Tratamento de dados na LGPD: O que é e Como Fazer?

O tratamento de dados pessoais conforme a LGPD pode confundir e muito os profissionais do Direito.

Isso ocorre porque dominar os conceitos e requisitos envolvidos no tratamento de dados pessoais envolve a compreensão de diversos detalhes.

Assim, se o seu objetivo é estar atualizado com relação à LGPD, ou investir em compliance nesta área, é fundamental entender com profundidade sobre o tratamento de dados.

Por esse motivo, reunimos neste post tudo o que você precisa saber sobre tratamento de dados pessoais.

Quer mais tranquilidade na contagem de prazos? Junte-se a mais de 200.000 profissionais do Direito que utilizam a Legalcloud

Tratamento de dados na LGPD: O que é?

Tratamento de dados é toda operação realizada com dados pessoais.

Podemos entender o tratamento de dados como um ciclo de vida.

Neste ciclo de vida dos dados, eles são tratados conforme 4 fases, as quais correspondem aos tipos de tratamentos de dados estabelecidos na LGPD.

Fase no ciclo de vida do tratamento Operações do tratamento – art. 5, X, LGPD 
Coleta Coleta, produção, recepção.
Retenção Arquivamento e armazenamento.
Processamento Classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração e modificação.
Compartilhamento Transmissão, distribuição, comunicação, transferência e difusão.
Eliminação Eliminação (Término do tratamento de dados)

Dessa forma, se há operação com dados, ainda que não essa não esteja presente na lista apresentada, muito provavelmente estará ocorrendo tratamento.

Basicamente, o tratamento de dados representa o conjunto de operações que estão sob a tutela da LGPD para que seja efetivada a proteção de dados.

Logo, a importância de fazer um tratamento de dados pessoais adequado à Lei é imensa e os advogados são fundamentais neste processo.

Por isso, se você é um advogado, saiba que dominar o processo de tratamento de dados pode dar um up na sua carreira. 

Justamente porque os conhecimentos sobre LGPD estão em crescente demanda, uma vez que a maioria das empresas não está preparada para fazer a adequação.

Saiba agora todos os motivos para conhecer a LGPD em nosso post Por que o advogado deveria aprender sobre LGPD? 

Quais tipos de tratamento de dados são protegidos pela LGPD?

Os tipos de tratamento de dados tutelados pela LGPD são todos aqueles que são realizados em território nacional, desde que:

  1. Os dados tenham sido coletados no território nacional;
  2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços para indivíduos no território nacional ou que estivessem no Brasil.

Nesse sentido, conforme o art. 3º da  LGPD, há determinadas condições para que o tratamento de dados internacionais seja revestido pela Proteção da LGPD:

  • Quando os dados são objeto de comunicação internacional com o Brasil;
  • Quando há uso compartilhado de dados com agentes de tratamento brasileiros; 
  • Quando os dados são objeto de transferência internacional de dados do Brasil com outro país que não o de proveniência, desde que o país de proveniência não proporciona grau de proteção de dados pessoais adequado ao previsto na LGPD.

Por fim, a LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, como os jornalísticos, artísticos e acadêmicos. (art. 4, I e II, LGPD).

Quem são os agentes de tratamento de dados?

Os agentes de tratamento de dados são o controlador e o operador. 

O controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5, VI);

O operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5, VII).

Esses sujeitos são os principais responsáveis pelo correto tratamento de dados pessoais.

Quais são as responsabilidades dos agentes de tratamento de dados?

Agentes de tratamento de dados devem manter registro das operações de tratamento de dados pessoais que realizarem, principalmente quando baseado no legítimo interesse, requisito de tratamento que não exige consentimento. (art. 37, caput, LGPD)

Quanto ao controlador, a autoridade nacional poderá determinar que elabore relatório de impacto à proteção de dados pessoais, descrevendo como se dão as operações de tratamento. (art. 38, caput,  LGPD).

Enquanto isso, o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (art. 39, caput,  LGPD).

Agora que sabemos todos os detalhes sobre o que é o tratamento de dados, faremos, nesse primeiro momento, devemos fazer mais algumas definições conceituais:

Nos tópicos a seguir iremos discorrer sobre cada um desses aspectos.

