As bases legais se limitam às hipóteses dos incisos do art. 7° e 11 da LGPD?

Se a busca pela autodeterminação informativa passava pelo paradigma do absoluto controle do titular através do consentimento, a Data Driven Economy, apregoada por Castells, demonstrou a inviabilidade dessa assertiva. De fato, parece inviável imaginar um cenário em que todos os tratamentos de dados pessoais que nos permeiam sejam condicionados ao nosso consentimento. A conciliação da autodeterminação informativa a esse contexto se concretizou com a estipulação de tratamentos de dados pessoais reconhecidos como legítimos em previsão legal, estabelecendo mecanismos de cientificação do titular e controle. 

Esse cenário internacional se reflete no Brasil antes mesmo da promulgação da LGPD. Um exemplo é o art. 31 da lei de acesso à informação - LAI (lei 12.527/11), que dispõe sobre o consentimento para divulgação de informações pessoais, destacando, no §3º sua dispensa em determinadas hipóteses.  

De fato, o art. 31, § 3º prevê que a divulgação ou o acesso de terceiros a informações pessoais pode ocorrer com dispensa de consentimento quando as informações forem necessárias:

1.  à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;
2.  à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;
3.  ao cumprimento de ordem judicial;
4.  à defesa de direitos humanos; ou
5.  à proteção do interesse público e geral preponderante.

No mesmo sentido, o art. 7º, VII, do marco civil da internet (lei 12.965/14) prevê a existência de hipóteses legais nas quais o fornecimento de dados pessoais a terceiros tem o consentimento do titular dispensado, conforme teor:

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; (grifo nosso)

A mesma lei traz situações vinculadas a determinadas finalidades, que permitem o tratamento de dados pessoais, conforme teor:

Art. 7º (...)

VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

1.  justifiquem sua coleta;
2.  não sejam vedadas pela legislação; e
3. estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

Nesse sentido, já é possível responder a nossa pergunta. As bases legais não se limitam às hipóteses dos incisos do art. 7° e 11 da LGPD. Inclusive, a própria LGPD as prevê em outros dispositivos que não nos supramencionados, e é sobre essas situações que discorreremos neste artigo.

De fato, tendo por enfoque a LGPD, em uma leitura atenta à lei é possível identificar outras hipóteses em que o consentimento é dispensado, gerando legitimidade ao tratamento de dados realizado. 

Importante apontar brevemente que entendemos por bases ou hipóteses legais¹ as situações previstas em lei, ligadas ou não a determinada finalidade abstrata, que permitem expressamente o tratamento de dados pessoais. Nesse sentido, o consentimento é uma base legal independente de finalidade abstrata. Já o art. 7º, II, por exemplo, permite o tratamento de dados para finalidade abstrata, qual seja, "para o cumprimento de obrigação legal ou regulatória pelo controlador". Essa finalidade deve ser especificada para o cumprimento do princípio da finalidade². Nesse sentido, um tratamento pode ser justificado pelo art. 319 do CPC que determina os dados pessoais do autor e do réu os quais devem constar em uma petição inicial. Desta forma, a finalidade abstrata do art. 7º, II se concretiza, no caso, com o art. 319 do CPC, delimitando a obrigação legal ou regulatória pretendida (finalidade específica).

Nesse artigo traremos sete situações de tratamentos de dados legitimados pela LGPD que se consubstanciam em hipóteses legais tão relevantes quanto as dos incisos dos arts. 7º e 11.  São elas:

1.  Tratamento de dado pessoal tornado público pelo titular;
2. Tratamento de dado pessoal de crianças para contatar os pais ou o responsável legal;
3.  Tratamento de dado pessoal de crianças para sua proteção;
4.  Anonimização ao final do tratamento;
5.  Tratamento de Dados Pessoais de acesso público.
6.  Transferência para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução;
7.  Transferência para cumprimento de compromisso assumido em acordo de cooperação internacional;

Abordaremos a seguir as especificidades de cada uma dessas hipóteses. 

1. Tratamento de dado pessoal tornado público pelo titular

Trata-se de base legal prevista no §4º do art. 7º da LGPD, cujo teor transcrevemos:

art. 7º (...)

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

Nesse caso, percebe-se que a lei substitui o consentimento, apontando que o fato de o titular dispor de seus dados publicamente permite o tratamento daqueles seus dados pessoais.

Importante destacar que a dispensa de consentimento é originalmente, como mencionamos, o trajeto percorrido para que as demais bases legais fossem estipuladas. Isto fica particularmente claro no art. 11 da LGPD, o qual aponta expressamente esta questão ao prever que o tratamento de dados pessoais se dá ou por consentimento ou por uma das demais hipóteses legais de tratamento previstas no inciso II.

Em sentido similar ao consentimento, a divulgação espontânea de dados pelo titular é hipótese autorizativa do tratamento daqueles dados publicizados não ligada à finalidade abstrata. 

