Bases Legais de Tratamento
As bases legais de tratamento se referem às hipóteses nas quais o tratamento de dados poderá ser efetuado. Essas hipóteses estão listadas no artigo 7º da LGPD. Observe:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Vamos estudar de maneira mais aprofundada cada uma dessas hipóteses.
Consentimento
Trata-se do fornecimento de manifestação da vontade pelo titular. Esse fornecimento pode ser realizado por escrito ou por meio de qualquer outra forma que demonstre de forma inequívoca a sua manifestação de vontade. Pode ser feito, por exemplo, mediante tokens, mensagens de texto, registro de áudio, vídeos, entre outras formas. A intenção dessa base legal é proporcionar ao titular um maior controle dos próprios dados.
Se o consentimento for dado em contrato, é necessário que haja no documento uma cláusula destacada das demais. Se não for feito dessa forma, como prescrito na lei, o negócio jurídico estará sujeito à nulidade. No caso de ter que demonstrar a validade do consentimento, o ônus da prova é do controlador. Por conta disso, é importante que os vícios de consentimento (erro, dolo, coação, lesão, estado de perigo, fraude contra credores, simulação) sejam evitados.
Destaca-se, também, que a finalidade deverá ser muito bem determinada e os dados apenas poderão ser utilizados para a finalidade especificada. Caso os agentes de tratamento alterem a finalidade, o titular dos dados deverá ser imediatamente comunicado e poderá, caso discorde, revogar o consentimento.
A manifestação de vontade deve ser:
a) Livre: refere-se a manifestação da vontade própria do titular, livre de qualquer tipo de coação;
b) Informada: o titular deve ser informado mediante recursos gráficos, visuais, ou quaisquer outros, a fim de saber exatamente com o que está consentindo;
c) Inequívoca: o consentimento deverá ser expresso, pois não poderá haver dúvidas quanto a manifestação de vontade do titular.
Há a possibilidade de a manifestação da vontade ser granulada, ou seja, a pessoa pode concordar com alguns aspectos apresentado e discordar de outros. Observe no exemplo a seguir:
Trata-se das opções de privacidade do Windows 10. Nesse caso, o usuário tem a opção de concordar com alguns aspectos e discordar de outros, por, respectivamente, ativar ou desativar as opções. Nesse caso, a pessoa pode então selecionar o que ela quer e para a finalidade que ela deseja, de forma granular, sabendo das consequências caso ela não assinale a opção.
Ainda quanto ao consentimento, é importante notar que trata-se uma base legal extremamente frágil, pois pode ser revogado gratuita e facilmente, do mesmo modo como foi fornecido.
De acordo com a LGPD, há uma possibilidade na qual o consentimento é dispensado. Observe:
Art. 7º. § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Cumprimento de Obrigação Legal ou Regulatória
O controlador poderá realizar o tratamento de dados dos funcionários ou dos consumidores a fim de cumprir com obrigações legais ou regulatórias. Como mencionado, essa é uma obrigação direcionada especificamente ao controlador. Por exemplo, o controlador deverá apresentar dados dos funcionários para preencher a folha de registro, entregas de obrigações acessórias, o e-Social, o FGTS e o INSS, entre outros. Também poderá lidar com dados dos consumidores no caso de emissão de notas fiscais para transporte de mercadorias, retenções legais em casos de prestadores de serviços pessoas físicas, entre outros.
Execução de Políticas Públicas
A administração pública poderá realizar o tratamento de dados a fim de implementar políticas públicas para os cidadãos. Nesses casos, apenas deverão ser utilizados os dados necessários para a finalidade. Como exemplo dessa base legal cita-se o pagamento de auxílios em geral, como o bolsa família, e também as políticas de implementação de saneamento básico. Para que o pagamento e a implementação dessas políticas públicas seja realizado com sucesso, é necessário que a administração pública trate os dados dos titulares envolvidos.
Estudos por Órgãos de Pesquisa
Nessa situação, o tratamento de dados tem como missão institucional ou objetivo a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Os órgãos de pesquisa são as entidades da administração pública direta ou indireta e de direito privado sem fins lucrativos, como associações e fundações, com sede e foro no Brasil. Assim, essa modalidade não inclui, por exemplo, uma empresa farmacêutica que deseje realizar um estudo a fim de otimizar seus lucros, pois há um fim lucrativo.
Ademais, é importante que os órgãos de pesquisa se atentem aos princípios da finalidade, da adequação e da necessidade e apenas utilizem os dados que forem extremamente necessários para o objetivo da pesquisa.
Proteção da Vida ou da Incolumidade Física do Titular ou de Terceiro
A fim de proteger a vida ou a integridade física de alguém, é justificável o tratamento de dados. Por exemplo, caso uma pessoa tenha sofrido um acidente doméstico e um amigo se disponha a chamar uma ambulância, ele poderá fornecer o endereço da vítima do acidente, a fim de proteger a vida dele.
