3. TRATAMENTO DE DADOS PESSOAIS
Em primeiro plano, cabe esclarecer que quando se fala de dados pessoais está se referindo a todos os dados privados de determinada pessoa, informações privadas que têm ligação com a pessoa física, como o caso do Cadastro de Pessoa Física (CPF) e até mesmo o seu endereço eletrônico. São dados da pessoa natural que estão intimamente ligados a ela.
Nesse sentido, o tratamento de dados pessoais será, portanto, de diversas formas ou técnicas, feitas manualmente ou com o uso da tecnologia, com o ensejo de fazer a coleta, produzir, transmitir ou quaisquer outras formas de tratamento dessas informações pessoais (LIMA, 2020). A proteção proferida da LGPD recai sobre direitos disponíveis, como os direitos mencionados no capítulo anterior, à privacidade, à intimidade, à imagem, à liberdade de opinião ou mesmo de valor patrimonial que o bem pessoal possa alcançar no mercado.
Em outras palavras, os dados pessoais são aqueles capazes de fazer a identificação de determinada pessoa. Como simplesmente o nome, endereço, número de telefone, fotos, RG, filiação partidária, assim como qualquer outro dado cujo uso seja passível a identificação do seu titular (MAGALHÃES, PEREIRA, 2020). A LGPD prevê que o tratamento de dados pessoais precisa ter finalidade e limites, devendo ser observada a boa-fé com a finalidade de garantir segurança, transparência e possibilidade de consulta dos dados pelos titulares PINHEIRO (2020).
O autor Sergio Pohlmann (2019) explica que o tratamento de dados pessoais se dá no contexto dos meios utilizados para sua proteção, esclarecendo que:
É toda e qualquer operação realizada com os dados pessoais, como as que se referem à coleta, recepção, produção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em síntese, é toda e qualquer movimentação realizada pelos atores envolvidos na proteção dos dados (POHLMANN, 2019, s/p).
Desse modo, o tratamento dos dados pessoais se dá quando esses dados são captados para determinado fim específico. Os agentes de tratamento devem manter registros de todos os tipos de armazenamento de dados e arquivamento, como medida de proteção e segurança (POHLMANN, 2020).
Para melhor entender como se dá esse tratamento, cabe-nos detalhar os requisitos para o tratamento de dados pessoais.
3.1. REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
A Lei 13.709/2018 nos traz uma série de requisitos para o tratamento de dados pessoais. Cabe explanar, logo a princípio, que o principal deles consiste no consentimento do titular das informações (VIEIRA, 2019). Nessa senda, deve-se destacar que a grande inovação trazida pela referida lei se dá no consentimento do titular, sendo primordial a sua autorização, podendo ser por escrito ou por algum outro meio capaz de expressar a sua vontade. Frise-se que, assim como nos demais âmbitos do Direito, o vício de consentimento também invalida aquele ato (BRASIL, 2018).
Assim sendo, quando determinados dados forem tratados, o titular deverá ter o conhecimento disso, devendo saber, portanto, não apenas que os dados serão tratados, mas também qual a razão para que isso aconteça, qual a finalidade do uso dos seus dados pessoais, bem como a duração do tratamento (POHLMANN, 2020).
Os incisos do art. 7º da Lei da Proteção de Dados (BRASIL, 2018) referem-se aos requisitos para o tratamento de dados, lembrando que essas hipóteses são taxativas e se faz necessário a presença de apenas um deles para configurar a legalidade do uso, haja vista não se tratarem de requisitos cumulativos.
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente (BRASIL, 2018, s/p).
No caso do consentimento por escrito, a LGPD também prevê que deverá constar uma cláusula específica com essa previsão, momento em que esta se fará destacada das demais para que possa ser vista com a devida atenção (PINHEIRO, 2020). Isso se dá porque, na grande maioria das vezes, as pessoas acabam assinando contratos sem dar a devida atenção. Cláusulas específicas costumam ser colocadas escondidas entre outra, com o objetivo de passarem despercebidas, e nada disso poderá ocorrer, pois invalida o ato. Elas devem ser expressas e destacadas (PINHEIRO, 2020).
Nessa linha de pensamento, de maneira objetiva, pode-se afirmar que as pessoas devem consentir sabendo que realmente estão consentindo, tendo ampla ciência que estão disponibilizando suas informações para serem tratadas. Não apenas isso, a LGPD, além de prever o consentimento, também se preocupou em estabelecer parâmetros para compreendermos quando essa captação de dados está sendo ou não ilegal (LIMA, 2020).
