LGPD na Prática – Classificação, Finalidade e Base Legal

Início / Blog / LGPD na Prática – Classificação, Finalidade e Base Legal
em 16/08/2019
LGPD na Prática – Classificação, Finalidade e Base Legal

Os artigos anteriores da série “LGPD na Prática” procuraram apresentar a nova lei brasileira que regulamenta o tratamento de dados pessoais e a necessidade de um plano de adequação à LGPD que se encaixe à especificidade de cada empresa.

Também se procurou demonstrar algumas etapas possíveis para atender aos requisitos desta lei, por exemplo, a importância de implementar um processo de inventário de dados pessoais, o que é imprescindível no atendimento às requisições de titulares e demais órgãos fiscalizatórios. E ainda, a necessidade de revisão dos contratos para verificar quais cláusulas não estão de acordo com a lei.

Dando continuidade a essa série de textos, após a realização do mapeamento, identificação e classificação dos dados pessoais, será preciso indicar quais hipóteses legais autorizam o tratamento desses dados e para qual propósito ou finalidade está ocorrendo o tratamento.

Vamos explicar melhor:

O Capítulo 2 da LGPD divide-se em quatros seções: (i) tratamento de dados pessoais (ii) tratamento de dados sensíveis (iii) tratamento de dados de crianças e adolescentes e (v) término de tratamento.

Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável. O tratamento de dados que se enquadrem nessa definição, apenas poderá ocorrer nas hipóteses estabelecidas no artigo 7º da LGPD. Já os dados sensíveis e os de criança e adolescentes possuem regras mais rígidas e são regidos de acordo com os princípios e regras constantes do seu artigo 6º.

No que diz respeito ao tratamento de dados pessoais, a primeira das hipóteses de tratamento é decorrente do consentimento do titular (artigo 7, inciso I). Vale lembrar que a lei também definiu o que é consentimento, artigo 5, inciso XII, vejamos:

“XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”

Trata-se, portanto, de um consentimento altamente qualificado. Entende-se por manifestação livre quando existe uma liberdade anterior de não usar o serviço, ou seja, quando há uma escolha significativa, real. A manifestação é considerada informada quando ao titular são fornecidas todas as informações necessárias, o que inclui saber para quais finalidades de tratamento estamos consentindo.

Nesse ponto, cabe ressaltar que qualquer tratamento de dados precisa respeitar a finalidade, a boa-fé, o interesse público, os direitos dos titulares e os princípios norteadores da proteção de dados. Em suma, os dados coletados deverão se restringir ao mínimo necessário para o funcionamento da empresa, pois autorizações genéricas para o tratamento dos dados pessoais serão nulas. Consequentemente, qualquer alteração, por exemplo, no conjunto dos dados tratados ou na finalidade de tratamento ensejarão a necessidade de nova solicitação de manifestação de consentimento do titular. Por fim, manifestação inequívoca, significa que a manifestação precisa ser demonstrável, ou seja, aquele que trata os dados pessoais deve ter a capacidade de comprovar que o consentimento foi obtido perante o titular, responsabilidade que é atribuída ao controlador (quem vai tomar as decisões a respeito desses dados). Existem alguns meios de se provar a obtenção desse consentimento, tais como contratos, termos de uso, entre outros menos usuais.

Além dessa hipótese, o artigo 7º da LGPD prevê em seus incisos outras hipóteses de tratamento de dados pessoais que dispensam a exigência do consentimento, mas não desobrigam os agentes de tratamento das demais responsabilidades previstas na lei, especialmente quanto a observância dos princípios gerais e garantia dos direitos do titular.

O inciso II traz a hipótese de tratamento de dados pessoais que decorrem da necessidade de “cumprimento de obrigação legal ou regulatória pelo controlador. Por exemplo, a Lei nº 9.613/1998, que dispõe sobre os crimes de lavagem de dinheiro, prevê que as instituições financeiras devem manter o cadastro de seus correntistas durante o período mínimo de 5 (cinco) anos, contados a partir do primeiro dia do ano seguinte ao do encerramento das contas-correntes ou da conclusão das operações.

Os incisos III e IV são hipótese de tratamento de dados pessoais pelo poder público, as quais não serão objeto de estudo dessa série de artigos.

Já o inciso V, “quando necessário para a execução de contrato” são situações nas quais há um contrato e, para que este seja cumprido/executado, fica autorizado o tratamento dos dados pessoais.

Vale lembrar, que a LGPD também atribuiu ao controlador a obrigação de comunicar ao titular o compartilhamento dos dados pessoais com terceiros. Consentimento específico do titular deve ser obtido para esse fim.

Outra importante hipótese é o (inciso VI) “para o exercício regular de direitos em processo judicial, administrativo ou arbitral (…)”.

A LGPD também prevê hipóteses para o tratamento de dados pessoais quando necessários para a proteção da vida ou da incolumidade física do titular ou de terceiros, bem como a tutela da saúde, artigo 7º, incisos VII, VIII)

Há também o inciso IX do artigo 7: “quando necessário para atender aos interesses legítimos do controlador ou de terceiros”. Essa hipótese requer maior atenção no que diz respeito ao dever de informar, isto é, o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse, além de estar sujeito a elaborar relatório de impacto à proteção de dados pessoais.

A utilização da hipótese legal de tratamento de dados pessoais baseada no interesse legítimo exigirá a análise de cada situação concreta, a fim de verificar se o tratamento pode ou não ser enquadrado como interesse legítimo do controlador. Apesar dessa margem interpretativa, esta análise não dispensa a observância dos direitos do titular e dos princípios que regem da LGPD.

Por fim, o inciso X do artigo 7º da LGPD, estabelece que o tratamento de dados poderá ser realizado para a proteção do crédito, nos termos da legislação pertinente.

Cabe ressaltar que são exceções à regra os dados tornados públicos pelo titular. Porém, mesmo nesses casos, o tratamento deve respeitar todos os direitos dos titulares e os princípios norteadores da proteção de dados.

No próximo capítulo dessa série serão exploradas quais são as hipóteses legais para o tratamento dos dados pessoais sensíveis e dos dados de crianças e adolescente.

Para falar com o autor desse artigo, mande e-mail para liandra.marconcini@ribeirodaluz.com.br. Caso tenha ficado alguma dúvida, escreva nos comentários que teremos prazer em esclarecer! Para saber mais sobre a temática e nossos serviços, entre em contato conosco pelo e-mail: contato@ribeirodaluz.com.br.

Fontes:
[1] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato20152018/2018/Lei/L13709.htm>. Acesso em 24 de jun. 2019.
JOTA.LGPD. Nova LGPD: a importância do consentimento para o tratamento dos dados pessoais. Disponível em:. Acesso em 09 de ago. 2019.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *