Resumo: A Lei Geral de Proteção de Dados Pessoais (Lei nº. 13.709/18, ou “LGPD”) estabelece um regramento aplicável a toda forma de tratamento de dados pessoais no Brasil, dentro ou fora da Internet. Ao fazê-lo, a LGPD determina que todo controlador, isto é, o responsável pelo tratamento dos dados pessoais, deve atender, sempre que realizar um tratamento de dados pessoais, aos requisitos dispostos na legislação. O presente trabalho tem como objetivo tecer considerações iniciais sobre LGPD, bem como discorrer sobre as hipóteses autorizativas de tratamento de dados mais relevantes, apontando os desafios e seus requisitos.

Sumário: 1: Introdução - 2: A figura do encarregado - 3: Requisitos para o tratamento de dados pessoais - 3.1: Consentimento - 3.2: Cumprimento de obrigação legal ou regulatória - 3.3: Execução de Contrato ou de procedimentos preliminares ao contrato - 4: Conclusão

1. INTRODUÇÃO

A Lei Geral de Proteção de Dados Pessoais (Lei nº. 13.709/18, ou “LGPD”) estabelece um regramento aplicável a toda forma de tratamento de dados pessoais no Brasil, dentro ou fora da Internet, conforme se verifica do disposto em seu art. 1º^[1]. Ao dispor sobre princípios, direitos, requisitos para tratamento e sanções pelo seu descumprimento, a LGPD procura criar um arcabouço regulatório que supere a insegurança gerada pela pluralidade de leis que buscavam, de modo setorial ou apenas superficialmente, dispor sobre dados pessoais. Apesar de ter entrado em vigor recentemente em 2020, a LGPD já vem demandando uma atuação daqueles que operam com tratamento de dados pessoais.

Nesse sentido, a Lei Geral de Proteção de Dados Pessoais define a atividade de tratamento de dados pessoais como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (Art. 5º, X). Dessa forma, “tratamento” são todas as operações que envolvem dados pessoais, incluindo o mero armazenamento de dados pessoais.

Por sua vez, dados pessoais são qualquer “informação relacionada a pessoa natural identificada ou identificável” (art. 5º, I)^[2]. Em seguida, o inciso II do art. 5º da LGPD define dado pessoal sensível como todo aquele “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Entende o ordenamento jurídico que tais dados necessitam de uma maior proteção. Como veremos mais adiante, a natureza dos dados implica em requisitos diferentes para o controlador realizar o tratamento dos dados.

Ainda no campo conceitual, a Lei Geral de Proteção de Dados Pessoais define como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” e como operador a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (incisos VI e VII, do art. 5º, LGPD). Assim, será considerado “controlador” para os fins da LGPD aquele que “tomar” as decisões relativas ao tratamento de dados pessoais. Lembrando sempre que a definição de tratamento de dados trazida pela LGPD é bem ampla, contemplando toda operação realizada com dados pessoais.

Fato é, portanto, que todo controlador precisará de uma justificativa prevista na LGPD para realizar o tratamento de dados pessoais. O presente trabalho tem como objetivo tecer considerações sobre cada uma das hipóteses autorizativas para tratamento de dados pessoais não sensíveis, todas previstas no art. 7º da LGPD.

2. A FIGURA DO ENCARREGADO

A LGPD define o Encarregado pelo tratamento de dados pessoais como “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados” (“ANPD”) (art. 5º, VIII). Além disso, a LGPD dispõe que cabe ao Encarregado orientar os colaboradores e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais (art. 41). Em breve síntese, o art.  41, §2º, I a IV, da LGPD, impõe as seguintes atividades ao encarregado:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Ainda, a identidade e as informações de contato do Encarregado deverão ser publicamente divulgadas, de preferência no próprio site do controlador, de maneira clara e objetiva (art. 41, §1º).

3. REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS

A licitude do tratamento de cada um desses dados pessoais dependerá do preenchimento de pelo menos um dos requisitos previstos no art. 7º da LGPD. Todavia, independente de qual for a base legal utilizada, os agentes de tratamento deverão respeitar os princípios previstos na LGPD. Os princípios, previstos no art. 6º da LGPD, são os seguintes:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Na mesma direção, em qualquer circunstância de tratamento de dados pessoais, os controladores deverão assegurar aos titulares os direitos previstos no art. 18 da LGPD:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei

Para tanto, recomenda-se que os agentes de tratamento elaborem um canal de interação com o titular de dados pessoais. Esse canal pode ter a forma de um endereço de e-mail próprio para questões relacionadas a proteção de dados, de um link ou seção específicos no site do agente de tratamento para atendimento a certas demandas, dentre outras modalidades adequadas, desde que ofereçam mecanismos para que o titular possa interagir e solicitar, quando necessário, o exercício de seus direitos.

Conforme mencionado, o tratamento de dados pessoais não sensíveis só será lícito quando pelo menos um dos requisitos previstos no art. 7º for preenchido^[3]. Nesse sentido, Mário Viola e Chiara de Teffé afirmam:

Portanto, não sendo uma hipótese de exclusão, deverá ocorrer o encaixe do tratamento realizado  em  pelo  menos  uma  das  hipóteses  legais  para  que ele  seja  considerado legítimo  e  lícito,  sendo  possível  inclusive  cumular  as  mesmas,  assim  como  no  GDPR. Essas bases foram estipuladas de forma geral e variada, devendo detalhes e adequações serem   realizados especialmente pela   Autoridade   nacional   de   proteção   de   dados (ANPD), pelo Legislativo e Judiciário. Entende-se  que  tanto  o  rol  do  Art.  7º  quanto  o  do  Art.  11  são  taxativos,6apesar  de dotados de hipóteses chamadas de “coringas”, ou seja, hipóteses mais abertas e com certo  grau  de  subjetividade  (como,  por  exemplo,  o  legítimo  interesse)^[4].

Confira-se a redação do referido dispositivo:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Ressalta-se: somente quando verificada pelo menos uma dessas dez situações é que o agente poderá realizar o tratamento de dados pessoais^[5]. Ante ao exposto, passamos, nos capítulos abaixo a explorar os principais pontos de algumas dessas bases legais, tecendo considerações e críticas.

3.1. CONSENTIMENTO

Segundo a definição da LGPD, “consentimento” significa manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, XII). Para além desta definição, outros dispositivos da LGPD ajudam na compreensão do que o consentimento significa na prática. Por consentimento livre, entende-se que a sua aceitação implica uma escolha genuína por parte do titular dos dados pessoais^[6]. Sendo assim, sempre que o consentimento for obrigatório, ele não poderá ser considerado livre. Esta questão tem particular relevância a depender da relação estabelecida entre as partes.

Assim, qualquer elemento que influencie ou pressione de maneira inapropriada o titular pode implicar consentimento não-livre. Ou seja, em desconformidade com a LGPD. A título exemplificativo, o consentimento para tratamento de dados pessoais no contexto de relações de trabalho: imagine-se, por exemplo, um contexto em que o empregador quer ter ciência se os seus empregados estão vacinados contra COVID-19. Caso o fornecimento dessa informação seja obrigatório, a base legal não poderá ser o consentimento dos empregados (titulares).

Por sua vez, para que o consentimento seja informado, o agente de tratamento deverá fornecer ao titular todas as informações exigidas pela LGPD. Nesse sentido, o art. 9º estabelece que:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I - finalidade específica do tratamento;

II - forma e duração do tratamento, observados os segredos comercial e industrial;

III - identificação do controlador;

IV - informações de contato do controlador;

V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI - responsabilidades dos agentes que realizarão o tratamento; e

VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

As informações costumam estar disponíveis em documentos como a política de privacidade do controlador ou ainda nos contratos celebrados diretamente entre o controlador e os titulares. Nota-se que, caso o consentimento seja fornecido por escrito, este deverá constar de cláusula destacada das demais cláusulas contratuais (art. 8°, §1^[7]). Por lógica, portanto, não há óbices para que esse consentimento seja obtido de forma oral, desde que adequado às devidas salvaguardas para a sua obtenção e passível de posterior comprovação. Cabe ainda ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD (art. 8°, §2°).  Deverá, pois, manter registro do consentimento dos titulares. Tarefa que, muitas vezes, mostra-se de difícil implementação.

O consentimento também deverá se referir a finalidades determinadas. Autorizações genéricas, enganosas e/ou abusivas por parte dos titulares serão consideradas nulas (art. 8º, §4º). Por fim, como demonstrado acima, o titular tem direito, a qualquer momento, à revogação do consentimento anteriormente manifestado.

3.2. CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA

Em algumas situações, o próprio ordenamento jurídico exige que os controladores realizem certos tratamentos de dados pessoais. Nessas hipóteses, o controlador não precisará obter o consentimento do titular, na medida em que, de acordo com o art. 7º, II, são lícitos os tratamentos “para o cumprimento de obrigação legal ou regulatória pelo controlador”.

A título exemplificativo, ressalta-se o art. 74 da Consolidação das Leis Trabalhistas, segundo o qual “horário de trabalho será anotado em registro de empregados”. Dessa forma, surge para o controlador a obrigação de utilizar nomes e outros dados pessoais de seus empregados para cumprir com a exigência legal. No mesmo sentido, a CLT, em seu artigo 168 estabelece que:

Art. 168 - Será obrigatório exame médico, por conta do empregador, nas condições estabelecidas neste artigo e nas instruções complementares a serem expedidas pelo Ministério do Trabalho:

I - a admissão;

II - na demissão;

III - periodicamente

Isto é, por força de lei, o controlador deverá coletar e armazenar informações de saúde de seus funcionários nas hipóteses de admissão e demissão. Os chamados exames admissionais e demissionais. Como bem ressaltado pela melhor doutrina, “Outro exemplo são as empresas do setor de seguros ou do mercado financeiro, as quais  estão  submetidas  a  várias  regras  legais  e  regulatórias  e  devem  cumprir obrigações  que  eventualmente  poderão  exigir  o  tratamento  de  dados  pessoais  de  seus clientes”^[8]. Deve-se ressaltar que, em qualquer circunstância, os princípios previstos na LGPD deverão ser respeitados.

3.3. EXECUÇÃO DE CONTRATO OU DE PROCEDIMENTOS PRELIMINARES AO CONTRATO

Ainda, a LGPD estabelece que o tratamento será lícito ”quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados” (art. 7º, V, LGPD)^[9]. Com efeito, para garantir o correto cumprimento de um contrato, o controlador precisará tratar dados pessoais de certos titulares, que, na maior parte dos casos, serão os contratantes. Nessas hipóteses, a LGPD autoriza o tratamento de dados pessoais.

Imagine-se, por exemplo, o tratamento de dados para a execução de folha de pagamento de determinada empresa. Nesse documento, serão tratados dados pessoais como nome, conta bancária, salário, dentre outras informações. Nessas circunstâncias, os dados pessoais serão tratados justamente para dar cumprimento ao contrato assinado entre as partes.

Ainda no âmbito da empresa, o recebimento de currículos para vagas é comum. Os currículos em regra contêm dados pessoais dos candidatos, de modo que o recebimento desses documentos pelos controladores implica tratamento de dados pessoais. Este tratamento, por sua vez, também é autorizado pelo art. 7º, V da LGPD. Isso porque a avaliação de currículos de titulares interessados em determinada vaga de emprego constitui, em última medida, procedimento preliminar relacionado à execução do contrato de trabalho a ser eventualmente assinado entre as partes.

Por fim, em uma sociedade cada vez mais conectada, contratos pela internet são celebrados com mais frequência e constantemente envolvem uma série de dados pessoais. No ponto, o aplicativo de delivery de comida necessita, por exemplo, do endereço do usuário final para poder concretizar a entrega. Isto é, para entregar os produtos e/ou prestar os serviços, o responsável pelo aplicativo necessita tratar dados pessoais. Novamente, nessas hipóteses, o controlador estará resguardado pela hipótese autorizativa do art. 7º, V, da LGPD. 

4. CONCLUSÃO

Com a entrada em vigor da LGPD, os agentes de tratamento estão sujeitos a diversas obrigações quando estiverem realizando o tratamento de dados pessoais. Nesse sentido, os controladores precisarão atender a pelo menos uma das bases legais previstas na LGPD para realizar qualquer operação que envolva dados pessoais. Dentre elas, destaca-se o consentimento, entendido como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Além do consentimento, os controladores também poderão tratar dados nas hipóteses em que o ordenamento jurídico exigir o tratamento e quando este se mostrar necessário para o cumprimento de contrato (ou de procedimentos preliminares) do qual o titular é parte. Nota-se que enquadrar as atividades em uma das bases legais previstas no art. 7º é tarefa árdua e deverá ser realizada pelos controladores junto a um time jurídico, sob pena de eventualmente realizar o tratamento de forma indevida e em desconformidade com a legislação brasileira.

REFERÊNCIAS

MENDES,  Laura  Schertel;  DONEDA,  Danilo.  "Comentário  à  nova  Lei  de  Proteção  de  Dados  (Lei 13.709/2018):  o  novo  paradigma  da  proteção  de dados  no  Brasil". Revista  de  Direito  do  Consumidor,  v. 120, 2018.

TEFFÉ, C. S. DE; VIOLA, M. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. civilistica.com, v. 9, n. 1, p. 1-38, 9 maio 2020. p. 25.

TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: Ana Frazão, Gustavo Tepedino e Milena Donato Oliva (Coord.).Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. Editora Revista dos Tribunais, 2019,p. 287-322.