Com a pandemia do COVID-19, tivemos modificações em inúmeros nichos de atuação, mudanças de comportamento, gestão, trabalho, consumo, convivência familiar, alterações de saúde, esgotamento por excesso de trabalho – Burn-out, desemprego na escala de milhões…
No paralelo comparativo entre LGPD-GDPR, na perspectiva do Compliance, passaremos a expor o que inferimos dos arts. 7º, VII [proteção da vida] e VIII [tutela da saúde] da LGPD e art. 6(d) [interesses vitais] do normativo europeu – o GDPR.
LGPD
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(…)
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (nossos destaques)
(…)
Os incisos acima, antecipam as bases legais que fomentam o bem jurídico da vida ou da incolumidade física (VII) e a defesa da saúde (VIII).
Relevante destacar que a utilização destas bases legais descritas no art. 7º, inc. VII e VIII, similarmente, se apoiam, se interconectam em ações relacionadas à categoria especial de dados, os dados sensíveis.
Na proteção da vida, e defesa da saúde, notamos situação peculiar, haja vista, a chance do Controlador, por meio de autorização específica da lei pátria, promover o tratamento de dados pessoais, sem consentimento do titular, com amparo adicional previsto no art.11, II, para abrigo de sua incolumidade física ou de terceiros ou da tutela da saúde.
Perceba a assistência deste art.11, alíneas e) e f), abaixo, englobando o tratamento dos dados referentes à saúde de seus titulares – os dados sensíveis.
Mas, qual base legal deve ser utilizada, neste contexto de proteção e amparo a saúde? No decorrer do artigo, tiraremos nossas conclusões…
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:,
(…)
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
(…)
Útil é o destaque dos princípios da necessidade, transparência e boa fé para o adequado enquadramento da base legal, sempre e enquanto existirem limites para que as proposições da proteção à vida e tutela da saúde, se fizerem prevalentes.
Renova, então, o tratamento mínimo dos dados pessoais, sem ensejo de coleta abusiva ou exagerada de dados, com amparo nos fundamentos mencionados acima.
Para melhor contextualização, e mesmo que não seja num cenário de pandemia, uma vez comprovado que a vida do titular ou de terceiro corre risco iminente, a LGPD admite que o Controlador processe os dados pessoais, sem consentimento dos titulares, com o intuito de proteção.
No Brasil, vários Estados e cidades, utilizaram a proteção das bases legais prevista no art. 7º ,VII, VIII, e principalmente, no art.11, II, al. e) e f) da LGPD para validar a coleta indiscriminada de dados, sem consentimento dos titulares, com finalidade de defesa e preservação da saúde da população local, mesmo sem resultado confirmado, seja positivo ou não, no caso de contaminação do vírus do COVID-19.
Para esse tipo de atuação, no que tange à LGPD, não houve a devida aderência quanto à conformidade da utilização mínima de dados. Pecou-se pela não preservação da segurança do titular e seus dados, riscos de vazamentos, incidentes.
Contudo, há inúmeras justificativas para o ocorrido com respaldo no momento de crise, extrema urgência da situação, em nome da tutela da saúde, proteção da vida, o que reforçou a utilização imprópria de dados sensíveis(dados de saúde), dados sensíveis merecedores de um tratamento particularizado com regras e termos mais restritivos.
Constatou-se absoluto despreparo no enfrentamento da situação.
Inclusive no ambiente da pandemia houve apoio em regramentos setoriais, como o Código Penal, CF/88, Código Civil e outros. Ilustrativamente, notamos, o art. 132 do CP:
Art. 132 – Expor a vida ou a saúde de outrem a perigo direto e iminente:
Pena – detenção, de três meses a um ano, se o fato não constitui crime mais grave. (nossos destaques)
A LGPD está em franco amadurecimento, caminhando para maior conscientização por parte da sociedade, assim como a proteção de dados. O incremento foi a promulgação na Constituição Federal, como garantia fundamental, na sequência:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: (…)
LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.(…) (nossos destaques)
Reforçamos que os pontos, ainda não totalmente esclarecidos na Lei, o serão no 2º semestre/22 por intermédio de um Guia de Boas Práticas, orientativo sobre bases legais, abrangendo as hipóteses descritas no art. 7º, dentre outros assuntos, conforme divulgado pela ANPD na Portaria nº 11/21 – Agenda Regulatória para o Biênio 2021-2022.
