Módulo 2 - Tratamento de dados

1. Processos de tratamento
Retomando o conceito apresentado no primeiro módulo, tratamento é toda
operação realizada com dados pessoais, como as que se referem a:

Acesso - possibilidade de comunicar-se com um dispositivo, meio

de armazenamento, unidade de rede, memória, registro, arquivo,
ou outros, visando receber, fornecer, ou eliminar dados;

Armazenamento - ação ou resultado de manter ou conservar em

repositório um dado;

Arquivamento - ato ou efeito de manter registrado um dado,

embora já tenha perdido a validade ou esgotada a sua vigência;

Avaliação - ato ou efeito de calcular valor sobre um ou mais dados;

Classificação - maneira de ordenar os dados conforme algum

critério estabelecido;

Coleta - recolhimento de dados com finalidade específica;

Compartilhamento - comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento
compartilhado de bancos de dados pessoais por órgãos e
entidades públicas no cumprimento de suas competências legais,
ou entre esses e entes privados, reciprocamente, com autorização
específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados;

Comunicação - transmitir informações pertinentes às políticas de

ação sobre os dados;

Controle - ação ou poder de regular, determinar ou monitorar as

ações sobre o dado;

Difusão - ato ou efeito de divulgação, propagação, multiplicação

dos dados;

Distribuição - ato ou efeito de dispor de dados de acordo com

algum critério estabelecido;

Eliminação - ato ou efeito de excluir ou destruir dado do

repositório;

Extração - ato de copiar ou retirar dados do repositório em que se

encontrava;
Modificação - ato ou efeito de alteração do dado;

Processamento - ato ou efeito de processar dados;

Produção - criação de bens e de serviços a partir do tratamento de

dados;

Recepção - ato de receber os dados ao final da transmissão;

Reprodução - cópia de dado preexistente obtido por meio de

qualquer processo;

Transferência - mudança de dados de uma área de

armazenamento para outra, ou para terceiro;

Transmissão - movimentação de dados entre dois pontos por meio

de dispositivos elétricos, eletrônicos, telegráficos, telefônicos,
radioelétricos, pneumáticos etc.;

Utilização - ato ou efeito do aproveitamento dos dados, entre

outras.
As atividades de tratamento de dados pessoais também devem
observar os seguintes princípios (Art. 6º):

Finalidade: o tratamento deve ser realizado para propósitos legítimos,

específicos, explícitos e informados ao titular.

Adequação: o tratamento deve ser compatível com as finalidades

informadas ao titular.

Necessidade: o tratamento deve estar limitado ao mínimo necessário

para a realização das finalidades a que se destina.

Livre acesso: garantir aos titulares, a consulta facilitada e gratuita

sobre a forma e a duração do tratamento e à integralidade de seus
dados pessoais.

Qualidade dos dados: garantir aos titulares, exatidão, clareza,

relevância e atualização dos dados.

Transparência: garantir aos titulares, informações claras, precisas e

facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento.

Segurança: utilizar medidas técnicas e administrativas para proteção

dos dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas que resultem na sua destruição, perda,
alteração, comunicação ou difusão.

Prevenção: adotar medidas para prevenir a ocorrência de danos em

virtude do tratamento de dados pessoais.

Não discriminação: impossibilitar a realização do tratamento de dados

para fins discriminatórios, ilícitos ou abusivos.
 Responsabilização e prestação de contas: o agente de tratamento deve
demonstrar que adotou medidas eficazes e capazes de cumprir as
normas de proteção de dados pessoais.

2. Situações previstas na lei

A LGPD estabelece que os Agentes de Tratamento só podem realizar o
tratamento dos dados pessoais em determinadas situações ou "hipóteses".
Nesse caso, são dez hipóteses permitidas pela Lei, e não há entre elas
hierarquia ou maior grau de importância.
O que a Lei garante, em qualquer dessas hipóteses, é o equilíbrio entre a
proteção de dados e a privacidade: seu objetivo é proteger a privacidade e, ao
mesmo tempo, garantir o adequado fluxo de dados e informações, em proveito
tanto do titular quanto do mercado e da economia digital.

Cada base legal de tratamento de dados pessoais será identificada pelo

Controlador de acordo com a conveniência e a conformidade entre a finalidade
do tratamento e os princípios gerais da Lei presentes em cada uma das
hipóteses nela prescritas, apresentadas a seguir.

Entenda as hipóteses de tratamento permitidas:

Cumprimento de Obrigação Legal

Se há uma previsão legal ou regulamentar no sentido de que os

dados sejam tratados, essa base legal é bastante para que o
Controlador esteja coberto na execução do tratamento.

Exemplos

● Entrega anual da Declaração IRPF

● Recadastramento eleitoral com biometria
● Informação de doença infecto-contagiosa
Execução de Políticas Públicas

O gestor público pode tratar e fazer uso compartilhado de Dados

Pessoais para execução de Políticas Públicas. A execução dessas
políticas em prol do bem comum exige, frequentemente, o
tratamento compartilhado de dados pessoais.

Exemplos

● Tratamento de dados para execução de política de distribuição de renda

(bolsa família)
● Tratamento de dados para erradicação do analfabetismo
● Tratamento de dados para aumento da segurança alimentar
● Tratamento de dados para melhoria do ambiente de negócios

Realização de Estudos por Órgãos de Pesquisa

Esses estudos, como censo populacional, PIB, renda per capita,

nível de distribuição de renda, mapa da fome, nível de
alfabetização e comportamento do sistema educacional são
fundamentais para o crescimento do país. E deve ser garantido,
sempre que possível, que os dados pessoais permaneçam
anônimos.

Exemplos

● Censo realizado pelo IBGE (Instituto Brasileiro de Geografia e Estatística)

● Informações ao IPEA (Instituto de Pesquisa Econômica Aplicada)
● Saúde pública e doenças tropicais

Execução de Contrato

O simples ato de contratar já traz em si a vontade de materializar o

registro dos dados das partes no instrumento contratual, para o
conhecimento recíproco, pelo menos.
E se o objeto do contrato for o tratamento de dados do Titular, ou tiver esse
tratamento como consequência do objeto, a evidente manifestação de vontade
que existe se materializa neste instrumento particular válido firmado entre duas
pessoas, e é a base legal para o tratamento de dados pessoais.

Exemplos

● Contrato de aluguel
● Locação de veículo

Exercício Regular de Direitos

Essa hipótese legal confere legitimidade ao uso que os agentes de

tratamento façam dos dados tratados para atuação em defesa de
seus interesses perante autoridades em processos administrativos
ou judiciais. A finalidade original do tratamento é uma (garantir a
entrega e a contraprestação em um contrato, por exemplo). O uso
para esta outra finalidade (defesa) encontra respaldo nessa base
legal.

Exemplos

● Um Controlador utiliza os dados pessoais dos titulares para contestar

uma ação judicial por violação, em caso de não integridade dos dados
● Um Operador se utiliza dos dados para fazer prova em ação de reparação
de danos por vazamento de informação pessoal

Proteção da Vida

A base legal para o tratamento aqui é a proteção da vida do titular

ou de terceiros.

A privacidade de uma pessoa jamais será considerada um bem

maior que a vida humana, sua ou de terceiros. Por essa razão, se
alguém informa seus dados e circunstâncias (como tipo sanguíneo,
numa circunstância de acidente), não está havendo "violação de
dados".
Exemplos

● Um médico manipula dados ou informações de um paciente para

controle de quadro emergencial grave
● Alguém repassa o endereço de um suicida
● Alguém checa o histórico de vida pregressa de passageiros para
identificar um terrorista em ataque

Tutela da Saúde

Essa hipótese trata dos procedimentos para proteção da saúde

executados por profissionais do setor ou entidades sanitárias.

Exemplos

● Tratamento de dados relacionado a lista de pessoas que tiveram contato

com alguma infecção, com a finalidade de controle de pandemia
● Levantamento socioambiental de zonas afetadas por epidemia
● Perfil de habitantes de dada comunidade para fins de planejamento
sanitário

Interesse Legítimo

Esta base legal dá suporte ao tratamento executado com

legitimidade de interesse do Agente de Tratamento, do Titular ou
de terceiros. A prestação de um serviço que dependa do
tratamento de dados torna legítimo ao Agente de Tratamento
tratar os dados pessoais. Mas a legitimidade desse interesse só
prospera se ele se faz coerente com a legítima expectativa do titular ou de
terceiro em relação à finalidade e aos modos de tratamento.

Exemplos

● O endocrinologista depende dos dados pessoais (inclusive sensíveis) do

paciente para tratá-lo. O uso desses dados para promover mail marketing
de produtos de emagrecimento extrapola a legítima expectativa do Titular
 ● O serviço de helpdesk depende dos dados do titular para lhe prestar
atendimento e facilitar futuras demandas. O uso desses dados para
comercializar cadastros a terceiros viola a legítima expectativa do Titular
● O Cibercafé guarda os dados de seus usuários inclusive para segurança
do interesse de terceiros, pelo prazo de um ano. A transferência dos
registros de conexão a terceiros viola a legítima expectativa do Titular

Proteção ao Crédito

O tratamento de dados para proteção ao crédito é escudado por

esta base legal. As pendências obrigacionais, inadimplências e a
má-conduta de pessoas naturais e jurídicas na praça são
circunstâncias lesivas a toda a cadeia creditícia e contrárias aos
interesses da sociedade como um todo.

Exemplos

● O SERASA bloqueia usuários no uso de suas ferramentas de crédito

● Quando o Controlador se vale do cadastro positivo
● Quando alguém contrata o serviço DataValid
● Quando alguém usa o aplicativo VIO

Consentimento

O Agente (Controlador ou Operador) pode tratar a informação de

uma pessoa se tiver seu consentimento para tanto. O
Consentimento, para o Agente de Tratamento, é uma base legal
precária: pode ser revogado a qualquer momento, sendo
garantido ao usuário o direito de ver seus dados eliminados,
bloqueados, além do direito à portabilidade, que muito se ajusta a essa base
legal.

Exemplos

● Uma pessoa autoriza o uso do seu CPF numa rede de farmácias para fins
exclusivos de concessão de desconto na compra de um medicamento
 ● Alguém preenche um cadastro numa loja para ter acesso a promoções

Ouça o Episódio 4 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre a

diferença entre consenso e consentimento; a importância do consenso para a
viabilidade dos contratos e do comércio; e o interesse legítimo do controlador
ou de terceiros.

Tema: Consentimento x Consenso / Interesse Legítimo

Convidado: Ulysses Machado

https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast01.mp3

3. Dados pessoais sensíveis

Dados Pessoais Sensíveis são dados pessoais sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dados referentes à saúde, à vida ou
orientação sexual, dados genéticos ou biométricos, quando vinculados a uma
pessoa natural.

Enfim, são aqueles que, se expostos ou compartilhados, podem causar impacto

na vida pessoal ou profissional de alguém. A sensibilidade reside tanto no
enorme potencial de lesividade desses dados, quanto no interesse que suscitam
para os negócios.

Por isso mesmo, não apenas merecem uma maior proteção de seu tratamento
para resguardar a privacidade do Titular, mas também precisam ser tratados
levando em conta o forte interesse do mercado no controle dessas informações.
São oito hipóteses previstas na Lei.

1. Mediante Consentimento para finalidades específicas.

2. Cumprimento de Obrigação Legal ou regulatória pelo

Controlador.

3. Compartilhamento de dados necessários à execução de

Políticas Públicas.

4. Realização de Estudos por Órgão de Pesquisa, garantida,

sempre que possível, que os dados pessoais permaneçam
anônimos.

5. Exercício Regular de Direitos.

6. Proteção da Vida ou da integridade física do Titular ou de

terceiros.

7. Tutela da Saúde.

8. Garantia da Prevenção à Fraude e à Segurança do Titular.

As hipóteses de tratamento de Dados Sensíveis são mais restritas que a de
Dados Pessoais, sendo excluídos "Execução de Contrato", "Interesse Legítimo" e
"Proteção ao Crédito".

A Lei também veda às operadoras de planos privados de assistência à saúde o

tratamento de dados de saúde para a prática de seleção de riscos na
contratação de qualquer modalidade, assim como na contratação e exclusão de
beneficiários.

É expressamente vedada a comunicação ou o uso compartilhado entre

controladores de dados pessoais sensíveis referentes à saúde com objetivo de
obter vantagem econômica, exceto nas hipóteses relativas à prestação de
serviços de saúde, de assistência farmacêutica e de assistência à saúde,
incluídos os serviços auxiliares de diagnose e terapia, em benefício dos
interesses dos titulares dos dados, e para permitir:

1. a portabilidade de dados, quando solicitada pelo titular

2. as transações financeiras e administrativas resultantes do uso e da
prestação dos serviços de que trata este parágrafo.

Ouça o Episódio 5 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre

dados pessoais sensíveis e a relevância do consentimento no tratamento desses
dados.

Tema: Tratamento de dados pessoais sensíveis

Convidado: Ulysses Machado

https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast02.mp3
4. Dados de crianças e adolescentes
O tratamento de dados pessoais de crianças e adolescentes deve ser realizado
no seu melhor interesse, prevendo, contudo, regimes diversos para crianças e
adolescentes.

Criança é a pessoa com idade de até doze anos incompletos, e adolescente é

aquela entre doze e dezoito anos de idade (Estatuto da Criança e Adolescente,
Art. 2º).

O tratamento de dados pessoais de crianças e

adolescentes, naqueles casos em que a base legal seja o
consentimento, deve ser realizado com o consentimento
específico e em destaque emitido por pelo menos um dos
pais ou pelo responsável legal.

No tratamento de dados de crianças e adolescentes com

fundamento em outras bases legais, as restrições gerais
do Estatuto e do Código Civil prevalecem em relação ao
menor de idade. Por exemplo:

● Na execução de contrato o menor deve ser representado por seu

responsável;
● Nos tratamentos por força de Lei devem ser respeitadas as condições
específicas no tocante a menores;
● No caso de legítimo interesse, a legítima expectativa a ser avaliada deve
levar em conta o ponto de vista do representante do menor, enquanto tal.

A Lei, entretanto, traz exceção à regra acima mencionada, de forma que os

dados pessoais de crianças poderão ser eventualmente tratados sem o
consentimento exigido pela lei quando necessário para contatar os pais ou
responsáveis legais, a fim de garantir a proteção da criança ou adolescente,
desde que sejam utilizados uma única vez e sem armazenamento, e em nenhum
caso poderão ser repassados a terceiros.
 A participação desses Titulares (crianças e adolescentes) em jogos,
aplicações de internet ou outras atividades também não deve ser
condicionada ao fornecimento de informações pessoais além das
estritamente necessárias à atividade.

Ouça o Episódio 6 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre

especificidades no tratamento de dados de crianças ou de idosos.

Tema: Tratamento de dados pessoais de crianças e idosos

Convidado: Ulysses Machado

https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast03.mp3

5. Compartilhamento e transferência de dados

Este é o momento de responder as dúvidas mais comuns sobre o
compartilhamento e a transferência de dados pessoais:

Com as restrições que a LGPD impõe ao tratamento dos dados pessoais,

o uso compartilhado de dados entre órgãos da Administração Pública
pode ser realizado?
Sim...

Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve

atender às finalidades específicas de execução de políticas públicas e atribuição
legal pelos órgãos e pelas entidades públicas, como por exemplo informações
ao INSS, e-Social, fiscalizações, etc.

Por outro lado, todo e qualquer uso compartilhado não condizente com a
finalidade original deve ser informado ao Titular, sem prejuízo de obtenção do
consentimento explícito, ainda que este não tenha sido o fundamento da coleta
original.

Pode haver transferência de dados entre o Poder Público e o setor

privado?
A LGPD veda a transferência de dados entre o Poder Público e as empresas e
instituições privadas, exceto nos seguintes casos:

I. aqueles em que os dados forem acessíveis publicamente

II. na execução descentralizada de atividade pública que exija essa
transferência, exclusivamente para esse fim específico;
III. quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou acordos
IV. se o objetivo for a prevenção de fraudes e de proteção dos titulares dos
dados.

Em quais casos os dados pessoais poderão ser transferidos para fora do

Brasil?

A transferência internacional de dados pessoais somente será permitida para os

casos em que o país ou organismo internacional proporcionarem um grau de
proteção de dados adequado ao previsto na LGPD, ou quando forem oferecidas
pelo Controlador garantias de cumprimento dos princípios, dos direitos e do
regime da proteção da LGPD.

A transferência de dados também poderá ocorrer em outras hipóteses:

1. para fins de cooperação jurídica internacional entre órgãos públicos de

inteligência, de investigação e de persecução.
2. para os casos em que for necessária para proteger a vida ou a integridade
física do Titular dos dados pessoais ou de terceiros.
3. quando a Autoridade Nacional autorizar a transferência.
4. quando a transferência decorrer de acordo de cooperação internacional.
5. quando for necessária para a execução de política pública ou atribuição
legal do serviço público.
6. quando o Titular tiver fornecido seu consentimento específico e em
destaque para a transferência internacional.
7. quando servir para o cumprimento de obrigação legal ou regulatória pelo
Controlador.
8. quando necessário para a execução de contrato.
9. quando servir para o exercício regular de direitos em processo judicial,
administrativo ou arbitral.