Princípios da Lei Geral de Proteção de Dados
June 4, 2022
Quando termina o Tratamento de Dados Pessoais?
June 11, 2022A Lei nº 13.709/2018, no seu artigo 7º, dispõe que o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização (§3º do artigo 7º da Lei).
Acerca do requisito do consentimento, importante tecer algumas considerações.
O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei. O titular dos dados deve pelo menos ser notificado sobre a identidade do controlador, que tipo de dados será processado, como será usado e a finalidade das operações de processamento como uma proteção contra a “fluência de função“. O titular dos dados também deve ser informado sobre o seu direito de retirar o consentimento a qualquer momento. A retirada deve ser tão fácil quanto dar consentimento. Quando relevante, o controlador também deve informar sobre o uso dos dados para tomada de decisões automatizada, os possíveis riscos de transferência de dados devido à ausência de uma decisão de adequação ou outras salvaguardas apropriadas. O consentimento deve estar vinculado a um ou vários propósitos especificados, que devem ser suficientemente explicados. Se o consentimento deve legitimar o processamento de categorias especiais de dados pessoais, as informações para o titular dos dados devem referir-se expressamente a isso. Deve sempre haver uma clara distinção entre as informações necessárias para o consentimento informado e as informações sobre outros assuntos contratuais. Por último, mas não menos importante, o consentimento deve ser inequívoco, o que significa que requer uma declaração ou um claro ato afirmativo. O consentimento não pode ser implícito e deve ser sempre dado por meio de um opt-in, uma declaração ou uma moção ativa, para que não haja mal-entendido que o titular dos dados tenha consentido com o processamento específico. Dito isto, não há exigência de formulário para consentimento, mesmo que seja recomendado o consentimento por escrito devido à responsabilidade do responsável pelo tratamento. Pode, portanto, também ser dado em formato eletrônico. Nesse sentido, o consentimento de crianças e adolescentes em relação aos serviços da sociedade da informação é um caso especial. (…) O consentimento deve ser fornecido se você acredita que seu processamento é legal e caso necessário o controlador pode comprovar o uso. O texto da solicitação do consentimento deverá ser claro em sua finalidade, tipo de tratamento e data de expiração. Deve ser uma forma inteligível e de fácil acesso em linguagem clara. (…) (grifo meu)
Importante mencionar que a exigência do consentimento é dispensada para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei (§ 4º do artigo 7º da Lei).
A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na Lei Geral de Proteção de Dados, especialmente da observância dos princípios gerais e da garantia dos direitos do titular (§ 6º do artigo 7º da Lei).
O tratamento posterior dos dados pessoais cujo acesso é público poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na Lei (§ 7º do artigo 7º da Lei).
Por fim, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (§ 5º do artigo 8º da Lei).
REFERÊNCIAS BIBLIOGRÁFICAS:
OLIVEIRA, Sandro. Entendendo Privacidade de Dados Pessoais na LGPD, p. 52-54.
