O que é Tratamento de Dados Pessoais?

Também já explicamos em postagem anterior, o que são dados pessoais e porque merecem tutela pelo ordenamento jurídico. Uma vez que o titular do direito já sabe como exercê-los, resta agora explicar como são usados os dados pessoais, para justificar a aplicação da lei e suas sanções.

A LGPD dispõe que estará afeto à lei de proteção de dados todo aquele que aplicar tratamento aos dados pessoais. Tratamento, segundo definição da própria lei em seu artigo 6º, inciso X, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Buscou o legislador ampliar ao máximo o conceito de tratamento de dados pessoais, para expandir a proteção dos mesmos. Analisando os verbos citados, é possível verificar que se tratam de todas as fases do ciclo de vida dos dados, desde a coleta, classificação, armazenamento, até exclusão e retificação.

Desta forma, todo aquele que de alguma forma tratar dados pessoais, seja de pessoa física ou jurídica, através de meio digital ou analógico, deverá obedecer às regras previstas na LGPD. Tais regras visam minimizar os riscos de eventual vazamento de dados, uso indevido e prejuízos correlatos.

A atividade de tratamento de dados deve sempre observar a boa-fé e os seguintes princípios:

• Finalidade

  Realização do tratamento para fins legítimos, específicos, explícitos e informados ao titular dos dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

• Adequação

  Compatibilidade do tratamento com as finalidades informadas ao titular.

• Necessidade

  Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, ou seja, não deverão ser tratados dados desnecessários para a finalidade proposta.

• Livre Acesso

  Garantia aos titulares dos dados de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

• Qualidade dos dados

  Garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

• Transparência

  Garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, ressalvados os segredos comerciais e industriais.

• Segurança

  Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

• Prevenção

  Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

• Não Discriminação

  Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

• Responsabilização e prestação de contas

  Demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia dessas medidas.

O tratamento de dados, além de atender aos princípios acima, somente poderá se dar em determinadas hipóteses chamadas de bases legais. São elas:

1. Mediante o fornecimento de consentimento pelo titular, que poderá ser revogado a qualquer tempo;
2. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
3. Pela administração pública para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
4. Para a realização de estudos por órgão de pesquisa, garantida sempre que possível a anonimização dos dados pessoais;
5. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato, do qual seja parte o titular, a pedido do titular dos dados;
6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
7. Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
8. Para a tutela da saúde em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
9. Para a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
10. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
11. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Assim, considera-se legal e em compliance com a LGPD, a atividade de tratamento de dados enquadrada em alguma dessas hipóteses ou bases legais. Qualquer tratamento que não atenda a uma dessas possibilidades será considerado ilegal e passível de punição.

Portanto, antes de iniciar qualquer atividade que envolva o tratamento de dados, é preciso que o operador ou controlador certifique-se de qual base legal está amparando sua conduta, registrando todos os seus procedimentos, para que em caso de eventual fiscalização possa ser comprovada a legitimidade do uso de dados pessoais.