Por Gustavo Chaves Barcellos e Layon Lopes*
Muito já foi falado sobre a utilização de dados pessoais no âmbito empresarial, mas, levando-se em conta os novos parâmetros legais que a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709 de 2018), quais são os limites impostos à Administração Pública?
É certo que os limites impostos às empresas diferem dos limites impostos ao Estado, mas acreditem, existem regras a serem observadas pela Administração Pública no que tange ao tratamento de dados pessoais, principalmente em tempos que o mundo sofre com a pandemia ocasionada pelo covid-19.
Primeiramente, cabe lembrar que, ao contrário do que o senso comum nos leva a crer, existe mais de uma hipótese que autoriza o tratamento de dados pessoais, além da obtenção do consentimento do titular, conforme preceitua o artigo 7 da LGPD:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O fato de haver mais de uma hipótese para fins de tratamento explica-se pela ponderação entre bens jurídicos muito caros a todos nós: O Direito à Privacidade e a obrigação da Administração Pública em zelar pela saúde pública.
Em tempos pandêmicos, se o Governo precisasse coletar o consentimento dos usuários para realizar o tratamento dos seus dados, para fins de combate ao covid-19, por certo, que jamais conseguiria adotar as medidas necessárias a tempo.
Neste sentido, no último ano, vivenciamos algumas discussões interessantes no que tange à utilização de dados pessoais pela Administração Pública.
A Medida Provisória nº 954, de 17 de abril de 2020, de autoria do Governo Federal, determinou, sem as devidas cautelas impostas pela LGPD, às prestadoras de serviços de telecomunicações o compartilhamento, compulsório, em meio eletrônico, de suas bases de dados contendo “nomes, números de telefone e endereços de seus usuários”.
Acertadamente, o STF interveio e, ao julgar a ADIN nº 6387/DF, suspendeu a sua eficácia pelo fato do ato emanado pelo Governo Federal porque, ainda que necessite de tais dados para adotar as medidas necessárias, o Estado deve se submete ao texto legal de proteção de dados e indicar com clareza o objetivo de tal medida, bem como assegurar o sigilo e confidencialidade dos dados tratados.
De qualquer forma, em que pese o episódio narrado anteriormente, a Administração Pública tem autorização não só para tratar dados pessoais, mas, inclusive, dados pessoais sensíveis (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).
Invariavelmente, para combater o covid-19, o tratamento dos dados pessoais sensíveis necessários deve observar os seguintes limites:
(i) Deve servir para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
(ii) É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados;
(iii) Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
Tal panorama segue uma tendência mundial, na qual, diversos governos, com variações, utilizam dados para controle populacional e monitoramento do espectro de infecção do vírus.
Por exemplo, na China, tem-se notícias da utilização de drones, tecnologia de reconhecimento facial, scanners infravermelhos, além da implementação de aplicativo para classificar as pessoas de acordo com o risco de contágio. Na Coréia do Sul, o Poder Executivo resolveu rastrear os celulares dos usuários para criar um mapa que fica disponível publicamente para que todos os cidadãos possam consultar por onde passaram as pessoas infectadas.
Diante deste panorama, conclui-se que a utilização de dados pessoais pela administração pública para fins de combate ao covid-19 é uma arma essencial nesta batalha. Entretanto, isso não quer dizer que, por conta desta necessidade, o Estado pode inobservar os parâmetros legais e constitucionais atinentes ao caso, principalmente no que tange: Os objetivos do tratamento, o tempo de duração e, principalmente, os mecanismos de segurança e sigilo dos dados tratados.
Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!
*Lopes é CEO do Silva | Lopes Advogados e Chaves Barcellos é integrante do time do escritório.
PODCAST
Como fazer um pitch matador?
