Na parte I da série Entendendo a LGPD, falamos sobre alguns dos principais conceitos da Lei, seus princípios fundamentais e a quem ela se aplica. O texto de hoje tem como ponto principal abordar os princípios e as bases legais para o tratamento de dados.
Entender os princípios e as bases legais é essencial para que as empresas possam se adequar às especificidades da LGPD. Este texto vai solucionar muitas dúvidas a respeito da forma como os dados pessoais devem ser tratados e, principalmente, em quais hipóteses a Lei permite o tratamento. Então vamos a eles.
Princípios e bases legais para o tratamento de dados
As atividades de tratamento de dados precisam seguir alguns princípios básicos e também se fundar em uma das bases legais que estão na Lei. Você precisa entender que os princípios e as bases legais são os alicerces que toda e qualquer empresa precisa se basear para utilizar os dados pessoais. Então, atente-se a eles e evite irregularidades!
Princípios fundamentais do tratamento de dados pessoais
O artigo 6º da LGPD traz todos os princípios que devem ser seguidos pelas pessoas que tratam dados pessoais. Ao todo, são 10 princípios norteadores. Vamos a eles:
Finalidade
Esse princípio diz que o tratamento de dados precisa atender a propósitos legítimos, específicos e explícitos. Esses propósitos devem ser informados ao titular dos dados pessoais.
Assim, se você coleta, por exemplo, o e-mail de algumas pessoas para enviar mensagens de publicidade, você precisa informar a essa pessoa, no momento da coleta, essa finalidade.
É importante enfatizar que não é possível mudar a finalidade do tratamento sem informar ao titular dos dados. Então, se você resolve usar o e-mail não só para enviar publicidade, mas também para compartilhar com outras pessoas, é necessário que você informe ao titular de dados essa mudança. E, nesse caso, o titular de dados pode recusar o tratamento.
Adequação
O tratamento dos dados deve ser compatível com as finalidades informadas ao titular. Então, se eu afirmo que vou utilizar o dado para determinada finalidade, o tratamento deve ser compatível para alcançar essa finalidade.
Necessidade
Esse princípio limita o tratamento de dados ao mínimo necessário para a realização das suas finalidades. Então, não se pode colher mais dados que o necessário ou submetê-los a diversos processos que não são adequados ou necessários à finalidade informada.
A necessidade significa tratar os dados de forma não excessiva. Isso quer dizer que você precisa pensar em dois pontos ao realizar o tratamento: colher apenas dados pertinentes e tratá-los de forma proporcional à finalidade.
Livre acesso
Os titulares precisam ter a garantia de acesso aos seus dados pessoais, sendo que esse acesso deve ser feito mediante uma consulta facilitada e gratuita. Nessa consulta, os titulares podem obter informações sobre a forma e a duração do tratamento, e também verificar se os seus dados estão corretos. Para isso, os titulares precisarão fazer uma requisição à empresa, que terá um prazo para disponibilizar as informações.
Qualidade dos dados
A qualidade dos dados é de extrema importância para seus titulares. Quem vai querer que uma empresa armazene seus dados pessoais de forma incorreta ou com informações inverídicas? Isso, inclusive, pode gerar responsabilidade para a empresa.
Assim, as empresas precisam garantir que os dados tratados estão corretos, são claros e relevantes. Além disso, é necessário sempre atualizar os dados conforme a necessidade. Caso os dados estejam incorretos ou incompletos, o titular pode solicitar a correção.
Transparência
A transparência é um dos pilares da LGPD. Ela que faz com que as regras do jogo estejam estabelecidas de forma justa.
O princípio da transparência nada mais é do que as empresas prestarem informações claras, precisas e facilmente acessíveis ao titular de dados. Essas informações podem ser a respeito da forma como é realizado o tratamento, quem é o responsável por isso, quanto tempo dura o tratamento, com quem os dados estão sendo compartilhados, etc.
Segurança
As empresas precisam garantir a segurança de dados, esse é um dos pontos cruciais da LGPD. Isso porque vários casos de vazamento e danos aos titulares vêm ocorrendo de tempos em tempos (leia mais sobre os riscos do compartilhamento de dados aqui) e as pessoas precisam de proteger a sua privacidade.
Assim, o princípio da segurança impõe que as empresas usem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou de situações acidentais ou ilícitas que gerem risco de vazamento, perda, alteração ou destruição dos dados.
Prevenção
A prevenção está muito ligada à segurança. Vamos concordar que prevenir um dano é muito melhor do que tentar consertar depois, não é?
Então, o princípio da prevenção impõe às empresas a adoção de medidas para prevenir a ocorrência de danos aos dados pessoais. Dessa forma, é preciso que a empresa adote uma política de proteção de dados, conscientizando todos os colaboradores sobre a importância de se proteger os dados pessoais. Além disso, deve adotar estratégias em tecnologia da informação para tornar o tratamento de dados mais seguro.
Não discriminação
O princípio da não discriminação visa proteger os direitos fundamentais dos titulares dos dados pessoais, incluindo a sua privacidade. A não discriminação diz respeito à proibição de realização de tratamento de dados para fins discriminatórios, ilícitos ou abusivos. Não se pode excluir determinados titulares de dados por conta de características específicas como origem racial, opinião política, religião, informações genéticas ou orientação sexual.
Responsabilização e prestação de contas
Esse princípio faz com que as empresas demonstrem que cumpriram as normas de proteção de dados pessoais e que adotaram medidas eficientes. É responsabilidade das empresas demonstrarem que estão em conformidade com a LGPD. Esse vai ser um mecanismo importante perante a fiscalização da ANPD.
Bases legais para o tratamento de dados pessoais
O tratamento de dados pessoais precisa de uma base legal que o justifique. Não é possível tratar dados pessoais pela simples vontade da empresa ou da instituição pública.
Quem trata dados pessoais precisa se encaixar em uma das dez bases legais dispostas no art. 7º da LGPD. Então, as empresas precisam ficar de olho sobre qual base legal elas utilizarão para fundamentar o tratamento de dados. As bases legais são:
Consentimento do titular
Essa é uma das bases legais mais faladas com relação da LGPD. Ela permite que as empresas utilizem os dados pessoais após colherem o consentimento do seu titular.
Mas como deve ser esse consentimento? Bem, a lei demanda que o consentimento deve ser livre, informado e inequívoco.
Para ser livre, o titular deve consentir de livre e espontânea vontade, ou seja, o consentimento não pode ser utilizado como moeda de troca. “Me forneça seus dados que eu forneço meu produto.” Não! Isso não pode.
Para ser informado, o titular precisa obter informações sobre o que será feito com os seus dados pessoais (lembra do princípio da finalidade ali em cima?).
E, para ser inequívoco, é necessário que haja prova que o titular consentiu com o tratamento. Pode ser por escrito ou outro meio que demonstre que o titular manifestou o consentimento. O consentimento pode ser feito, por exemplo, em uma cláusula destacada em contratos, ou um e-mail que demande uma resposta clara do titular.
É realmente desafiador colher o consentimento do titular dos dados, ainda mais nos moldes que a LGPD impõe. Mostrar ao titular um texto enorme e no final “Li e Aceito todos os termos” não é suficiente para provar que o consentimento foi livre, informado e inequívoco. Isso porque quase ninguém lê esses termos, né? E, nesses casos, o consentimento vai ser considerado nulo, sem feito jurídico algum.
Então, é necessário que as empresas pensem em processos criativos que deixem a informação clara e acessível ao titular para que ele dê o seu consentimento.
Cumprimento de obrigação legal ou regulatória pelo controlador
Nos casos em que o controlador precisa cumprir alguma obrigação legal ou regulatória, ele pode tratar os dados pessoais de algumas pessoas sem a necessidade de consentimento. E se alguma Lei demanda o tratamento de dados, o titular não pode se opor a isso.
Execução de políticas públicas pela Administração Pública
Essa base legal permite que a Administração Pública utilize dados pessoais para realizar políticas públicas. As políticas públicas são autorizadas e instituídas por leis ou atos normativos. Assim, o próprio instrumento que cria a política pública é o que autoriza o tratamento dos dados pessoais.
Mesmo que não seja necessário colher o consentimento dos titulares de dados, eles precisam ser informados de como os dados serão tratados e para qual finalidade.
Realização de estudos por órgão de pesquisa
Os dados pessoais podem ser tratados com a finalidade de estudo por órgãos de pesquisa. Neste caso, não é necessário que haja o consentimento do titular. Entretanto, é necessário que, sempre que possível, os dados sejam anonimizados, para preservar a identidade e a privacidade das pessoas.
A anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Em outras palavras, é fazer com que um dado que antes poderia facilmente ser ligado a uma pessoa específica, não possa mais o ser.
Execução de contratos
Essa hipótese ocorre quando o tratamento de dados é necessário para que um contrato seja cumprido. Nesse caso, o próprio titular de dados que irá pedir o tratamento, no momento de assinatura do contrato.
Por exemplo, se faço um contrato com uma loja e compro um computador, essa loja precisa utilizar meus dados para processar o pagamento e emitir a nota fiscal posteriormente. E não é necessário um consentimento para esse tratamento específico, porque ele é essencial para cumprir o contrato.
Exercício regular de direitos em processo judicial, administrativo ou arbitral
Para que eu exerça os meus direitos dentro de um processo judicial, administrativo ou arbitral, eu não preciso de consentimento para tratar os dados pessoais das partes.
Imagine que eu precise processar alguém que está me devendo um dinheiro. Eu não preciso obter o consentimento dela para utilizar seus dados em um processo ou colher provas que vão me beneficiar.
Proteção da vida ou da incolumidade física do titular ou de terceiro
Essa base legal autoriza o tratamento de dados pessoais quando a vida ou a integridade física do titular está em risco.
Um exemplo disso é no caso em que uma pessoa que dá entrada no hospital inconsciente após um acidente. O hospital precisa acessar o histórico médico do paciente, mas o paciente não está em condições de fornecer o consentimento. Nesses casos, o tratamento é plenamente possível.
Tutela da saúde
Essa base legal visa atender o interesse público, quando os dados pessoais são necessários para proteger a saúde pública. Assim, os profissionais de saúde, serviços de saúde ou autoridade sanitária não precisarão de autorização para utilizar os dados.
Legítimo interesse do controlador
O legítimo interesse é uma das bases legais mais problemáticas, porque a LGPD não traz de forma clara o que é, de fato, o legítimo interesse. Por isso, é recomendável que você baseie o seu tratamento de dados em legítimo interesse somente se não houver nenhuma outra base legal para aplicar.
O artigo 10 da LGPD traz algumas hipóteses, igualmente vagas, sobre o que poderia ser esse legítimo interesse. Por exemplo, quando o interesse é relativo à promoção das atividades do controlador.
Ao utilizar essa base legal, a empresa precisa demonstrar que o interesse é realmente legítimo e que ela utiliza somente os dados necessários para atingir aquele objetivo. Portanto, tomem cuidado ao utilizar essa base legal!
Proteção do crédito
Essa base legal permite que os bancos possam coletar dados para saber se uma pessoa tem condições de receber créditos ou empréstimos, a fim de que eles se protejam contra a inadimplência. Nesse caso, não é necessário consentimento.
Ela também visa evitar que pessoas utilizem da justificativa de privacidade para requerer que seu nome seja retirado do Serasa ou SPC, por exemplo, alegando que não autorizou o tratamento.
Vimos que existem dez bases legais para fundamentar o tratamento de dados, mas você precisa se adequar a somente uma delas para realizar o tratamento. Assim, dependendo da situação, uma base legal se adequará melhor do que outra. E é importante salientar que o consentimento explícito só é necessário na primeira base legal, ok?
Os princípios e as bases legais de tratamento criaram um novo cenário e muitas empresas vão precisar rever os seus processos para se adequar à LGPD. Então, informe-se!
Referências
As bases legais para o tratamento de dados pessoais:
muito além do consentimento – Guilherme Henrique Gualtieri de Oliveira.
Guia de Boas Práticas LGPD – Gov.br. (acesse aqui).
