Hipóteses para o tratamento de dados previstas na Lei Geral de Proteção de Dados
Em menos de um ano, mais precisamente em 16 de agosto de 2020, a Lei nº 13.709/18, também conhecida como “Lei Geral de Proteção de Dados” ou “LGPD”, entrará em pleno vigor, incluindo o Brasil em um contexto global voltado à proteção dos direitos dos titulares de dados pessoais e impondo a pessoas naturais e jurídicas uma série de obrigações a serem observadas na ocasião do tratamento de dados pessoais.
Nesse sentido, para que o tratamento de dados pessoais seja considerado como legítimo, a LGPD elenca dez hipóteses taxativas (indicadas em seu artigo 7º), isto é, únicas, para que o tratamento de dados seja permitido no âmbito da lei. Cumpre esclarecer que a legitimidade é alcançada mesmo que se observe apenas um dos requisitos legais, bem como quando os mesmos sejam cumulativamente considerados, nos termos da lei; deste modo, basta o atendimento a um dos requisitos para que o tratamento seja legítimo.
No entanto, o fundamento legal aplicável a cada situação precisa ser claro para o titular dos dados e deve ser documentado. Isso porque o agente que atua na posição de controlador dos dados pessoais deve ser capaz de demonstrar que o tratamento está fundamentado em uma das dez hipóteses previstas na LGPD, conforme determina o princípio da prestação de contas, da mesma lei.
A primeira base legal considera o consentimento do titular como meio legítimo para o tratamento dos dados pessoais. Por “consentimento” entende-se a manifestação livre, informada e inequívoca do titular, a qual deve ser obtida com base na transparência, sem exigir qualquer contrapartida pelo titular, e de forma que não haja dúvidas quanto à obtenção de tal autorização.
As informações acerca do tratamento de dados pessoais devem ser fornecidas em linguagem clara, simples e objetiva, e sempre na língua portuguesa. Ao eleger o consentimento como fundamento legal para o tratamento de dados, deve-se levar em conta que o consentimento pode ser revogado pelo titular a qualquer momento.
O tratamento de dados também pode ser necessário para cumprir com alguma obrigação regulatória ou prevista em lei, que consiste na segunda hipótese legal prevista na LGPD (art. 7º, II). Para tanto, é necessário que se consiga identificar a norma legal específica ou fonte apropriada que claramente demonstre a sua obrigação. Por outro lado, órgãos da administração pública, autoridades ou empresas públicas que necessitem realizar o tratamento de dados pessoais para realização de uma política pública (de saúde, educação, habitação, entre outras), podem fundamentar a realização do tratamento de dados com base em outro requisito legal, indicado no art. 7º, III, da LGPD.
Órgãos de pesquisa, cuja definição consta no art. 5º, XVIII, da LGPD, com o intuito exclusivo de realizar pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico, preferencialmente a partir da anonimização dos dados, também podem realizar o tratamento de dados pessoais, desde que com base no art. 7º, IV, da LGPD.
Quando o tratamento for necessário para cumprir com as obrigações estabelecidas contratualmente com o indivíduo, ou caso deva ser satisfeita alguma condição para que o contrato se concretize, assim sendo, dentro daquilo que se espera para a execução do contrato, o fundamento legal indicado é o previsto no art. 7º, V, da LGPD.
A sexta hipótese legal consiste no tratamento de dados necessário para o exercício regular de direito em processo judicial, administrativo ou arbitral (art. 7º, VI, da LGPD). Este requisito também vale como base legal para justificar a retenção dos dados por prazo adicional ao do término do relacionamento entre o controlador e o titular dos dados, usando como parâmetro os prazos prescricionais para cada situação.
A seguir, temos a hipótese que abrange situações de vida ou morte, que servem à proteção da vida do indivíduo e de seus interesses vitais. Mediante a constatação dessas situações, o tratamento pode ser justificado com base no art. 7º, VII, da LGPD, sem que seja necessário o consentimento prévio do indivíduo. Outro requisito indicado no âmbito do bem-estar e da saúde e que justifique o tratamento de dados pessoais é o da tutela da saúde (art. 7º, VIII, da LGPD), o qual serve de amparo em ocasião da utilização de dados pessoais por profissionais da saúde, serviços de saúde ou autoridades sanitárias, mas desde que para fins não econômicos.
O penúltimo fundamento legal para o tratamento de dados pessoais previsto no art. 7º da LGPD consiste no legítimo interesse. Embora o próprio conceito de legítimo interesse seja vago, é o requisito mais flexível da lei porque não está restrito a uma finalidade objetiva em particular, oferecendo a oportunidade de ser utilizado em algumas circunstâncias. Em contrapartida, é a que mais exige cautela do controlador, no sentido de sempre utilizar o grau mais elevado de segurança e proteção aos direitos, garantias fundamentais e liberdade dos titulares de dados ao se valer do legítimo interesse.
Ou seja, não basta alegar que há um legítimo interesse, deve-se documentar e defender essa posição caso haja qualquer questionamento, considerando que a Autoridade Nacional poderá solicitar um relatório de impacto de dados pessoais dos agentes envolvidos.
Por fim, o último requisito legal para a realização do tratamento de dados pessoais está relacionado à proteção do crédito (art. 7º, X, da LGPD), quando da realização de análise de crédito a partir de informações sobre adimplência ou inadimplência dos titulares, sempre em conformidade com o Código de Defesa do Consumidor e da Lei do Cadastro Positivo (Lei nº 12.414/11).
Pontuados, de forma breve, todos os requisitos que legitimam o tratamento de dados, cujos critérios se aplicam não só para a iniciativa privada, mas também para o poder público, ressaltamos que não existe nenhuma hierarquia entre os requisitos, ou seja, não há um que seja melhor em relação aos demais.
A questão primordial é pensar sobre a que se propõe o tratamento de dados, ou seja, qual a finalidade, e qual o melhor requisito legal para amparar esse propósito, de acordo com as circunstâncias. Qualquer operação de tratamento de dados pessoais que não se enquadre nas hipóteses previstas no artigo 7º da LGPD é ilícita, podendo acarretar em sanções àqueles que não realizem o tratamento da forma legalmente prevista.