LGPD: em quais hipóteses o tratamento de dados pode ser realizado?

Izabel Coelho Matias e Letícia Marinhuk

A Lei nº 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados (“LGPD”), entrou recentemente em vigor e impôs, no ordenamento jurídico brasileiro, dentre outros aspectos, um novo olhar sobre o direito à liberdade e à privacidade de cada indivíduo.

A partir dela, foram estabelecidos limites e critérios que se aplicam para qualquer atividade que envolva o tratamento de dados  relacionado a uma pessoa natural identificada ou identificável, desde que a operação seja realizada no Brasil; verse sobre dados aqui coletados, ou tenha por objetivo a oferta, o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, além dos casos excetuados em lei.

Para tanto, a LGPD estabelece, em seu art. 7º, as chamadas “bases legais”, rol taxativo das situações em que o tratamento de dados pessoais está autorizado, sendo elas:

  • Mediante o fornecimento de consentimento pelo titular dos dados pessoais;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares a ele relacionados, do qual seja parte o titular e a pedido deste;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (“Lei de Arbitragem”);
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Nesse sentido, há que se ressaltar que, embora cada base legal possua o mesmo valor, sem que uma prevaleça sobre a outra, é necessário definir qual ou quais hipóteses autorizam o tratamento de dados, levando-se em consideração o contexto da atividade e os fundamentos que disciplinam a proteção dos dados, pois nem sempre será necessária a obtenção do consentimento do titular dos dados, de sorte que o “legítimo interesse” não se constitui como uma autorização geral e irrestrita para o tratamento.

Do contrário, não se enquadrando a finalidade do tratamento em nenhuma das autorizações legais acima indicadas, ou, sendo, tal tratamento, excessivo ou desnecessário à amplitude de sua finalidade, sujeitar-se-á, o agente, às sanções administrativas, que poderão variar desde uma simples notificação para a adoção de medidas corretivas até multa de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada ao valor máximo de R$ 50 milhões de reais por infração, sem exclusão da possibilidade de responsabilização judicial.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *