Paulo Salvador Ribeiro Perrotti*
Apesar da maioria da população entender que há apenas o consentimento como base legal para coleta e tratamento de dados pessoais, a Lei Geral de Proteção de Dados (LGPD) estabeleceu algumas outras possibilidades de gestão de dados que dispensa o consentimento ou, no mínimo, o torna facultativo ou não obrigatório.
Assim sendo, vale a pena listar aqui, pelo menos, 9 possibilidades da LGPD, que dispensam o consentimento por parte do titular do dado pessoal:
I – para o cumprimento de obrigação legal ou regulatória;
II – pela administração pública para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
III – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
IV – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato;
V – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VI – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
VIII – quando houver “legítimo interesse”;
IX – para a proteção do crédito.
3 bases legais para tratamentos de dados no ambiente corporativo
No ambiente corporativo, além do consentimento, devemos nos atentar a, pelo menos, 3 bases legais descritas acima.
Cumprimento regulatório
A primeira delas é o cumprimento regulatório. Ou seja, para emitir uma nota fiscal ou para cumprir exigências trabalhistas, como o E-Social, não é necessário solicitar o consentimento do titular do dado. Basta cumprir a lei e proceder com a coleta, tratamento e compartilhamento do dado pessoal.
Execução do contrato ou procedimentos preliminares
A segunda base jurídica importante é a execução de um contrato ou procedimentos preliminares a ele. Quando é feita uma análise de crédito antes da celebração de um contrato, pode-se interpretar que está havendo coleta e tratamento de dados, que serão utilizados para dar lastro à celebração de um contrato. Ou seja, trata-se de uma medida preliminar, que pode culminar (ou não) em um contrato formal.
Neste sentido, fazendo um comparativo à legislação canadense (como sabem, tenho íntima relação de amizade e admiração com o Canadá), no dia 22 de Setembro entra em vigor a Lei 25 de Québec, que se trata da modernização da Legislação de Privacidade de Dados desta Província, em que uma empresa poderá comunicar informações pessoais sem o consentimento do indivíduo quando tal comunicação for necessária para concluir uma transação comercial. Para que a isenção se aplique, as partes devem firmar um acordo que rege o uso e proteção de informações pessoais, com compromissos específicos estabelecidos na Lei 25. Por exemplo, o contratante deve se comprometer a usar as informações apenas para concluir a transação e destruí-las se a transação não prosseguir.
Legítimo interesse
Por fim, a última base legal da LGPD importante para fins corporativos é o “legítimo interesse”. Para entender este conceito, é importante nos basearmos na exposição de motivos da GDPR (General Data Protection Regulation ou Regulamento Geral de Proteção de Dados da União Europeia) sobre o assunto, no seguinte sentido:
“Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidadosa, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando os dados pessoais são tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. O tratamento de dados pessoais estritamente necessários aos objetivos de prevenção e controle da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.”
Ou seja, a interpretação de “legítimo interesse” é um tanto quanto subjetiva e requer flexibilidade, contextualização e afinidade entre o titular dos dados e a empresa. Caso contrário, ocorrerá infração de dados. Assim sendo, aconselhamos que, para cada procedimento de coleta e tratamento de dados que envolva “legítimo interesse”, seja feito um Relatório de Impacto a Dados Pessoais, a fim de identificar áreas de conflito ou excesso que venha a violar um dado pessoal.
“Privacy by Design” e o consentimento
Existem várias técnicas de análise e design de produtos e serviços, sendo uma delas a metodologia criada pela Doutora Ann Cavoukian, ex Comissária de Informação e Privacidade da Província de Ontário e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, denominada “Privacy by Design”:
“Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”
Segundo a metodologia do “Privacy by Design”, deve-se projetar, construir e implementar tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados.
Por fim, o importante é ter em mente que os dados pessoais devem ser preservados e protegidos. Independente da base legal ou da metodologia.
Leia mais artigos do autor:
- Metaverso e sua auto regulação: é possível?
- A Privacidade de Dados e o Impacto na Arquitetura
- Quais os impactos e benefícios do Behavior-Based Cybersecurity para a Segurança de Dados Corporativa?
- LGPD para Recursos Humanos: 7 dicas de mapeamento de privacidade para RH
- A LGPD pode criar créditos tributários?
Paulo Salvador Ribeiro Perrotti: CEO da LGPDSolution, Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), Professor de Cibersegurança Ofensiva com Certificação (CEH) pela ACADI-TI, Presidente da Câmara de Comércio Brasil-Canadá de 2017 a 2021, Auditor Líder Certificado ISO 27001 (segurança da informação), com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance e Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais da OAB/SP.
