Certamente, “proteção de dados pessoais” é um dos assuntos mais comentados dos últimos tempos. Após escândalos de violação de privacidade e vazamento de dados envolvendo grandes plataformas, é correto afirmar que, finalmente, o cidadão começou a se preocupar com a privacidade e a segurança dos seus dados na rede, exigindo normas e procedimentos cada vez mais rigorosos a quem realiza o tratamento de dados pessoais.

Nesse sentir, a Lei Geral de Proteção de Dados (LGPD)[1] define que “tratamento” de dados pessoais é toda operação realizada com dados pessoais, isto é, toda atividade que, de alguma forma, faça uso de dados pessoais. Para que o tratamento possa ser efetuado, é necessário que a operação esteja prevista em uma das hipóteses de cabimento previstas na lei.

A primeira e mais conhecida hipótese é o consentimento do

titular dos dados. Na prática, o controlador apresenta quais, como e para qual finalidade os dados serão tratados e, em seguida, o titular fornece, expressamente, seu consentimento. Ocorre que, diferentemente do que comumente se pensa, o consentimento não é sempre exigido, sendo apenas uma de tantas outras hipóteses de tratamento.

Nesse sentir, uma das demais hipóteses se configura quando o tratamento tiver como escopo o cumprimento de uma obrigação legal ou regulatória, como é o caso do dever de guarda de dados pessoais por 6 meses ou por 1 ano, para provedores de aplicação e provedores de conexão, respectivamente, obrigação entabulada no Marco Civil da Internet.

Do mesmo modo, no caso de execução de contratos ou procedimentos a eles relacionados, quando o tratamento é indispensável para que o contrato possa atingir o fim para qual foi elaborado. É o caso de simples compra e venda, quando o titular (comprador) fornece determinados dados para que a transação possa ser efetuada, o que não poderia ser feito sem a colheita desses dados pela empresa (vendedor).

Ainda, quando o tratamento for necessário para atender ao legítimo interesse do controlador ou terceiro, respeitados os direitos e liberdades fundamentais do titular, hipótese que se revela como um conceito aberto, que dependerá da análise de cada caso concreto, desde que não se enquadre em nenhuma das outras possibilidades de tratamento mencionadas no texto da lei.

Em todos os casos acima expostos é dispensado o consentimento do titular dos dados objeto do tratamento. E não para por aí: a LGPD traz outras situações que autorizam o tratamento sem consentimento, desde que observados os princípios e preceitos da norma regulatória, principalmente quanto à finalidade específica do tratamento.

Portanto, via de regra, toda operação com dados pessoais é tratamento, mas nem todo tratamento exige consentimento. É de suma importância que o controlador ou o operador de dados pessoais conte com apoio técnico e jurídico especializado apto a ilustrar as mais diversas situações em que é permitido o tratamento de dados, o que será crucial para o desenvolvimento das atividades da empresa sem ultrapassar o perímetro imposto pela lei.

[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm