As regras da LGPD devem ser observadas em todo tratamento de dados realizado por pessoas físicas ou jurídicas. A primeira coisa que você precisa entender é: O que é, afinal, tratamento de dados? A LGPD usa a expressão “tratamento de dados” para se referir a qualquer operação que seja realizada com os seus dados pessoais. 

Quando você preenche um cadastro em uma loja, seja uma ficha escrita ou um formulário digital, e nele informa os seus dados pessoais, a pessoa que o recebe está realizando uma “coleta de dados”. Ao abrir seu cadastro para buscar seu e-mail ou telefone para encaminhar uma propaganda, a loja realizou um “acesso” e uma “utilização”. Se a loja passar algum dado seu para outro estabelecimento parceiro, ela estará fazendo uma “transferência”. 

Cada uma dessas operações corresponde a uma ação de tratamento de dados. A LGPD prevê diversos tratamentos possíveis: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. 

Como já vimos, a LGPD não tem o objetivo de proibir o tratamento de dados, mas de estabelecer regras e limites, de forma a proteger os titulares. 

O primeiro limite trazido pela lei é que todas as atividades de tratamento deverão ser realizadas de boa-fé, que nada mais é que o dever de agir com base nos valores éticos e morais aceitos em sociedade. 

Como consequência desse dever de agir com boa-fé, os agentes de tratamento (como são chamados aqueles que realizam tratamento de dados) devem observar os princípios previstos no artigo 6º da LGPD. 

É importante saber quais são esses princípios, porque deles derivam vários direitos seus e inúmeras obrigações nossas no tratamento de dados. Então, antes de prosseguir, vamos dar uma olhadinha neles? 

 

 

 

Finalidade: os dados devem ser utilizados para propósitos legítimos, específicos, explícitos e informados ao titular. No caso específico do TRE-ES, a finalidade visa a dar cumprimento obrigação legal ou regulatória. 

Adequação:
 o tratamento deve ser realizado de forma compatível com as finalidades informadas ao titular. 

Necessidade: os agentes de tratamento devem coletar apenas os dados indispensáveis para o atendimento da sua finalidade. 

Livre acesso: os agentes de tratamento devem permitir que os titulares consultem, de modo fácil e gratuito, a forma e a duração do tratamento dos seus dados pessoais e também se eles estão corretos. 

Qualidade dos dados: os dados pessoais tratados devem estar corretos, claros e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. 

Transparência: ao tratar dados pessoais, os agentes de tratamento precisam informar de forma clara, precisa e acessível, tudo o que se refere a esse tratamento, ou seja, quais operações são realizadas, para que são realizadas e por quem. 

Segurança e Prevenção: acidentes e atos ilícitos – como um ataque hacker – podem fazer com que dados pessoais sejam perdidos ou até mesmo acessados por pessoas não autorizadas. Por isso, os agentes de tratamento devem adotar medidas técnicas e administrativas de segurança, para garantir a confidencialidade e prevenir que os titulares sofram qualquer dano em virtude do tratamento de dados pessoais. 

Não discriminação: o tratamento de dados não pode ser utilizado como forma de identificar pessoas de determinado grupo para, de alguma forma, excluí-las. Isso é ilícito e abusivo. Porém, embora a palavra discriminação possa parecer sempre algo ruim, em alguns casos ela é permitida por lei e necessária ao bom desenvolvimento de alguma atividade como, por exemplo, para identificar quais são as pessoas que têm prioridade de atendimento. 

Responsabilização e prestação de contas: não é suficiente que os agentes de tratamento ajam de boa-fé e em conformidade com todos os princípios que vimos. É necessário também que eles comprovem que assim o fazem, mantendo registro de todas as medidas adotadas e demonstrando a sua eficácia. 

É possível perceber que tratar dados é uma tremenda responsabilidade, não é? E justamente por ser uma atividade tão importante e que pode, eventualmente, causar algum incômodo aos titulares de dados, a LGPD não se contentou em estabelecer esses princípios, mas também estabeleceu requisitos para o tratamento de dados. 

Isso significa que os agentes só poderão realizar uma operação de tratamento de dados quando estiver presente alguma das dez hipóteses previstas no artigo 7º da LGPD, que também são chamadas de “base legal”. 

Para terminar este tópico, convido você a descobrir as hipóteses em que a LGPD permite o tratamento de dados. 

1. Para o cumprimento de obrigação legal ou regulatória pelo controlador: muitas vezes, a pessoa ou a empresa solicita dados pessoais, não porque simplesmente quer, mas, porque a lei os obriga a ter ou a informar esses dados. Por exemplo, quando você realiza uma compra, seja em uma loja, seja pela internet, é necessário fornecer ao vendedor o CPF. Não é que o vendedor queira essa informação ou precise dela para realizar a venda, mas, porque ele é obrigado a colocar o CPF do comprador na nota fiscal. Portanto, sempre que o vendedor pedir o CPF do cliente, ele estará cumprindo uma obrigação legal e, dessa forma, o tratamento de dados estará autorizado pela LGPD. 

2Pela Administração Pública, para o tratamento ou uso compartilhado dos dados a fim de executar políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres: várias ações do governo dependem da identificação das pessoas e, portanto, do tratamento de dados pessoais. Em muitos casos, essas ações são voltadas para uma determinada parcela da sociedade, como, por exemplo, a vacinação de crianças até determinada idade. A vacinação é uma atividade que faz parte de uma política de saúde pública e, para que ela seja realizada com sucesso, é necessário confirmar se todas as crianças que estão sendo vacinadas estão na faixa etária para a qual a campanha é dirigida. Assim, será possível coletar os dados e até mesmo obter cópia dos documentos das crianças que forem levadas para vacinação. 

3Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais: estudos científicos pressupõem a disponibilização de dados e sua análise, para que se possa chegar a uma conclusão. Por ser uma atividade importante para o desenvolvimento da sociedade, a LGPD permite que os órgãos de pesquisa realizem tratamento de dados, independentemente da ciência ou do consentimento de seus titulares. 

Porém, alguns limites foram impostos pela lei. Os órgãos de pesquisa aos quais é permitido o tratamento de dados são apenas os públicos ou as empresas privadas que não tenham fins lucrativos e, mesmo assim, aquelas que tenham como missão a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.  

Além disso, sempre que a identificação do titular do dado for necessária para a pesquisa, ela deve ser realizada com dados anonimizados, como forma de proteção da privacidade dos titulares. A anonimização é conceituada pela LGPD como a utilização de meios técnicos para desassociar os dados do indivíduo. Com isso, apesar de os dados serem usados para a pesquisa, por meio deles não será possível identificar o titular. 

4Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular: se uma pessoa contrata um serviço que envolva necessariamente o tratamento de dados, como, por exemplo, o armazenamento de dados em nuvem, o agente de tratamento estará autorizado a realizar as operações necessárias, desde que o titular concorde.  

5Para exercício regular de direitos em processo judicial, administrativo ou arbitral: o detentor de dados pessoais pode utilizá-los para fazer prova em seu favor em processos judiciais, administrativos ou arbitral. Imagine que um cliente ingresse com uma ação judicial contra um banco, alegando que está sendo cobrado indevidamente. O banco poderá apresentar o contrato assinado pelo cliente para comprovar que a cobrança é devida, ainda que dele constem dados pessoais e que o cliente não tenha consentido  sua divulgação. 

6. Para proteção da vida ou da incolumidade física do titular ou de terceiro: como vimos em outro tópico, nenhum direito é absoluto, mesmo que seja um direito fundamental. A LGPD protege a privacidade das pessoas, mas reconhece que outros direitos devem se sobrepor a ela, como a vida e a incolumidade física. Assim, se alguém estiver correndo risco de morte, de se machucar ou ter uma piora em sua saúde e, para salvar-lhe, for necessário acessar seus dados pessoais, essa operação está autorizada pela LGPD. Por exemplo: se uma pessoa chega ferida e inconsciente a um hospital, o médico poderá requisitar o prontuário que o paciente tenha em uma clínica ou consultório médico. 

7Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária: sempre que houver uma situação que envolva a saúde de alguém ou a saúde pública, os profissionais e serviços de saúde (como clínicas e planos de saúde) e as autoridades sanitárias (como a Vigilância Sanitária e a ANVISA) poderão realizar o tratamento de dados pessoais. O tratamento dos dados, e entre eles o compartilhamento, será possível, ainda que tenha o objetivo de lucro, mas, desde que seja feito também em benefício do titular dos dados. É proibido as operadoras de planos de saúde utilizarem os dados para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. 

8. Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais: essa é a cláusula mais aberta que permite o tratamento dos dados independentemente do consentimento dos titulares. Esse fundamento possibilita que a empresa faça o tratamento dos dados de que ela dispõe para o desenvolvimento de suas atividades. A análise do legítimo interesse deve ser feita diante do caso concreto, mas a LGPD prevê duas situações que, de antemão, caracterizam o legítimo interesse: 1) apoio e promoção de atividades do controlador e 2) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. É importante saber que, para que o tratamento de dados seja feito com esse fundamento, é necessário: a) que o agente demonstre a legitimidade do seu interesse; b) que o tratamento realizado é necessário para o objetivo e c) que foram adotados todos os cuidados para não contrariar a LGPD ou violar qualquer direito dos titulares. 

9. Para proteção do crédito, inclusive quanto ao disposto na legislação pertinente: assim como na questão relativa à saúde, a LGPD reconhece que a proteção do crédito deve se sobrepor ao direito à privacidade, não em virtude dos interesses de credores ou de instituições financeiras, mas para proteger o mercado e a economia pública. Por isso, instituições como o SERASA podem manter bancos de dados com diversas informações, incluindo dados pessoais, e compartilhá-los com lojistas e outras instituições, sem que, para isso, o titular precise concordar. 

10. Quando houver consentimento do titular: apesar de este requisito não ser a principal hipótese de tratamento de dados pessoais no âmbito da Administração Públicahaverá casos específicos em que, se o titular concordar com o tratamento de seus dados, o agente estará liberado para realizá-lo. Porém, é importante dizer que, para que o consentimento seja válido, ele deve ser livre, informado e inequívoco, ou seja, o titular tem que ser informado sobre a finalidade do tratamento; tem que ter a possibilidade de concordar ou não, sem ser pressionado ou prejudicado em caso de negativa; e tem que dar o consentimento de forma expressa.  

Esses são os requisitos previstos para o tratamento de dados pessoais em geral. Contudo, existem os dados pessoais sensíveis, que dizem respeito às questões mais íntimas das pessoas, às suas origens, crenças religiosas, opção sexual, orientação política ou filosófica. Tais dados recebem uma proteção maior da LGPD, pois, além de serem íntimos, seu uso indevido pode levar à discriminação de uma pessoa ou de um grupo de pessoas. 

Em razão da importância da preservação dos dados pessoais sensíveis, seu tratamento poderá ser realizado apenas nas hipóteses previstas no artigo 11 da LGPD, que são mais limitadas.  

Além dos requisitos vistos acima, a LGPD, no seu artigo 23, apresenta um contexto um pouco diferenciado para a Administração Pública, dizendo que o tratamento de dados “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”. 

A maioria dos tratamentos de dados realizados pelo TRE-ES está fundamentada no artigo 23 da LGPD, pois os dados colhidos são utilizados para a realização das competências legais da Justiça Eleitoral, ou seja, para realizar as eleições. 

Para isso, fazemos o tratamento de dados dos eleitores, que começa com a coleta para a emissão do título, passando pela utilização a cada eleição (para a convocação de mesários e para a distribuição dos eleitores em suas sessões eleitorais, dentre várias outras atividades) e pela modificação, quando há alguma alteração de endereço, por exemplo, dentre vários outros tratamentos necessários. 
 
Também tratamos dados de filiados a partidos políticos, pois mantemos o registro das filiações partidárias, bem como de candidatos e de outras pessoas que possam, de alguma forma, se envolver em um processo eleitoral. Temos também uma extensa atividade administrativa, na qual tratamos dados de juízes, servidores, terceirizados e contratados.