O tratamento de dados e seus requisitos
As regras da LGPD devem ser observadas em todo tratamento de dados realizado por pessoas físicas ou jurídicas.
A primeira coisa que você precisa entender é o que é, afinal, tratamento de dados? A LGPD usa a expressão “tratamento de dados” para se referir a qualquer operação que seja realizada com os seus dados pessoais.
Quando você preenche um cadastro em uma loja, seja uma ficha escrita ou um formulário digital, e nele informa os seus dados pessoais, a pessoa que o recebe está realizando uma “coleta de dados”. Ao abrir o seu cadastro para buscar seu e-mail ou telefone para te encaminhar uma propaganda, a loja realizou um “acesso” e uma “utilização”. Se a loja passar algum dado seu para outro estabelecimento parceiro, ela estará fazendo uma “transferência”.
Cada uma dessas operações corresponde a um tratamento de dados. A LGPD prevê diversos tratamentos possíveis: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Como já vimos, a LGPD não tem o objetivo de proibir o tratamento de dados, mas sim de estabelecer regras e limites, de forma a proteger os titulares.
O primeiro limite trazido pela lei é que todas as atividades de tratamento deverão ser realizadas de boa-fé, que nada mais é do que o dever de agir com base nos valores éticos e morais aceitos em sociedade.
Como consequência desse dever de agir com boa-fé, os agentes de tratamento (como são chamados aqueles que realizam tratamento de dados) devem observar os princípios previstos no artigo 6º da LGPD.
É importante saber quais são esses princípios, porque deles derivam vários dos seus direitos e das nossas obrigações no tratamento de dados. Então, antes de prosseguir, vamos dar uma olhadinha neles?
Finalidade: os dados devem ser utilizados apenas para a finalidade para a qual o titular os forneceu e com a qual concordou;
Adequação: o tratamento deve ser realizado de forma compatível com as finalidades informadas ao titular;
Necessidade: os agentes de tratamento devem coletar apenas os dados indispensáveis para o atendimento da sua finalidade e devem armazená-los pelo tempo suficiente para tanto;
Livre acesso: os agentes de tratamento devem permitir que os titulares consultem, de modo fácil e gratuito, a forma e a duração do tratamento dos seus dados pessoais e também se eles estão corretos;
Qualidade dos dados: os dados pessoais tratados devem estar corretos, claros e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: ao tratar dados pessoais os agentes de tratamento precisam informar de forma clara, precisa e acessível, tudo o que se refira a este tratamento: quais as operações são realizadas, para que são realizadas e por quem;
Segurança e Prevenção: acidentes e atos ilícitos – como um ataque hacker - podem fazer com que dados pessoais sejam acessados por pessoas erradas ou até mesmo perdidos. Por isso, os agentes de tratamento devem adotar medidas técnicas e administrativas para garantir a confidencialidade e prevenir que os titulares sofram qualquer dano em virtude do tratamento de dados pessoais;
Não discriminação: o tratamento de dados não pode ser utilizado como forma de identificar pessoas de determinado grupo para, de alguma forma, exclui-las, o que é ilícito e abusivo. Porém, embora a palavra discriminação possa parecer sempre algo ruim, em alguns casos ela é necessária para o bom desenvolvimento de alguma atividade e permitida por lei, como, por exemplo, para identificar quais são as pessoas que tem prioridade de atendimento;
Responsabilização e prestação de contas: não é suficiente que os agentes de tratamento ajam de boa-fé e em conformidade com todos os princípios que vimos. É necessário também que eles comprovem que assim o fez, mantendo registro de todas as medidas adotadas e demonstrando a sua eficácia.
É possível perceber que fazer o tratamento de dados é uma tremenda responsabilidade, não é? E justamente por ser uma atividade tão importante e que pode, eventualmente, causar algum incômodo aos titulares de dados, a LGPD não se contentou em estabelecer esses princípios, mas também estabeleceu outros requisitos para o tratamento de dados.
Isso significa que os agentes só poderão realizar uma operação de tratamento de dados quando estiver presente alguma das dez hipóteses previstas no artigo 7º da LGPD, que também são chamadas de “base legal”.
Para terminar este tópico, vamos descobrir quando nossos dados podem ser objeto de tratamento por outras pessoas?
1. Quando houver consentimento do titular: sempre que o titular concordar com o tratamento de seus dados o agente está liberado para realizá-lo. Porém, é importante dizer que para que o consentimento seja válido ele deve ser livre, informado e inequívoco, ou seja, o titular tem que ser informado sobre a finalidade do tratamento; tem que ter a possibilidade de concordar ou não sem ser pressionado ou prejudicado em caso de negativa; e tem que dar o consentimento de forma expressa;
2. Para o cumprimento de obrigação legal ou regulatória pelo controlador: muitas vezes a pessoa ou a empresa solicitam dados pessoais não porque querem, mas sim porque a lei os obriga a ter ou informar esses dados. Por exemplo, quando você realiza uma compra, seja em uma loja, seja pela internet, é necessário fornecer ao vendedor o CPF. Não é que o vendedor precise ou queira essa informação para realizar a venda, mas para tanto ele é obrigado a colocar o CPF do comprador na nota fiscal. Portanto, sempre que o vendedor pedir o CPF do cliente ele estará cumprindo obrigação legal e, portanto, o tratamento de dados está autorizado pela LGPD.
3. Quando a Administração Pública precisar realizar o tratamento ou o uso compartilhado dos dados para executar políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres: várias ações do governo dependem da identificação das pessoas e, portanto, do tratamento de dados pessoais. Em muitos casos essas ações são voltadas para uma determinada parcela da sociedade, como, por exemplo, a vacinação de crianças até determinada idade. A vacinação é uma atividade que faz parte de uma política de saúde pública e para que ela seja realizada com sucesso é necessário confirmar se todas as crianças que estão sendo vacinadas estão na faixa etária para a qual a campanha é dirigida. Assim, será possível que se coletem os dados e até mesmo cópia dos documentos das crianças que forem levadas para vacinação.
4. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais: estudos científicos pressupõem a disponibilização de dados e sua análise, para que se possa chegar a uma conclusão. Por ser uma atividade importante para o desenvolvimento da sociedade, a LGPD permite que os órgãos de pesquisa realizem tratamento de dados, independentemente da ciência ou do consentimento de seus titulares.
Porém, alguns limites foram impostos pela lei. Os órgãos de pesquisa aos quais é permitido o tratamento de dados são apenas os públicos ou as empresas privadas que não tenham fins lucrativos, e mesmo assim aquelas que tenham como missão a pesquisa básica ou aplicada de caráter histórico, cientifico, tecnológico ou estatístico.
Além disso, sempre que a identificação do titular do dado não for necessária para a pesquisa, ela deve ser realizada com dados anonimizados, como forma de proteção da privacidade dos titulares. A anonimização é conceituada pela LGPD como a utilização de meios técnicos para desassociar os dados do indivíduo. Com isso apesar de os dados serem usados para a pesquisa, por meio deles não será possível identificar o titular.
5. Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido dele: se uma pessoa contrata um serviço que envolva necessariamente o tratamento de dados, como o armazenamento de dados em nuvem, por exemplo, o agente de tratamento estará autorizado a realizar as operações necessárias, desde que o titular concorde. A diferença aqui é que o titular não poderá retirar o consentimento antes do término do contrato, pois o combinado deve ser cumprido.
6. Exercício regular de direitos em processo judicial, administrativo ou arbitral: o detentor de dados pessoais pode se utilizar deles para fazer prova em seu favor em processos judiciais, administrativos ou arbitral. Imagine que um cliente ingresse com uma ação judicial contra um banco, alegando que está sendo cobrado indevidamente. O banco poderá apresentar o contrato assinado pelo cliente para comprovar que a cobrança é devida, ainda que dele constem dados pessoais e que o cliente não tenha consentido com a sua divulgação.
7. Proteção da vida ou da incolumidade física do titular ou de terceiro: como vimos em outro tópico, nenhum direito é absoluto, mesmo que seja um direito fundamental. A LGPD protege a privacidade das pessoas, mas reconhece que outros direitos devem se sobrepor a ela, como a vida e a incolumidade física. Assim, se alguém estiver correndo risco de morte, de se machucar ou ter uma piora em sua saúde e para salvar-lhe for necessário acessar seus dados pessoais, essa operação está autorizada pela LGPD. Por exemplo: se uma pessoa chega ferida e inconsciente a um hospital, o médico poderá requisitar o prontuário que o paciente tenha em uma clínica ou consultório médico.
8. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária: Sempre que houver uma situação que envolva a saúde de alguém ou a saúde pública, os profissionais e serviços de saúde (como clínicas e planos de saúde) e as autoridades sanitárias (como a Vigilância Sanitária e a ANVISA) poderão realizar o tratamento de dados pessoais. O tratamento, e dentre eles o compartilhamento, dos dados será possível, ainda que tenha o objetivo de lucro, mas desde que seja feito também em benefício do titular dos dados. É proibido que as operadoras de planos de saúde utilizem os dados para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
9. Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais: essa é a cláusula mais aberta que permite o tratamento dos dados independentemente do consentimento dos titulares. Esse fundamento possibilita que a empresa faça o tratamento dos dados de que ela dispõe para o desenvolvimento de suas atividades. A análise do legítimo interesse deve ser feita diante do caso concreto, mas a LGPD prevê duas situações que, de antemão, caracteriza como legítimo interesse: 1) apoio e promoção de atividades do controlador e 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. É importante saber que para que o tratamento de dados seja feito com esse fundamento, é necessário que o agente demonstre que o interesse dele é legítimo, que o tratamento realizado é necessário para o objetivo e que foram adotados todos os cuidados para não contrariar a LGPD ou violar qualquer direito dos titulares.
10. Proteção do crédito, inclusive quanto ao disposto na legislação pertinente: assim como na questão relativa à saúde, a LGPD reconhece que a proteção do crédito deve se sobrepor ao direito à privacidade, não em virtude dos interesses de credores ou de instituições financeiras, mas para proteger o mercado e a economia pública. Por isso instituições como o SERASA podem manter bancos de dados com diversas informações, incluindo dados pessoais, e compartilhá-los com lojistas e outras instituições, sem que para isso o titular precise concordar.
Esses são os requisitos previstos para o tratamento de dados pessoais em geral. Contudo, existem os dados pessoais sensíveis, que dizem respeito às questões mais íntimas das pessoas, às suas origens, crenças religiosas, opção sexual, orientação política ou filosófica. Esses dados recebem uma proteção maior da LGPD, pois, além de serem íntimos, o seu uso indevido pode levar à discriminação de uma pessoa ou de um grupo de pessoas.
Em razão da importância da preservação dos dados pessoais sensíveis o seu tratamento poderá ser realizado apenas nas hipóteses previstas no artigo 11 da LGPD, que são mais limitadas. O consentimento continua sendo o grande fundamento para o tratamento dos dados e do rol de requisitos que vimos acima não se aplicam aos dados sensíveis a execução de contratos, o interesse legítimo do controlador e a proteção do crédito (itens 5, 9 e 10).
Além dos requisitos vistos acima, a LGPD, no seu artigo 23, traz um tratamento um pouco diferenciado para a Administração Pública, dizendo que o tratamento de dados “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
A maioria dos tratamentos de dados realizados pelo TRE-PR estão fundamentados no artigo 23 da LGPD, pois os dados colhidos são utilizados para a realização das nossas competências legais, ou seja, para realizar as eleições.
Para isso fazemos o tratamento de dados dos eleitores, que começa com a coleta para a emissão do título, passa pela utilização a cada eleição (para a convocação de mesários, a distribuição dos eleitores em suas sessões eleitorais, dentre várias outras atividades), pela modificação quando há alguma alteração de endereço, por exemplo, dentre vários outros tratamentos que são necessários.
Também tratamos dados de filiados a partidos políticos, pois mantemos o registro das filiações partidárias, bem como de candidatos e outras pessoas que possam, de alguma forma, se envolver em um processo eleitoral.
Temos também uma extensa atividade administrativa, na qual tratamos dados de juízes, servidores, terceirizados, contratados.
Como forma de nos adequarmos às regras da LGPD estamos desenvolvendo um trabalho de levantamento de todos esses dados e de seus respectivos fundamentos legais (chamado de inventário de dados), que será divulgado aqui logo que esteja concluído. Até lá, se você tiver alguma dúvida, pode nos contatar por meio do formulário específico, que está lá no tópico sobre “Direitos dos Titulares”.