Opinião

A importância da escolha da correta base legal no tratamento de dados pessoais

Autores

  • Martha Leal

    é advogada especialista em proteção de dados pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul mestre em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlântico e pela Universidad Unini México pós-graduanda em Direito Digital pela Universidade de Brasília—IDP data protection officer ECPB pela Maastricht University certificada como data protection officer pela Exin e pela Fundação Getúlio Vargas do Rio de Janeiro e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD).

    View all posts

  • Paula Ferraz

    é advogada na área de privacidade e proteção de dados pessoais pós-graduada em Direito dos Contratos (PUC-Rio) e em Direito Público e Privado (EMERJ) e possui certificação DPO-Exin.

    View all posts

8 de setembro de 2021, 18h03

A Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/18, LGPD [1] — foi promulgada em agosto de 2018 e parte dela encontra-se em vigor desde setembro de 2020, estando as sanções administrativas dos artigos 52 a 54 em vigor desde o dia 1º de agosto.

Na atual sociedade capitalista, cujas relações são líquidas e em que muitos negócios precisam de dados e informações para que se desenvolvam, importa destacarmos que, com raríssimas exceções, a maioria das empresas necessita tratar dados pessoais dos indivíduos, denominados titulares.

Significa dizer que toda atividade de tratamento a ser desempenhada precisa estar acompanhada de uma finalidade específica e, consequentemente, deverá enquadrar-se em uma das dez bases legais do artigo 7º da Lei Geral de Proteção de Dados Pessoais [2].

Conceitualmente, base legal nada mais é do que uma justificativa legal em que se permite o tratamento de dados pessoais. Ou seja, quando um agente de tratamento assim definido no artigo 5º, IX, da LGPD [3] coleta um dado pessoal para uma determinada finalidade específica, deverá escolher uma base legal que ampare o tratamento. E convém lembrar que a hipótese legal autorizadora está estritamente relacionada à finalidade do processamento de dados pessoais.

A LGPD dispõe de bases legais diferenciadas para os diferentes tipos de dados pessoais, sendo aquelas elencadas no artigo 7º, relacionadas aos dados pessoais não sensíveis, e as bases legais do artigo 11, destinadas aos dados pessoais sensíveis, os quais, por representarem um maior potencial de dano aos titulares, atraem maior restrição de justificativas legais [4].

Lembrando, por oportuno, que inexiste hierarquia na aplicabilidade da base legal, uma vez que a análise deverá ser realizada conforme a finalidade da atividade de tratamento.

A título informativo, quanto aos dados pessoais sensíveis, algumas das bases legais do artigo 7º são suprimidas, quais sejam: 1) execução de contrato; 2) legítimo interesse; e 3) proteção do crédito [5]. Dessa forma, é de extrema relevância a correta escolha da base legal para a atividade de tratamento, sob pena de incidência da aplicação de multa por parte da Autoridade Nacional de Proteção de Dados (ANPD) [6].

Tendo em vista o baixo grau de maturidade cultural do Brasil no que diz respeito à proteção de dados, é recomendável que o profissional que atua nessa área tenha por base os fatos ocorridos na União Europeia como estratégia para antecipação e prevenção de alguns cenários prováveis de reprodução a nível nacional.

Consultando os tipos de infrações cometidas pelos agentes de tratamento dentro da União Europeia, no período após a vigência do Regulamento Europeu de Proteção de Dados (RGPD [7]), até o presente momento é possível constatar que há predominância de multas decorrentes da incorreta aplicação da base jurídica a justificar o tratamento de dados e até a insuficiência da mesma.

Utilizando ainda o cenário internacional referido, é fato incontroverso que quando um controlador escolha uma base legal insuficiente, este incide na violação aos artigos 6º e 9º do Regulamento Europeu [8], os quais versam, respectivamente, sobre as bases legais para o tratamento dos dados pessoais e suas diferentes categorias, caracterizando-se assim em uma infração grave e, consequentemente, atraindo o valor máximo da multa, 20 milhões de euros, ou até 4% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, nos termos do artigo 83, (5), "a", do RGPD [9].

Logo, são grandes os desafios a serem enfrentados pelas organizações que tratam dados pessoais, em especial as que tratam dados pessoais sensíveis, pois o seu conteúdo pode levar a um tratamento discriminatório.

Os controladores, ao tratarem dados pessoais sensíveis, devem estar atentos na efetiva necessidade do tratamento destes para as atividades a que se propõem, observando que, no rol das hipóteses autorizadoras elencadas pelo artigo 11 da Lei de Proteção de Dados Pessoais [10] não estão contempladas as bases legais de execução de contrato e legítimo interesse, tornando, assim, mais desafiador o assunto em questão.

E, em sendo a nossa Lei de Proteção de Dados uma lei contextual, inexistem manuais prontos que possam garantir a assertividade da escolha adequada da hipótese legal a justificar o tratamento, uma vez que é necessário que o profissional tenha um conhecimento aprofundado acerca do modelo de negócios e das finalidades a que se propõe o controlador.

 

Referências bibliográficas
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS — ANPD. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 03 set. 2021.

BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 03 set. 2021.

 

[1] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.

[2] Ibidem.

[3] Ibidem.

[4] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.

[5] Ibidem.

[6] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS — ANPD. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 03 set. 2021.

[7] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 03 set. 2021.

[8] Ibidem.

[9] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 03 set. 2021.

[10] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 set. 2021.

Autores

  • Brave

    é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)

    Ver todos os posts

  • Brave

    é advogada especialista em Direito Público e Privado (Emerj), pós-graduanda em Direito dos Contratos (PUC-Rio) e possui certificação DPO-EXIN.

    Ver todos os posts

Tags:

Encontrou um erro? Avise nossa equipe!