LGPD: processamento dos dados

No post passado, falamos sobre os princípios da LGPD e como é importante observá-los no cumprimento da lei. Nesse post, vamos dar uma olhada nos requisitos que regulamentam a coleta e processamento de dados.

Lembrando nosso roadmap dessa série de posts:

  1. Contexto e origem;
  2. Princípios da nova lei;
  3. Coleta de dados;
  4. Manter e processar dados;
  5. Dados sensíveis;
  6. Atores da nova lei;
  7. BigData, Data Science, Machine Learning, AI: um approach jurídico;

A LGPD decidiu dividir o processo de uso de dados pessoais em três momentos: i) coleta; ii) armazenamento; iii) uso dos dados. Cada um desses momentos possui processos, etapas e ações diferentes. Cada momento possui comandos legais específicos, interligados com outras partes da lei, regidos pelos princípios declarados – que vimos no post passado. Hoje iremos abordar especificamente a coleta dos dados.

Nunca é demais lembrar que a LGPD tutela dados de pessoas naturais. Isso quer dizer que se a sua empresa monitora dados imobiliários, ou de trânsito, ou de preços de mercadorias, a LGPD não é para você. Você não precisa pedir autorização para coletar esses dados, para mantê-los ou para usá-los.

Agora, digamos que a sua empresa processa folhas de pagamento. Você tem acesso a dados de pessoas naturais, processa-os e utiliza-os para realizar o pagamento. Então, a LGPD regula a sua atividade e exigirá que você cumpra seus requisitos, sob pena de multas administrativas de até 2% do seu faturamento, limitado a R$ 50 milhões, além de bloqueio ou perda dos dados irregulares.

Mas, para ficar no exemplo acima, quer dizer que é necessária autorização de cada funcionário para poder rodar a folha de pagamento mensalmente? Não. Este exemplo foi escolhido, porque demonstra uma das exceções previstas na lei. Para coletar dados e processá-los, os requisitos dos artigos 7º e 8º, incisos e parágrafos da Lei 13.709/2018 devem ser cumpridos.

Vamos a eles.

O caput do artigo 7º traz a seguinte redação: “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses” (grifo meu). Atenção aos termos “somente” e “seguintes hipóteses”. Isso significa que o legislador optou por um rol de hipóteses fixo, um rol determinado, não exemplificativo, uma lista taxativa que não admite adição de novos itens. Os incisos das hipóteses que permitem coletar os dados e dar-lhes tratamento são:

(I) Mediante o fornecimento de consentimento pelo titular; ou seja, se o titular autorizar a coleta e uso de seus dados, a corporação ou órgão público poderá utilizá-los. Esse consentimento também é regulado na lei, no art. 8º e deve ser “fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Se for por escrito, “deverá constar de cláusula destacada das demais cláusulas contratuais.” (§ 1º). O ônus de provar que o consentimento foi dado é da empresa ou órgão de Estado, não do titular. Ou seja, se o titular alegar que não autorizou a coleta e uso dos dados, é obrigação legal da empresa comprovar que o pedido foi feito nos termos da lei, com as especificações da lei e que foi concedido para o fim solicitado (§ 2º).

O § 3º proíbe o uso de dados que tenham sido obtidos mediante vício de consentimento. Qualquer negócio jurídico não vedado em lei pode ser anulado, se uma das partes incorrer nas hipóteses dos defeitos do negócio jurídico. Ou seja, se um contrato de compra e venda foi realizado – uma atividade que possui interesse jurídico e que é regulada em lei – mas uma das partes foi enganada, iludida, induzida ao erro etc., esse negócio pode ser anulado. As hipóteses estão no Capítulo IV, Seções I a VI, artigos 138 a 165, parágrafos e incisos do Código Civil brasileiro (1). Brevemente, são eles: i) Erro ou Ignorância; ii) Dolo; iii) Coação; iv) Estado de perigo; v) Lesão; e vi) Fraude contra credores. O que o parágrafo 3º da LGPD faz é evocar esses vícios e afirmar que se o consentimento foi adquirido com o uso de qualquer uma dessas hipóteses, então esse consentimento é viciado e vetado (2) [1].