Execução de Contrato ou de Procedimentos Preliminares
A execução de um contrato ou de procedimentos preliminares é uma justificativa para o tratamento de dados. Nessas situações, o contrato poderá ser expresso, tácito, escrito ou verbal com pessoa física ou jurídica (representadas por pessoas físicas), desde que o titular dos dados seja parte na relação jurídica contratual. Por exemplo, no caso de contratos de prestação de serviços de telefonia, para executar o contrato, será necessária a utilização dos dados do usuário.
É importante ressaltar que se trata da execução de contratos, e não da formação. Na fase de formação, o tratamento apenas será realizado mediante pedido do titular.
Exercício Regular de Direitos em Processo Judicial, Administrativo ou Arbitral
É justificável o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Essa situação visa a proteção do direito de produção de provas de uma parte contra a outra em um processo judicial, administrativo ou arbitral. Caso fosse proibida essa coleta de dados, poderia resultar no cerceamento do direito de defesa, além do desrespeito dos princípios constitucionais da ampla defesa e do contraditório.
Nesse ínterim, o exercício regular de direitos é um excludente de ilicitude no Código Penal, segundo o artigo 23:
Art. 23. Não há crime quando o agente pratica o fato:
III - Em estrito cumprimento de dever legal ou exercício regular de direito.
A título de exemplo, um cobrador não precisa do consentimento do devedor para entrar com uma ação de cobrança. Ele poderá recolher os dados do devedor justificando-se mediante esta base legal.
Tutela da Saúde
A tutela da saúde é um Direito Fundamental previsto pela Constituição Federal de 1988. Assim, quando for necessária a realização de um procedimento a fim de proteger a saúde de um indivíduo, poderão ser utilizados os dados dele mediante essa justificativa. É essencial destacar que o procedimento apenas poderá ser realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. As autoridades sanitárias são entes de direito público, da administração direta ou indireta, e dedicados a algum aspecto da preservação da saúde pública. As empresas de saúde, por sua vez, não estão incluídas nessa base legal.
Legítimo Interesse
O controlador ou terceiros poderão realizar o tratamento de dados mediante essa base legal ou justificativa. O legítimo interesse pode ser analisado a partir de situações concretas, e utilizado como base legal quando não prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais. Contudo, o legítimo interesse deverá ser utilizado apenas quando não houver nenhuma outra base legal plausível, pois é subjetivo, nebuloso e frágil. Isso porque não há uma previsão no ordenamento jurídico do que configura o legítimo interesse. Como visto, ele é deduzido de situações concretas.
O artigo 10 da LGPD aborda com mais detalhes o legítimo interesse do controlador:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Esse dispositivo trás um rol exemplificativo do que pode ser o legítimo interesse do controlador:
- Apoio e promoção das atividades do controlador;
- Proteção em relação ao titular do exercício regular de seus direitos;
- Prestação de serviços que o beneficiem, respeitadas legítimas expectativas e direitos fundamentais.
Quando o tratamento de dados for baseado no legítimo interesse do controlador, a Autoridade Nacional poderá requerer um relatório de impacto, a fim de analisar quais são os riscos para os direitos fundamentais dos titulares. Lembrando que deverão ser utilizados apenas dados pessoais estritamente necessários para a finalidade pretendida e deverão ser adotadas todas as medidas possíveis para se garantir a transparência do tratamento de dados.
O legítimo interesse se apoia nos fundamentos da proteção de dados pessoais, que são o desenvolvimento econômico, tecnológico e inovação, a livre iniciativa, livre concorrência e defesa do consumidor.
Especialmente no caso do legítimo interesse, a LGPD orienta que se mantenha o registro das operações com os dados. Vejamos:
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Análise do Legítimo Interesse
Como visto, o controlador deverá analisar se o legítimo interesse sobressai em relação às liberdades civis e aos direitos fundamentais.
Os juristas Bruno Bioni e Renato Leite Monteiro propuseram um teste de averiguação de legítimo interesse, baseado na LGPD, com o qual o controlador poderá utilizar como modelo para testar o legítimo interesse.
Primeiramente, o controlador poderá analisar, com base no que consta na LGPD, os seguintes aspectos:
1) Legitimidade do interesse: conferir se a finalidade do tratamento de dados é legítima em relação à situação concreta.
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador;
2) Necessidade: averiguar se há necessidade de usar determinados dados, se existem outras bases legais ou se há como diminuir os dados que estão sendo coletados.
Art. 10. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
Posteriormente, o controlador poderá efetuar o balanceamento, conferindo qual é a legítima expectativa do titular e quais são seus direitos e liberdades fundamentais, segundo especificado no já considerado artigo 7º, inciso IX, da LGPD.
Por fim, ele deverá analisar quais são as salvaguardas, ou seja, a transparência que está sendo dada e os mecanismos de oposição ou a possibilidade de o titular sair do tratamento.