O consentimento do titular dos dados, da pessoa natural, é sempre necessário para que o dado possa ser usado?
O tema em questão tem sido alvo de muitas dúvidas e base para a criação de muitos mitos. Debruçamos nossos esforços para trazer neste momento os esclarecimentos necessários para que você entenda claramente o assunto.
Requisitos para o tratamento de dados
Em verdade, a coleta e tratamento de dados mediante o consentimento do titular é apenas uma das hipóteses que autoriza a manipulação dos dados.
Imagine a seguinte situação: Você precisa processar uma pessoa, mas não pode utilizar seus dados, pois, por óbvio, ela não deu seu consentimento. Ou, ainda: Como os bancos de proteção ao crédito inscreveriam devedores, caso o consentimento deles fosse sempre necessário?
Dessa forma, o artigo 7º da LGPD, ao elencar as hipóteses em que o tratamento de dados pode ser realizado, traz um rol de situações que, além do consentimento do titular, contempla* uso:
- Para cumprimento de obrigação legal ou regulatória do controlador (isto é, a quem competem as decisões relativas ao tratamento de dados);
- Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Para a proteção do crédito;
- Quando os dados são tornados manifestamente públicos pelo titular, resguardados seus direitos e os princípios previstos na lei;
- Pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; e,
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Veja-se, portanto, que a legislação traz um rol extenso, porém taxativo, de situação em que é permitido o tratamento de dados pessoais, sendo que, nem sempre, será necessário obter o consentimento do titular – este que deve ser feito respeitadas as normas estabelecidas pela LGPD, que serão tratados em capítulo futuro desta série.
As hipóteses acima elencadas demonstram a preocupação do legislador em estabele犀利士
cer autorizações para o tratamento de dados pessoais quando o interesse público ou o exercício regular de um direito permita, mesmo que não haja consentimento do titular
Tratamento fundado no interesse legítimo
Talvez a hipótese mais controversa – e ampla – que admite o tratamento de dados é para “atender aos interesses legítimos do controlador ou de terceiro” (art. 7º, inc. IX, LGPD).
Com efeito, a norma parece abarcar uma ampla e inimaginável gama de situações.
Melhor detalhando a disposição, o art. 10 da legislação afirma que o legítimo interesse somente pode “fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas”, as quais se incluem, exemplificativamente, o apoio e promoção de atividades do controlador e a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Dessa forma, empresas, por exemplo, que utilizem dados pessoais para a exploração de sua atividade econômica, em tese, poderiam continuar a utilizá-los, independentemente de consentimento expresso, desde que respeitados os direitos do titular.
No entanto, a adoção de conceitos abertos/genéricos, embora possibilite justificar incontáveis hipóteses de tratamento de dados, traz um cenário de insegurança jurídica, que precisa ser ponderado pelo agente.
E agora?
Independentemente da hipótese em que se funda o tratamento de dados, a observância às normas da LGPD é obrigatória (art. 7º, §6º).
Dessa forma, eventual insegurança jurídica ou dúvida na aplicação da legislação, deve ser resolvida pelas empresas mediante a aplicação, principalmente, dos princípios estabelecidos no art. 6º da LGPD.
Com efeito, independentemente das nébulas interpretações e situações omissas, valendo-se dos princípios gerais de proteção de dados, a organização poderá desenvolver uma estrutura adequada à garantia dos direitos tutelados pela legislação, de modo a evitar qualquer penalização.
Nesta conjuntura, a elaboração de relatórios descritivos e pareceres que explicitem os procedimentos adotados e os respectivos fundamentos pode ser importante e indispensável ferramenta de governança.
TAILANE MORENO DELGADO MORO – Advogada, sócia fundadora da Moreno Moro Advogados. Graduada pelo Centro Universitário Curitiba (UniCuritiba). Especialista em Direito Tributário e Processo Tributária pela Universidade Positivo (UP); MBA em Gestão e Business Law pela FGV (Fundação Getúlio Vargas). Membro da Comissão de Compliance e Governança Corporativa (Curitiba/PR) da ABA – Associação Brasileira de Advogados. Ex-diretora do IBPT Educação e do IBPT – Instituto Brasileiro de Planejamento e Tributação. Palestrante, coautora de livro e artigos jurídicos, especialmente nas áreas de governança jurídica, Compliance e LGPD (Lei Geral de Proteção de Dados).
E-mail: tailane.moro@morenomoro.com.br
RAFAEL SGODA TOMAZETI – Advogado, sócio da Moreno Moro Advogados. Graduado em Direito pelo UniBrasil – Centro Universitário Autônomo do Brasil, tendo sido laureado com o título de melhor aluno do Curso de Direito (2017.2). Especialista em Compliance e Integridade Corporativa pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). Especializando em Direito Empresarial pela Faculdade Legale. Membro da Comissão de Compliance e Governança Corporativa (Curitiba/PR) da ABA – Associação Brasileira de Advogados. Membro do Comitê Público da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Possui formação em propriedade intelectual pela World Intellectual Property Organization (WIPO) e em proteção de dados pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio). Membro participante da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB Paraná).
(*) Cabe registrar que o tratamento de dados de crianças e adolescentes e o de dados pessoais sensíveis possui regramento próprio e específico, não sendo objeto do presente estudo.