Após aproximadamente dez meses da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), todos estão em busca de informações para entender qual a importância de se adequarem e estarem em conformidade com as inovações trazidas pela Lei.

Atualmente, ainda há quem não tenha se dado conta do impacto dessa lei no mundo empresarial. Nós vivemos em uma sociedade cada vez mais tecnológica, onde as informações são cada vez mais estratégicas e valiosas para as empresas. E, dentro deste contexto, vemos inúmeros vazamentos de dados sendo noticiados na mídia.

Nesse sentido, a LGPD garante de um lado o direito aos titulares de exercerem maior poder sobre seus dados reclamando seus direitos, e de outro, maior segurança jurídica às empresas, que passam a ter uma garantia de que não serão punidas de maneira inesperada, desde que atuem seguindo as previsões contidas na Lei.

Com objetivo de guiar as pessoas - físicas e jurídicas - a agirem de acordo com a LGPD, iremos abordar quais são as dez hipóteses permissivas para o tratamento de dados pessoais, trazidas pela Lei de Proteção de Dados, em seu artigo 7º, garantindo maior segurança em operações dessa natureza, de modo que o tratamento de dados somente poderá ser legalmente realizado dentro dessas previsões.

O consentimento, conforme definido na própria lei, é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, inc. XII).

A manifestação livre, como a própria nomenclatura já diz, se resume no consentimento deve ser livre, ou seja, o titular dos dados não poderá ser obrigado a consentir, bem como não é permitido obter o consentimento de forma automática. O Titular também deverá ser previa e claramente informado sobre o que ele está consentindo naquele momento, e ainda saber da finalidade desta coleta.

Por fim, não poderá restar dúvidas sobre a veracidade deste consentimento fornecido pelo titular dos dados, sendo da parte obtentora o ônus da prova de que o respectivo consentimento foi obtido em conformidade com os ditames legais.

Assim, o consentimento poderá ser fornecido por escrito, ou ainda por qualquer outro meio que demonstre a vontade do titular, desde que tenha a finalidade determinada e possua transparência em seu conteúdo. Qualquer outro texto enganoso, abusivo, ou que não tenha sido esclarecido ao titular, poderá tornar nulo o consentimento obtido. Outro ponto que deve ser observado é, caso o titular queira revogar o consentimento fornecido, tal ato poderá ser feito facilmente e de forma gratuita.

Neste caso, há uma lei ou um ato normativo que impõe o tratamento de dados, seja para fornecimento, adequação ou modificação de dados pessoais. Ou seja, existe dispositivo legal que obriga o emprego de determinada ação relacionada àquele dado, não sendo, portanto, uma escolha discricionária de empresas ou agentes de tratamento.

Como um exemplo atual, imagine um hospital particular que colhe informações de um paciente diagnosticado com covid-19, e compartilha estes dados com o ministério da saúde. Vejam que, neste exemplo, não há consentimento do paciente, pois a lei impõe que seja realizado desta forma, com a finalidade de manter as estatísticas em prol da saúde pública, conforme texto da Portaria Nº 1.792, do Ministério da Saúde.

O encarregado pode ser tanto uma pessoa física e não há exigência sobre a sua formação. Portanto não é requisito “ser advogado” e tampouco “profissional de segurança da informação”. Apesar disso, conhecimentos jurídicos, de processos, de segurança da informação, de compliance e bom conhecimento dos negócios são fundamentais para o bom desempenho das funções.

Este inciso só tem aplicação à Administração Pública, ou seja, não pode ser utilizado como base legal para tratamento de dados de empresas que não pertencem a estruturas estatais. Aqui, faz-se necessário observar que o capítulo IV da LGPD regulamenta o uso de dados pessoais pelo poder público em casos de tratamento de dados na execução de políticas públicas.

Entende-se por políticas públicas, programas relacionados a direitos garantidos aos cidadãos, podendo ser relativas a área da educação, da saúde, do meio ambiente, de transporte, moradia, entre outras. Desta forma, o compartilhamento dos dados pela administração pública, e claro dentro de um contexto de execução de políticas públicas é mais uma hipótese permissiva, ainda que não haja o consentimento específico para tal finalidade.

Porém, há ressalvas, e o órgão que coletou respectivos dados, deve informar de forma clara que fará o compartilhamento desta informação e com quem vai compartilhar tais dados.

Em contrapartida, o órgão que irá receber os dados colhidos precisa justificar esse acessa necessidade de recebimento, tendo como base a execução de uma política pública determinada, contendo o motivo da solicitação do dado e qual será o uso dele.

