A Lei Geral de Proteção de Dados Pessoais (“LGPD”) está a menos de 1 ano de entrar em vigor e os e empresários ainda têm diversas dúvidas relativas a sua aplicação.
Neste Informativo, abordaremos uma das maiores delas: quando é necessário o consentimento do titular para que se realize o tratamento de dados pessoais.
Além do consentimento do titular dos dados, a LGPD elenca 8 hipóteses em que a iniciativa privada pode realizar o tratamento de dados pessoais, a saber:
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- para a proteção do crédito.
Ou seja, se a finalidade do tratamento dos dados pessoais se enquadrar em alguma das 8 hipóteses relacionadas acima, não será necessário obter o consentimento do titular.
É de se notar, pois, que o consentimento pode ser considerado como uma exceção dentre as hipóteses legais de tratamento, o que é uma boa notícia para aqueles empresários que que se assustaram em um primeiro momento, com a expectativa de ter que solicitar o consentimento do titular sempre que fosse tratar dados pessoais.
Como visto, tudo depende da finalidade do tratamento dos dados.
Deve-se, no entendo, adotar extrema cautela ao se fazer este exercício de enquadramento nas hipóteses legais, pois, se a empresa realizar o tratamento que carecia de consentimento sem obtê-lo, poderá sofrer sanções administrativas impostas pela Agência Nacional de Proteção de Dados (a “ANPD”), que podem chegar a multa no valor de R$ 50 milhões, ou mesmo sofrer denúncias e/ou ações judiciais movidas pelos titulares envolvidos, buscando indenizações de cunho civil caso estes sofram algum tipo de dano.