A entrada em vigor da Lei Geral de Proteção de Dados regulamentou, dentre muitos aspectos, o tratamento de dados pessoais, reconhecido como qualquer atividade que seja realizada com informações que sejam capazes de identificar uma pessoa.
O tratamento de dados, para ser iniciado, deve seguir alguns requisitos que variam de acordo com a natureza dos dados (pessoal, sensível, de criança ou adolescente) e a finalidade da utilização. Desta forma, entender todas as variáveis é de extrema relevância para, posteriormente, de forma estratégica, embasar a operação da empresa conforme dispõe a Lei Geral de Proteção de Dados.
A Lei traz no artigo 7º, de maneira objetiva, um rol com 10 possibilidades, nas quais a empresa pode embasar o tratamento dos dados pessoais.
Como o objetivo do presente material é abordar o assunto com foco nos produtos e serviços desenvolvidos por Startups, destacamos 6 das 10 hipóteses de tratamento de dados pessoais, que são aplicáveis a estes negócios:
A primeira e mais conhecida é a utilização dos dados pessoais por meio do Consentimento do titular dos dados, ou seja, da autorização expressa, livre e inequívoca para uma finalidade determinada.
Nessa hipótese, o titular dos dados poderá revogar o referido consentimento a qualquer momento e, quando tal fato ocorrer, cessará a permissão para a Startup utilizar tais dados.
Por este motivo, em muitos casos, recomenda-se que o Consentimento seja utilizado como base para tratamento dos dados apenas quando nenhuma outra hipótese se enquadrar à situação de tratamento.
Um exemplo que pode ser dado é quando uma Startup deseja utilizar os dados pessoais dos usuários da plataforma, com a finalidade de promover campanhas de marketing.
Esta base legal diz respeito à coleta de dados para o cumprimento de obrigação legal ou regulatória da empresa. Nesse caso, por exemplo, quando a Startup precisa da informação para cumprir alguma disposição da lei, como a coleta do CPF do comprador para emissão de nota fiscal.
Por este motivo, não há exigência do consentimento, pois trata-se de obrigação legal a ser cumprida, não fazendo sentido depender de autorização do titular dos dados para tal. De todo modo, é recomendado informar aos compradores, quando da utilização desta base legal, por meio da política ou aviso de privacidade.
Trata-se de hipótese que permite a utilização de determinados dados pessoais para a execução do contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular.
No caso das Startups, esta base legal pode ser utilizada para relacionar dados que tenham conexão com o escopo, por exemplo:
Esta previsão diz respeito à possibilidade de utilização de dados pessoais para o exercício de direito em processos judiciais ou arbitrários, na produção de provas, defesa e outras manifestações judiciais ou administrativas.
Ou seja, a empresa poderá tratar tais informações, independente do consentimento do titular dos dados, mas restrita à finalidade de exercer seus direitos em processos.
Diz respeito à possibilidade de o controlador utilizar os dados do titular, sem o consentimento deste, em razão de atender a um interesse específico e legítimo.
Nota-se que é uma hipótese relativamente mais abrangente e flexível das listadas na LGPD e, justamente por isso, há um cuidado especial no artigo 10 da Lei que estabelece alguns parâmetros para o melhor entendimento e configuração, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular.
Para a aplicação desta base, é necessário avaliar em detalhes o caso concreto, realizar, inclusive, um teste subjetivo do legítimo interesse, que levará em conta: o interesse propriamente dito, análise de necessidade, razoabilidade de sua utilização frente aos direitos do titular dos dados.
Esta previsão permite a utilização de dados pessoais, sem o consentimento do titular, com objetivo de proteção ao crédito, como por exemplo para realizar análise de credit score ou avaliar histórico de inadimplência.
Ou seja, garante que, em situações de cobrança ou dívidas contraídas, os titulares dos dados não usem o argumento da LGPD como meio para escaparem de suas obrigações financeiras, ao não permitirem a coleta e utilização dos dados.
Após análise das 6 principais bases jurídicas para o tratamento de dados pessoais, conclui-se que não há melhor ou pior base jurídica a ser escolhida, é necessária uma análise minuciosa da operação que envolve o tratamento de dados para enquadramento da hipótese legal mais adequada para a situação concreta.
Dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, e exigem que o tratamento seja precedido de maior cautela.
Ademais, vale destacar que eventual incidente de segurança com estes dados, tem potencial altamente gravoso aos direitos e liberdades dos titulares.
Considerando, assim, a natureza dos dados sensíveis, as hipóteses para o tratamento são mais restritivas, e a lei dispõe, no artigo 11, como esse deve ocorrer:
Na prática, para as Startups que trabalham com dados sensíveis, há a necessidade da observância e seleção da base legal mais adequada para cada caso.
Um ponto a ser sinalizado, em especial quando tratamos da dinâmica das Startups, são as hipóteses para tratamento de dados pessoais de crianças e adolescentes, que atualmente são players ativos no ecossistema digital.
O tratamento em si pode ser realizado em seu melhor interesse e nos limites estabelecidos pela LGPD, no entanto, deverá ser realizado necessariamente mediante consentimento específico e em destaque, por pelo menos um dos pais ou responsável legal.
Desta forma, logo na etapa do cadastro do usuário na plataforma da Startup, recomenda-se que haja uma etapa específica para identificação da idade do usuário e, caso este seja de menor, um requerimento envolvendo os pais ou representante legal. Sendo inobservada tal disposição, a Startup estará sujeita às penalidades impostas pela Lei, em vigor a partir de agosto de 2021.
Por Kael Moro
A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) trouxe a inauguração de alguns conceitos, como é o caso dos agentes de tratamento de dados, que podem ser classificados como controladores, operadores, encarregados e titulares de dados. O texto prevê responsabilidades e obrigações de cada espécie segmentada, assim como quem é passível de receber cada função.
Frente a esse cenário, é importante que o avançar das operações econômicas e comerciais que tratam dados pessoais realizem uma correta definição acerca das responsabilidades destes agentes, que precisam, inclusive, ser delimitadas em contratos das mais diversas naturezas, com objetivo de proporcionar às partes a segurança jurídica adequada, e de facilitar eventuais penalizações em caso de incidentes que, devido à falta de jurisprudências disponíveis como consequência da recente promulgação da Lei, seguem a GDPR, lei de privacidade e segurança de dados da União Européia, por analogia.
Todavia, embora os agentes estejam corretamente especificados em documentos que regulam a relação entre as partes, a mera definição em contrato de quem são os agentes de tratamento de dados pessoais não será suficiente numa discussão jurídica, devendo a autoridade nacional avaliar o contexto prático da situação. É possível, ainda, que em algumas hipóteses estes papéis se confundam, isto é, a prática em países desenvolvidos mostrou que é possível que dois ou mais agentes atuem na figura de Controladores.
Este fato apenas corrobora com a necessidade de se olhar a correta definição dos agentes de tratamento de dados, tanto sob o prisma da situação prática, quanto da contratual.
Nesta última, a correta definição das partes e agentes de tratamento é indispensável e de extrema importância. Por mais complexa que possa ser, tal exercício é necessário para garantir segurança jurídica aos envolvidos. Neste aspecto, inclusive, é de se esperar que a Autoridade Nacional de Proteção de Dados (ANPD), supra estas lacunas interpretativas deixadas pelo legislador, assim como fizeram as autoridades europeias através do Article 29 Data Protection Working Party:
“O Working Party reconhece as dificuldades em aplicar as definições da Diretiva em um ambiente complexo, no qual podem ser previstos vários cenários envolvendo controladores e operadores, de forma independente ou conjunta, com diferentes níveis de autonomia e responsabilidade.”
Conclui-se, portanto, que resta clara a importância da devida atenção a este ponto, tendo em vista as consequências que decorrem desta questão, seja em razão da correta alocação de responsabilidades entre os agentes, seja em caso de aplicação da lei por parte de autoridade competente.
Recomenda-se, então, analisar os cenários a partir dos julgados brasileiros para entender como adequar e interpretar as relações entre os agentes de tratamento de dados pessoais, garantindo aos mais diversos indivíduos a máxima segurança jurídica possível.
Por Lucas Willian Farias
¹ Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. p. 1. Tradução livre. Texto original: “The Working Party recognizes the difficulties in applying the definitions of the Directive in a complex environment, where many scenarios can be foreseen involving controllers and processors, alone or jointly, with different degrees of autonomy and responsibility”.
© 2022 Vanzin & Penteado Advogados Associados.