Somando ao mencionado anteriormente, o consentimento é uma grande inovação, uma vez que poderá ser revogado a qualquer momento pelo titular sem nenhum tipo de ônus para si, mediante procedimento simples e sem custos, bastando apenas a sua manifestação expressa. Entretanto, o referido dispositivo legal trouxe consigo uma facilidade e segurança para o detentor dos dados (VIEIRA, 2019).
3.2. NATUREZA JURÍDICA DO CONSENTIMENTO
A título de conhecimento, interessante mencionar que a Lei Geral de Proteção de Dados teve seu surgimento no ano de 2018, quando milhares de pessoas tiveram suas informações vazadas através do aplicativo Facebook. Isso será abordado com mais detalhes em tópico posterior. Cumpre saber, neste momento, que sem o consentimento dos seus usuários, a rede social disponibilizou diversos dados deles, como gostos, costumes, locais de visitação, entre outros, o que ensejou grande polémica mundial.
Em razão disso, observa-se a importância do titular dos dados em ter o controle sobre as informações que lhe pertencem, não podendo serem vazadas e entregues a qualquer empresa para se aproveitar sem que o titular tenha aceitado essa ocorrência. Assim sendo, a Lei 13.709/2018 trouxe consigo, em seu art. 7º, I, a previsão do consentimento como requisito para o tratamento de dados (BRASIL, 2018). Entende-se por consentimento a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. (Medida Provisória nº 869, 2019)
A autora Patrícia Pinheiro (2020) entende o consentimento da seguinte forma:
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Não é o único motivo que autoriza o tratamento de dados, mas apenas uma das hipóteses(PINHEIRO, 2020, s/p).
A manifestação de vontade mencionada da LGPD se refere à manifestação expressa, é a declaração explícita da vontade em praticar o determinado ato. Segundo Fernandes (2010), manifestação de vontade expressa se refere:
Convém salientar que a manifestação expressa atende com maior intensidade aos reclamos da segurança jurídica, por conter características mais explicitadas na declaração, dando a entender que, com mais finalidade, ela pode ser verificada por qualquer pessoa (FERNANDES, 2010, p.26).
O consentimento se dá, portanto, na aceitação por parte do titular de ter as suas informações tratadas. Ele deverá permitir, saber que isso acontecerá, assim como ter o real conhecimento de quem estará por trás disso, qual o objetivo desse tratamento. A LGPD trouxe essa grande inovação em razão das diversas fraudes que vinham ocorrendo, ensejando modificações e cuidados (PINHEIRO, 2020).
Ainda, seguindo o mesmo pensamento a respeito do consentimento do titular dos dados, Magalhães e Pereira (2020) discorrem:
Manifestação de vontade, livre, específica, informada e explícita, pelo qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento (MAGALHÃES; PEREIRA, 2020, s/p).
Para compreender determinadas expressões da lei no que diz respeito ao consentimento, importante se faz a explicação de alguns termos encontrados na LGPD, já amplamente utilizados no nosso meio jurídico.
O primeiro explanado é o titular. Este, conforme dito em momento anterior, é o proprietário das informações que serão tratadas, é a pessoa física, natural, cujos dados a identificam (POHLMANN, 2020). O titular tem o livre acesso a qualquer momento a seus dados armazenados pelas empresas que detém o controle e o tratamento. Esta solicitação deve ser feita através de formulário, fornecido pelo agente de tratamento(POHLMANN, 2020).
O segundo termo, é o controlador. Brasil (2018), quando a LGPD, prevê em seu art.8º, §2º que caberá ao controlador o ônus da prova de que o consentimento foi obtido de acordo com o preceituado na lei em comento, o ônus é da pessoa jurídica que recebeu esses dados, antes de serem recebidos, são devidamente coletados, e essa coleta é feita pela empresa que opera, o que chamamos de operador. O controlador pode ser pessoa física ou jurídica, de direito público ou privado, sendo ele o responsável por todas as decisões referentes ao tratamento de dados (PINHEIRO, 2020).
O operador é quem executa o tratamento em nome do controlador, conforme a LGPD o operador responde solidariamente com o controlador, quando deixar de cumprir o que a LGPD estabelece (POHLMANN, 2020).
