O tratamento é definido pelo inciso X do art. 5º da Lei Geral de Proteção de Dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
De modo similar, o art. 14, II, do Decreto nº 8.771/2016 (Regulamento do Marco Civil da Internet), conceitua o tratamento de dados pessoais como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Tradicionalmente, a definição de tratamento para a tecnologia da informação compreende a extração de informações dos dados pessoais. Contudo, a LGPD não se restringe a essa concepção finalística, mas atribui um conceito amplo ao tratamento, como sendo qualquer atividade realizada com ou sobre os dados pessoais.
Em resumo, todas as operações realizadas (pelo controlador ou pelo operador) com os dados pessoais, quaisquer atividades de manejo de dados pessoais, são consideradas como sendo de tratamento, entre as quais estão aquelas referidas no rol exemplificativo do inciso X do art. 5º da LGPD.
Os principais reflexos dessa conceituação ampla para as atividades dos agentes de tratamento estão na existência de uma base legal para a realização de qualquer prática de tratamento (arts. 7º e 11 da LGPD) e na necessidade do registro de todas as operações realizadas (art. 37 da LGPD). Portanto, até a consulta aos dados pessoais deve ser registrada e ter a sua finalidade especificada, com a identificação de data/hora e de quem a realizou, entre outras informações necessárias para o cumprimento dos requisitos legais.
As vinte condutas descritas no inciso X do art. 5º da LGPD formam o conteúdo mínimo do tratamento, que, além delas, contém qualquer outra ação ou omissão de manejo dos dados pessoais.
No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “tratamento” (processing) como “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição” (art. 4º.2).