Por Maurício Tamer
O Direito da Proteção de Dados Pessoais no Brasil parece ser construído sobre como os dados pessoais devem ser utilizados. Proteger os dados pessoais, assim e de uma maneira geral, seria usá-los do modo como o Direito Brasileiro definiu.
Definição esta que passa pelo estabelecimento dos requisitos constitucionais e legais, especialmente aqueles da Lei Geral de Proteção de Dados Pessoais (LGPD), necessários para assegurar os objetivos primários do sistema normativo: proteger os direitos fundamentais de liberdade, de privacidade e de livre desenvolvimento da personalidade.
Neste artigo, vamos compreender o conceito de tratamento de dados pessoais e seus principais requisitos legais. Continue a leitura e confira!
O que é o tratamento de dados pessoais?
Este uso dos dados pessoais é que chamamos de tratamento de dados pessoais. Assim, tratar dados pessoais é todo e qualquer uso ou operação realizada com informações que, diretamente ou indiretamente, identificam pessoas naturais.
A expressão tratamento, embora não usual, decorre sobretudo da inspiração brasileira na legislação da União Europeia (a GDPR, em especial) e sua versão da língua portuguesa de Portugal.
A LGPD faz esta definição em seu Art. 5º, X, LGPD, adota uma concepção ampla e rol exemplificativo (o que se afere da locução “como as”):
“Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”.
De forma abrangente, a ideia de tratamento contempla todas as atividades do ciclo de vida de dados pessoais junto ao agente de tratamento.
Ou seja, desde a sua coleta até sua eliminação, passando por todas as formas e possibilidades de manuseio durante o período em que os agentes de tratamento estão em sua posse, independentemente do meio utilizado, podendo ser físico ou digital.
Adicionalmente, é relevante ter em mente que a definição de tratamento de dados, além de cada operação em si, individualizada, pode significar o pacote de contexto das operações que envolvem os dados pessoais para a finalidade definida.
Como identificar um processo de tratamento de dados?
É curioso notar que ainda há a percepção da pessoa média de que tratar dados seriam procedimentos mais complexos associados ao aprofundamento de análise sobre os dados pessoais ou tarefas de enriquecimento, por exemplo.
Mas não é o caso, o tratamento de dados se caracteriza como qualquer operação com dados pessoais, ainda que as mais simples. Assim, o mero acesso ou armazenamento de dados são também tratamentos.Vejamos que interessante: o Direito da Proteção de Dados Pessoais no Brasil torna jurídica e define uma relação de fato antes existente.
De um lado, posiciona o titular de dados pessoais, juridicamente aquele sobre quem dizem respeito às informações pessoais utilizadas. Por outro lado, posiciona os agentes de tratamento de dados, como controladores, operadores e suboperadores, isto é, quem usa os dados pessoais.
O liame entre eles e objeto desta relação de fato — hoje jurídica — é justamente o uso do dado em si, chamado em lei como tratamento de dados pessoais.
Saiba mais: Entenda o que é e conheça as vantagens de ter um banco de dados!
Quais os principais requisitos para o tratamento de dados pessoais?
De modo franco, considerando que a Proteção de Dados Pessoais seria tratar (usar) os dados pessoais da forma definida em lei para assegurar os direitos fundamentais dos titulares de dados, todo o Direito à Proteção de Dados Pessoais deve ser respeitado na condução de tratamento de dados pessoais.
Tratar ou usar os dados pessoais de forma lícita, portanto, é tratá-los em conformidade com o Direito brasileiro. Porém, na proposta de tentar organizar bem essas ideias, seguem aqueles que nos parecem ser os principais requisitos a serem observados em qualquer uso de dados pessoal:
1. Respeito aos Princípios
2. Identificação e respeito das bases legais de tratamento
3. Término do tratamento de dados pessoais
4. Direitos do titular
5. Transferência internacional de dados pessoas
6. Avaliações de risco
1. Respeito aos Princípios:
Todo e qualquer tratamento de dados pessoais deve respeitar integralmente os princípios definidos em Lei. Assim:
- Qualquer uso deve se dar de acordo com os princípios e deveres objetivos de boa-fé (princípio da boa-fé);
- Os tratamentos de dados pessoais devem ser destinados para uma finalidade:
1. Legítima — de acordo com a legislação;
2. Específica — propósitos genéricos ou que se prestem a qualquer utilização não são admitidos;
3. Explícita — deve ser clara e definida, e não aferível como algo meramente implícito; e
4. Informada ao titular — a pessoa titular dos dados pessoais deve ser devidamente informada dos porquês para os quais seus dados serão utilizados (princípio da finalidade).
