• Eduardo Natale

O tratamento de dados pessoais só pode ocorrer se houver consentimento?

Atualizado: Jan 26

O tratamento de dados pessoais só pode ocorrer em determinadas circunstâncias, previstas na Lei Geral de Proteção de Dados (LGPD). A mais evidente é o consentimento, que é a concordância do titular em ter seu dado tratado para uma finalidade específica.


Saiba que não serve qualquer manifestação de concordância: ela deve ser livre, informada e inequívoca.


Além do consentimento, existem outras nove possibilidades para tratar dados pessoais:


  1. Para cumprimento de obrigação legal ou regulatória. A empresa não precisa do consentimento do titular se houver uma lei ou normativa (por exemplo, da ANPD) que diga que é necessário processar um dado de certa maneira. Por exemplo, as empresas têm que guardar vários documentos para fins fiscais pelo tempo previsto em lei.

  2. Para execução de políticas públicas. Por exemplo, o SUS precisa lidar com um grande volume de dados pessoais, inclusive sensíveis, e terá que compartilhá-los com outras entidades privadas que compõem o sistema único.

  3. Para realização de estudos por órgãos de pesquisa, como o IBGE. Os dados deverão ser anonimizados para prevenir eventuais danos.

  4. Para execução de contratos. Por exemplo, uma clínica precisa lidar com vários dados dos empregados, como os bancários, que são necessários para o pagamento, em virtude do contrato de trabalho entre as partes.

  5. Para o exercício regular de direitos em processos. Por exemplo, digamos que um hospital não implementou um programa de governança em privacidade e veio a ser processado por um consumidor em razão de uma violação à LGPD. É direito do hospital defender-se das acusações e, para isso, talvez precise utilizar esses dados.

  6. Para proteção da integridade física do titular ou de terceiro. Por exemplo, um empregado passa mal e a empresa, ao solicitar atendimento de urgência, terá que compartilhar algumas informações sobre a pessoa.

  7. Para tutela da saúde, quando o procedimento é realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Aqui os negócios da Área da Saúde ganharam uma base legal na qual podem apoiar-se, mas isso não significa que não devem buscar o consentimento do paciente.

  8. Para atender o legítimo interesse do controlador ou de terceiro. Aqui cabe uma grande discussão sobre o que é legítimo interesse e seus limites, o que será discutido oportunamente em outro post. Simplificando, por enquanto, é do interesse (legítimo) do controlador utilizar dados pessoais para promover suas atividades e proteger o titular. Por exemplo, é interessante a um hospital possuir um CFTV nas suas dependências, seja por segurança ou outro motivo, na medida em que apoia a prestação dos seus serviços.

  9. Para proteção do crédito. Empresas como SPC e Serasa podem fundamentar suas atividades com base neste item, independentemente de consentimento. Por exemplo, um consumidor se torna inadimplente e tem seu nome inscrito em órgãos de restrição de crédito.


Importante destacar que essas dez hipóteses são para o tratamento de dados pessoais não sensíveis. Para dados pessoais sensíveis, como os referentes à saúde, as possibilidades são outras.


Embora muito se diga que o consentimento passou a ser obrigatório com a LGPD, como visto acima, existem várias outras hipóteses para lidar com dados pessoais. Aliás, a experiência europeia com a GDPR demonstrou que o consentimento nem sequer é base legal mais utilizada. Na verdade, o legítimo interesse e execução de contratos representaram a maioria.


Para saber qual a base legal mais adequada para o tratamento de dados pessoais na sua empresa, não dispense o aconselhamento jurídico qualificado.


Foto: Onlyyouqj / Freepik


Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook