Em 2018, foi sancionada a LGPD, que modificou e inseriu diversas exigências legais para o tratamento de dados pessoais pelo por pessoas jurídicas ou naturais com finalidades econômicas, e pelo poder público.

As exigências, muitas delas completamente novas e desconhecidas ao grande público, surgiram do reconhecimento de que dados pessoais são um produto valioso, merecedor de proteção especial.

Isso porque, na era digital, seus dados pessoais são uma extensão literal da sua vida, na palma da mão de empresas, corporações e governos interessados.

Assim, para evitar que o mercado de dados pessoais de usuários tomasse proporções desenfreadas, surgiram as leis que modificaram as políticas de tratamento de dados pessoais, como a LGPD e a GPDR, europeia.

Mas, afinal, o que é o tratamento de dados pessoais? É isso que vamos explicar neste artigo.

O que são dados pessoais?

Para compreender o que é o tratamento de dados pessoais, primeiro é essencial entender o que é um dado pessoal.

Para os efeitos da LGPD, dado pessoal é qualquer informação que seja capaz de identificar ou tornar identificável uma pessoa viva.

Assim, são dados pessoais, por exemplo: nome, RG, CPF, gênero, telefone, endereço, data e local de nascimento, cartão bancário, histórico de internet, preferências de consumo, entre outros.

Tudo o que puder ser utilizado para identificar uma pessoa natural é um dado pessoal, inclusive uma fotografia, ou imagens biométricas.

Os dados biométricos ou genéticos são, inclusive, classificados como dados pessoais sensíveis, aos quais a lei confere uma proteção ainda maior.

Dados pessoais sensíveis são aqueles que não apenas podem ser utilizados para identificar, mas também para discriminar um indivíduo, por isso a proteção conferida a eles é maior.

São considerados dados pessoais sensíveis: informações sobre a origem racial ou étnica, convicção religiosa, opinião política, dados referentes à saúde e vida sexual, filiação a sindicato ou organização de caráter político, filosófico ou religioso e dados biométricos e genéticos.

Para esses dados pessoais sensíveis, a lei restringiu as hipóteses de tratamento e exige maior proteção pelas empresas e órgãos que os coletam.

Explicado o que são dados pessoais, vamos agora ao tratamento.

O que é considerado tratamento de dados segundo a LGPD?

Já se deparou com um site que exige nome e e-mail para permitir o seu acesso ao conteúdo? No momento em que você clica para enviar esses dados, o site está tratando seus dados pessoais.

Tratamento é toda operação realizada com dados pessoais, inclusive a coleta desses dados pelo ente responsável.

Na legislação brasileira, empresas, entes públicos e pessoas físicas engajadas em atividades lucrativas precisam se adequar às normas de tratamento de dados pessoais.

Qualquer operação com dados pessoais realizada por estes entes configura tratamento de dados.

Como o tratamento de dados é uma operação abrangente, a LGPD trouxe várias hipóteses do que pode ser considerado tratamento de dados.

Usualmente, o fluxo de tratamento de dados em uma empresa abrangerá, no mínimo, a coleta, a retenção, o processamento e a utilização.

Vejamos como isto funciona na prática:

• Uma newsletter que dispara e-mails semanais aos cadastrados primeiro coleta os e-mails dos titulares interessados em recebê-la.
• Depois, retém esses e-mails em um banco de dados seguro para guardar as informações dos titulares e ter acesso sempre que necessário
• A newsletter processa os dados coletados ao enviar os e-mails aos destinatários cadastrados com seu boletim informativo semanal, ocasião na qual os dados são efetivamente utilizados por ela.
• E, por fim, caso algum usuário deseje parar de receber os e-mails, a newsletter poderá reter os dados fornecidos pelo tempo necessário para cumprir com suas obrigações e, depois, deverá eliminá-los e encerrar o tratamento de dados.

Todas as etapas desde a coleta dos dados pela newsletter, quando o titular preenche o formulário, configuram tratamento de dados pessoais.

Contudo, além de exigências para a forma como os dados serão tratados, a LGPD também instituiu hipóteses legais autorizadoras do tratamento de dados.

Sem a configuração de uma dessas hipóteses, o controlador não é autorizado a tratar dados pessoais.

Conheça as hipóteses legais para o tratamento de dados pessoais segundo a LGPD

A LGPD surgiu em um contexto mundial de reconhecimento da importância dos dados pessoais, e da necessidade de tratá-los de maneira devida, para evitar usos inadequados ou excessivos de informações dos indivíduos.

Além disso, a LGPD também limitou as hipóteses de tratamento de dados: se não for configurada uma hipótese legal, a empresa ou poder público não está autorizada a tratar esses dados – inclusive, coletá-los.

As hipóteses elencadas no artigo 7º da LGPD são taxativas, ou seja: se não se configurar uma das hipóteses previstas em lei, o tratamento de dados não é permitido.

