Por Martha Leal e Paula Ferraz (*)
A Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/18, LGPD [1] — foi promulgada em agosto de 2018 e parte dela encontra-se em vigor desde setembro de 2020, estando as sanções administrativas dos artigos 52 a 54 em vigor desde o dia 1º de agosto.
Na atual sociedade capitalista, cujas relações são líquidas e em que muitos negócios precisam de dados e informações para que se desenvolvam, importa destacarmos que, com raríssimas exceções, a maioria das empresas necessita tratar dados pessoais dos indivíduos, denominados titulares.
Significa dizer que toda atividade de tratamento a ser desempenhada precisa estar acompanhada de uma finalidade específica e, consequentemente, deverá enquadrar-se em uma das dez bases legais do artigo 7º da Lei Geral de Proteção de Dados Pessoais [2].
Conceitualmente, base legal nada mais é do que uma justificativa legal em que se permite o tratamento de dados pessoais. Ou seja, quando um agente de tratamento assim definido no artigo 5º, IX, da LGPD [3] coleta um dado pessoal para uma determinada finalidade específica, deverá escolher uma base legal que ampare o tratamento. E convém lembrar que a hipótese legal autorizadora está estritamente relacionada à finalidade do processamento de dados pessoais.
A LGPD dispõe de bases legais diferenciadas para os diferentes tipos de dados pessoais, sendo aquelas elencadas no artigo 7º, relacionadas aos dados pessoais não sensíveis, e as bases legais do artigo 11, destinadas aos dados pessoais sensíveis, os quais, por representarem um maior potencial de dano aos titulares, atraem maior restrição de justificativas legais [4].
Lembrando, por oportuno, que inexiste hierarquia na aplicabilidade da base legal, uma vez que a análise deverá ser realizada conforme a finalidade da atividade de tratamento.
A título informativo, quanto aos dados pessoais sensíveis, algumas das bases legais do artigo 7º são suprimidas, quais sejam: 1) execução de contrato; 2) legítimo interesse; e 3) proteção do crédito [5]. Dessa forma, é de extrema relevância a correta escolha da base legal para a atividade de tratamento, sob pena de incidência da aplicação de multa por parte da Autoridade Nacional de Proteção de Dados (ANPD) [6].
Tendo em vista o baixo grau de maturidade cultural do Brasil no que diz respeito à proteção de dados, é recomendável que o profissional que atua nessa área tenha por base os fatos ocorridos na União Europeia como estratégia para antecipação e prevenção de alguns cenários prováveis de reprodução a nível nacional.
Consultando os tipos de infrações cometidas pelos agentes de tratamento dentro da União Europeia, no período após a vigência do Regulamento Europeu de Proteção de Dados (RGPD [7]), até o presente momento é possível constatar que há predominância de multas decorrentes da incorreta aplicação da base jurídica a justificar o tratamento de dados e até a insuficiência da mesma.
Utilizando ainda o cenário internacional referido, é fato incontroverso que quando um controlador escolha uma base legal insuficiente, este incide na violação aos artigos 6º e 9º do Regulamento Europeu [8], os quais versam, respectivamente, sobre as bases legais para o tratamento dos dados pessoais e suas diferentes categorias, caracterizando-se assim em uma infração grave e, consequentemente, atraindo o valor máximo da multa, 20 milhões de euros, ou até 4% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, nos termos do artigo 83, (5), “a”, do RGPD [9].
Logo, são grandes os desafios a serem enfrentados pelas organizações que tratam dados pessoais, em especial as que tratam dados pessoais sensíveis, pois o seu conteúdo pode levar a um tratamento discriminatório.
Os controladores, ao tratarem dados pessoais sensíveis, devem estar atentos na efetiva necessidade do tratamento destes para as atividades a que se propõem, observando que, no rol das hipóteses autorizadoras elencadas pelo artigo 11 da Lei de Proteção de Dados Pessoais [10] não estão contempladas as bases legais de execução de contrato e legítimo interesse, tornando, assim, mais desafiador o assunto em questão.
E, em sendo a nossa Lei de Proteção de Dados uma lei contextual, inexistem manuais prontos que possam garantir a assertividade da escolha adequada da hipótese legal a justificar o tratamento, uma vez que é necessário que o profissional tenha um conhecimento aprofundado acerca do modelo de negócios e das finalidades a que se propõe o controlador.
Referências bibliográficas
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS — ANPD. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 03 set. 2021.
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.
REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 03 set. 2021.
[1] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.
[2] Ibidem.
[3] Ibidem.
[4] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.
[5] Ibidem.
[6] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS — ANPD. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 03 set. 2021.
[7] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 03 set. 2021.
[8] Ibidem.
[9] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 03 set. 2021.
[10] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.
Martha Leal é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
Paula Ferraz é advogada especialista em Direito Público e Privado (Emerj), pós-graduanda em Direito dos Contratos (PUC-Rio) e possui certificação DPO-EXIN.
(*) Artigo originalmente publicado no site Conjur