A Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.70G/2018 e em vigor desde setembro de 2020, constitui o marco legal voltado à regulamentação do direito fundamental à proteção de dados pessoais no Brasil. Seu objetivo primordial é assegurar os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme expressamente disposto no art. 1º da norma.
A LGPD aplica-se a toda operação de tratamento de dados pessoais realizada por entidade pública ou privada, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que (I) a operação de tratamento seja realizada no território nacional; (II) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou (III) os dados pessoais objeto do tratamento tenham sido coletados no território nacional (art. 3º, incisos I a III, da LGPD).
A lei se aplica ao tratamento de:
-
Dados pessoais: informação relacionada a pessoa natural identificada ou
identificável (art. 5º, I), tais como CPF, RG, e-mail, dados bancários, dentre outros. -
Dados pessoais sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dados referentes à saúde ou à vida sexual, dado genético ou biométrico (art. 5º, II).
A LGPD não se aplica ao tratamento realizado (art. 4º):
- Por pessoa natural para fins exclusivamente particulares e não econômicos;
- Para fins exclusivamente jornalísticos, artísticos ou acadêmicos;
- Para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
- Provenientes de fora do território nacional que não sejam objeto de comunicação, uso compartilhado ou transferência internacional, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
No setor público, a LGPD aplica-se aos órgãos e entidades dos Poderes Executivo, Legislativo e Judiciário de todas as esferas federativas, incluindo o Ministério Público, conforme previsto no art. 23 da LGPD.
Os órgãos públicos assumem a posição de controladores no tratamento de dados pessoais, sendo responsáveis pelas decisões referentes ao processamento desses dados. Em razão disso, esses entes devem observar os princípios e as bases legais que legitimam o tratamento de dados pessoais, garantindo, por meio de ações institucionais, a proteção dos dados pessoais sob sua guarda.
A LGPD confere aos titulares um rol abrangente de direitos (arts. 18 e seguintes da LGPD), tais como o acesso facilitado aos dados, a correção de informações incompletas, a anonimização, a portabilidade, dentre outros. Tais direitos devem ser assegurados também pela Administração Pública, inclusive com o dever de transparência sobre a forma de tratamento desses dados pessoais.
Embora o consentimento do titular seja uma das hipóteses legais para o tratamento de dados (art. 7º, inciso I), esta não é a única base jurídica. Em se tratando de entes públicos, o tratamento de dados pessoais normalmente ocorre com fundamento em outras bases legais, como o cumprimento de obrigação legal ou regulatória (art. 7º, II) ou a execução de políticas públicas (art. 7º, III).
Assim, o tratamento de dados pessoais pelo poder público poderá ser realizado, independentemente do consentimento do titular, nas hipóteses do art. 7º, II (para o cumprimento de obrigação legal ou regulatória pelo controlador), e, especialmente, nos casos de execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (art. 7º, inciso III).
É fundamental evitar a equivocada ideia de que o consentimento seria requisito universal para qualquer tratamento de dados. No contexto público, inclusive, a obtenção de consentimento é excepcional e não se sobrepõe à legalidade estrita da atuação estatal.