  1. O que são dados pessoais;
  2. Quais são os tipos de dados pessoais;

Além disso, adiantamos que, para facilitar o seu estudo, nesse post analisaremos como deve ser feita a adequação do tratamento de dados em cada etapa de seu ciclo de vida, na forma de 5 passos simples.

Vamos começar?

O que são dados pessoais?

De acordo com o art. 5, I, LGPDdados pessoais são as informações relacionadas à pessoa natural identificada ou identificável.

Com um olhar mais atento, percebemos que o entendimento deste dispositivo pressupõe a compreensão do que é uma pessoa natural e quais são as condições para que se torne identificada ou identificável.

Por isso, vamos destrinchar esses conceitos:

  • Pessoa natural é a pessoa física, isto é, dotada de dignidade humana;
  • A condição para a pessoa natural ser identificada é a possibilidade de individualizá-la sem precisar de mais informações, como quando se tem nome e cpf de alguém;
  • A condição para a pessoa natural ser identificável é ter um dado e, possuindo mais outro, seria possível fazer a identificação;

Para melhor sedimentar o que são os dados pessoais, apresentaremos alguns exemplos 😉

Exemplos de dados pessoais

Os dados pessoais podem ser:

  • Nome, sobrenome, apelido, idade, endereço, localização, placa de automóvel, perfil de compras, IP, histórico de compras, de pagamentos, gênero, orientação sexual, cor da pele, email, opinião política, entre muitos outros.

Percebe como a concepção de dados pessoais é abrangente?

No entanto, apesar de ser uma concepção bem geral, há alguns tipos especiais de dados pessoais.

A seguir iremos discutir cada um deles 🙂

Quais são os tipos especiais de dados pessoais?

Os tipos de dados pessoais são:

  • Dados pessoais sensíveis;
  • Dados de crianças e adolescente;
  • Dados anonimizados.

Dados pessoais sensíveis

Segundo o art. 5, II, dado pessoal sensível é todo aquele relacionado à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Em resumo, os dados sensíveis possibilitam a compreensão a respeito de um indivíduo como um todo, englobando sua subjetividade.

Dados de crianças e adolescentes

O nome é autoexplicativo, são dados pessoais pertencentes à crianças e adolescentes. 

Ou seja, são os dados referentes a pessoa até doze anos de idade incompletos, a criança, e adolescente aquela entre doze e dezoito anos de idade, levando em conta a definição do ECA.

Nosso objetivo neste tópico é ilustrar que, por este dado constituir tipo específico, ele deve ser tratado com maior cautela, uma vez que, para tratá-los, é necessário seguir ainda mais requisitos, conforme será explicado em nosso passo a passo. 

Dados anonimizados

Os dados anonimizados fazem parte dos dados pessoais em sentido amplo.

Mas por quê?

Ao contrário da definição de dados pessoais, em sentido estrito, a qual foi estabelecida na LGPD, os dados anonimizados são aqueles que não podem ser identificados.

Conforme o art. 5, III, LGPD , dados anonimizados são aqueles relativos a  titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Nesse sentido, os dados anonimizados são os dados pessoais que passam pelo processo de anonimização, que corresponde a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5, XI, LGPD).

Depois de ter toda essa base conceitual, iremos partir para a prática e esclareceremos a principal dúvida dos advogados: afinal, como fazer o tratamento de dados pessoais?

Como fazer o tratamento de dados pessoais conforme a LGPD?

Agora que já sabemos os principais conceitos sobre tratamento de dados, vamos verificar se ele está sendo feito em conformidade com a LGPD.

Para isso, devemos seguir 5 passos principais:

Passo 1: Analise se o tratamento de dados está seguindo os fundamentos da LGPD

Passo 2: Avalie se as bases legais da LGPD estão sendo cumpridas

Passo 3: Ajuste o tratamento conforme os requisitos específicos para cada tipo de dado 

Passo 4: Identifique se os critérios da LGPD de uso compartilhado de dados estão sendo seguidos

Passo 5: Verifique se o término de tratamento de dados está sendo feito de acordo com a LGPD

Para saber todos os detalhes sobre a implementação da LGPD veja nosso post “LGPD na prática: Como implementar a Proteção de dados? [Atualizado]”  

Passo 1: Analise se o tratamento de dados segue os fundamentos da LGPD

O primeiro passo é verificar se os princípios estabelecidos e os direitos dos usuários, os quais chamamos de fundamentos em sentido amplo, estão sendo seguidos conforme a LGPD.

Nesse momento analisaremos a primeira fase do ciclo de vida dos dados, a de sua coleta.

Conhecer os fundamentos para o tratamento de dados significa estabelecer os critérios para selecionar quais serão os dados coletados.

Para isso, este passo terá duas etapas de execução:

I) Verifique se o tratamento de dados pessoais está alinhado aos princípios da LGPD;

II) Analise se os direitos dos usuários para o tratamento de dados estão sendo respeitados.

Vamos começar?

I) Verifique se o tratamento de dados pessoais está alinhado aos princípios da LGPD

Os princípios para o tratamento de dados pessoais estão estabelecidos no art. 6 da LGPD, os quais dividimos em 3 grupos, conforme os objetivos que visam atender:

Princípios Objetivos
Finalidade, Adequação e Necessidade Limitar o uso de dados
Livre acesso, Qualidade dos dados e Transparência Garantir aos titulares o acesso às informações relativas ao uso de seus dados
Segurança, Prevenção e Não Discriminação Assegurar a proteção de dados
Responsabilização e prestação de contas Salvaguardar a aplicação da LGPD

A seguir, iremos defini-los e apresentar como devem ser postos em prática.

Princípios da Finalidade, Adequação e Necessidade

Determinar a finalidade do tratamento de dados significa realizá-lo para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

A adequação corresponde a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Enquanto isso, a necessidade equivale a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Princípios de Livre acesso, Qualidade dos dados e Transparência

O princípio do livre acesso é uma garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

A qualidade dos dados é a garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

Enquanto isso, a transparência é a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 

Princípios da Segurança, Prevenção e Não Discriminação

A segurança corresponde a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 A prevenção obriga a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 

A não discriminação dos dados impõe a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos

Por fim, a autodeterminação informativa abriga a filosofia de que o indivíduo titular de dados pessoais deve ser o protagonista das matérias relacionadas ao tratamento de seus dados pessoais, trazendo ao sujeito o foco das operações em preocupação perpétua com a privacidade.

Princípios da Responsabilização e prestação de contas

Consiste na demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Dessa forma, a coleta de dados deve ser feita de forma segura, assim como seu processamento.

Confira todos os detalhes sobre esses princípios da execução do tratamento de dados no nosso post 11 Princípios da LGPD: Tudo que você precisa saber 

II) Analise se os direitos dos usuários para o tratamento de dados estão sendo respeitados

Em síntese, nesta etapa é necessário observar atentamente se os direitos do usuário estão sendo seguidos à risca durante o ciclo de vida dos dados.

Podemos dividi-los em dois grupos:

  1. Direitos de acesso aos dados;
  2. Direitos de acesso a informações sobre o uso dos dados;

Agora, faremos uma verificação abrangente sobre os direitos do usuário.

Lembrando que a observância de toda a LGPD faz parte dos direitos do usuário.

Aqui, estamos nos referindo aos direitos em sentido estrito, aqueles que constam no art. 18 da LGPD.

Mas, fica tranquilo porque, no próximo passo, iremos discorrer mais profundamente sobre os critérios para a sua concretização.

Direitos de acesso aos dados

O acesso aos dados incorpora a observância de determinados direitos do usuário. São eles:

  • Correção de dados incompletos, inexatos ou desatualizados (art.18, III, LGPD );
  • Anonimização, bloqueio ou eliminação de dados desnecessários (art. 18, IV, LGPD ); 
  • O armazenamento dos dados deve ser feito em formato que favoreça o exercício do direito de acesso (art. 18, § 1º, LGPD )
  • Portabilidade dos dados (art. 18, V, LGPD);

Com isso, os usuários devem ter -em regra- a possibilidade de mudar os dados de acordo com sua vontade.

Afinal, o grande fundamento da LGPD está baseado na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5, XII, LGPD)

Acesso a informações sobre o uso dos dados

Quando nos referimos ao uso dos dados, estamos aludindo a um sentido amplo.

Ou seja, englobando tanto o respeito dos direitos do usuário em relação ao tratamento de dados feito pela empresa, quanto ao compartilhamento de dados.

Os principais aspectos são os seguintes:

  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
  • O titular dos dados tem direito a solicitar a revisão de decisões tomadas apenas com base em tratamento automatizado de dados pessoais que afetem seus interesses (art. 20).

De acordo com o primeiro ponto, o titular deve saber onde seus dados estão, com quem e onde eles estão sendo compartilhados.

Quanto ao segundo aspecto, devemos, antes de tudo, compreender o que significa a decisão por tratamento automatizado de dados.

O tratamento automatizado de dados significa a produção de um perfil comportamental do usuário. 

O objetivo deste tratamento é de promover decisões que direcionam a conduta do usuário ou que afetam, de alguma forma, seus interesses.

Em resumo, segundo o próprio art. 20, são decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Exemplo de decisão automatizada do usuário titular de dados

Como exemplo de decisão automatizada, podemos mencionar a seguinte situação:

Imagine que você quer comprar uma casa e, em função disso, precisa muito de crédito.

Com a necessidade do empréstimo em mente, antes de ir ao banco, verifica o Serasa Score.

Grosso modo, ele oferece uma escala de pontos na qual as empresas se baseiam para oferecer ou não o crédito.

Mas quais seriam os critérios para definir essa pontuação?

Essa é uma das situações nas quais as decisões automatizadas são fundamentais.

Isso porque o serasa score se utiliza de nosso perfil comportamental, além de outras informações, para definir nossa pontuação.

Assim, as decisões automatizadas influenciam diversos âmbitos de nossa vida.

Justamente por esse motivo, com a determinação do art. 20 da LGPD, podemos revisar essas decisões.

A partir desse mecanismo, portanto, é possível promover a materialização do acesso a informações sobre o uso de nossos dados.

Conheça a Legalcloud e tenha mais tranquilidade na sua contagem de prazos processuais

Passo 2:  Avalie se as bases legais da LGPD estão sendo cumpridas

Agora iremos avaliar o cumprimento das bases legais estabelecidas na LGPD.

Muito se discute sobre o cumprimento das bases legais para o tratamento de dados.

Mas o que significa este instituto?

As bases legais são as hipóteses de tratamento de dados pessoais.

Elas são as diretrizes gerais que autorizam a atividade de tratamento de dados por qualquer controlador.

Nesse sentido, estamos nos referindo às condições determinadas pela LGPD para que seja possível fazer a coleta dos dados para o tratamento.

Elas estão evidenciadas no art. 7 da LGPD, e estão associadas com a necessidade ou não do consentimento do titular dos dados pessoais.

Para facilitar, fizemos esta tabela para você com todas as bases legais da LGPD:

Hipóteses de Tratamento de dados  Requer consentimento do titular? Dispositivo correspondente
Mediante consentimento do titular Sim LGPD, art. 7º, inciso I
Para o cumprimento de obrigação legal ou regulatória Não LGPD, art. 7º, inciso II
Para a realização de estudos e pesquisas Não LGPD, art. 7º, inciso IV 
Para a execução ou preparação de contrato Termo de consentimento e autonomia de vontade das partes LGPD, art. 7º, inciso V
Para o exercício de direitos em processo judicial, administrativo ou arbitral Não LGPD, art. 7º, inciso VI
Para a proteção da vida ou da incolumidade física do titular ou de terceiro Não LGPD, art. 7º, inciso VII
Para a tutela da saúde do titular Não LGPD, art. 7º, inciso VIII 
Para atender interesses legítimos do controlador ou de terceiro Não LGPD, art. 7º, inciso IX
Para proteção do crédito Não LGPD, art. 7º, inciso X

Apesar de existirem hipóteses de tratamento de dados que não necessitam de consentimento, de acordo com o art. 7 § 6º da LGPD:

 “Art. 7 § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.” (grifo nosso)

Agora que já obtivemos um panorama sobre as bases legais, iremos discorrer sobre as que estão provocando mais dúvidas nos advogados, combinado?

Principais bases legais da LGPD

As bases legais da LGPD que causam mais dúvidas nos advogados são:

  • Tratamento de dados mediante consentimento do titular;
  • Tratamento de dados por interesses legítimos do controlador ou de terceiro;

A seguir faremos a análise de cada uma delas considerando suas aplicações práticas e oferecendo exemplos.

Tratamento de dados mediante consentimento titular

Iremos abordar o que significa o consentimento e quais são os requisitos necessários para que ele ocorra de forma adequada.

Conforme o art. 5, XII, LGPD, o consentimento é manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Os principais critérios para que o consentimento ocorra sem vícios são:

  1. O usuário deve conhecer todas as informações necessárias sobre o uso dos dados, o que inclui a finalidade do tratamento de dados e eventual compartilhamento;
  2. O titular precisa ser informado das finalidades específicas e determinadas de seus dados pessoais.

Tratamento de dados por interesses legítimos do controlador ou de terceiro

Você, ao ler esta condição, deve ter se perguntado: 

Afinal, o que exatamente significa interesse legítimo?

O interesse legítimo do controlador significa que há uma necessidade para o uso de dados no intuito de alcançar finalidade específica, a qual não envolve violação de direito do usuário.

É importante lembrar que nesta hipótese de tratamento de dados, não é necessário obter consentimento.

Portanto, para justificar o legítimo interesse, é necessário seguir condições restritas.

Mas, primeiramente, vamos ver alguns exemplos de aplicação desse instituto, o art. 10 da LGPD estabelece os seguintes:

  • Nos casos de tratamento para apoio e promoção de atividades do controlador;
  • Nos casos de proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem

O art. 10 é responsável por detalhar os critérios para a utilização de dados conforme o legítimo interesse, estabelecendo suas condições de existência.

Você precisa prestar bastante atenção nestas condições, uma vez que cada uma delas deve ser seguida rigorosamente:

  1. Respeitar as expectativas do titular dos dados (art. 10, II, LGPD);
  2. Respeitar os direitos e liberdades fundamentais do usuário (art. 10, II, LGPD);
  3. Tratar somente os dados estritamente necessários (art. 10, § 1º, LGPD);
  4. Adotar medidas para garantir a transparência do tratamento de dados (art. 10, § 2º,LGPD);
  5. Informar o titular sobre a hipótese de tratamento aplicada para o uso de dados.

Além disso, só é possível considerar o tratamento de dados por legítimo interesse quando a obtenção de consentimento for inviável.

Já que sabemos quais são as bases legais para o tratamento de dados, vamos ver, no próximo passo, como ajustar o tratamento de dados criteriosamente. 

Passo 3: Ajuste o tratamento conforme os requisitos específicos de cada tipo de dado

O ajuste do tratamento de dados de acordo com os requisitos necessários é parte vital da implementação da LGPD.

Isso porque, para muitos, este passo pode passar despercebido e é fundamental seguir os requisitos específicos de tratamento de dados para não correr riscos.

E mais, nele nós analisamos mais aspectos de uma fase do ciclo de vida de tratamento de dados.

Agora é a hora de saber se a coleta dos dados e seu processamento estão sendo feitos adequadamente.

Faremos a verificação dos requisitos gerais para o tratamento de dados e, em seguida, prosseguiremos com a análise cumulativa conforme os tipos de dados específicos.

Requisitos de tratamento de Dados pessoais

Os requisitos gerais de tratamento dos dados pessoais equivalem a suas bases legais de tratamento.

Esclarecemos este tópico nos passos anteriores, mas retomaremos os principais pontos resumidamente, uma vez que são critérios cumulativos aos outros que iremos expor.

Os requisitos de tratamento de dados pessoais são, resumidamente:

  • Consentimento  livre, informado, inequívoco, expresso e específico sobre a coleta dos dados;
  • Utilização dos dados de acordo com o estritamente necessária, com finalidade determinada, garantida a transparência em relação ao uso dos dados;
  • Respeito aos demais princípios da LGPD;
  • Respeito aos direitos do usuário;
  • Observância das bases legais para o tratamento de dados;
  • Acesso facilitado das informações e obtenção de consentimento por meio da Política de Proteção de Dados.

Não se esqueça de se atentar aos requisitos gerais de tratamento de dados!

Eles são a base para fazer operações com os dados sensíveis e de crianças e adolescentes.

