Disciplina normativa aplicável para o tratamento de dados sensíveis
| Páginas | 127-204 |
3
DISCIPLINA NORMATIVA
APLICÁVEL PARA O TRATAMENTO
DE DADOS SENSÍVEIS
Após desenvolver a categoria dos dados s ensíveis, busca-s e no capítulo 03
analisar as normas relativas ao seu tratamento e às bases legais aplicáveis a eles, em
uma abordagem prática que leva em conta os diversos processos de tratamento
de dados e de adequação à LGPD.
3.1 TRATAMENTO DE DADOS PESSOAIS: REQUISITOS E
CARACTERÍSTICAS
Qualquer pessoa que trate dados pessoais, seja ela natural ou jurídica, de
direito público ou privado, inclusive na atividade realizada nos meios digitais,
deverá ter uma base legal para fundamentar os tratamentos realizados. Por base
legal, entende-se a hipótese legal disposta nos artigos 7º ou 11, a qual pode ser
complementada – a depender do caso concreto – pelas normas dos artigos 14 ou
23 da LGPD. Essas bases foram estipuladas de forma geral e variada, devendo even-
tuais detalhes e adequações serem especicados principalmente pela Autoridade
Nacional de Proteção de Dados, pelo Legislativo, pelo Judiciário e pela doutrina.1
Ainda que seja possível utilizar mais de uma base legal para determinado
tratamento de dados, é preciso buscar a base mais adequada e segura para a situa-
ção concreta, levando em conta práticas de mercado, orientações de especialistas,
guias de autoridades responsáveis pela proteção de dados em âmbito estrangeiro
e o equilíbrio entre os direitos dos titulares e as melhores opções para o desenvol-
vimento dos negócios.2 Mostra-se necessário que o agente de tratamento realize
uma análise ponderada que considere riscos e benefícios ao selecionar a base.
1. Cf. TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo
sobre as bases legais dos artigos 7º e 11. In: Bruno Bioni, Laura Schertel Mendes, Danilo Doneda,
Otavio Luiz Rodrigues Jr., Ingo Wolfgang Sarlet. (Org.). Tratado de Proteção de dados pessoais. 2. ed.
Rio de Janeiro: Forense, 2022.
2. A possibilidade de identicação de mais de uma base legal para determinada operação de tratamento de
dados tem encontrado respaldo tanto em algumas autoridades de proteção de dados quanto na doutrina
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
128
Cabe recordar que a noção de “tratamento” disposta na LGPD engloba toda
operação realizada com dados pessoais, como aquelas que se referem a coleta,
produção, recepção, classicação, utilização, acesso, reprodução, transmissão, dis-
tribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modicação, comunicação, transferência, difusão ou
extração. Há, assim, amplo rol de ações dispostas na lei dentro da ideia contida
em tratamento de dados pessoais. Por consequência, todas essas ações deverão
ser respaldadas por uma base legal.
No momento de seleção da base legal, mostra-se relevante reetir acerca
de algumas questões que envolvem o dado pessoal, seu titular e a forma de trata-
mento. Sobre isso, de forma didática, vale propor as seguintes perguntas:
europeia. O ICO do Reino Unido, por exemplo, ao comentar a aplicação do GDPR, arma: “You might
consider that more than one basis applies, in which case you should identify and document all of them
from the start” (ICO. Lawful basis for processing. Disponível em:
guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-
-processing/>). No mesmo sentido parece ter se posicionado o Grupo de Trabalho do Artigo 29, ainda
durante a vigência da Diretiva 95/46/CE, mas já após a aprovação do GDPR , em sua Opinion 03/2017
on Processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS) ,
quando armou que “Processing shall be lawful only if and to the extent that at least one of the following
cases applies: (a) the data subject has given consent to the processing of his or her personal data for
one or more specic purposes; (b) processing is necessary for the performance of a contract to which
the data subject is party; (c) processing is necessary for compliance with a legal obligation to which
the controller is subject; (d) processing is necessary in order to protect the vital interests of the data
subject or of another natural person; (e) processing is necessary for the performance of a task carried
out in the public interest or in the exercise of ocial authority vested in the controller; (f ) processing
is necessary for the purposes of the legitimate interests pursued by the controller or by a third party,
except where such interests are overridden by the interests or fundamental rights and freedoms of the
data subject” (Article 29 Working Party. Opinion 03/2017 on Processing personal data in the context
of Cooperative Intelligent Transport Systems (C-ITS). Adopted on 4 October 2017. Disponível em:
https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Guidelines/
WP249_EN.pdf?__blob=publicationFile&v=1). Esse posicionamento também vem sendo aceito por
parte da doutrina na Europa, sob a condição de que os controladores consigam demonstrar que todos
os requisitos para as distintas bases legais indicadas estão preenchidos: “(...) in practice, entities oen
based their processing activities on several legal bases. For example, where an entity processed personal
data based on their necessity for the performance of a contract, said entity would oen also obtain the
data subject’s consent. is preventive approach aimed at securing the lawfulness of the processing
operations in case one or several of the used legal bases would lose their legitimacy. is approach
can be upheld under the GDPR. However, entities should choose a primary legal per mission among
the available options. is is advisable as, under the Regulation, the conditions for obtaining valid
consent, as well as those regarding other legal bases for processing, have b een specied and tightened.
erefore, entities should—prior to processing—evaluate which legal basis might be most suitable
for their processing activities. Under the principle of accountability (see Sect. 3.1), entities must be
able to prove that the legal bases they use are fullled, e.g., when processing personal data based on
their prevailing legitimate interests, entities must be able to demonstrate their interests, as well as the
legitimacy of the latter” (VOIGT, Paul; BUSSCHE, Axel von dem. e EU General Data Protection
Regulation (GDPR). A Practical Guide. Springer, 2017, p. 101).
129
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
a) A LGPD é aplicável ao tratamento em questão (Arts. 1º e 3º)? O t ratamento
se enquadra nas exceções previstas no Art. 4º da LGPD?
b) O titular do dado é uma criança, um adolescente ou um adulto?
c) O dado pessoal é sensível?
d) O agente de tratamento está enquadrado no capítulo IV da LGPD (que
versa sobre o tratamento de dados pessoais pelo Poder Público)?
e) O dado p essoal foi coletado diretamente do titular ou foi obtido por meio
de terceiro? Qual a sua origem? A obtenção foi lícita?
f) Qual a nalidade do tratamento de dados pessoais?
Entende-se que tanto o rol do Art. 7º (destinado ao tratamento de dados
pessoais comuns) quanto o do Art. 11 (voltado ao tratamento de dados pessoais
sensíveis) são primordialmente taxativos,3 sendo complementados – a depender
do caso – pelos artigos 14 e 23 da LGPD. No Art. 7º, é pacíco o entendimento
de que todas as bases apresentam o mesmo peso e importância. Já no Art. 11
da LGPD, para corrente minoritária, o consentimento ali apresentaria alguma
preferência em face das demais bases, entendimento esse com o qual aqui não se
concorda.4 Outro fato relevante acerca das duas listas de bases legais é a ausên-
cia ou alteração de algumas bases relativas especialmente a contratos, legítimo
interesse e tutela do crédito.
3. No regulamento europeu de proteção de dados (GDPR), utiliza-se a mesma sistemática para a aplica-
ção das bases legais para o tratamento de dados pessoais: “e principle of ‘lawful processing’, which
is one of several data protection principles under Article 5 GDPR, requires that every processing
operation involving personal data must have a legal basis. Article 6(1) stipulates what may constitute
such a legal basis. At the same time, it must be kept in mind that legally sound processing of personal
data will necessitate fullling also all other of the core principles for processing personal data set out
by Article 5(1). e list of legal grounds for processing contained in Article 6(1) must be understood
as exhaustive and nal – it can neither be supplemented nor other wise amended by interpretation. As
far as Member States’ legislators are, at all, allowed to act under Article 6(1),1 all legislative activities
must keep within the strict boundaries it sets. e elements in the list must be seen to be legally equal.
ere is no ranking between Article 6(1)(a) to (f) in the sense that one ground has normative priority
over the others.3 However, in the private sector, consent (Article 6(1)(a)) may in practice play a salient
role as a potential substitute whenever there is no contractual context, no detailed legal rules about a
tting legal basis, or the scope of ‘legitimate interests of the controller or of a third party’ is particularly
dicult to assess. is may also be the reason why it was deemed necessary in the GDPR to dene valid
consent more extensively than the other legal grounds for processing and – compared to the DPD – to
add two articles (Articles 7 and 8) dealing with specic aspects of consenting” (KOTSCHY, Waltraut.
Lawfulness of processing. In: 2018 Dra commentaries on 10 GDPR articles (from Commentary on the
EU General Data Protection Regulation, OUP 2019). Oxford University Press, 2018, p. 37. Disponível
em: -kuner/1/>. Acesso em: 22.07.19).
4. Dispõe o enunciado n. 689, aprovado na IX Jornada de Direito Civil do CJF, em maio de 2022: “Não
há hierarquia entre as bases legais estabelecidas nos arts. 7º e 11 da Lei Geral de Proteção de Dados
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
130
Para melhor visualização da discussão, segue tabela com comparativo das
bases legais:
Bases legais Art. 7º da LGPD Art. 11 da LGPD
Consentimento:
manifestação livre, informada e inequívoca
pela qual o titular concorda com o trata-
mento de seus dados pessoais para uma
nalidade determinada (Art.5º, XII)
X
Consentimento dado, de for-
ma específica e destacada,
para nalidades especícas
Cumprimento de obrigação legal ou regu-
latória pelo controlador X X
Administração Pública e políticas públicas
pela administração pública, para
o tratamento e uso comparti-
lhado de dados necessários à
execução de políticas públicas
previstas em leis e regulamen-
tos ou respaldadas em contra-
tos, convênios ou instrumentos
congêneres, observadas as dis-
posições do Capítulo IV desta Lei
tratamento compartilhado de
dados necessários à execução,
pela administração pública, de
políticas públicas previstas em
leis ou regulamentos
Realização de estudos por órgão de pes-
quisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
X X
Necessário para a execução de contrato ou
de procedimentos preliminares relaciona-
dos a contrato do qual seja parte o titular, a
pedido do titular dos dados
X Sem correspondente
Exercício regular de direitos
para o exercício regular de direi-
tos em processo judicial, admi-
nistrativo ou arbitral
exercício regular de direitos,
inclusive em contrato e em
processo judicial, administra-
tivo e arbitral
Proteção da vida ou da incolumidade física
do titular ou de terceiro X X
Tutela da saúde, exclusivamente, em proce-
dimento realizado por prossionais de saú-
de, serviços de saúde ou autoridade sanitária
X X
Necessário para atender aos interesses legí-
timos do controlador ou de terceiro, exceto
no caso de prevalecerem direitos e liberda-
des fundamentais do titular que exijam a
proteção dos dados pessoais
XSem correspondente
Proteção do crédito, inclusive quanto ao
disposto na legislação pertinente XSem correspondente
Garantia da prevenção à fraude e à segurança
do titular, nos processos de identicação e au-
tenticação de cadastro em sistemas eletrônicos,
resguardados os direitos mencionados no art.
9º desta Lei e exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais.
Sem correspondente X
131
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Há autores que defendem a existência de uma outra base legal para o trata-
mento de dados pessoais no Art. 23 da LGPD5, que seria voltada para a execução
das competências legais ou o cumprimento das atribuições legais do ser viço
público.6 Contudo, é possível compreender que o tratamento de dados pesso-
ais para tais atividades já estaria contemplado, em grande parte, nas hipóteses
relativas ao cumprimento de uma obrigação legal (Art. 7º, II, e Art. 11, II, ‘a’), já
que a atuação da Administração Pública decorre de um mandamento legal, e ao
tratamento e uso compartilhado de dados necessários à execução de políticas
públicas (Art. 7º, III, e Art. 11, II, ‘b’). A previsão contida no Art. 23 traria apenas
requisitos adicionais e especícos para o tratamento de dados pessoais quando
realizado pelo poder público. Esse entendimento foi, inclusive, indicado em guia
da ANPD sobre o tratamento de dados pessoais pelo poder público:
O tratamento de dados pessoais pelo Poder Público deve se amparar em uma das hipóteses
previstas no art. 7º ou, no caso de dados sensíveis, no art. 11 da LGPD. Esses dispositivos devem
ser interpretados em conjunto e de forma sistemática com os critérios adicionais previstos
no art. 23, que complementam e auxiliam a interpretação e a aplicação prática das bases
legais no âmbito do Poder Público (...).7
Observa-se que a Administração Pública em determinados casos poderá
utilizar outras bases legais, como, por exemplo, a proteção da vida ou da incolu-
midade física do titular ou de terceiro; o exercício regular de direitos em processo
judicial, administrativo ou arbitral; a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido do
titular dos dados; e a tutela da saúde, exclusivamente, em procedimento reali-
zado por prossionais de saúde, serviços de saúde ou autoridade sanitária. Há
questionamentos relevantes acerca das possibilidades e dos procedimentos para
5. LGPD – “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no
parágrafo único doart. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação),
deverá ser realizado para o atendimento de sua nalidade pública, na persecução do interesse público,
com o objetivo de executar as competências legais ou cumprir as atribuições legais do ser viço público,
desde que: I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o
tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a prev isão legal, a
nalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos
de fácil acesso, preferencialmente em seus sítios eletrônicos; II – (VETADO); e III – seja indicado um
encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39
desta Lei; (...)”
6. MENDES, Laura Schertel; DONEDA, Danilo. Comentário à nova Lei de Proteção de Dados (L ei
13.709/2018): o novo paradigma da proteção de dados no Brasil. Revista de Direito do Consumidor, v.
120, p. 555, 2018.
7. ANPD. Guia Orientativo. Tratamento de Dados Pessoais pelo Poder Público. Janeiro/2022. Disponível
em: .br/anpd/pt-br/assuntos/noticias/no-dia-internacional-da-protecao-de-dados-
-anpd-publica-guia-orientativo-sobre-tratamento-de-dados-pess oais-pelo-poder-publico> Acesso
em: 02.02.2022.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
132
a eventual aplicação das bases legais do consentimento, diante da assimetria
entre as partes e da própria natureza da f unção pública, e do legítimo interesse
por parte da Administração.
De forma a evitar abusos no tratamento de dados (sensíveis ou não) e a
garantir os direitos do titular, ele poderá revogar o seu consentimento (Art. 18,
IX) ou pleitear o direito à oposição, que signica que o titular poderá se opor
a tratamento realizado com fundamento em uma das hipóteses de dispensa de
consentimento, em caso de descumprimento ao disposto na LGPD (Art. 18, §2º).
Além disso, encontra-se positivado o direito à explicação (Art. 20), que dispõe
que o titular dos dados tem direito a solicitar a revisão de decisões tomadas uni-
camente com base em tratamento automatizado de dados pessoais que afetem
seus interesses, incluídas as decisões destinadas a denir o seu perl pessoal,
prossional, de consumo e de crédito ou os aspectos de sua personalidade.
Observa-se que, diante do disposto no Art. 4º da LGPD, suas normas não
se aplicarão ao tratamento de dados pessoais (inclusive sensíveis):
a) Realizado por pessoa natural para ns exclusivamente particulares e não
econômicos, como, por exemplo, uma lista de contatos inserida em agenda
telefônica pessoal, no celular ou em formato físico; um álbum de fotos
particular; anotações pessoais em um caderno; troca de correspondência
íntima; lista de nomes de pessoas para permitir a entrada em condomínio
edilício; manutenção de registro de dados sensíveis de saúde de familiares
para ajudar em caso de emergência; e diário pessoal contendo gostos e
interesses de terceiros. Nesse caso, não há vantagem nanceira ou uso
prossional.
b) Realizado para ns exclusivamente jornalísticos ou artísticos. Essa exce-
ção visa a proteger a liberdade jornalística e a liberdade artística, ambas
protegidas como direitos fundamentais.8 Busca-se, em sentido amplo,
8. Tratamento mais protetivo para as liberdades também foi conferido no GDPR, buscando conciliar
sua tutela com a proteção de dados pessoais: “Artigo85.o Tratamento e liberdade de expressão e de
informação 1.Os Estados-Membros conciliam por lei o direito à proteção de dados pess oais nos
termos do presente regulamento com o direito à liberdade de expressão e de informação, incluindo o
tratamento para ns jornalísticos e para ns de expressão académica, artística ou literária. 2.Para o
tratamento efetuado para ns jornalísticos ou para ns de expressão académica, artística ou literária,
os Estados-Membros estabelecem isenções ou derrogações do capítulo II (princípios), do capítulo
III (direitos do titular dos dados), do capítulo IV (responsável pelo tratamento e subcontratante),
do capítulo V (transferência de dados pessoais para países terceiros e organizações internacionais),
do capítulo VI (autoridades de controlo independentes), do capítuloVII (cooperação e coerência) e
do capítulo IX (situações especícas de tratamento de dados) se tais isenções ou derrogações forem
necessárias para conciliar o direito à proteção de dados pessoais com a liberdade de expressão e de
informação. 3.Os Estados-Membros noticam a Comissão das disposições de direito interno que
adotarem nos termos do n.o2 e, sem demora, de qualquer alteração subsequente das mesmas.”