Observe que a permissão legal não é de utilização irrestrita ou irresponsável desses dados pessoais, como mencionamos no nosso livro "Desafios da Anonimização: um framework de requisitos e boas práticas para compliance à LGPD". De fato, todos os requisitos de compliance continuam em vigor, ou seja, devem ser obedecidas as diretrizes principiológicas, incluída a boa-fé, e demais garantias e boas práticas que procuram resguardar os direitos dos titulares. Por exemplo, pelo princípio da finalidade, do livre acesso e da transparência, independentemente da base legal adotada, o titular deve ter facilmente acessíveis informações acerca do tratamento de seus dados e das finalidades específicas (propósitos) pretendidos com o tratamento.

2. Tratamento de dado pessoal de crianças para contatar os pais ou o responsável legal; e 

3. Tratamento de dado pessoal de crianças para sua proteção

São hipóteses especiais de tratamento descritas no art. 14 § 3º as quais permitem a dispensa de consentimento dos pais ou responsável legal para o tratamento de dados de crianças, conforme teor:

Art. 14 (...)

§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.

Nestas bases legais, é permitido o tratamento de dados de crianças em duas situações, quais sejam: 1) a coleta de dados (tratamento específico) para contatar os pais ou responsável legal; 2) o tratamento (de forma ampla) de dados de crianças para sua própria proteção.

Nas duas hipóteses a lei proíbe o compartilhamento de dados com terceiros, e, na primeira, é vedado o armazenamento de dados pessoais da criança. 

Perceba que estas situações não se enquadram em nenhuma das demais bases retratadas nos incisos do art. 7º. De fato, não se trata especificamente de tutela da saúde, ou de exercício regular de direitos, caracterizando situação própria e peculiar em que a lei permite o tratamento de dados pessoais. Mesmo a "proteção da vida ou incolumidade física do titular ou de terceiro" (art. 7º, VII) parece oferecer tutela mais restrita do que a hipótese de tratamento para "proteção da criança", expressão que pode abranger a proteção da vida, a incolumidade física, mas também a incolumidade mental, social da criança, a preservação de seus interesses, o desenvolvimento de sua personalidade etc. 

4. Anonimização ao final do tratamento

A anonimização ao final do tratamento é hipótese específica que se distingue da situação em que o tratamento da anonimização é finalidade primordial do tratamento de dados.

Segundo a LGPD, conforme consta do art. 12, uma vez anonimizados, os dados não são considerados mais dados pessoais, a menos que este processamento³ seja revertido ou "reversível".

Nesse sentido, uma vez anonimizados, os dados não mais se submetem às exigências da LGPD podendo ser utilizados de forma flexível pelo controlador. As regras acerca do compartilhamento de dados, transferência internacional etc. Todas elas passam a não viger mais para os dados anonimizados, pois alheios aos comandos da legislação específica de proteção de dados pessoais⁴. 

Perceba, portanto, que, se o tratamento de anonimização for a finalidade primordial do tratamento, ele gera por produto um dado não pessoal que não encontra limites na legislação. Assim, nada impede que um controlador, por exemplo, obtenha o consentimento de certo titular para anonimizar os seus dados e utilizá-los livremente. 

O art. 16, IV, todavia, traz situação diversa. Segundo o dispositivo, é autorizada a anonimização como uma alternativa à eliminação dos dados, os quais cumpriram sua finalidade primordial, e agora podem ser descartados ou anonimizados. Ou seja, nesta hipótese a finalidade primordial se exauriu e é totalmente distinta da anonimização. Uma vez cumprido o propósito/finalidade do tratamento, a anonimização surge como tratamento secundário, permitido por lei. 

A situação é tão peculiar, que a própria LGPD criou restrição inédita à utilização de dados anonimizados quando pautados nessa base legal, conforme consta no art. 16, IV:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: 

1. cumprimento de obrigação legal ou regulatória pelo controlador;
2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. (grifo nosso)

Note, portanto, que, se o tratamento da anonimização for baseado na base legal do art. 16, IV, os dados anonimizados só poderão ser utilizados pelo próprio controlador que os anonimizou, vedado o acesso por terceiros e, como consequência lógica, vedado o seu compartilhamento ou publicização. 

Inegável que, nesse inciso, a lei traz hipótese autorizativa totalmente diversa das demais bases legais previstas nos incisos do art. 7º e 11, já que a restrição deve ser interpretada de forma restritiva, se limitando a essa situação. Interpretação diversa fixaria cenário absurdo em que toda a anonimização realizada ficaria submetida a amarras ainda mais restritivas do que o próprio tratamento de dados pessoais, tornando estéril a técnica de anonimização. 

Ademais, a leitura dos demais incisos do art. 16 também aponta para essa interpretação de base legal própria, já que: 1) os incisos I e II correspondem a hipóteses legais expressas no art. 7º, II e 7º, IV, respectivamente; 2) o inciso III, que fala sobre a transferência a terceiro, submete o tratamento a uma das hipóteses elencadas no art. 7º, já que determina a subordinação aos "requisitos de tratamento", dispostos na seção I, do capítulo II da lei; 3) o inciso IV traz hipótese autônoma e desvinculada das demais.