O § 4º trata das finalidades determinadas da coleta de dados, informadas ao titular. Se os dados são coletados para concessão de crédito, por exemplo, a autorização dada pelo titular deverá ser específica para essa finalidade. Se a empresa quiser usar os dados para envio de uma publicidade, deverá obter nova autorização, para uso específico nessa finalidade. A LGPD proíbe o consentimento genéricos, amplo e que autoriza inúmeros tratamentos simultaneamente. Esse tipo de consentimento é declarado nulo (2) [2].

O consentimento dado pode ser revogado pelo titular a qualquer momento, por simples ato de vontade, por um procedimento – que a empresa deverá criar, informar e disponibilizar para o público – facilitado e gratuito. Os tratamentos já realizados na vigência do consentimento não precisam ser eliminados, salvo se o titular solicitar explicitamente, nos termos do art. 18, inciso VI[3], Lei 13.709/2018 e se as hipóteses do art. 16 , incisos I a IV não ocorrerem. Como a maioria da nossa legislação, a LGPD é cheia de meandros e detalhes importantes. Considerando os valores as multas envolvidas, vale a pena explorar e dominar essas hipóteses.

O § 6º, finalmente, estipula que modificações do teor do tratamento de dados devem ser informadas ao titular pelo controlador de forma explícita, quanto ao que está sendo alterado:

  • A finalidade específica do tratamento;
  • A forma e duração do tratamento, observados os segredos comercial e industrial;
  • A identificação do controlador;
  • A informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

Esses são os incisos I, II, III e V do art. 9º, referidos pelo §6º, art. 8º.

O mais importante nesse parágrafo é que no momento da comunicação, o titular poderá revogar a autorização de uso dos dados, se não concordar com a alteração proposta pelo Controlador.

Ainda sobre o consentimento – e lembre, estamos recém na primeira hipótese de coleta de dados – o artigo 9º determina que o titular deverá ter acesso facilitado (grifo meu) ao tratamento de seus dados, de forma clara, adequada e ostensiva da informação, em cumprimento do Princípio do Livre Acesso. Ou seja, o titular deve ter acesso a qualquer momento, de forma fácil, descomplicada e gratuita, de como seus dados estão sendo tratados, com qual finalidade e por quanto tempo serão mantidos. Os incisos I a VII[4] determinam quais informações devem ser disponibilizadas; mas atenção: essa não é uma lista numerus clausus. O caput do artigo usa a expressão “entre outras características previstas em regulamentação”. Desse modo, admitem-se outras hipóteses.

Os §§ 1º, 2º e 3º do artigo 19 tratam da nulidade do consentimento, se a finalidade apresentada for falsa, ou tenha sido apresentada de maneira obscura (I), da obrigatoriedade de informar previamente o titular dos dados, caso a finalidade para qual o consentimento original tenha sido dado mude (II) e da necessidade de dar destaque ao titular, quando o fornecimento dos dados for condição para o fornecimento do serviço ou produto. Por exemplo, um webmail gratuito que exige dados pessoais para fornecer o email. Nesse caso, a empresa ainda deve incluir no alerta os meios pelos quais o titular poderá exercer seus direitos (III).

O próximo inciso (II) autoriza a coleta de dados, quando há obrigação legal ou regulatória do controlador de dados. Por exemplo, os hotéis são obrigados por portaria do Ministério do Turismo a coletar a Ficha Nacional de Registro de Hóspedes (3). Nesse caso, o controlador não necessita pedir autorização para coletar os dados, processá-los e enviá-los ao Ministério do Turismo, pois trata-se de norma legal. Do mesmo modo, as companhias aéreas em relação aos dados dos passageiros. No entanto, note que a dispensa de pedido de autorização NÃO dispensa a empresa das outras obrigações da lei, como alteração no uso dos dados, alteração de finalidade, processamento, repasse dos dados para terceiros. É o que determina o §6º do art. 7º: “A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.”

O inciso III[5] é dedicado às empresas de Direito Público, como autarquias, empresas públicas, fundações públicas. A coleta e uso dos dados de titulares é dispensada de autorização, quando eles são necessários ao cumprimento de políticas públicas, desde que respaldadas em contratos ou legislação. Novamente, essa dispensa não se estende ao armazenamento e uso dos dados, se houver troca de finalidade. O inciso também determina que os procedimentos do término do tratamento dos dados devem ser observados (2) [6].

