Deparados diariamente com situações que envolvem nossos dados pessoais, não é difícil surgir a pergunta: como determinada empresa ou rede social possui tantas informações pessoais e como podem utilizá-las?
Com o advento da Lei n° 13.709/2018, Lei Geral de Proteção de Dados (LGPD), as empresas devem ficar atentas às novas regras de utilização e tratamento dos dados pessoais, de modo a garantir a segurança e uso adequados, sob pena de multa.
O chamado tratamento de dados pessoais deve ser adotado em qualquer operação que envolva a utilização de dados pessoais, como por exemplo a situação em que uma empresa se utiliza de lista de e-mails para divulgar seus produtos ou que possua câmeras de segurança.
Mas quando uma pessoa jurídica, pública ou privada, ou pessoa física, pode se valer do tratamento de dados pessoais de sua base de dados ou de terceiros?
Observando a Lei 13.709/2018, em seu artigo 7º, expressamente temos as seguintes hipóteses:
- I) Mediante o fornecimento de consentimento pelo titular – Neste caso a permissão do uso dos dados se opera de forma voluntária por seu titular. Exemplo típico são os sites que se utilizam de envios e-mails através de aceite e consentimento. Vale dizer que este consentimento não pode ser amplo e genérico, ao contrário, deve ser específico para cada situação, justificando-se a finalidade de tal coleta e armazenamento;
- II) Para o cumprimento de obrigação legal ou regulatória pelo controlador -Quando o controlador, pessoa natural ou jurídica a quem compete as decisões ao tratamento de dados pessoais, precisar cumprir alguma legislação. Como exemplo temos as leis e exigências trabalhistas que demandado envio de informações pessoais dos funcionários, obrigando a empresa controladora/empregadora a armazenar dados por longos períodos, os clubes, fundações, associações sem fins lucrativos e outras instituições que se valem de permissões de seus associados quando formalmente aderem às regras de seu funcionamento (estatuto social por exemplo), entre outros.
III) Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres. Ou seja, os órgãos públicos poderão tratar e usar dados pessoais quando necessários para colocar em prática políticas públicas previstas em leis ou em contratos e convênios que visam implementar projetos, tais como de assistência social e outros;
- IV) Para a realização de estudos por órgão de pesquisa. O IBGE, por exemplo, que realiza estudos e necessita de acesso aos dados pessoais para contato e conclusão da eventual pesquisa. Contudo, deve, preferencialmente, adotar procedimentos que impossibilitem a associação direta ou indireta entre um dado e um indivíduo, garantindo, sempre que possível, o anonimato das pessoas consultadas.
- V) Execução de contrato que, a pedido do titular de dados, seja necessário o procedimento. Prestadores de serviços, locadoras de carros ou imóveis, escolas ou sites de e-commerce, por exemplo, solicitam dados para fins de cadastro e conclusão da compra de mercadoria ou serviço. Sem as informações pessoais mínimas como nome, CPF e endereço a empresa fica impossibilitada de prestar o seu serviço. Ainda, havendo necessidade de cobrar ou executar o contrato em razão do seu inadimplemento, tais dados pessoais também poderão ser utilizados. Neste sentido importante que o contrato contenha cláusula prevendo as hipóteses de tratamentos de dados.
- VI) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Aqui há a permissão para uso de dados pessoais para o exercício de direitos e continuidade a processos judiciais, administrativos, garantindo o direito ao contraditório e à ampla defesa.
VII) Proteção da vida e tutela da saúde. O uso de dados pessoais para garantir a vida e a integridade física da pessoa está amparado pela lei. É possível que pela natureza e urgência, surja a possibilidade de Tratamento de Dados no âmbito da saúde e a vida. Um acidente de carro por exemplo, com a necessidade de se chamar uma ambulância ou se comunicar com a família do acidentado, ou a necessidade da análise de dados para uma campanha de vacinação ou ainda para notificar um paciente sobre o resultado de um exame.
VIII) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
- IX) Atendimento aos interesses próprios – Hipótese em que é permitido ao controlador realizar tratamento do dado sem o consentimento do titular, contudo, sem contrariar outros dispositivos legais. Estamos, por exemplo, diante de hipóteses legais em que se visa o cumprimento de uma obrigação e há a necessidade de quebra de sigilo.
- X) Proteção do crédito. Trata-se da possibilidade legal das empresas que administram bancos de dados de proteção ao crédito tratarem dados pessoais (tais como BOA VISTA SCPC e SERASA), assim como, dos bancos, financeiras, empresas dos diversos ramos e segmentos poderem consultar informações de crédito (as quais incluem dados pessoais) para fins de consulta, análise de cadastro e concessão de crédito, bem como para inclusão em cadastros negativos ou positivos.
Assim, o que se conclui é que as empresas em geral devem adequar suas práticas dentro dos limites em que a lei taxativamente prevê, seja de forma preventiva ou consultiva, em uma nova estrutura de educação dos dados, diante das mais novas tecnologias e industrialização da comunicação, sempre observando a responsabilidade por sua utilização.
Elaborado por: Dra. Andrea Moraes Sarmento – OAB/PR 28.407 e Luigi Bertoldo.