Em suma, compreendemos o art. 16, IV como base legal própria vinculada a uma finalidade abstrata: "para uso exclusivo do controlador", e que se dá em um cenário específico, qual seja, "ao final do tratamento" quando a finalidade primordial já foi alcançada.   

 5. Tratamento de Dados Pessoais de acesso público

O Tratamento de dados pessoal de acesso público está descrito no art. 7º, § 3º, o qual aponta que o "tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização".

O dispositivo prevê então que os dados pessoais "públicos" sejam submetidos não apenas ao tratamento de "acesso", mas que sejam tratados de outras formas, desde que sejam considerados a finalidade, a boa-fé e o interesse público envolvidos na publicização desses dados. 

Nesse sentido, a lei permite formalmente a utilização de dados públicos pelo controlador, estipulando critérios éticos para o seu uso. Entendemos que este é também um caso de base legal própria, que dispensa o consentimento, dada a natureza pública do dado, e que permite o seu uso de maneira própria, se desvinculando das hipóteses dos incisos do art. 7º. 

6. Transferência para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; e

7. Transferência para cumprimento de compromisso assumido em acordo de cooperação internacional;

As duas hipóteses estão previstas no art. 33, referente à tratamento de dados específico, qual seja, a transferência internacional de dados pessoais. Elas se destacam como bases que não encontram correlação com aquelas destacadas nos incisos do art. 7º e 11 da LGPD. 

Consta do art. 33:

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

1.  para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
2.  quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: (...)
3.  quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
4.  quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
5.  quando a autoridade nacional autorizar a transferência;
6.  quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
7.  quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
8.  quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
9.  quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei. (grifo nosso)

Perceba que, nas duas situações destacadas, o tratamento da transferência é autorizado para finalidade abstrata própria, que não se relaciona com nenhuma outra base legal anteriormente mencionada pela Legislação. Isso não ocorre em todos os incisos, já que, por exemplo, o art. 33, IV se remete ao art. 7º, VII; o art. 33, VII, se remete ao art. 7º, III; o art. 33, VIII, ao consentimento do art. 7º, I; e o art. 33, IX se remete às hipóteses do art. 7º, II, V e VI, mencionadas no próprio inciso. 

Portanto, nos incisos III, VI do art. 33, temos permissivo legal especial, no qual o consentimento do titular presume-se por dispensando ante a previsão legal autorizativa. 

Por fim, cabe mencionar que não entendemos os incisos I e II, V, do art. 33 como bases legais propriamente ditas, mas sim como hipóteses autorizativas. Nesse caso, o tratamento se baseia em alguma das bases legais a qual é complementada com alguma das situações:

1. chancela da ANPD de que o país de destino oferece proteção de dados pessoais adequado (art. 33, I c/c art.34)
2. garantia do controlador (art. 33, II)
3. autorização específica da ANPD.

Portanto, nesses casos, o tratamento não se baseia em qualquer dessas autorizações, as quais apenas complementam a hipótese legal elencada para o tratamento. Por exemplo: um dado necessário para a execução de contrato a pedido do titular pode ser transferido para o exterior se o país for um daqueles chancelados pela ANPD, se o controlador oferecer garantia específica ou se a ANPD autorizar.

CONCLUSÃO

As hipóteses legais são mecanismos de legitimação do tratamento de dados numa sociedade em que vincular todo tratamento ao consentimento do titular seria totalmente inviável. A LGPD seguindo a tendência claramente apontada pela LAI e pelo marco civil da internet, discriminou situações em que o tratamento de dados pode ocorrer independentemente do consentimento do titular. 

Nesse sentido, os incisos dos arts. 7º e 11 discriminaram hipóteses em que o tratamento de dados pode ser realizado, mas não encerram em si todas as possibilidades de tratamento de dados discriminados pela lei, os quais podem ser realizados independente de consentimento. Nesse sentido apontamos pelo menos mais sete bases legais previstas na LGPD para o tratamento de dados pessoais. Pontuamos, por fim, que nossa interpretação é a de que essas hipóteses sejam viáveis apenas para o tratamento de dados pessoais em sentido estrito, não abarcando os dados pessoais sensíveis. Isso porque, entendemos que os dados pessoais sensíveis foram tratados de forma austera pela LGPD, suscitando a aplicação de interpretação restritiva de suas bases. 

-----------------------

1 Usaremos as nomenclaturas como sinônimas.

2 Como discorremos no nosso artigo publicado pelo migalhas, disponível em: https://www.migalhas.com.br/arquivos/2024/3/7C56BA6E37EF8E_diretrizes1.pdf.

3 Discorremos sobre a anonimização como tratamento de dados na modalidade processamento em nosso livro: "Desafios da Anonimização: Um framework dos requisitos e boas práticas para compliance à LGPD. -- 1. ed. -- São Paulo: Thomson Reuters Brasil, 2022."

4 Observe que, como descrevemos no nosso livro, existem implicações éticas acerca dessa flexibilização que precisam ser consideradas. Além disso, a própria técnica traz limites intrínsecos e extrínsecos que fazem com que a anonimização seja um tratamento de dados peculiar e que, apesar de extremante atrativo, exija certos cuidados.