O inciso IV[7] autoriza coleta e tratamento de dados para realização de estudos por órgão de pesquisa. No entanto, a lei determina que sempre que for possível, os dados sejam anonimizados. Atenção: “sempre que for possível” não dispõe sobre a capacidade de a empresa fazer a anonimização, mas sim sobre os dados serem passíveis de se tornarem anônimos. Se a natureza dos dados permite esse processo, a empresa deverá realiza-lo, independentemente de sua conveniência.

O inciso V[8] trata da dispensa de autorização em função de obrigação contratual ou de procedimento pré-contratual. Importante salientar que o titular dos dados processados deve ser parte do negócio jurídico. Por exemplo, uma clínica veterinária que mantém banco de dados dos pacientes, necessita dos dados dos tutores para emissão de nota fiscal, controle de vacinas e medicamentos, consultas e que tais. Não é necessário solicitar permissão para a coleta desses dados. Mas se a clínica do nosso exemplo quiser enviar newsletters ou avisos pelo WhatsApp ou aplicativo similar, deverá comunicar o titular e solicitar autorização, pois a finalidade do processamento dos dados foi alterada.

Há uma escolha interpretativa da lei, na qual se baseia a última informação fornecida. Nessa nota de rodapé[9], explicaremos melhor.

O inciso VI trata basicamente de procedimentos judiciais, permitindo a coleta e processamento dos dados sem autorização do titular. O motivo é óbvio. Imagine que batem no seu carro. Ao mover ação de perdas e danos contra o outro motorista, não é necessário obter sua autorização para coleta de dados, pois a qualificação do réu é condição sine qua non para o exercício do seu direito de ser indenizado. O inciso VII dispensa a autorização de coleta de dados em casos que a vida ou a integridade física do titular ou de terceiro esteja em jogo. Esse inciso vai no mesmo sentido do inciso XI, art. 5º, CF/1988[10], permitindo que em caso de risco de morte ou de dano físico, ao titular ou terceiro, excetue a regra geral – que é a obtenção do consentimento.

O inciso VIII permite a coleta de dados para a tutela de saúde, desde que realizada por profissionais de saúde ou entidades sanitárias. Aqui é importante diferenciar a coleta e processamento do dado pessoal para tutelar a saúde, especialmente a saúde pública, do dado biométrico e de saúde, classificado como dado sensível pela LGPD. Iremos ver o que é dado sensível e como ele recebe um tratamento diferenciado da lei. No entanto, as hipóteses de coleta e processamento de dados sensíveis – previstas nos artigos 11 a 13, parágrafos e incisos, seguem basicamente as mesmas regras. A diferença se dá pela vedação explícita de compartilhamento de dados sensíveis referentes a saúde para ganho econômico, exceção para a portabilidade de dados com consentimento do titular e para necessidade de informação para uso em serviços de saúde suplementar.

O inciso IX certamente será controverso, quanto à dispensa do consentimento do titular. Ele trata do “legítimo interesse do controlador ou de terceiro”. O que poderia ser considerado um “legítimo interesse” é matéria que deverá ser fixada no entendimento dos tribunais no futuro, pois a lei nos dá poucos subsídios para tanto. Felizmente, o legislador estabelece, nesse mesmo inciso, o limite do interesse: exceto no caso de prevalecerem direitos e liberdades fundamentais, os quais exijam a proteção dos dados.

Na técnica legislativa empregada na LGDP, o autor escolheu complementar o inciso IX do art. 7º com o art. 10, incisos I e II e mais três parágrafos. Então, é necessário que a leitura do inciso IX, art. 7º, seja feita em conjunto com o art. 10, incisos e parágrafos.

Vejamos o art. 10.

Art. 10.  O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I - apoio e promoção de atividades do controlador; e

II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

  • 1º  Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
  • 2º  O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
  • 3º  A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. 

Primeiro, o caput do artigo declara que a lista que vem a seguir não é taxativa, mas exemplificativa. Ou seja, valem aquelas hipóteses, mas também podem ser incluídas novas, por meio de argumentos de doutrinadores, advogados, procuradores e juízes. O segundo termo importante é “situações concretas”. Ou seja, não valem situações em abstrato, hipotéticas. É preciso que o controlador demonstre concretamente o que está em jogo e porque ele deve ter autorização de processar os dados sem a autorização do titular. Nas duas hipóteses, ou em outras hipóteses construídas concretamente, o artigo impõe algumas regras, dados pelos parágrafos 1º, 2º e 3º. É preciso que: i) somente dados estritamente necessários à finalidade pretendida. Se for concessão de crédito, por exemplo, filiação a sindicato, filiação religiosa, ideologia, por exemplo, são dados desnecessários para essa finalidade. Ou se o controlador entendê-los necessários, caberá a ele o ônus da prova, frente à Autoridade Nacional de Proteção de Dados (ANPD) e frente ao titular dos dados, que poderá interpela-lo judicialmente; ii) é dever do controlador dar transparência desse tratamento ao titular de dados. Alguém poderia entender que essa transparência seria para todos, revelando potenciais segredos comerciais ou industriais. Esse entendimento, no entanto, é equivocado, já que estrutura da lei gira em torno do titular dos dados e seus direitos. Publicizar os dados, ademais, iria contra o artigo 2º, incisos I e IV da LGPD, que tratam do respeito à privacidade e da inviolabilidade da intimidade; e iii) a ANPD poderá solicitar relatório de impacto, respeitando sigilo comercial e industrial, na hipótese do processamento de dados pelo interesse do controlador. A LGPD define o relatório de impacto no art. 5º, inciso XVII: “relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”

Por fim, o inciso X do art. 7º determina que a coleta de dados para proteção ao crédito são dispensadas de autorização do titular. Esse inciso é dirigido especificamente aos Serviços de Proteção ao Crédito, dispensando-os de autorização de coleta e processamento de dados de titulares. Agora, é importante voltar a salientar, novamente, o disposto no §6º, artigo 7: “A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.” Outro ponto importante é que a lei apenas exige novos consentimentos por alteração de finalidade, por exemplo, nas hipóteses de autorização requerida. É o que dita o §2º do artigo 9º: “Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações (grifo meu).”

Vejam, aqui há um inversão da posição legal. Via de regra, a lei estabelece que a obtenção do consentimento, a comunicação de alterações, ou novos processamentos, a necessidade de anonimização dos dados, entre outros, são esforços do controlador dos dados. Ou seja, o sujeito ativo é quem quer usar os dados, enquanto que o sujeito passivo é o titular dos dados. A ele não cabem obrigações, nesse sentido. No entanto, no caso das dispensas de autorização, previstas no art. 7º, existe uma inversão dos papéis. Agora, o ônus é do titular. Ele deverá exercer o seu direito, mediante requisição. A ação é sua, não uma obrigação do controlador dos dados. Aqui, novamente, vamos ter de pular alguns artigos e ir ao art. 18, para combiná-lo com interpretação do inciso X, art. 7º: “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição.[11]

Ainda no artigo 7º, temos os §§ 1º ao 6º. Os §§ 1º e 2º foram revogados pela MP 869/2018 e tratavam de obrigação de informar o titular. O parágrafo 3º determina que se dados de acesso público – como os dados do IBGE, por exemplo, ou dos cartórios eleitorais – forem processados por outras empresas, o controlador deve levar em conta a finalidade, boa-fé e o interesse público originais, que levaram os dados a terem acesso público. O § 4º dispensa o consentimento do titular de dados, referente a informações que o mesmo tenha tornada pública. Então, dados e informações tornadas públicas em redes sociais, ou LinkedIn, por exemplo, dispensa o pedido de consentimento. No entanto, os direitos do titular e as salvaguardas previstas na LGPD se mantém, por força o mesmo parágrafo. O § 5º trata do compartilhamento dos dados entre os controladores. O dispositivo prevê que nos casos de consentimento o controlador que quiser compartilhar os dados com outros controladores deverá obter consentimento específico para tanto. Atenção: são dois consentimentos, nessa hipótese. Um para coletar e processar e outro para poder compartilhar com outros controladores. O parágrafo ressalva que nas hipóteses de dispensa de consentimento, esse novo aceite do titular não é necessário. Ou seja, no caso das nove hipóteses do art. 7º que dispensam o consentimento, também há dispensa de novo consentimento para compartilhamento dos dados[12]. Salientamos que é nosso entendimento de que no caso de mudança de finalidade, o titular deverá ser informado, por força do Princípio da Transparência. Finalmente, o § 6º, que já citei algumas vezes, define que a dispensa de consentimento não implica na dispensa do cumprimento das outras disposições legais da lei[13].

