deve ser capaz de demonstrar e comprovar que adota medidas eficazes de proteção dos dados pessoais, em observância às normas da LGPD. Por isso, é recomendável que os controladores e operadores guardem registros de como tratam os dados, quais dados são tratados etc.

Não discriminação: veda a realização de tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos. Assim, o tratamento não deve efetivar ou potencializar discriminações, o que merece especial atenção quando se fala em dados pessoais sensíveis.


3. Bases legais


As bases legais estão previstas no artigo 7º da LGPD e correspondem às situações nas quais é permitido o tratamento de dados pessoais. Assim, em observância à lei, as empresas só devem utilizar e explorar dados pessoais se houver uma base legal adequada. Se não houver base legal, o tratamento será ilícito e passível de sanção civil e administrativa. Diante disso, é muito importante conhecer e entender quais são as situações em que a LGPD autoriza as operações com dados pessoais. Falaremos primeiro das bases legais que são mais frequentemente adotadas para, então, prosseguir àquelas que são um pouco mais específicas.


3.1 As principais bases legais


A primeira e principal base legal é o consentimento. Nesta hipótese, o tratamento é autorizado se o titular consentir informada, inequívoca e livremente com o uso de seus dados pessoais, para uma finalidade determinada. Assim, o titular deve conhecer e entender como e em quais condições os seus dados serão utilizados e consentir de maneira clara e conforme uma escolha real (não forçada ou induzida). Embora seja a base legal mais comumente adotada – especialmente nos casos de marketing digital – o consentimento tem algumas desvantagens. A primeira delas é que o ônus da prova (dever de provar que houve consentimento na hipótese de um litígio) é do controlador. Além disso, o consentimento pode ser revogado para o titular a qualquer tempo e, se houver uma alteração nas finalidades ou na forma do tratamento, é necessário um novo consentimento. Inclusive, o agente de tratamento deve disponibilizar gratuitamente ao titular os meios para que ele possa revogar sua aceitação a qualquer tempo. Normalmente, isso é feito por meio de um encarregado (Data Protection Officer), ou seja, uma pessoa ou entidade cujas informações de contato são disponibilizadas na política de privacidade e nos termos de uso.


Outra base legal que é frequentemente utilizada, especialmente por aplicativos e agências de marketing, é a execução de contrato. Por meio desta, resta autorizado o tratamento de dados pessoais quando ele for necessário para o cumprimento de obrigações contratuais ou para a execução de outros procedimentos preliminares da execução do contrato. O principal exemplo prático desta base legal é dos aplicativos GPS, que não conseguem executar a sua função sem a coleta da geolocalização do usuário e, por isso, o consentimento deste não é necessário.


Também é bastante comum a adoção do legítimo interesse, hipótese na qual se autoriza o tratamento de dados pessoais que for necessário para atender aos interesses legítimos do controlador ou de terceiro sem que se exija o consentimento do titular, desde que sejam respeitados os direitos e liberdades fundamentais do titular de dados e medidas de transparência do tratamento sejam adotadas. Trata-se de uma base legal flexível, mas cuja aplicação é bastante complicada. Para adotar o legítimo interesse, é necessário fazer um teste de proporcionalidade. O primeiro passo é analisar se há legitimidade, ou seja, se a situação concreta justifica o tratamento e se a finalidade deste é legítima (lícita e legal). A seguir, é preciso averiguar se o tratamento é baseado apenas nos dados pessoais estritamente necessários para a finalidade pretendida e se o legítimo interesse é a única base legal adequada. Deve ser explorado o mínimo de dados possível e eles devem ser de fato necessários, não meramente úteis ou interessantes para a empresa. O terceiro passo do teste de proporcionalidade consiste em um balanceamento, ou seja, é preciso considerar se o uso dos dados pessoais coletados corresponde ao que o titular pode razoavelmente esperar que aconteça. Ainda, é necessário analisar se o tratamento não ameaça direitos e liberdades fundamentais do titular. Por último, há uma etapa de salvaguardas: o controlador deve adotar medidas de transparência, segurança e minimização dos riscos de dano ao titular dos dados pessoais. A realização deste teste de proporcionalidade é de suma importância, sendo que o §3º do artigo 10 da LGPD prevê que a Autoridade Nacional de Proteção de Dados (agência reguladora criada pela LGPD) poderá solicitar ao controlador um relatório de impacto no qual constem todas as etapas do teste. Cabe destacar que a base legal do legítimo interesse fica enfraquecida se a empresa precisa compartilhar os dados pessoais com terceiros e que ela não é aplicável no tratamento de dados pessoais sensíveis.


3.2 Outras bases legais


A quarta situação autorizadora é o cumprimento de obrigação legal ou regulatória pelo controlador, ou seja, é a hipótese na qual o controlador tem o dever de realizar o tratamento dos dados pessoais, em observância a uma lei ou regulação. É o caso, por exemplo, do artigo 15 do Marco Civil da Internet, o qual impõe ao provedor de aplicações de internet o dever de manter registros de acesso a aplicações pelo prazo de 6 meses.


No caso da Administração Pública (comumente chamada de governo), também é autorizado o tratamento de dados quando for necessário à execução de políticas públicas “previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”. Neste caso, há alguns requisitos a serem observados (previstos do artigo 23 da LGPD), como a persecução do interesse público.


Outra base legal é o estudo por órgão de pesquisa. Nesta hipótese, denomina-se “órgão de pesquisa” os órgãos e entidades estatais ou pessoas jurídicas de direito privado sem fins lucrativos (notadamente associações e fundações) que seja legalmente constituídas e registradas e incluam, em seu objetivo social, a pesquisa de caráter histórico, científico, tecnológico ou estatístico. Ainda, nos casos de estudo por órgão de pesquisa, os dados deverão ser anonimizados sempre que possível. A anonimização é um processo pelo qual um dado perde a possibilidade de ser associado a um indivíduo. Assim, se o dado pessoal é anonimizado, não é possível chegar à identidade do seu titular por meio do cruzamento de informações.


A LGPD também autoriza o tratamento de dados pessoais nas hipóteses de exercício de direito em processos judiciais, administrativos ou arbitrais, bem como quando o uso de dados for necessário para a proteção da vida ou da incolumidade física (do titular ou de terceiros) ou para a tutela da saúde. Neste último caso, a base legal só é aplicável se tratar-se de procedimento realizado por profissionais da saúde, serviços de saúde ou autoridade sanitária. Trata-se de uma hipótese polêmica, já que os dados de saúde são considerados sensíveis. Finalmente, a última base legal é a proteção do crédito (análise do perfil de um cidadão quando da aprovação de crédito, para reduzir os riscos do financiamento ou empréstimo), hipótese em que merecem atenção as disposições da Lei de Cadastro Positivo (Lei n. 12.414/2011).


* O conteúdo deste artigo possui caráter genérico e estritamente informativo. O presente artigo não deve ser interpretado como opinião legal ou aconselhamento jurídico específico da Sanfran Jr. Para eventuais dúvidas, entre em contato com um advogado ou Empresa Júnior jurídica. Escrito por: Mariana Camilo Pinho Revisado por: Geovanna Sales e Camila Carvalho

Recent Posts

Archived

Follow Us

  • Facebook ícone social
  • Instagram ícone social

Fundada em 2002, a SanFran Jr. é uma das EJs de Direito mais antigas do Brasil. Constituída totalmente por alunos da faculdade, contamos com o selo de qualidade USP.

Fale Conosco

  • Instagram - White Circle
  • LinkedIn - Círculo Branco
  • Facebook - Círculo Branco