Para que haja um tratamento de dados lícito a LGPD estabelece uma série de bases legais, tantos para dados pessoais como para dados pessoais sensíveis. Em linguagem popular seria a “justificativa” para a extração dos dados. O que faremos nos próximos encontros é analisar algumas delas, sob uma perspectiva exploratória.
A primeira a ser analisada está disposta no art.7º, II e art.11, I, alínea “a”, referente ao “cumprimento de obrigação legal ou regulatória pelo controlador”. A legislação diz expressamente a figura do controlador, entendido como quem detém poder decisório nas escolhas das finalidades e meios de tratamento. Aqui importante pontuar que nos casos de controladoria conjunta,1 cada um dos agentes deverá atentar para o cumprimento dessa norma, não relegando a apenas um realiza-la, uma vez que são figuras autônomas que tratam os mesmos dados.
Essa base legal lembra o agente de tratamento que para além da observância da LGPD há a necessidade de interpretar e analisar outras normas que disponham sobre o tratamento de dados, como é o caso dos provedores de aplicação que devem guardar, conforme o Marco Civil da Internet, os “registros de acesso a aplicações de internet”2 pelo prazo de seis meses.3 Nesse ponto vale destacar que tanto pessoa jurídicas de direito privado e público estão sujeitas a essa norma, ainda que a base legal em sequência (inc. III), expressamente destinada a administração pública, passe a ideia de que há essa divisão.
A esse respeito a própria ANPD apresenta posicionamento sobre o tema, especificando que essa base legal, quanto ao poder público, se ramifica em dois contextos normativos: a norma conduta e a norma de organização. A primeira estabelece “obrigações de forma direta e expressa, prevendo uma consequência específica em caso de descumprimento”, enquanto que a segunda institui “obrigações que estão associadas, de forma mais geral, ao próprio cumprimento e à execução de atribuições legais típicas da entidade ou do órgão público responsável pelo tratamento de dados pessoais”.4
Para a ICO, autoridade do Reino Unido, no contexto da GDPR inglesa, utilizar a “legal obligation” impede o titular de requerer o apagamento, a portabilidade ou a se opor ao tratamento,5 justamente por se tratar de comando normativo que não vem de interesse do responsável. Não há ainda manifestação da ANPD sobre esse ponto, mas parece ser uma interpretação acertada, frente a necessidade de os agentes de tratamento cumprirem efetivamente com a lei.
Essa autoridade ainda faz um apontamento de essa obrigação não ser necessariamente um ato legislativo,6 no sentido de ser específico, podendo ser encontrado em outros locais como o site de um governo ou industry guidence. Essa observação respeita o contexto da common law, onde a prática jurisprudencial tem destaque, a qual não pode ser importada de maneira acrítica para nosso cenário da civil law, mas não deixa de ser interessante, sob o ponto de vista do acompanhamento das especificidades de cada setor da sociedade, os quais editam orientações que auxiliam suas respectivas áreas no cumprimento da legislação.7
Essa necessidade de cumprimento legal, a par de ser utilizável para qualquer dado pessoal, quando existir norma que assim determine, não exime o controlador de atentar para a devida modulação da proteção quanto aos dados sensíveis dos titulares, devido ao maior risco de violação de garantias e direitos fundamentais em jogo.
Vale lembrar que um dado pode vir a ser tratado sob um requisito e em sequência ser tratado para o cumprimento de norma legal. É importante destacar pois nem sempre, após o tratamento, teremos o término para posterior eliminação, sendo essa uma das poucas justificativas que permitem o agente de tratamento apagar determinado dado, conforme art.16, inciso I da LGPD.8 Não pode o controlador, assim, argumentar que a obrigação legal não pode ser satisfeita porque a lei impôs o apagamento, quando ela mesma autoriza a conservação deste para essa finalidade.
____________________
Referências
________________________________________
1. Sobre controladoria conjunta confira-se: BRASIL, Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado. V. 2.0. Brasília. Abr. 2022. Disponível em: https://bit.ly/3z2N5pk. Acesso em: 24 jul. 2022
2. Art. 5º Para os efeitos desta Lei, considera-se: VIII – registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP. Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
3. Ainda que o conceito de “registros de acesso a aplicações de internet” não abarque diretamente dado pessoal, a LGPD lembra que é assim considerada a “informação relacionada a pessoa natural identificada ou identificável”, de forma que o endereço IP de um dispositivo, somado à data e hora de uso podem nos fornecer informação a respeito de uma pessoa.
4. BRASIL, Autoridade Nacional de Proteção de Dados. Guia Orientativo tratamento de dados pessoais pelo poder público. V 1.0. Brasília. Jan. 2022. p.10. Disponível em: https://bit.ly/3BiafJ9. Acesso em: 24 jul. 2022.
5. GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3DI2j1A. p.71. Acesso em: 24 jul. 2022.
6. “Recital 41 confirms that this does not have to be an explicit statutory obligation, as long as the application of the law is foreseeable to those individuals subject to it. So it includes clear common law obligations. This does not mean that there must be a legal obligation specifically requiring the specific processing activity. The point is that your overall purpose must be to comply with a legal obligation which has a sufficiently clear basis in either common law or statute. You should be able to identify the obligation in question, either by reference to the specific legal provision You should be able to identify the obligation in question, either by reference to the specific legal provision.” GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3DI2j1A. p.69-70. Acesso em: 24 jul. 2022.
7. Importante lembrar que compete privativamente à União legislar sobre a proteção e tratamento de dados pessoais, conforme art.22, inciso XXX da CRFB/88, adicionado pela Emenda nº115/2022.
8. Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – cumprimento de obrigação legal ou regulatória pelo controlador.
