o que diz a lgpd

Exceções relevantes sobre o consentimento de uso de dados na LGPD

Beyond Co.

4 min read
Na imagem: pessoa de roupas formais digita no notebook ao lado da balança da justiça
Na imagem: pessoa com roupas formais digitam em um notebook ao lado da balança da justiça

A Lei Geral de Proteção de Dados revelou para muitos desavisados o valor que os dados têm no mundo digital. Além de ter destacado a importância do consentimento e da utilização racional dos dados por empresas, vedando o compartilhamento abusivo.

Contudo, para o Direito, sempre existem exceções e, para a LGPD, isso também é aplicável.

Portanto, aos que não estão em contato direto com esta norma no dia-a-dia, é valioso saber quando o consentimento pode ser dispensado no tratamento de dados pessoais.

Na imagem: homem aparece de mão estendida e um símbolo de nuvem com cadeado em está logo acima
Proteção de dados pessoais segundo a LGPD

Casos em que são dispensados o consentimento para a utilização de dados pessoais

Para que não reste mais dúvidas ao aplicador do Direito, separamos os casos exemplificados de casos em que a LGPD dispensa a necessidade de consentimento para o tratamento de dados pessoais. Veja a seguir:

Em virtude da necessidade de cumprimento de obrigações legais ou regulatórias

Há momentos em que o tratamento de dados pessoais é necessário para o cumprimento de uma obrigação regulatória realizada pelo controlador de dados. Nesses casos, o consentimento é dispensado

Mas o que isso quer dizer?

Significa que o cumprimento de obrigações legais é tão relevante que o consentimento neste caso não é essencial.

Ou seja, se uma organização precisar processar determinados dados objetivando cumprir alguma exigência legal/regulatória, ela poderá fazê-lo sem que o titular dos dados seja consultado.

Como exemplo, estão as declarações fiscais e previdenciárias que as empresas precisam declarar sobre os seus funcionários.

A medida objetiva cumprir obrigações tributárias e de contribuições, assim como dados de saúde dos colaboradores para garantir um ambiente de trabalho saudável e seguro.

Outra situação comum é quando instituições financeiras precisam tratar informações pessoais dos clientes para fins de relatórios obrigatórios a entidades regulatórias. O fornecimento desses dados faz parte das regras dos setores financeiros.

Vale dizer também que parte das exigências de concessão de informações no setor financeiro é justificada pelo combate à lavagem de dinheiro e ao financiamento do terrorismo.

Para o exercício regular de direitos em processo judicial

O tratamento de dados pessoais poderá ser realizado sem o consentimento do titular quando necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Trazendo para a realidade, isso quer dizer que um advogado poderá tratar dados pessoais de seu cliente sem seu consentimento quando isso for necessário para a sua defesa em processo judicial.

Outro caso ilustrativo seria quando uma empresa trata dados pessoais de um cliente sem o seu consentimento em virtude da sua necessidade de defesa em um processo administrativo.

Vale ressaltar que, mesmo nos casos em que o tratamento de dados pessoais possa ser realizado sem o consentimento do titular, o controlador ainda deverá observar os princípios previstos na LGPD.

Finalidade, adequação, necessidade, transparência, segurança, prevenção, não discriminação e responsabilização são alguns desses princípios.

Por fim, o controlador deverá informar ao titular sobre o tratamento de seus dados pessoais com uma política de privacidade clara e acessível.

Transferência de dados e comunicação ao titular

Em caso de tutela de direitos fundamentais e interesses de extrema relevância.

Os casos de tutela da saúde, educação, segurança, proteção financeira, prevenção a fraudes e proteção de crédito são alguns.

Na tutela dos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

O controlador dos dados pessoais refere-se organização que coleta e processa os dados. Existe, assim, a possibilidade do controlador ter algum interesse legítimo para realizar o tratamento desses dados, desde que isso não viole interesses fundamentais de seus titulares.

Os princípios sobre direitos de privacidade e proteção de dados devem ser sempre levados em conta para balanceá-los com a necessidade real de utilização ou compartilhamento.

Em caso de estudos por órgãos de pesquisa, garantida, sempre que possível a anonimização dos dados.

Muita atenção. Neste caso, os dados pessoais não podem ser utilizados para identificar o titular, a menos que isso seja essencial para a realização da pesquisa.

Imagine só que um órgão de pesquisa utiliza dados pessoais para realizar um estudo sobre os hábitos de consumo de uma população. No entanto, os dados pessoais não podem ser utilizados para identificar os indivíduos que participaram do estudo, exceto que seja necessário para a realização da pesquisa.

Além disso, o órgão de pesquisa tem o dever de informar ao titular sobre o tratamento de dados pessoais, por meio de uma política de privacidade clara e acessível.

Em casos de transferência internacional de dados para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;

Este é um caso muito específico. Aqui, o controlador deverá realizar a transferência internacional de dados pessoais, avaliando o nível de proteção de dados pessoais do país ou organização internacional de destino.

O controlador poderá utilizar, para isso, a lista de países que fornecem um nível adequado de proteção de dados pessoais. Tal lista é publicada pela Autoridade Nacional de Proteção de Dados (ANPD).

Caso, o país em questão não esteja no rol, medidas extras devem ser tomadas para garantir uma maior proteção.

Em caso de realização de pesquisas de opinião pública, estudos de mercado e navegação, desde que o tratamento seja anonimizado.

Para realizar a transferência de dados pessoais para fins de pesquisa, o controlador deve garantir que os dados pessoais sejam anonimizados.

Isso significa que os dados pessoais não podem ser utilizados para identificar o titular, a menos que seja necessário para a realização da pesquisa.

O controlador também deve informar ao titular dos dados pessoais sobre a transferência internacional de dados, antes de realizá-la.

Vale esclarecer que o titular dos dados pessoais deve ser informado a respeito da finalidade, do país de destino dos dados pessoais e das medidas de segurança adotadas pelo controlador para protegê-los.

Considerações Finais:

É muito comum cair em erro a respeito de como os dados pessoais são ou devem ser tratados porque antes o seu valor não era tão claro.

Esperamos que este artigo tenha esclarecido sobre as exceções para o uso de dados sem consentimento.

Para ler mais artigos e entender o impacto da tecnologia no mundo jurídico, acesse os demais artigos do blog. Não deixe de checar os Eventos de 2024 para se atualizar e, caso tenha interesse em alguma automação, visite nossa homepage.