133
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
evitar uma utilização desvirtuada da LGPD para tolher as liberdades
comunicativas.9 Por maioria, o Plenário do Supremo Tribunal Federal
decidiu que é inconstitucional a exigência do diploma de jornalismo e
registro prossional no Ministério do Trabalho como condição para o
exercício da prossão de jornalista (Recurso Extraordinário 511.961,
julgado em 2009). No caso concreto, será importante analisar se a empresa
ou pessoa tem como atividade preponderante o jornalismo e se a notíci a
possui interesse público ou relevância social.10
c) Realizado para ns exclusivamente acadêmicos, aplicando-se a esta
hipótese os Arts. 7º e 11 da LGPD. Aqui, não se trata de hipótese de não
aplicação da LGPD, mas sim de aplicação mitigada ou parcial, visto que
há referência aos artigos que trazem as bases legais de tratamento.11
9. “Note-se, entretanto, que a exceção tem redação bastante restritiva, não podendo ser estendida ou
interpretada como uma carta branca às empresas jornalísticas no que respeita ao uso de dados pesso-
ais de terceiros a que tenham acesso. Tome-se, por exemplo, um jornalista que prepara uma matéria
sobre as características físicas de atletas prossionais de diferentes seleçõ es nacionais e as correlaciona
com o desempenho dos atletas e com situações de jogo que ocorrem ao longo de uma partida, como
número de gols de cabeça, distância percorrida no campo, nível de resistência etc. Ainda que infor-
mações como idade, altura e peso constituam dados pessoais e as conclusões obtidas pela matéria
sejam indubitavelmente resultado de uma atividade de tratamento, não há que se falar na aplicação
da LGPD ante a evidente nalidade informativa da mesma. Diferente é quando umsitejornalístico
monitora as características de seus usuários e as correlaciona com seu padrão de consumo, obtendo
informações como tempo médio de permanência nosite, tipo de conteúdo mais acessado etc. Tais
informações possuem alto valor de mercado, na medida em que são úteis para subsidiar atividades
comerciais das empresas jornalísticas, como a venda de anúncios publicitários. Nesse caso, dúvida
não há de que a transferência dos dados pessoais, ou do resultado obtido após o seu tratamento, deve
observar as normas da LGPD, ainda que ositeseja de conteúdo jornalístico.” (TURANO, Allan; NUNES,
Simone. Nova lei de proteção de dados pessoais e atividade jornalística, Levy & Salomão Advogados,
publicado em 15 de agosto de 2018. Disponível em: https://www.levys alomao.com.br/publicacoes/
boletim/nova-lei-de-protecao-de-dados-pessoais-e-atividade-jornalistica)
10. Information Commissioner’s Oce (ICO). Data protection and j ournalism: a guide for the media.
2014. Disponível em: -organisations/documents/1552/data-protec-
tion-and-journalism-media-guidance.pdf> Acesso em: 12.07.21. Até janeiro de 2022, estava aberta
consulta na ICO para o projeto de código de práticas no jornalismo. Disp onível em:
uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-on-the-dra-journalism-co-
de-of-practice/> Acesso em: 21.02.22.
11. “(...) o principal intuito deste artigo foi o de proteger a liberdade acadêmica e estabelecer um regime
de proteção de dados pessoais mais exível e mais adequado à dinâmica própria das atividades aca-
dêmicas. De um lado, nem todas as disposições da LGPD são aplicáveis; e, de outro, quando for este
o caso, é necessário fazê-lo em harmonia com o livre e legítimo exercício das atividades acadêmicas.
(...) “o âmbito de incidência da derrogação parcial da LGPD prevista em seu art. 4º, II, b, é restrito aos
tratamentos de dados pessoais vinculados de forma estrita – ou, conforme a terminologia utili-
zada na lei, exclusivame nte – ao exercício da liberdade de expressão nos ambientes acadêmicos.”
(ANPD. TEXTO PARA DISCUSSÃO Nº 1/2022. ESTUDO TÉCNICO. A LGPD e o tratamento de
dados pessoais para ns acadêmicos e para a realização de estudos por órgão de pesquisa.2022.) Cf.
ALMEIDA, Fábio. Guia de proteção de dados pessoais: pesquisa. São Paulo: CEPI-FGV Direito SP, 2020.