Tratamento de dados pessoais segundo a LGPD:

Consentimento do Titular

O consentimento expresso, livre, informado, inequívoco e específico é a primeira situação que autoriza o tratamento de dados pessoais.

Isso significa que o titular dos dados deve estar ciente do que a pessoa física ou jurídica pretende realizar com seus dados de forma específica.

O consentimento deve ser específico, como por exemplo, com uma cláusula destacada para que o titular dos dados esteja informado, e possa aceitar o tratamento ou não.

O consentimento é a hipótese residual: as outras hipóteses dispensam o consentimento específico do titular para o tratamento de dados. Na ausência de uma das situações abaixo, o consentimento expresso, livre e específico é obrigatório.

Cumprimento de Obrigação Legal ou Regulatória

Empresas, no exercício de sua função, podem ser obrigadas a tratar dados pessoais por força de lei, como por exemplo, uma farmácia que pede o número do seu RG para autorizar a compra de um remédio controlado.

Para casos como esse, a LGPD previu a possibilidade de tratamento dos dados para cumprir com obrigações legais.

Execução de Políticas Públicas

O Governo Federal precisa de informações de dados pessoais, como dados bancários, para assegurar a execução de políticas públicas como o Bolsa Família.

Assim, essa hipótese autoriza entes do Poder Público a tratarem dados pessoais de forma a implementar e executar políticas públicas. Essa hipótese, portanto, não será justificativa para tratamento de dados por entes privados.

Estudos e Pesquisas

É possível coletar e tratar dados pessoais para realizar estudos e pesquisas acadêmicas e científicas.

Esses dados, sempre que possível, deverão ser anonimizados, ou seja: deverão passar por um tratamento específico que os torne incapaz de identificar a pessoa a quem pertencem.

Execução de Contratos

Quando você insere seus dados pessoais no processo de finalização de uma compra online, a empresa de onde você está comprando pode coletar seus dados por dois motivos: o seu consentimento, e o cumprimento do contrato.

Afinal, a única forma da Amazon entregar o produto direto na sua casa, em menos de três dias, é se você fornecer seu endereço à empresa.

Então, dados pessoais podem ser tratados para o cumprimento e execução de contratos pelas partes.

Em processo judicial, administrativo ou arbitral

Semelhante à hipótese do cumprimento de obrigação legal, em processos nos quais o controlador dos dados pessoais atue como Autor ou Réu, a legislação autoriza o tratamento de dados pessoais.

Proteção da vida ou incolumidade física do titular

Caso o titular dos dados encontre-se em estado de necessidade, com sua vida ou saúde prejudicadas, é autorizado o tratamento de seus dados pessoais para assegurar que o titular não seja prejudicado.

Tutela da Saúde por Profissionais de Saúde

Em tratamento de dados realizados por profissionais da saúde ou autoridades sanitárias, no exercício de sua função, o consentimento do titular com o tratamento de dados também é dispensado.

Interesse Legítimo do Controlador

A hipótese para o tratamento de dados mais vaga e controversa da LGPD, o interesse legítimo do controlador é autoexplicativo: se houver interesse justificado do controlador dos dados pessoais, é autorizado o tratamento.

O problema desta hipótese é que “interesse legítimo” é um conceito vago e que não encontra exemplos concretos do que seria considerado interesse legítimo ou não.

Por isso, muitos teóricos afirmam que esta hipótese de tratamento de dados será construída pelo Judiciário, por meio de consolidação da jurisprudência.

Proteção do Crédito

Se houver negócio jurídico de interesse do titular, e tal negócio for descumprido, fica o controlador autorizado a tratar os dados pessoais para assegurar a proteção do crédito, mesmo sem consentimento do titular dos dados.

Um passo de cada vez… Aprenda sobre tratamento de dados pessoais segundo a LGPD!

Dados pessoais são ativos preciosos, e a LGPD veio para garantir que serão tratados com o devido cuidado.

Entender o que é o tratamento de dados e as hipóteses em que é permitido é fundamental para que seja analisado se os dados tratados por uma empresa estão seguindo ao legalmente exigido.

Ao compreender o que é o tratamento de dados, e em quais hipóteses ele é autorizado, você já pode começar a imaginar o que está certo ou errado no seu negócio, e o que precisará ser mudado.

Se compararmos a LGPD com o Código Civil, a nova legislação pode parecer curta e simples. No entanto, as mudanças que ela trouxe são significativas e exigem uma verdadeira mudança na cultura empresarial do Brasil.

Do mesmo modo como todos conhecem, mesmo que de forma rasa, as disposições da CLT para a contratação de um funcionário, todos que tratam dados pessoais precisarão conhecer, ao menos, os princípios fundamentais da LGPD.

Por fim, se quiser se aprofundar sobre o assunto, temos diversos artigos no nosso blog, como aqui, aqui e aqui.

E, se precisar de ajuda, entre em contato com o nosso time.