- Apenas os dados pessoais estritamente necessários devem ser utilizados (princípio da necessidade) e tratados de acordo com a finalidade definida e informada (princípio da adequação);
- Para todo tratamento de dados pessoais deve ser garantida, aos titulares, a consulta facilitada e gratuita sobre a forma e duração do tratamento (princípio do livre acesso);
- Devem os titulares ter a garantia de que todo tratamento de dados pessoais se vale de dados pessoais exatos, claros, relevantes e atualizados (princípio da qualidade dos dados);
- A transparência tem de ser assegurada, de modo que os titulares têm direito de ter informações sobre os seus dados pessoais, devendo receber informações claras, precisas e facilmente acessíveis sobre a realização dos tratamentos de dados (princípio da transparência);
- Os agentes de tratamento devem adotar medidas técnicas e administrativas ou organizacionais aptas a proteger os dados tratados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (princípio da segurança) — inclusive adotando medidas para prevenir a ocorrência de danos em razão do tratamento (princípio da prevenção);
- Nenhum tratamento de dados pessoais poderá ser feito para fins discriminatórios ilícitos ou abusivos (princípio da não discriminação).
- Os agentes de tratamento devem prestar contas da conformidade dos tratamentos realizados com o Direito da Proteção de Dados Pessoais (princípio da responsabilização e prestação de contas).
2. Identificação e respeito das bases legais de tratamento
Todo tratamento de dados pessoais deve se realizar de acordo com uma das razões específicas ou motivos determinantes — as bases legais LGPD — e que permitem o uso dos dados pessoais pelo agente de tratamento.
3. Término do tratamento de dados pessoais
Garantir que os dados pessoais serão eliminados ou anonimizados, conforme regramento dos Arts. 15 e 16 da LGPD e melhores práticas de retenção.
4. Direitos do titular:
Atender os titulares de dados em todos os seus direitos que sejam pertinentes ao tratamento de dados pessoais, conforme lista expressa prevista no Art. 18 da LGPD.
5. Transferência internacional de dados pessoas
Se o tratamento de dados pessoais caracterizar ou envolver a transferência internacional de dados pessoais — transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro —, deve-se adotar os procedimentos e salvaguardas necessários para atender aos requisitos específicos de operações com dados pessoais deste perfil.
6. Avaliações de risco
Os agentes de tratamento de dados pessoais devem conduzir as avaliações de risco pertinentes em relação aos tratamentos que realizam, como:
- avaliações de melhor interesse, caso haja o envolvimento de dados pessoais de crianças e adolescentes;
- Relatório de Impacto à Proteção de Dados para tratamentos entendidos como de alto risco;
- Teste de Balanceamento de Legítimo Interesse, se esta for a base de tratamento de dados relacionados; e
- Avaliação de Impacto Algorítmico, caso haja o uso de algoritmos no desenvolvimento do tratamento.
7. Práticas de Segurança, Sigilo e Governança
Como vimos, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Além disso, considerando a estrutura, a escala e o volume das operações de tratamento, podem os agentes implementar programas de governança em privacidade.
Conheça a obra Manual de Direito da Proteção de Dados Pessoais
Você, profissional ou estudante de Direito, tem interesse no assunto? Então, sugerimos a leitura do livro Manual de Direito da Proteção de Dados Pessoais. Uma obra essencial para aprender mais sobre os tratamentos de dados pessoais e seus requisitos.
Publicado pela editora Saraiva Jur, o livro é completo e dedicado a profissionais de vários níveis de conhecimento. A metodologia aplicada na obra proporciona ao leitor uma leitura mais dinâmica e estimulante, que facilita a assimilação do conteúdo. Não deixe de conferir!
Esperamos que você tenha gostado deste conteúdo, e que ele te ajude a aplicar o tratamento de dados pessoais em conformidade com os requisitos legais. Agora, continue no blog e descubra como identificar dados pessoais sensíveis.