Para crianças e adolescentes, a LGPD dedica o artigo 14 e seis parágrafos. O caput reforça a necessidade de o tratamento se dar nos ditames da lei e no melhor interesse do titular, ainda mais no caso da criança e do adolescente (4) [14]. O §1º determina que o consentimento da criança e do adolescente deve se dar de forma destacada e ser específico, devendo ser concedido por pelo menos um dos pais, ou pelo responsável legal. Vale lembrar que os menores de 16 anos são civilmente incapazes de qualquer ato jurídico, devendo ser representados nos atos da vida civil, como dar consentimento para o tratamento de seus dados. Entre 16 e 18 anos, são relativamente incapazes de alguns atos da vida civil, devendo ser apoiados pelos pais ou responsáveis (1) [15]. O §2º determina que a empresa ou órgão público que coletar e processar dados de menores deverá manter pública a informação sobre os dados coletados, sua finalidade e divulgar o procedimento que permite o exercício dos direitos do titular, previstos no artigo 18 da LGPD. O §3º informa duas exceções: i) é possível coletar dados de menores sem consentimento dos pais ou responsáveis, desde que seja necessário para poder contatar os pais ou responsáveis. Nesse caso, os dados podem ser utilizados apenas para isso, podem ser utilizados apenas uma vez e não podem ser armazenados; e ii) para a proteção do menor ou adolescente. Em ambos os casos, a lei veda expressamente o repasse dos dados para terceiros sem consentimento específico e em destaque, dado por pelo menos um dos pais ou responsável legal. O §4º trata dos games, um dos assuntos que deve gerar interpretações conflitantes nos próximos anos. Assim como outros dispositivos, vamos ter de esperar o caminho da pacificação jurídica: as ações serão ajuizadas e julgadas, recorridas aos Tribunais de Justiça, subirão ao STJ e ao STF para finalmente possuírem um volume de decisões tal que determinada interpretação se assente como a dos Tribunais Superiores. O parágrafo determina que os jovens que tiverem o consentimento dado (caso do §1º) não podem solicitar ou capturar dados, além do estritamente necessário à atividade do gamer. A regra vale para jogos, aplicativos de internet ou outras atividades. Aqui, a polêmica se evidencia. Primeiro, o que são dados estritamente necessários? Nome, idade, gênero? Apenas nome e idade? Nome e senha? Apenas nome de usuário? Afora isso, o termo “outras atividades” engloba um mundo. Sistematicamente falando[16], estamos falando de outras atividades online. Nesse sentido, estamos falando de Facebook, Twitter, Instagram, Spotify, Deezer, Waze, Telegram, Pocket? Sim, entre tantos outros. O §5º determina que o Controlador de Dados deve realizar todos os esforços razoáveis para verificar se quem deu o consentimento foi mesmo um dos pais ou responsável legal pelo jovem. Como nós sabemos, fingir ser um dos pais para ter acesso a jogos com classificação +18 anos é uma atividade tão antiga, quanto os primeiros jogos. O mesmo vale para acesso de aplicativos ou sites de conteúdo pornográfico, ou de violência. A lei dispõe que a empresa que busca o consentimento deve envidar esforços razoáveis, considerando a tecnologia disponível para tal. Por fim, o §6º determina que as informações sobre o tratamento dos dados deverão ser fornecidas em tal grau de simplicidade e clareza que sejam adequadas ao entendimento da criança e adolescente, indicando o uso de áudio-visuais, quando for adequado. Nada diferente do que já é feito em termos de comunicação com público infantil.

Esse post é longo e complexo, porque a LGPD é complexa. Como pudemos ver, existem interpretações em aberto, comandos legais não muito claros e um certo grau de incerteza. Mas isso não é uma exclusividade da LGPD. Nosso trabalho é estudar, discutir, interpretar e fazer avançar essa legislação de suma importância para o Marco Civil da Internet, para o Direito dos Negócios, para o Direito da Anti-discriminação, entre outros.

No próximo post, vamos falar sobre storage de dados, processos e pessoas.

Até lá!

 

 

 

REFERÊNCIAS

  1. Código Civil Brasileiro [Internet]. Código Civil Brasileiro, Lei 10.406 Jan 10, 2002. Available from: http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm
  2. Lei Geral de Proteção de Dados BR [Internet]. Lei 13.709 Aug 14, 2018. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
  3. Portaria No 177 do Ministério do Turismo [Internet]. Sep 13, 2011. Available from: http://www.turismo.gov.br/portaria-n-177-de-13-de-setembro-de-2011.html
  4. Constituição da República Federativa do Brasil [Internet]. Oct 5, 1988. Available from: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm

 

[1] § 3º  É vedado o tratamento de dados pessoais mediante vício de consentimento. Art. 8º.

[2] § 4º  O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. Art. 8º, Lei Geral de Proteção de Dados BR. 13.709/2018. . 14 ago. 2018.

[3] Art. 18.  O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

Art. 16.  Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

 

[4] I - finalidade específica do tratamento;

II - forma e duração do tratamento, observados os segredos comercial e industrial;

III - identificação do controlador;

IV - informações de contato do controlador;

V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI - responsabilidades dos agentes que realizarão o tratamento; e

VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

[5] III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

[6] Artigos 15 e 16 da LGPD.

[7] IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

[8] V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

[9] A dúvida na interpretação do §6º, art. 8º, L 13.709/2018 – LGPD se dá por causa do caput do art. 8º, que fala do consentimento para processamento dos dados do titular. O art. 7º traz 10 hipóteses para coleta, sendo a primeira o consentimento. As outras nove hipóteses dispensam o consentimento (caso de processamento de dados por obrigação legal ou regulatória, por exemplo).

O § 6º do art. 8º determina que havendo alteração na finalidade, forma e duração do tratamento de dados, na identificação do controlador ou nas informações acerca do compartilhamento desses dados e finalidade desse compartilhamento, o Controlador (a empresa ou órgão público que detém os dados) deverá informar o titular.

Aqui, podemos lançar mão de duas técnicas hermenêuticas:

1) Em uma interpretação sistemática, o §6º do art. 8º restringe-se aos casos de consentimento do titular, dado o caput do artigo, não se aplicando às outras nove hipóteses;

2) Em uma interpretação teleológica, no entanto, o §6º do art. 8º aplica-se a todas as 10 hipóteses de autorização de coleta de dados, porque se a finalidade da coleta de dados - no nosso exemplo, obrigação legal - é alterada, o titular deve ser informado. No exemplo, os hotéis são obrigados por lei a pegar dados dos hóspedes. A finalidade são as ditadas na portaria 177 do Ministério do Turismo. Agora, se o hotel quiser usar os dados para vender carros para os hóspedes - na hipótese maluca de o dono do hotel também ter uma concessionária de automóveis -, há alteração de finalidade. Logo, o titular deveria ser informado, pois esse é todo o objetivo da lei: que o titular dos dados saiba o que está acontecendo com suas informações, quem as tem e porquê as tem e por quanto tempo irá guarda-las. Se a obrigação de comunicar o titular só vale para a hipótese de os dados terem sido capturados sob autorização, o objetivo da lei não é atingido. Não entendemos que haja razoabilidade em inverter a iniciativa do controle dos dados em nove dentre dez hipóteses. Ou seja, em nove entre dez possibilidades, o titular é que tem obrigação de rastrear seus dados e de pedir, individualmente, eliminação ou correção das informações.

 

[10] Trata da inviolabilidade da residência e das exceções, bem como de o mandado judicial a ser executado apenas durante o dia.

[11] Iremos abordar os direitos do titular dos dados no post #6 – Atores. Além dele, iremos abordar a ANPD, o Controlador, o Operador e o Encarregado.

[12] § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

[13] § 6º  A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

[14] A Constituição Federal dedica especial atenção à criança e ao adolescente, gravando no art. 227 o dever do Estado, da Família e da Sociedade de zelarem pela absoluta prioridade deles: “Art. 227. É dever da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão.”

[15] Artigos 3º, 4º e 5º, Código Civil Brasileiro. 10.406/2002. . 10 jan. 2002.

[16] Nesse caso, opta-se por uma interpretação sistemática, porque nesse caso uma interpretação restritiva (apenas atividades online) atende melhor ao interesse do titular. No caso do §6º, art. 8º, opta-se por uma interpretação que expanda o conceito, novamente porque atende melhor o interesse do titular.

Daniel Martins Vidor é jornalista formado pela UFRGS (1998)
e bacharel em Direito (Uniritter, 2007). 
Pós-graduando em European
Business Law e Human Rights for Open Societies.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *