O que você sabe sobre os requisitos que regulamentam a coleta e processamento de dados? Para ajudá-lo a conhecer mais sobre esse universo, separei as principais informações da Lei Geral de Proteção de Dados (LGPD) relacionadas ao processo de captura de dados, que engloba diferentes etapas e ações, muitas vezes interligadas com outras partes da lei.
Leia também: 7 coisas que você tem que saber sobre a lei de proteção de dados brasileira
Para coletar dados, você deve cumprir os requisitos dos artigos 7º e 8º, incisos e parágrafos da Lei 13.709/2018. Em outro post, você acompanhou a análise dos incisos I a V do art 7º. Confira, a seguir, o que dizem os incisos VI ao X do mesmo artigo:
Inciso VI
Este inciso trata basicamente de procedimentos judiciais, permitindo a coleta e processamento dos dados sem autorização do titular. O motivo é óbvio. Imagine que batem no seu carro. Ao mover ação de perdas e danos contra o outro motorista, não é necessário obter sua autorização para coleta de dados, pois a qualificação do réu é condição sine qua non para o exercício do seu direito de ser indenizado.
Inciso VII
O inciso VII dispensa a autorização de coleta de dados em casos em que a vida ou a integridade física do titular ou de terceiro esteja em jogo. Esse inciso vai no mesmo sentido do inciso XI, art. 5º, CF/1988, permitindo que em caso de risco de morte ou de dano físico, ao titular ou terceiro, excetue a regra geral – que é a obtenção do consentimento.
Ele permite a coleta de dados para a tutela de saúde, desde que realizada por profissionais de saúde ou entidades sanitárias. Aqui é importante diferenciar a coleta e processamento do dado pessoal para tutelar a saúde, especialmente a saúde pública, do dado biométrico e de saúde, classificado como dado sensível pela LGPD.
No entanto, as hipóteses de coleta e processamento de dados sensíveis – previstas nos artigos 11 a 13, parágrafos e incisos, seguem basicamente as mesmas regras. A diferença se dá pela vedação explícita de compartilhamento de dados sensíveis referentes a saúde para ganho econômico, exceção para a portabilidade de dados com consentimento do titular e para necessidade de informação para uso em serviços de saúde suplementar.
Inciso IX
O inciso IX certamente é o mais controverso quanto à dispensa do consentimento do titular. Ele trata do “legítimo interesse do controlador ou de terceiro”. O que poderia ser considerado um “legítimo interesse” é matéria que deverá ser fixada no entendimento dos tribunais no futuro, pois a lei nos dá poucos subsídios para tanto. Felizmente, o legislador estabelece, nesse mesmo inciso, o limite do interesse: exceto no caso de prevalecer em direitos e liberdades fundamentais, os quais exijam a proteção dos dados.
Na técnica legislativa empregada na LGDP, o autor escolheu complementar o inciso IX do art. 7º com o art. 10, incisos I e II e mais três parágrafos. Então, é necessário que a leitura do inciso IX, art. 7º, seja feita em conjunto com o art. 10, incisos e parágrafos. Em Direito, diz-se “art.7º, combinado com o art. 10, lei 13.709/2018”. Veja o que diz o art. 10 clicando aqui.
Inciso X
Por fim, o inciso X do art. 7º determina que a coleta de dados para proteção ao crédito são dispensadas de autorização do titular. Esse inciso é dirigido especificamente aos Serviços de Proteção ao Crédito, dispensando-os de autorização de coleta e processamento de dados de titulares.
Agora, é importante voltar a salientar, novamente, o disposto no sexto parágrafo, artigo 7: “A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.”
Outro ponto importante é que a lei apenas exige novos consentimentos por alteração de finalidade, por exemplo, nas hipóteses de autorização requerida. É o que dita o segundo parágrafo do artigo 9º: “Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.”
Note que aqui há uma inversão da posição legal. Via de regra, a lei estabelece que a obtenção do consentimento, a comunicação de alterações, ou novos processamentos, a necessidade de anonimização dos dados, entre outros, são esforços do controlador dos dados. Ou seja, o sujeito ativo é quem quer usar os dados, enquanto que o sujeito passivo é o titular dos dados. A ele não cabem obrigações, nesse sentido.
No entanto, no caso das dispensas de autorização, previstas no art. 7º, existe uma inversão dos papéis. Agora, o ônus é do titular. Ele deverá exercer o seu direito, mediante requisição. A ação é sua, não uma obrigação do controlador dos dados. Aqui, novamente, vamos ter de pular alguns artigos e ir ao art. 18, para combiná-lo com interpretação do inciso X, art. 7º: “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição.”
Mais sobre o artigo 7º da LGPD
Ainda no artigo 7º, temos assuntos interessantes do primeiro ao sexto parágrafo. Os dois primeiros parágrafos foram revogados pela MP 869/2018 e tratavam de obrigação de informar o titular.
O terceiro parágrafo determina que se dados de acesso público – como os dados do IBGE, por exemplo, ou dos cartórios eleitorais – forem processados por outras empresas, o controlador deve levar em conta a finalidade, boa-fé e o interesse público originais, que levaram os dados a terem acesso público.
O quarto parágrafo dispensa o consentimento do titular de dados, referente a informações que o mesmo tenha tornada pública. Então, dados e informações tornadas públicas em redes sociais, ou LinkedIn, por exemplo, dispensa o pedido de consentimento. No entanto, os direitos do titular e as salvaguardas previstas na LGPD se mantém, por força o mesmo parágrafo.
O quinto parágrafo trata do compartilhamento dos dados entre os controladores. O dispositivo prevê que nos casos de consentimento o controlador que quiser compartilhar os dados com outros controladores deverá obter consentimento específico para tanto.
Atenção: são dois consentimentos, nessa hipótese. Um para coletar e processar e outro para poder compartilhar com outros controladores. O parágrafo ressalva que nas hipóteses de dispensa de consentimento, esse novo aceite do titular não é necessário. Ou seja, no caso das nove hipóteses do art. 7º que dispensam o consentimento, também há dispensa de novo consentimento para compartilhamento dos dados.
Finalmente, o sexto parágrafo, define que a dispensa de consentimento não implica na dispensa do cumprimento das outras disposições legais da lei.
Esse artigo é um resumo do ensaio Lei Geral de Proteção de Dados: processamento dos dados escrito por Daniel Martins Vidor. Confira o texto original no blog da Mercury LBC.