Esta base legal se aplica somente aos órgãos voltados à pesquisa em prol da sociedade. Entretanto, sempre que for possível, deve-se garantir a anonimização dos dados pessoais, através de mecanismos que impeçam a identificação de um indivíduo através de um destes dados coletados, seja mediante criptografia ou algum outro meio anonimizador.

Um bom exemplo seria uma pesquisa para apuração das intenções de votos de uma eleição. Através disso, consegue-se verificar a proporção de votos para cada candidato dividido pela região, classe social, etc. E, ainda que o objetivo final da pesquisa seja cumprido, é impossível saber quem foram as pessoas que participaram da entrevista.

Outra exceção que dispensa o consentimento, e deve-se ter muita cautela. Quando há um contrato firmado, se faz necessário uso dos dados do titular para seguir com a preparação e execução deste contrato, sendo o consentimento para esta ocasião considerado tácito, desde que tal contrato seja pactuado e executado a pedido do próprio titular. Como exemplo, temos a própria advocacia. Os advogados necessitam da coleta dos dados pessoais de um cliente, como por exemplo nome completo, CPF, RG e endereço, para que se possa executar o contrato de prestação de serviços.

Podemos também exemplificar esta base legal com o contrato de trabalho. Como é sabido, para a celebração de um contato de trabalho, se faz necessário compartilhar com o Empregador os dados pessoais do colaborador, sendo eles: nome completo, CPF, RG, endereço, número da CTPS, conta bancária, dentre diversos outros.

Havendo processo judicial, administrativo ou arbitral, as partes detêm o direito de produzir provas umas contra as outras, e a proteção de dados pessoais não bloqueia este direito. Assim, o objetivo desta base legal é proporcionar o contraditório e a ampla defesa, bem como assegurar o devido processo legal. Portanto, nestas situações, está autorizado o tratamento de dados em caso de ordem judicial, imposição legal, contratual ou procedimental.

Aqui, temos que esta base legal está ligada ao estado de necessidade do titular. Ou seja, imagine um indivíduo que sofre um acidente, e com isso pessoas que estiverem no local para resgatá-lo, terão acesso ao telefone celular ou documentos deste indivíduo, para auxiliar na comunicação com a família, chamar o socorro ou ainda ligar para o plano de saúde.

Portanto, em uma situação semelhante a esta, é possível que a coleta e o compartilhamento destes dados pessoais para fins de proteção a vida ou incolumidade física do titular seja realizado dentro dos ditames legais.

Esta base legal deve ser atribuída em situações especificas determinadas na Lei, ou seja, se aplica a procedimentos realizados por profissional de saúde, autoridade sanitária ou serviços de saúde.

Imaginem um cenário onde o uma pessoa tivesse seu plano de saúde reajustado, após a operadora acessar alguma informação de saúde do titular. Tal situação hipotética é um exemplo do que é vetado pela LGPD, sendo proibido que as operadoras de planos de saúde usem estes dados para seleção de riscos de clientes.

Por ser exclusivo à essas hipóteses trazidas pela LGPD, afasta-se, portanto, o interesse de farmácias, entidades de planos de saúde e hospitais de violar a proteção de dados considerados sensíveis, relacionados à saúde de seu titular.

Esta base legal sem dúvidas é a que traz maior polêmica em sua aplicação, e apesar de inédita no direito brasileiro, ela é constantemente utilizada no exterior.

Com essa base legal, o controlador fica autorizado a tratar dados pessoais para finalidades diversas, mesmo sem possuir o consentimento do titular para cada uma delas de forma individualizada. Entretanto, cabe a ressalva de que, para ser utilizada, se faz necessário averiguar se os interesses da empresa em tratar os dados é proporcional à legitima expectativa do titular, visando sempre manter intactos seus direitos e liberdades fundamentais.

Por esta razão, essa base legal não apresenta muita segurança tanto ao controlador dos dados quanto ao titular destes.

A última base legal trazida pelo art. 7º pode ser utilizada tanto por órgãos de proteção de crédito quanto empresas para legitimar o tratamento de dados pessoais de consumidores/clientes em atividades de análise de crédito e do cadastro positivo. Aqui busca-se garantir o crédito em situações de cobrança ou dívidas contraídas pelos titulares.

Nenhuma das hipóteses legais listadas prepondera sobre as demais, de modo que se torna necessário sempre aplicar a base legal que mais se adequa a operação realizada pelo controlador.

Assim, é de suma importância que as empresas que se utilizam de dados pessoais em suas atividades, façam a adequação de suas políticas de compliance e de seus procedimentos internos o quanto antes, para que se resguardem e estejam em conformidade com a Lei Geral de Proteção de Dados, garantindo assim a regularidade de suas operações de tratamento.