A seguir iremos expor os requisitos específicos de tratamento de dados os quais, somados aos requisitos gerais, proporcionarão a estrita observância em relação a LGPD.

Preparado? Vamos lá 😉

Requisitos de tratamento de Dados sensíveis

Para compreender os requisitos de tratamento dos dados sensíveis, devemos partir da seguinte premissa:

Os dados sensíveis, durante o tratamento, podem causar a discriminação do titular.

De acordo com a LGPD, a discriminação de dados é a realização do tratamento para fins discriminatórios ilícitos ou abusivos. (art. 5, IX)

Mas quando ocorre a discriminação abusiva do titular em relação ao uso de dados sensíveis?

Ela pode ocorrer, por exemplo, quando há uma generalização do indivíduo de forma injusta.

Resgatando o exemplo usado no passo 1, a discriminação do usuário com base em seus dados sensíveis para que ele não possa pegar um empréstimo, é um exemplo de discriminação abusiva.

Logo, a utilização dos perfis comportamentais do usuário é possível influenciar nossas escolhas e escolhas que são feitas pela gente, como ocorre com as decisões automatizadas.

Por isso, há requisitos específicos definidos para o tratamento desses dados que tanto podem influenciar nossa vida.

Para fazer a análise, iremos dividir essas condições em:

  • Como tratar dados sensíveis com consentimento;
  • Hipóteses de tratamento de dados sensíveis sem consentimento.

Essa divisão se dá porque a regra é o consentimento, assim, as exceções serão apresentadas em seguida.

Como tratar dados sensíveis com consentimento?

O tratamento de dados sensíveis com consentimento exige, conforme o art. 11 da LGPD:

  1. Registro da manifestação de vontade do titular de forma específica e destacada, dando ciência do conhecimento sobre as finalidades específicas daquele tratamento;
  2. Explicação ao usuário sobre como os dados serão tratados e cada uso;
  3. Utilização apenas em situações indispensáveis, trazendo para o controlador o ônus da prova da alegada indispensabilidade.

Destacamos que os dois primeiros pontos devem fazer parte da Política de Privacidade.

Hipóteses de tratamento de dados sensíveis sem consentimento

Conforme o art. 11 da LGPD, o tratamento de dados pessoais sensíveis sem o consentimento do titular pode ocorrer apenas nas hipóteses em que for indispensável para: 

  1. Cumprimento de obrigação legal ou regulatória pelo controlador; 
  1. Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; 
  1. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; 
  1. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; 
  1. Proteção da vida ou da incolumidade física do titular ou de terceiro;
  1. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  1. Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. 

Lembrando que essas hipóteses esgotam as possibilidades de utilização de dados pessoais sem consentimento.

Resumidamente, elas se enquadram em duas lógicas:

  • Interesse público na utilização de dados pessoais;
  • Proteção da vida e segurança do titular dos dados pessoais.

Então, se a empresa de seu cliente mobiliza dados sensíveis fora das hipóteses acima descritas, será imprescindível propor ajustes.

Requisitos de tratamento de Dados de Crianças e de Adolescentes 

Os dados de crianças e adolescentes devem ser tratados com extrema cautela.

Uma vez que são titulares incapazes e relativamente capazes e, portanto, seu consentimento, muitas vezes, não é suficiente.

Para além da capacidade, as crianças e adolescentes estão desenvolvendo suas capacidades cognitivas, sendo ainda mais vulneráveis ao bombardeamento constante de produtos e serviços.

Em função disso, a coleta e processamento de dados envolve uma série de limitações.

Você deve analisar à risca procedimentos específicos para fazer que o tratamento de dados seja feito de forma adequada.

Os requisitos de tratamento específicos são os seguintes:

  1. O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. (art. 14, §1º, LGPD);
  2. Os controladores não deverão condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais, além das estritamente necessárias à atividade. (art. 14, § 4º,LGPD);
  3. Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos;(art.14, § 2º,LGPD);
  4. Deverão ser fornecidas de maneira simples, clara e acessível, as informações sobre o tratamento de dados, considerando as características sensoriais, intelectuais e com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. (art. 14, § 6º,LGPD)
  5. Não podem ser repassados a terceiros.

Há apenas uma exceção a necessidade de consentimento.

A exceção está prevista no art. 14, §3º, e se refere à permissão de coleta de dados pessoais de crianças sem o consentimento na hipótese em que a coleta for necessária para contatar os pais ou o responsável legal. 

Esses dados só poderão ser operados uma vez, não poderão ser armazenados e, em nenhum caso, poderão ser repassados a terceiros, sem o consentimento expresso de pelo menos um dos pais ou do responsável legal

Passo 4: Identifique se os critérios da LGPD de uso compartilhado de dados estão sendo seguidos

Para fazer corretamente o tratamento de dados, é necessário ter atenção aos critérios para o compartilhamento estabelecidos na LGPD.

Essa etapa é de extrema relevância, sobretudo porque os dados estão sendo cada vez mais comercializados.

Como ressaltamos, a análise e a construção do perfil comportamental dos usuários estão sendo utilizadas massivamente como forma de impulsionar a venda de produtos e serviços.

Além disso, há empresas especializadas em venda de dados pessoais sensíveis sem nenhuma espécie de consentimento.

Algumas delas foram julgadas recentemente no TJSP e TJDFT, sendo condenadas a indenização.

Confira nosso post 5 Decisões Judiciais sobre a LGPD nos Tribunais [2020] e saiba tudo sobre as primeiras decisões com a entrada em vigor da LGPD.

Para que isso não ocorra com seu cliente, você deve se atentar à definição do uso compartilhado de dados e os requisitos para sua execução.

Com relação ao conceito de uso compartilhado de dados, vejamos a definição da LGPD :

Art. 5 XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Um compartilhamento de dados claro e seguro é fundamental para a tutela dos direitos do usuário.

Destacamos requisitos fundamentais previstos em lei para fazer executar esse procedimento sem riscos:

  • O compartilhamento de dados deve ser feito mediante consentimento específico do usuário para esse fim (art. 7, § 5º, LGPD);
  • O usuário deve ter acesso a informações acerca do uso compartilhado de dados pelo controlador e a finalidade (art. 9,V, LGPD );
  • É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, salvo exceções (art. 11, § 4º, LGPD )
  • O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que façam o mesmo, salvo exceções. (art. 18, § 6º, LGPD)

Compartilhamento de dados sensíveis

Primeiramente, devemos lembrar que tanto a coleta quanto o compartilhamento de dados sensíveis devem ser feitos mediante consentimento.

A Lei Geral de Proteção de Dados Pessoais, nesse sentido, apresenta uma preocupação maior quanto ao seu uso com objetivo de aproveitamento econômico.

Essa intenção está disposta nos seguintes dispositivos:

Art. 11 § 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. 

E acrescenta, por meio do § 4º determinação mais específica que veda o uso de dados sensíveis relacionados à saúde com objetivo de aproveitamento econômico, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. 

É autorizado, também, fazer o compartilhamento de determinados dados sensíveis quando houver necessidade de execução de transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata as hipóteses mencionadas acima.

Ainda, é possível fazer o compartilhamento de dados sensíveis nos casos em que o titular requerer a portabilidade de seus dados.

Passo 5: Verifique se o término de tratamento de dados está sendo feito de acordo com a LGPD

A verificação que será feita neste momento se refere a última etapa do ciclo de vida dos dados pessoais, a sua eliminação.

A seguir, veremos:

  • Quais são as hipóteses para o término de tratamento de dados pessoais;
  • Quais são as hipóteses de autorização da conservação dos dados pessoais.

Hipóteses para o término de tratamento de dados

Nesse sentido, a Lei, em seu art. 15, estabelece hipóteses para o término de tratamento dos dados pessoais:

  1. Quando for verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. Quando ocorrer o fim do período de tratamento;
  3. Quando houver comunicação do titular, inclusive quando ele exercer seu direito de revogação de consentimento;
  4. Determinação da autoridade nacional, quando houver violação da autoridade;

Lembrando que -caso os dados forem retirados, anonimizados ou bloqueados pelo agente de tratamento responsável pela coleta dos dados- o mesmo deve acontecer em relação a cada uma das pessoas jurídicas que compartilham esses dados.

O caso excepcional ocorre quando o procedimento se torna impossível ou caso seja preciso esforço desproporcional.

Desse modo, caso a pessoa jurídica não se utilize de procedimento semelhante, poderá ser necessário propor ajustes.

