A LGPD traz todas as possibilidades onde pode ocorrer o tratamento de dados pessoais. De forma resumida, as bases legais são orientações gerais que autorizam a atividade de tratamento de dados pelo controlador. As bases legais estão dispostas no art. 7º, da LGPD, conforme verifica-se na tabela abaixo, temos as hipóteses de tratamento e a base legal para cada hipótese:

1. Do Consentimento

Em síntese, o consentimento consiste na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, XII, LGPD).

O dispositivo legal é claro ao vincular o consentimento à finalidade, ou seja, o agente de tratamento deverá realizar o tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (art. 6º, I, LGPD).

Portanto, o dispositivo legal não dispõe aqui de qualquer tipo de consentimento, pois ele deve ser livre, informado e inequívoco. Isto é, livre porque terá de ocorrer a partir de manifestação de vontade própria do titular, sem qualquer tipo de coação, influência ou condição; informada, pois o titular deverá saber com que está consentindo, inclusive para exercer o seu direito de revogação se assim o desejar; inequívoca, por não haver dúvidas quanto ao fornecimento do consentimento, sendo ele claro e evidente.

Sobre a forma como deverá ocorrer o consentimento, a LGPD prevê que o consentimento poderá ocorrer de forma escrita ou por outro meio que demonstre a manifestação do titular (art. 8º, caput, LGPD); quanto à primeira forma, não há muito a ser discutido, todavia, quanto aos outros meios, este é um dos pontos que podem render grandes debates.

Atualmente, o consentimento tem exercido um papel de protagonismo e é com base nesta hipótese que muitas empresas realizam o tratamento de dados das pessoas. Bruno Brioni faz uma grande reflexão sobre o tema, e o renomado autor frisa a posição central que o consentimento tem exercido:

Ao mesmo tempo, contudo, esse progresso geracional não eliminou o protagonismo do consentimento. A sua centralidade permaneceu sendo o traço marcante da abordagem regulatória. Tanto é verdade que, em meio a esse processo evolutivo, o consentimento passou a ser adjetivado, como devendo ser livre, informado, inequívoco, explícito e/ou específico, tal como ocorreu no direito comunitário europeu. Essa distribuição de qualificadores acaba, portanto, por desenhar um movimento refratário em torno do papel de destaque do consentimento quase como sendo sinônimo de autodeterminação informacional.[1]

2. Do Legítimo Interesse

O legítimo interesse é uma das hipóteses de tratamento que somente fundamentará tratamento de dados pessoais para finalidades legítimas, que incluem, mas não se limitam a apoio e promoção de atividades do controlador e proteção ao titular (art. 10, LGPD).

Curiosamente, o legítimo interesse é a única base legal que possui um artigo específico só para ele; segundo Bruno Bioni e Mariana Rielli[2], o aprofundamento na concepção do legitimo interesse seria uma estratégia para evitar que a relativa flexibilidade da base legal se traduza em um “cheque em branco” no âmbito prático, ao mesmo tempo, ela enseja questionamento e interpretações diversas.

Um exemplo para aplicação do legítimo interesse está no monitoramento do ambiente de trabalho, por meio do qual o empregador exerce o seu poder diretivo sobre os colaboradores, a consistir numa finalidade legítima que decorre das normas trabalhistas. Assim, há o legítimo interesse para processar tais dados a fim de uma melhor performance dos seus empregados.

3. Do Cumprimento de Obrigação Legal ou Obrigatória

O cumprimento de obrigação legal ou obrigatória é uma das bases legais na LGPD que busca preservar o interesse público. Esta hipótese de tratamento de dados se concretiza por força de lei anterior ou para garantir a ordem e segurança social.

A título de exemplo, conforme explica Ana Paula Ávila[3], no comércio de medicamentos, em alguns casos, a solicitação é absolutamente legítima por causa da Portaria n. 344/1998, da ANVISA, que obriga as farmácias a aviar ou dispensar receitas médicas apenas quando todos os itens da receita estejam preenchidos (art. 52, §§ 2º e 3°), e o art. 36, caput, alíneas “d” e “i”, inclui a identificação do usuário (nome e endereço completo) e do comprador (nome completo, número de documento de identificação, endereço completo e telefone).

Todavia, esses dados são exigidos para a aquisição das substâncias relacionadas nas listas anexas à portaria (antibióticos, retrovirais, substâncias entorpecentes e psicotrópicas); no caso em que há aquisição de outros produtos que não estejam na mencionada Portaria, como produtos de higiene ou cosméticos, o consumidor não é obrigado a fornecer seus dados pessoais à farmácia.

4. Da Administração Pública

Conforme art. 7°, III, da LGPD, a administração pública poderá realizar o tratamento de dados pessoais para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei.

Diante desta hipótese de tratamento, não há necessidade de obter o consentimento do titular dos dados pessoais. Portanto, para enquadrar-se nesse requisito legal, a administração pública é obrigada a informar a finalidade e a forma como o dado será tratado, a respeitar os fundamentos da LGPD, em que pese o consentimento não ser um requisito para que seja realizado o tratamento.

5. Da Realização de Estudos e Pesquisas

No que tange à realização de estudos e pesquisas, esta é uma hipótese de tratamento prevista pela LGPD, pois essa base legal tem como pressuposto que o controlador é um órgão de pesquisa, definido pela LGPD como:

XVIII- órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico” (art. 5º, XVIII).

6. Da Execução ou Procedimento Preliminar Contratual

Com relação a esta hipótese, servirá quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Explica Rafael Fernandes Maciel:

Não seria adequado exigir de um contratante que obtivesse do titular dos dados um consentimento apartado para que pudesse utilizar seus dados pessoais na elaboração de um contrato pedido pelo próprio titular. É o caso, por exemplo, da aquisição de um imóvel. O cliente procura a construtora e preenche um cadastro para análise e possível futura contratação, desnecessário o consentimento expresso, haja vista tratar-se de um procedimento preliminar. O mesmo em relação à própria execução de um contrato. Não poderá, todavia, o controlador utilizar os referidos dados para outras finalidades sem informar ao titular a base legal correta, como o interesse legítimo para ações de promoção comercial da contratada.[4]

7. Do Exercício Regular de Direitos

No presente caso, o tratamento ocorrerá para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem).

Em síntese, isto significa que não cabe oposição ao tratamento de dados pessoais no contexto dos processos judiciais e arbitrais. Desta maneira, a previsão do tratamento de dados para o exercício regular do direito protege a ampla defesa, o contraditório e o devido processo legal.

8. Da Proteção da Vida ou da Incolumidade Física

O tratamento de dados pode ser autorizado quando for indispensável à proteção da vida ou à segurança física do titular ou de terceiro, ainda que sem o consentimento do titular.

Assim, em eventual acidente de trânsito, onde há necessidade de pegar o documento da vítima, estaríamos diante de um tratamento de dados cujo objetivo é a proteção do próprio titular, sendo desnecessária a autorização, a qual, a depender da gravidade, sequer poderá ser colhida. O valor da vida é de tamanha relevância que poderá o tratamento dos dados ocorrer ainda que seja para proteger terceiro e não o próprio titular.

9. Da Tutela da Saúde

A hipótese de tratamento de dados para a tutela da saúde vale, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Assim como na base legal anterior, a saúde deve prevalecer sobre o direito à privacidade. No entanto, a lei prevê que tal fundamento para tratamento de dados pessoais somente pode ser arguido por profissionais da área da saúde ou por entidades sanitárias.

Portanto, um aplicativo que tenha como objetivo ajudar o titular no controle do peso ou de sua condição física (health apps) não poderá utilizar esse fundamento, até porque, a depender do caso, pode envolver dados sensíveis.

10. Da Proteção do Crédito

Essa base legal é exclusivamente brasileira, com o tratamento de dados em função da proteção de crédito, os serviços de sua manutenção e proteção dispensam consentimento, desde que realizem negócio jurídico de interesse do titular.

Em outros casos, para controle do crédito, empresas ou pessoas físicas que tratarem de dados pessoais deverão colher autorização para uso, com finalidade clara e expressa sobre este tratamento.

Assim, entende-se que no tocante à proteção ao crédito não é necessário consentimento prévio para:

(a) abrir cadastro em banco de dados com informações de adimplemento de pessoas naturais e jurídicas;

(b) fazer anotações no cadastro;

(c) compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados; (d) fornecer “a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas”.

[1] Bioni, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. – Rio de Janeiro: Forense, 2019. Pág. 173.

[2] BIONI, Bruno. RIELLI, Mariana. Legítimo interesse na LGPD. Disponível em: < https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-anpd-dados-01032021>.

[3] ÁVILLA. Ana Paula. A LGPD nas rotinas do comércio: o exemplo das farmácias. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/a-lgpd-nas-rotinas-do-comercio-o-exemplo-das-farmacias-22012020> .

[4] MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia – GO. 2019. Pág. 33.

Referências

ÁVILLA. Ana Paula. A LGPD nas rotinas do comércio: o exemplo das farmácias. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/a-lgpd-nas-rotinas-do-comercio-o-exemplo-das-farmacias-22012020> .

Bioni, Bruno Ricardo Proteção de dados pessoais: a função e os limites do consentimento / Bruno Ricardo Bioni. – Rio de Janeiro: Forense, 2019.

BIONI, Bruno. RIELLI, Mariana. Legítimo interesse na LGPD. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-anpd-dados-01032021>.

MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia – GO. 2019.

<https://legalcloud.com.br/bases-legais-lgpd/> .