A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para o tratamento de dados pessoais para garantir o uso responsável dos dados pessoais, prevendo princípios e critérios para realização desse tratamento pelos agentes de tratamento.
Ainda no âmbito dos princípios e direitos dos titulares, vale ressaltar que dados pessoais são todas as informações que estão relacionadas a uma pessoa identificada ou identificável. O conceito abrange dados como: nome, endereço, número de telefone, endereço de e-mail, dados de navegação, cookies, geolocalização.
O tratamento abrange diferentes tipos de utilização de dados pessoais, como coleta, acesso, distribuição, armazenamento e eliminação destes. Diante disso, a LGPD estabelece em seu art. 7º as bases legais que legitimam o tratamento dos dados pessoais.
- Fornecimento de consentimento pelo titular
A primeira delas é o consentimento do titular, ou seja, a manifestação inequívoca, livre e informada do titular para que seja realizado o tratamento dos seus dados pessoais. É ônus do controlador demonstrar que obteve o consentimento do titular na forma prevista na LGPD.
- Cumprimento de obrigação legal ou regulatória pelo controlador
A legislação vigente muitas vezes impõe o tratamento de dados pessoais, como, por exemplo, a qualificação, dados de saúde e outras informações de empregados. Neste caso, o tratamento é realizado para atender uma obrigação legal ou regulatória imposta ao controlador.
- Pela administração pública
O dispositivo também assegura o tratamento de dados pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. O tratamento poderá ocorrer desde que se tenha como único objetivo a execução de políticas públicas, devendo ser observada os artigos 23 a 32 da legislação, os quais estabelecem as diretrizes para o tratamento de dados pessoais pelas pessoas jurídicas de direito público.
- Para a realização de estudos por órgão de pesquisa
Como quarta base legal tem-se a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Aqui, o dispositivo refere-se ao uso de dados pessoais por entidades de pesquisa reconhecidas com o objetivo de realizar pesquisas no âmbito histórico.
- Execução de contrato
Dados pessoais poderão ser usados quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Por exemplo, caso o usuário de um e-commerce adquira produtos, o fornecimento de tais dados será imprescindível para a execução do contrato.
- Exercício regular de direitos em processo judicial, administrativo ou arbitral
Há casos em que determinados dados poderão ser fundamentais para exercícios de direitos em processos em geral, nesse caso, será possível armazenar tais dados pelo prazo necessário para demanda.
- Proteção da vida ou da incolumidade física do titular ou de terceiro
O tratamento de dados pode ser essencial para a sobrevivência ou integridade física do titular ou de terceiro. Por exemplo, quando for necessário tratar dados referentes à geolocalização de dispositivo de telefone celular para localizar alguém correndo algum risco.
- Para tutela da saúde
O dispositivo também possibilita a utilização de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
- Para atender aos interesses legítimos do controlador ou de terceiro
O legítimo interesse se caracteriza para apoio e promoção de atividades do controlador, ou para proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
É importante observar o guia orientativo da ANPD, que estabelece diretrizes sobre as medidas necessárias para realização do teste de legítimo interesse e elaboração dos relatórios obrigatórios.
- Para proteção do crédito
Essa hipótese é muito utilizada para decidir se determinada pessoa terá concessão ou não de crédito, sendo utilizados, portanto, dados sobre a adimplência ou inadimplência.
Nota-se que cada base legal tem critérios específicos e é aplicada de acordo com o contexto do tratamento de dados.
Dados pessoais sensíveis
A LGPD define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Tem-se portanto, que as operações envolvendo tais informações devem ser realizadas com a maior cautela possível da empresa. Um incidente de segurança que envolva esses tipos de informações pode resultar em consequências mais sérias para os direitos e liberdades das pessoas envolvidas.
O art. 11 é responsável por prever as hipóteses legais possíveis para o tratamento dos dados pessoais sensíveis, vale ressaltar, que estes somente poderão ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas ou nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- A administração pública, de políticas públicas previstas em leis ou regulamentos;
- Estudos por órgão de pesquisa, desde que garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. A LGPD prevê a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, ressalvada as hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. Neste sentido, a lei é clara ao vedar o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
- Garantia da prevenção à fraude e à segurança do titular, que deve ser restrito à identificação e autenticação de cadastro em sistemas eletrônicos e respeitado os direitos e liberdades fundamentais do titular. O guia da ANPD sobre legítimo interesse também apresenta diretrizes para realização do tratamento de dados sensíveis para prevenção à fraude e segurança do titular.
É imprescindível que as empresas identifiquem a base legal adequada para o processamento de dados pessoais e que comuniquem de forma transparente aos titulares sobre as operações realizadas.
Saiba mais sobre em LGPD no comércio eletrônico
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.