Hipóteses de autorização da conservação dos dados

A conservação dos dados pessoais pode acontecer para as seguintes finalidades:

  1. Cumprimento de obrigação legal ou regulatória pelo controlador;
  2. Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei;
  4. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

E assim, finalizamos a análise do tratamento de todas as etapas do ciclo de vida dos dados pessoais 😉 

A Legalcloud prioriza a segurança do Tratamento de Dados

Vimos neste post os principais pontos relacionados ao tratamento de dados para que você dominar a LGPD.

Apresentamos um passo a passo minucioso com tudo o que você precisa saber sobre tratamento de dados.

Nós, da Legalcloud, com esse post, tivemos o objetivo de esclarecer de forma prática aos advogados como adequar o tratamento de dados à LGPD.

Ao elaborar nossa política de proteção de dados, observamos cada um dos direitos dos usuários, princípios e bases legais para o tratamento de dados, executando todo o procedimento com excelência.

Por isso, ao acessar a Calculadora de Prazos da Legalcloud, o nosso blog, assim como qualquer uma de nossas páginas, você terá seus dados protegidos da melhor forma possível.

Desse modo, você pode ficar tranquilo com a preservação de seus dados pessoais enquanto acessa a Calculadora de Prazo e enquanto estuda com o melhor acervo disponível para o estudo de prazos processuais.

Com a nossa Calculadora de Prazos, ferramenta gratuita, você poderá simular seus prazos com facilidade de acordo com seu período de tempo, o Tribunal escolhido e a legislação (CPC, CPP, CLT e JEC) diminuindo substancialmente o risco de você perder seu prazo.

Ainda tem mais: assinando o plano da Calculadora de Prazos, você terá acesso aos documentos que comprovam cada mudança em seu prazo, facilitando a comprovação de tempestividade.

Espero que este post tenha contribuído para sua vida profissional.

Se tiver restado qualquer dúvida ou caso tenha alguma crítica conta para a gente nos comentários.

Sua opinião é muito importante para nós. 

Gostou? Compartilhe com seus amigos!

Compartilhe

Perguntas Frequentes

O que é tratamento de dados pessoais na LGPD?

Tratamento de dados pessoais

Tratamento de dados é toda operação realizada com dados pessoais.

Como, por exemplo, as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (art. 5, X, LGPD)

O que são dados pessoais na LGPD?

Tratamento de dados pessoais

De acordo com o art. 5, I, LGPDdados pessoais são as informações relacionadas à pessoa natural identificada ou identificável.

O que são dados sensíveis na LGPD?

Tratamento de dados pessoais

Segundo o art. 5, II, dado pessoal sensível é todo aquele relacionado à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O que são dados anonimizados na LGPD?

Tratamento de dados pessoais

Conforme o art. 5, III, LGPD , dados anonimizados são aqueles relativos a  titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Nesse sentido, os dados anonimizados são os dados pessoais que passam pelo processo de anonimização, que corresponde a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5, XI, LGPD).

Como fazer o tratamento de dados na LGPD?

Tratamento de dados pessoais

Passo 1: Analise se o tratamento de dados está seguindo os fundamentos da LGPD
Passo 2: Avalie se as bases legais da LGPD estão sendo cumpridas
Passo 3: Ajuste o tratamento conforme os requisitos específicos para cada tipo de dado 
Passo 4: Identifique se os critérios da LGPD de uso compartilhado de dados estão sendo seguidos
Passo 5: Verifique se o término de tratamento de dados está sendo feito de acordo com a LGPD

Referências Bibliográficas

Santos, R; Carvalho, A. “Comentários à Lei Geral de Proteção de Dados”. São Paulo: OAB, 2020.

GROSSI, Bernardo. “Lei Geral de Proteção de Dados: Uma análise preliminar da Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial [recurso eletrônico]” / Porto Alegre, RS: Editora Fi, 2020.

“Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD)” do Governo Federal

Texto produzido por Mariana Barros, pesquisadora da Faculdade Nacional de Direito (UFRJ), colaboradora da Legalcloud e Integrante do Núcleo de Assessoria Jurídica Popular Luiza Mahin, projeto de pesquisa e extensão da UFRJ.