A Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/18, LGPD [1] — foi promulgada em agosto de 2018 e parte dela encontra-se em vigor desde setembro de 2020, estando as sanções administrativas dos artigos 52 a 54 em vigor desde o dia 1º de agosto.
Na atual sociedade capitalista, cujas relações são líquidas e em que muitos negócios precisam de dados e informações para que se desenvolvam, importa destacarmos que, com raríssimas exceções, a maioria das empresas necessita tratar dados pessoais dos indivíduos, denominados titulares.
Significa dizer que toda atividade de tratamento a ser desempenhada precisa estar acompanhada de uma finalidade específica e, consequentemente, deverá enquadrar-se em uma das dez bases legais do artigo 7º da Lei Geral de Proteção de Dados Pessoais [2].
Conceitualmente, base legal nada mais é do que uma justificativa legal em que se permite o tratamento de dados pessoais. Ou seja, quando um agente de tratamento assim definido no artigo 5º, IX, da LGPD [3] coleta um dado pessoal para uma determinada finalidade específica, deverá escolher uma base legal que ampare o tratamento. E convém lembrar que a hipótese legal autorizadora está estritamente relacionada à finalidade do processamento de dados pessoais.
A LGPD dispõe de bases legais diferenciadas para os diferentes tipos de dados pessoais, sendo aquelas elencadas no artigo 7º, relacionadas aos dados pessoais não sensíveis, e as bases legais do artigo 11, destinadas aos dados pessoais sensíveis, os quais, por representarem um maior potencial de dano aos titulares, atraem maior restrição de justificativas legais [4].
Lembrando, por oportuno, que inexiste hierarquia na aplicabilidade da base legal, uma vez que a análise deverá ser realizada conforme a finalidade da atividade de tratamento.
A título informativo, quanto aos dados pessoais sensíveis, algumas das bases legais do artigo 7º são suprimidas, quais sejam: 1) execução de contrato; 2) legítimo interesse; e 3) proteção do crédito [5]. Dessa forma, é de extrema relevância a correta escolha da base legal para a atividade de tratamento, sob pena de incidência da aplicação de multa por parte da Autoridade Nacional de Proteção de Dados (ANPD) [6].
Tendo em vista o baixo grau de maturidade cultural do Brasil no que diz respeito à proteção de dados, é recomendável que o profissional que atua nessa área tenha por base os fatos ocorridos na União Europeia como estratégia para antecipação e prevenção de alguns cenários prováveis de reprodução a nível nacional.
Consultando os tipos de infrações cometidas pelos agentes de tratamento dentro da União Europeia, no período após a vigência do Regulamento Europeu de Proteção de Dados (RGPD [7]), até o presente momento é possível constatar que há predominância de multas decorrentes da incorreta aplicação da base jurídica a justificar o tratamento de dados e até a insuficiência da mesma.
Utilizando ainda o cenário internacional referido, é fato incontroverso que quando um controlador escolha uma base legal insuficiente, este incide na violação aos artigos 6º e 9º do Regulamento Europeu [8], os quais versam, respectivamente, sobre as bases legais para o tratamento dos dados pessoais e suas diferentes categorias, caracterizando-se assim em uma infração grave e, consequentemente, atraindo o valor máximo da multa, 20 milhões de euros, ou até 4% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, nos termos do artigo 83, (5), “a”, do RGPD [9].
Logo, são grandes os desafios a serem enfrentados pelas organizações que tratam dados pessoais, em especial as que tratam dados pessoais sensíveis, pois o seu conteúdo pode levar a um tratamento discriminatório.
Os controladores, ao tratarem dados pessoais sensíveis, devem estar atentos na efetiva necessidade do tratamento destes para as atividades a que se propõem, observando que, no rol das hipóteses autorizadoras elencadas pelo artigo 11 da Lei de Proteção de Dados Pessoais [10] não estão contempladas as bases legais de execução de contrato e legítimo interesse, tornando, assim, mais desafiador o assunto em questão.
E, em sendo a nossa Lei de Proteção de Dados uma lei contextual, inexistem manuais prontos que possam garantir a assertividade da escolha adequada da hipótese legal a justificar o tratamento, uma vez que é necessário que o profissional tenha um conhecimento aprofundado acerca do modelo de negócios e das finalidades a que se propõe o controlador.
Martha Leal é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
Paula Ferraz é advogada especialista em Direito Público e Privado (Emerj), pós-graduanda em Direito dos Contratos (PUC-Rio) e possui certificação DPO-EXIN.
A sua privacidade é importante para nós. É política da empresa respeitar a sua privacidade em relação a qualquer informação sua que possamos coletar no nosso site.
Solicitamos informações pessoais apenas quando realmente precisamos delas para lhe fornece um serviço. Fazemo-lo por meios justos e legais, com o seu conhecimento e consentimento. Também informamos por que estamos coletando e como serão usadas.
Quando armazenamos dados, protegemos dentro de meios comercialmente aceitáveis para evitar perdas e roubos, bem como acesso, divulgação, cópia, uso ou modificação não autorizados.
Não compartilhamos informações de identificação pessoal publicamente ou com terceiros, exceto quando exigido por lei.
O nosso site pode ter links para sites externos que não são operados por nós. Esteja ciente de que não temos controle sobre o conteúdo e práticas desses sites e não podemos aceitar responsabilidade por suas respectivas políticas de privacidade.
Você é livre para recusar a nossa solicitação de informações pessoais, entendendo que talvez não possamos fornecer alguns dos serviços desejados.
O uso continuado de nosso site será considerado como aceitação de nossas práticas em torno de privacidade e informações pessoais. Se você tiver alguma dúvida sobre como lidamos com dados do usuário e informações pessoais, entre em contato conosco.
Veja este conteúdo também em:
https://marthaleal.com.br/politicas-de-privacidade/
Cookies Estritamente Necessários
Os cookies estritamente necessário devem estar ativado o tempo todo para que possamos salvar suas preferências para configurações de cookies.
Se desativar estes cookies, não poderemos guardar as suas preferências. Isso significa que toda vez que você visitar este site, precisará ativar ou desativar os cookies novamente.
Cookies de terceiros
Este site usa o cookies de terceiros para coletar informações anônimas, como o número de visitantes do site e as páginas mais populares.Manter esse cookie ativado nos ajuda a melhorar nosso site.
Ative os cookies estritamente necessários primeiro para que possamos salvar suas preferências!