Entendido esses termos, passaremos, então, àquele que ficará responsável por manter esses dados bem guardados e seguros, o qual é chamado de encarregado, este mantém a comunicação entre o controlador a autoridade nacional (PINHEIRO, 2020). Nota-se, assim, que os termos estão interligados. Alguém terá os seus dados coletados (titular), através de uma coleta (operador), para uma empresa que os receberá (controlador) e os manterá protegidos contra vazamentos (encarregado) (LEME, 2019).
No caso dos dados públicos, o consentimento é dispensável, salientando que os princípios devem permanecer respeitados, assim como manterá resguardado os direitos do titular. O titular dos dados não apenas deverá consentir para o tratamento dos dados, como deverá saber com especificidades onde ele será aplicado (PINHEIRO, 2020). Todo o trâmite deverá se dar com a devida transparência, prevendo a LGPD em seu art. 9º que o mesmo tem direito ao acesso facilitado de seus dados, assim como onde o mesmo será tratado e qual a razão para esse acontecimento (BRASIL, 2018).
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18. desta Lei. (BRASIL, 2018, s/p).
O consentimento é fundamental numa relação contratual, onde as partes devem ter autonomia de vontade, segundo Fernandes (2011):
A vontade nos contratos é manifestados pelo consentimento. Esse é um elemento volitivo, um querer interno que, uma vez manifestado, produzirá efeitos no direito. O contrato exige que o consentimento seja prestado pelas as partes. Sem o querer humano. Não há contratação. A vontade se exterioriza pela ocorrência sucessiva de oferta e de aceitação em relação à coisa em que se há de constituir no contrato. Haverá anulabilidade se o consentimento for viciado ´por erro, com dolo, sob coação, em estado de perigo eu lesão (FERNANDES, 2011, s/p).
A vontade do titular de dados é essencial para a realização do consentimento, deve ser livre, clara e espontânea, caso contrário pode ocorrer os vícios de consentimento. Podendo ser nulos ou anuláveis o consentimento quando ocorrer o vício, conforme previsto no Código de Processo Civil.
Para Pontes de Miranda (2000, p. 91), “à liberdade de declarar ou manifestar a vontade com eficácia vinculante e de se tirar proveito das declarações ou manifestações de vontade alheias, receptícias ou não”. No entanto, a liberdade de contratar refere-se à vontade de se assumir deveres e obrigações, ou de adquirir, livremente, direitos, pretensões, ações e exceções oriundos de contrato; e princípio da autonomia da vontade diz respeito à liberdade de se escolher das cláusulas contratuais (PONTES DE MIRANDA, 2000, p. 91)
Autonomia da vontade é um princípio de direito civil, pelo qual os sujeitos têm a possibilidade de praticar ou não certo ato jurídico – em sentido amplo ou sem sentido estrito -, determinando, com sua efetivação, sua forma, conteúdo e efeitos. Ou seja, “o princípio da autonomia da vontade significa o poder que os sujeitos têm de estabelecer as normas que vão reger seus próprios comportamentos” (LOURENÇO, 2001, p. 16-17).
Nas relações jurídicas, “o autorregramento da vontade, a chamada autonomia da vontade, é que permite que a pessoa, conhecendo o que se produzirá com o seu ato, negocie ou não, tenha ou não, tenha ou não o gestum, que a vincule” (PONTES DE MIRANDA, 2005, p. 67).
Assim, para a validade dos efeitos jurídicos previstos na LGPD, é fundamental que todos os requisitos sejam seguidos, assim como, a manifestação de vontade é essencial nas relações contratuais.
3.3. DA PROTEÇÃO AOS DADOS SENSÍVEIS
Quanto ao direito do titular aos dados sensíveis, são todas aquelas informações que revelem dados íntimos do titular. Desse modo, dados sensíveis são aqueles de caráter religioso, político, sobre origem racial ou étnica, filosofia de vida, como também dados biométricos (VIEIRA, 2019). A LGPD explica em seu art. 5º, II, que os dados sensíveis.
Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (BRASIL, 2018, s/p).
Dado sensível é aquele intimamente ligado à pessoa. Embora seja difícil fazer a distinção entre dado comum e dado sensível, haja vistas todos estarem intimamente ligados à figura do titular, vejamos os dados sensíveis como informações que devem ser ainda mais protegidas, dados que o proprietário receia ainda mais sua exposição, como dados bancários, sua filosofia de vida e orientação sexual por exemplo (LEME, 2019). Muitas vezes um dado sensível fala mais da pessoa do que o seu próprio nome, merecendo, portanto, um cuidado ainda maior na sua proteção (LEME, 2019).