GDPR
Por seu turno, no regulamento europeu, identificamos certas diferenças e convergências com nosso ordenamento, que passamos a examinar.
O art.6(d) será empregado no tratamento, quando necessário proteger interesses essenciais do titular dos dados ou de outra pessoa natural. Temos aqui, a afinidade com nosso art. 7º, inc. VII.
Neste (artigo 6(d)), o tratamento de dados pessoais também deve ser considerado lícito quando necessário para proteger um interesse essencial à vida do titular dos dados ou de outra pessoa natural.
No GDPR, o tratamento de dados pessoais com base no interesse vital de outra pessoa singular deve, em princípio, só ocorrer quando o tratamento não puder ser manifestamente baseado noutra base jurídica, quando nenhuma outra base legal se aplicar ao caso.
O Considerando 46 do ordenamento europeu esclarece que um interesse vital é aquele que é “essencial para a vida” do titular dos dados e inclui o tratamento necessário para fins humanitários, bem como para “monitorar epidemias e sua propagação” e “situações de desastres”.
Monitorar epidemias para fins humanitários, evitando sua propagação, através do controle da circulação de pessoas, foi um argumento convincente utilizado pelos Órgãos Públicos e demais estabelecimentos, seja europeus e, mesmo no Brasil, para efetuarem o monitoramento dos dados dos titulares.
Ademais, o artigo 6(1)(d) GDPR só deve ser usado, ao contrário do artigo 9.º do GDPR, quando não é mencionada a capacidade do titular dos dados de dar consentimento para o tratamento.
Entretanto, o autor Waltraut Kotschy, no “The EU General Data Protection Regulation (GDPR), A Commentary, no Capítulo II, Article 6. Lawfulness of processing” argumenta que o princípio do processamento justo “pode exigir que o titular dos dados seja consultado, se possível”.
Em síntese, menciona-se o artigo “A possibilidade de cumulação de bases legais nas operações de tratamento de dados pessoais”, de Fabiano Menke, que muito auxiliou num diagnóstico mais fluido dos sistemas legais pátrio e europeu, com o principal esforço de ponderar cada situação, notadamente, a luz do princípio da boa fé, verificando conexão, após a leitura.
Os doutrinadores do GDPR, em grande maioria, estão atentos à perspectiva do enquadramento em uma única base legal, mas após estudo dos artigos da LGPD e GDPR, engrandecido pelo cenário pandêmico mundial, surgiram dúvidas…
No artigo de Fabiano Menke, há referência ao seu entendimento e, dentre outros doutrinadores brasileiros, há a concepção do Prof. Dr. Gerrit Hornung, L.M., da Universidade alemã de Kassel, quanto a permissibilidade do enquadramento pelo Controlador em mais de uma base legal.
Mais uma vez, percebemos a imposição do filtro do Controlador no adequado enquadramento entre base legal, princípios, compliance, finalidades, conforme o caso instalado, seja LGPD, seja GDPR, sem violações, consequências negativas, abusos aos titulares.
Por fim, somos favoráveis quanto a possibilidade de cumular bases legais, desde que haja moderação, conforme já exposto. Mesmo porque, para corroborar e fortalecer concepções, lançamos mão das leis setoriais.
Leis são dinâmicas, vivas, se moldam à realidade dos seus ordenamentos, ecossistemas, mesmo se embasando em regulamentos anteriores.
Contatos da autora Dra. Dayane Basile:
Telegram: Dayane Basile
Instagram: @dayanecbasile
Linkedin: https://www.linkedin.com/in/dayanecarneiro
********************************************************************
https://gdpr-info.eu/art-6-gdpr/
https://www.giarllarielli.adv.br/bases-legais-tratamento-de-dados-lgpd/
https://www.conjur.com.br/2020-abr-06/sociedades-risco-crime-perigo-vida-ou-saude-tempos-coronavirus
https://gdpr-text.com/pt/read/recital-40/
The EU General Data Protection Regulation (GDPR), A Commentary. CHRISTOPHER KUNER,LEE A. BYGRAVE, CHRISTOPHER DOCKSEY. Oxford University Press, 2020.
https://www.privacy-regulation.eu/pt/6.htm
https://gdprhub.eu/Article_6_GDPR
http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm
Um artigo maravilhoso…orientando aos leitores informacoes de grande utilidade p tdos.Parabens Dra. Dayane…
Muito obrigada pela leitura e dia do site!#gratidao 😉
Muito obrigada Bia pela atenção! Grande abraço! 😉