Por Henry Key Adaniya
A Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018) trouxe ao agente de tratamento a exigência de encontrar ao menos uma base legal que justifique e legitime as suas atividades de tratamento de dados pessoais.
Vale ressaltar que o conceito de “tratamento de dados pessoais”, disposto no inciso X do artigo 5º desta Lei, engloba diversas operações com dados pessoais, tais como a coleta, o acesso, a distribuição, o armazenamento, a eliminação, entre outros.
Base legal nada mais é do que um motivo justo e lícito, aos olhos da legislação, para que os dados pessoais possam ser tratados. Isto pois, a LGPD restringe as possibilidades de tratamento de dados pessoais às suas hipóteses taxativas – ou seja, o tratamento só é lícito quando enquadrar-se em alguma das hipóteses expressamente previstas em lei –.
Assim, a adequada definição da base legal, pelo agente de tratamento, é crucial para que este tenha clareza sobre a legitimidade ou não de determinada atividade de tratamento de dados pessoais.
A obrigação de definir a base legal é primária do controlador de dados, sendo que as atividades do operador, justamente por não ser de sua competência as decisões estratégias relacionadas ao tratamento, acompanham a base legal definida pelo controlador de dados.
Tanto é assim que é costumeiro o operador de dados inserir, no contrato com o controlador, cláusula que imponha explicitamente o dever do controlador pela verificação e satisfação dos requisitos de bases legais que autorizem o tratamento dos dados entre as partes.
Apresentamos a seguir o cardápio com as célebres dez bases legais elencadas nos incisos do artigo 7º da LGPD para o tratamento de dados pessoais, destacando-se que basta o atendimento de uma delas para o tratamento ser considerado legítimo, sendo possível, ainda, que a base legal inicialmente atribuída seja modificada se for alterada a atividade de tratamento no caso concreto.
São as bases legais: o consentimento (inciso I); o cumprimento de obrigação legal (II); a execução de políticas públicas (III); os estudos por órgãos de pesquisa (IV); a execução de contrato (V); o exercício regular de direitos (VI); a proteção da vida ou da incolumidade física (VII); a tutela da saúde (VIII); o interesse legítimo (IX); e a proteção do crédito (X).
Contudo, frisa-se que estas dez bases legais valem apenas para o tratamento de dados pessoais não sensíveis. Em linhas gerais, os denominados dados pessoais sensíveis são aqueles que possam trazer algum tipo de discriminação no momento do seu tratamento (a exemplo de origem racial, convicção religiosa, opinião política, dado referente à saúde, entre outros), bem como, diante da sua criticidade, dados genéticos e biométricos. Significa dizer, são dados pessoais que podem implicar riscos e vulnerabilidades potencialmente mais gravosas aos direitos e liberdades fundamentais dos titulares.
As hipóteses que legitimam o tratamento de ambas as modalidades de dados pessoais são similares. Porém, no que concerne aos dados sensíveis, são vedadas as bases legais da execução de contrato, do interesse legítimo e da proteção ao crédito, permanecendo as demais possibilidades, ainda que com algumas restrições.
O artigo 11 traz as bases legais especificamente para tratamento de dados pessoais sensíveis, quais sejam: o consentimento (inciso I); o cumprimento de obrigação legal (inciso II, alínea ‘a’); a execução de políticas públicas (II, ‘b’); os estudos por órgãos de pesquisa, com anonimização sempre que possível (II, ‘c’); o exercício regular de direitos, inclusive em contrato (II, ‘d’); a proteção da vida ou da incolumidade física (II, ‘e’); a tutela da saúde (II, ‘f’); e a prevenção à fraude e a segurança do titular (II, ‘g’).
Naturalmente, o tratamento de dados pessoais sensíveis deve ser precedido de cautelas ainda maiores, com especial atenção aos princípios da LGPD e aos direitos dos titulares, uma vez que um eventual incidente de segurança envolvendo estes dados poderá trazer consequências desastrosas, tanto aos titulares como aos agentes de tratamento.
É importante notar também que a LGPD limita o tratamento de dados pessoais de crianças (pessoas de até 12 anos incompletos) estritamente à base legal do consentimento, por força do § 1º do artigo 14, o qual deverá então ser obtido de um de seus pais ou responsável.
Ademais, a LGPD delimita as possibilidades de transferência internacional de dados pessoais, que constitui exceção à regra e somente é admitida se cumprida uma das hipóteses taxativamente listadas nos incisos do artigo 33.
Conclui-se que as bases legais aplicáveis variam conforme as circunstâncias do tratamento, a partir dos seguintes elementos: o agente de tratamento de dados pessoais; a natureza dos dados tratados; o titular dos dados; e o tipo de tratamento.
Nesse contexto, para avaliar e eleger as bases legais mais adequadas – em consonância também com o GDPR (Guide to the General Data Protection Regulation) –, recomendamos que os seguintes tópicos sejam sempre suscitados:
1. Ainda que possa haver certa sobreposição e/ou convivência de bases legais, o ideal é que seja eleita uma única base legal para cada tratamento.
2. Não há ordem de prioridade ou importância entre as bases legais; as hipóteses são alternativas, e a sua aplicação dependerá do propósito perseguido pela atividade de tratamento e também dos elementos e circunstâncias aqui explanados.
3. As bases legais requerem, a rigor, que o tratamento seja necessário para atingir determinado propósito (como o cumprimento de uma norma ou a execução de um contrato). Logo, se for possível atingir o propósito sem realizar o tratamento, é provável que não se encontre uma base legal que justifique-o.
4. Aconselha-se que as bases legais sejam determinadas de forma documental e anteriormente ao tratamento, sem perder de vista que cada uma delas produz uma gama de efeitos próprios, os quais podem repercutir nas atividades e providências a serem previamente diligenciadas pelos agentes de tratamento.
5. Não há obrigação legal expressa de informar a base legal ao próprio titular dos dados pessoais, pois não está contida dentre as informações consagradas no artigo 9º da LGPD.
6. Definidas as bases legais, recomenda-se não trocar de base legal, sob pena de se verificar que o enquadramento inicial do tratamento foi feito erroneamente, deflagrando irregularidade das operações até então.
7. Se vier a ser modificado o propósito do tratamento, será pertinente avaliar se ainda é possível sustentar o tratamento na base legal originalmente definida e se o novo propósito é compatível com o anterior.