A advogada e membro da Associação Brasileira de Tecnologia e Direito e membro da Comissão de Direito Digital da OAB Londrina/PR, Paula Tudisco (2019) nos explica de maneira muito esclarecedora que,
Essa preocupação com os dados sensíveis advém do fenômeno da publicidade comportamental, utilizada para formação de perfis das pessoas. Os dados sensíveis possibilitam conclusões a respeito de um indivíduo, como por exemplo, a sua orientação sexual, sua religião, alguma doença que possa ter e com essas informações, torna-se muito perigoso que as pessoas venham a ser classificadas de forma preconceituosa, interferindo diretamente em seus direitos e liberdades individuais (TUDISCO, 2019, s/p).
Desse modo, os dados sensíveis são extremamente importantes, pois faz mais revelações de quem realmente é aquela pessoa. Uma coisa é termos conhecimento de um dado comum como seu nome, outra é sabermos se essa pessoa sofre com alguma doença e tem algum problema de saúde.
Assim sendo, é necessário o devido cuidado na coleta, pois essa deve ser com base na LGPD e com motivo determinado e relevante (BRASIL, 2019). Nesse sentido, o titular tem o direito de saber quais dados que estão sendo tratados e como será realizado o processamento, seja pessoa física ou jurídica (POHLMANN, 2020).
Conforme já exposto, quando nos referimos à base legal no ordenamento jurídico brasileiro, temos a LGPD, cujo primeiro requisito demonstra que deverá ter o consentimento do titular, sua permissão para que esse tratamento ocorra (LIMA, 2020). Diante disso, cumpre esclarecer que essa concordância expressa e conhecimento deve se dar tanto no caso dos dados comuns, quanto no caso dos dados sensíveis (PINHEIRO, 2020).
O titular é necessário se mostrar atento ao que confirma nos sites, ao clicar em aplicativos, pois, sem o seu real consentimento, pode compartilhar seus dados sem saber que está fazendo isso. Dessa maneira, muitas plataformas acabam por se aproveitar da distração do titular para oferecer implicitamente locais para serem clicados e, com isso, diversas informações são repassadas em seu inteiro teor (LEMES, 2006).
Outrossim, a proteção dos dados sensíveis reafirma uma série de fatores de proteção especial, com a devida atenção ao princípio da dignidade humana, que afeta a segurança e a transparência do tratamento de dados, considerando que os dados pessoais são ativos financeiros para muitas empresas (LIMA, 2020). A atenção será uma das maiores defesas do titular, pois grande perigo também se faz presente quando o mesmo fornece um dado sensível seu a uma empresa que não precisaria saber daquilo e agora passa a ter conhecimento da sua real intimidade de maneira legalizada, tendo em vista que o titular forneceu o consentimento por livre e espontânea vontade (LEME, 2019).
O DOCUSIGN (2019) defende que o combate à fraude necessita de muito cuidado, ao tempo em que nos mostra que:
Além disso, o combate a fraudes com dados sensíveis só é realizado com êxito quando as ações virtuais são feitas em locais seguros. Isso significa que o usuário deve se preocupar tanto com os equipamentos que está utilizando para fazer a navegação, optando por usar os seus dispositivos pessoais em rede privada, quanto com a proteção do site que está acessando — se ele conta com certificado de segurança. (DOCUSIGN, 2019, s/p).
Desse modo, quando se fala de proteção aos dados sensíveis, é recomendado dizer que deve partir de um cuidado de ambas as partes, tanto do titular em conferir se a rede que está acessando é confiável, renomada, como a empresa deve estar atenta à tecnologia utilizada, se os recursos de segurança estão ativos, são de qualidade e não dão margem às invasões.
Os dados em comento são muito mais do que os dados comuns, costumam ter também um caráter opinativo enorme, fazendo com que cada vez mais as empresas os anseiem. As seguradoras de saúde vão ter interesse em saber sobre as possíveis doenças dos titulares, os comerciantes vão querer saber os gostos e assim sucessivamente. As hipóteses são enormes (POHLMANN, 2020).
A Lei Geral de Proteção de Dados estabelece em seu art. 11. que o tratamento de dados pessoais sensíveis só poderá ocorrer nas seguintes hipóteses:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiros;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais (BRASIL, 2018, s/p).
Nessa esfera, a LGPD também cuidou de dar o mesmo tratamento aos dados pessoais que revelem dados pessoais sensíveis, haja vista ambos estarem tão interligados e podem causar o mesmo efeito danoso ao seu titular. Em se tratando de dados sensíveis, o consentimento deverá se dar em cláusula própria apartada das demais. Não se aplica a tratamento de uso de dados pessoais para fins acadêmicos, jornalísticos ou artísticos, uso exclusivo de pessoa física para pessoa física, realizado pela segurança pública, defesa nacional, atividades de investigação e repressão de infrações penais (LEME, 2019).
Segundo aponta o disposto nos §4º e §5º do art. 11. da referida lei, onde trata do compartilhamento de dados sensíveis relacionados à saúde:
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários (BRASIL, 2018, s/p).
No que diz respeito ao seu compartilhamento entre controladores, a LGPD veda o compartilhamento de dados sensíveis da saúde do titular, com o ensejo de obter vantagem econômica, excetuando as hipóteses em que haverá o benefício, obviamente, do titular, quando adentramos em tratamentos médicos e farmacêuticos. Isso se dá porque essas informações podem ser utilizadas de modo prejudicial como nos casos de seguro com problemas de saúde, conforme já exemplificamos anteriormente (PINHEIRO, 2020).
3.4. O LEGÍTIMO INTERESSE, A ATIVIDADE EMPRESARIAL E OS LIMITES LEGAIS
Ao estudar a LGPD, é importante fazer a análise do legítimo interesse do controlador ou de terceiros, lembrando que controlador é a empresa, pessoa jurídica, que recebeu seus dados. Desse modo, ainda que se tenha um legítimo interesse por partes deles, ainda assim um limite deve ser colocado para que não haja grandes invasões na privacidade do titular.
Em outras palavras, a LGPD preceitua que o tratamento de dados só poderá ser feito para atender o legítimo interesse, conforme citado acima, desde que os direitos do titular permaneçam intactos e sejam respeitados. Desse modo, o art. 7º, XI, explica que o tratamento só poderá ser realizado:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais (BRASIL, 2018).
Não somente isso, quando se trata do legítimo interesse do controlador, a LGPD especifica que esse interesse deve se basear em situações concretas e que unicamente os dados necessários é que deverão ser tratados. Logo, quando o tratamento for com base no legítimo interesse, apenas as informações pessoais extremamente necessárias poderão ser tratadas, não podendo prejudicar a liberdade e os direitos fundamentais do titular (POHLMANN, 2020).
As sociedades empresariais na grande maioria das vezes se utilizam das informações pessoais dos consumidores para colocar produtos em promoção, oferecer serviços, fazer anúncios etc. No tocante à própria questão de anúncios, por exemplo, a par de determinados dados do titular, a pessoa jurídica busca alcançá-lo e atraí-lo (BRASIL, 1990).
Desse modo, a captação deve se dar nos seguintes moldes da LGPD:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial (BRASIL, 2018, s/p).
Sabendo que se trata de legítimo interesse, mostra-se ainda mais necessário o respeito ao princípio da transparência, devendo os dados se manterem guardados, claros e objetivos, ainda mais pelo fato de que o titular pode deter o conhecimento deles. E é seu direito saber quem está utilizando, qual a finalidade e até mesmo quanto tempo esse tratamento perdurará (BRASIL, 2010).
3.5. FINALIDADE ESPECÍFICA DA PROTEÇÃO DE DADOS NAS ATIVIDADES EMPRESARIAIS
Quando pensamos em finalidade da proteção de dados, deve-se entender como uma responsabilidade para todas as empresas, seja qual for o segmento, primordialmente, mostrar como se processam e se utilizam os dados dos titulares, colaboradores e consumidores que a ela são confiados. Ainda que seja fundamental a implantação de conformidade com a LGPD, isso trará um impacto financeiro, com elevados custos, principalmente nas pequenas empresas e no setor público, com atenção especial aos dados sensíveis no setor da saúde (PINHEIRO, 2020).
Por certo, as empresas que desejam ter sucesso, primariamente precisam passar credibilidade para os consumidores enquanto tidos como base da pirâmide empresarial, visto que são o fluido que faz a máquina girar (ROQUE, 2020). Desse modo, a LGPD, ao surgir, ainda na atual conjuntura em período de vacatio legis, entrega a essas empresas um ônus que as mesmas já deveriam ter desde antes da promulgação (BRASIL, 2018).
Do mesmo modo, pode-se dizer que tratar de dados sensíveis de colaboradores e consumidores é algo sério, uma vez que a utilização equivocada para finalidades impróprias causa imensa insegurança jurídica passível de reparação cível e até mesmo criminal, como previsto na própria LGPD e no Código de Defesa do Consumidor prevê sanções penais nessa matéria (PINHEIRO, 2020).
Destarte seja extremamente moral que as empresas tratem os dados que coletam dos titulares de maneira ética e somente para as finalidades nas quais os titulares tenha dado o consentimento, é de se mensurar que a finalidade específica na proteção de tais é, sobretudo, manter a segurança e a privacidade dos dados tratados (POHLMANN, 2019).
Ou seja, com um tratamento de dados feito de maneira adequada e com consentimento, o empreendimento, além de gozar de mais credibilidade por ser transparente com os titulares conveniados, terá, sobretudo, segurança jurídica, uma vez que será fiscalizado e deverá demonstrar que segue os parâmetros estabelecidos pela lei.
Seguindo tais parâmetros, nota-se que a responsabilidade com a qual se tratam tais dados em conformidade com a LGPD é uma segurança jurídica para as empresas que serão demandadas cada vez menos nesse tocante, já que terão certo respaldo da Autoridade Nacional de Proteção de Dados (ANPD), principalmente no que concerne à segurança que empregam nas suas operações, não ficando livres, é claro, de eventuais ataques cibernéticos que possam ocorrer ao longo do tempo. Todavia, é amenizada tal ocorrência com o aumento da segurança que os evita (ROQUE, 2020).
Logo, podemos sintetizar que a finalidade da proteção de dados por parte das empresas é um meio de passar, aos seus consumidores e titulares de dados, quatro requisitos de demasiada importância nessa relação, quais sejam: proteção, segurança, confidencialidade e transparência.
A lei vale para todos os setores das empresas que tratam de dados pessoais, não importando o porte da empresa. O tratamento de dados somente poderá ocorrer se estiver em conformidade com LGPD. Observando os princípios norteadores do tratamento de dados pessoais, as empresas devem adotar medidas de segurança e boas práticas como prevenção de possíveis vazamento de dados (FIESP, 2019).
Conforme prevê o artigo 50, as empresas poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais (BRASIL,2018).
3.6. ELIMINAÇÃO DE DADOS PESSOAIS APÓS O TÉRMINO DO TRATAMENTO
Do mesmo modo que a LGPD estabeleceu requisitos para o tratamento de dados pessoais, o mesmo ocorreu com a eliminação dos mesmos logo após sua devida utilização. O título legal traz a seguinte previsão em seu artigo 18, incisos IV e VI:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16. desta Lei (BRASIL, 2018, s/p).
Assim sendo, restou previsto que o titular dos dados tem o direito de solicitar sua eliminação, que é a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. No entanto, a LGPD, em seu art. 16,, previu que a eliminação se dará nas seguintes hipóteses:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (BRASIL, 2018).
Nota-se que os dados dos titulares não tem necessidade de ficar permanente na base de dados das empresas, haja vista que sua perpetuação é desnecessária e poderá causar, sobretudo, insegurança.
Portanto, a LGPD estabeleceu um verdadeiro avanço no que concerne à eliminação desses dados, deixando, contudo, a possibilidade de permanência condicionada às possibilidades específicas acima mencionadas no dispositivo.
Ademais, a LGPD consagrou, de certo modo, o chamado Direito ao Esquecimento, uma vez que o titular dos dados agora pode solicitar sua imediata remoção, detendo assim certo controle sobre os seus dados pessoais e sua privacidade (PINHEIRO, 2020).
O Controlador tem a responsabilidade de cuidar para que os dados pessoais sejam eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: cumprimento de obrigação legal ou regulatória pelo Controlador, estudo por órgão de pesquisa, transferência a terceiros e uso exclusivo do controlador de dados anonimizados.
O autor Sergio Pohlmann (2019) explica que o tratamento de dados pessoais se dá no contexto dos meios utilizados para sua proteção, esclarecendo que:
É toda e qualquer operação realizada com os dados pessoais, como as que se referem à coleta, recepção, produção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em síntese, é toda e qualquer movimentação realizada pelos atores envolvidos na proteção dos dados (POHLMANN, 2019, s/p).
Desse modo, o tratamento dos dados pessoais se dá quando esses dados são captados para determinado fim específico. Os agentes de tratamento devem manter registros de todos os tipos de armazenamento de dados e arquivamento, como medida de proteção e segurança, (POHLMANN, 2020).
Para melhor entender como se dá esse tratamento, cabe-nos detalhar os requisitos para o tratamento de dados pessoais.