Disponível em: https://bibliotecadigital.fgv.br/dspace/handle/10438/30879. Acesso: 4 mar. 2022.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
134
d) Realizado para ns exclusivos de: segurança pública; defesa nacional;
segurança do Estado; ou atividades de investigação e repressão de infra-
ções penais. Nesses casos, os tratamentos realizados envolvem interesse
e segurança públicas. São atividades de competência do Poder Público.
e) Provenientes de fora do território nacional e que não sejam objeto de comu-
nicação, uso compartilhado de dados com agentes de tratamento brasileiros
ou objeto de transferência internacional de dados com outro país que não
o de proveniência, desde que o país de proveniência proporcione grau de
proteção de dados pessoais adequado ao previsto nesta Lei.
Dispõe o §1º, do Art.4º,da LGPD, queo tratamento de dados pessoais
previsto no inciso III será regido por legislação especíca, que deverá prever
medidas proporcionais e estritamente necessárias ao atendimento do interesse
público, observados o devido processo legal, os princípios gerais de proteção e
os direitos do titular previstos nesta Lei. Adicionalmente, a Autoridade Nacional
de Proteção de Dados emitirá opiniões técnicas ou recomendações referentes às
exceções previstas no inciso III docaputdeste artigo e deverá solicitar aos res-
ponsáveis relatórios de impacto à proteção de dados pessoais (§3º), sendo neste
caso obrigatório elaborar o relatório.
Diante da previsão legal, uma comissão de juristas foi criada pelo presidente
da Câmara (na época) para elaborar anteprojeto de legislação especíca12, que
foi divulgado em novembro de 2020 e cou conhecido como a “LGPD Penal”.
Esse anteprojeto busca oferecer parâmetros especícos e seguros para operações
de tratamento de dados pessoais no âmbito de atividades de s egurança pública
e de persecução criminal, equilibrando tanto a proteção do titular contra abusos
quanto o acesso de autoridades a todo potencial de ferramentas e plataformas
para segurança pública e investigações.13 Não cobre, por tanto, toda a extensão
de atividades do inciso III. 14
12. Câmara dos deputados. Ato do Presidente, de 26 de novembro de 2019. Disponível em: https://w ww2.
camara.leg.br/atividade-legislativa/comissoes/grupos-de-trabalho/56a-legislatura/comissao-de-ju-
ristas-dados-pessoais-seguranca-publica/conheca-a-comissao/criacao-e-constituicao/ato-de-criacao.
Acesso em: 14.07.21.
13. Exposição de motivos: Anteprojeto de Lei de Proteção de Dados para segurança pública e persecução
penal. “Ar t. 1º Esta Lei dispõe sobre o tratamento de dados pessoais realizado por autoridades com-
petentes para atividades de segurança pública e de persecução penal, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.”
14. Na exposição de motivos do anteprojeto, armou-se que: “(...) há um enorme décit de proteção
dos cidadãos, visto que não há regulação geral sobre a licitude, a transparência ou a segurança do
tratamento de dados em matéria penal, tampouco direitos estabelecidos ou requisitos para utilização
de novas tecnologias que possibilitam um grau de vigilância e monitoramento impensável há alguns
anos. Apesar do crescimento vertiginoso de novas técnicas de vigilância e de investigação, a ausência
135
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
A LGPD inspirou-se claramente no Regulamento europeu de proteção de
dados. A norma europeia regulou o tratamento de dados para ns de segurança
pública e persecução penal separadamente de seu marco normativo aplicável ao
tratamento de dados pessoais como um todo (Regulamento 679/2016), havendo,
assim, norma especial: a Diretiva (UE) 2016/680 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, a qual estabelece regras especícas relativas
à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção, investiga-
ção, detecção ou repressão de infrações penais ou execução de sanções penais,
incluindo a salvaguarda e prevenção de ameaças à segurança pública. Como
apresentado, a mesma escolha pela lei especíca foi tomada na LGPD, em seu
Art. 4º, par. 1º, para atividades estratégicas do Poder Público voltadas à proteção
do Estado e dos cidadãos.15
Na LGPD, acerca do tratamento de dados para ns exclusivos de segurança
pública (Art.4º, III, “a”), vale levantar algumas questões: o bem tutelado seria
apenas a segurança pública em sentido estrito ou poderia ser alargado em um
contexto próximo ao de interesse público? Questões de segurança nacional estão
englobadas pelo Art. 4º, III, da LGPD? Como poderia ser aplicada a mencionada
exceção para respaldar tratamentos de dados advindos de reconhecimento facial
realizado pelo Estado? Quais seriam os limites se a mencionada tecnologia fosse
fruto – como geralmente ocorre – de uma parceria com agente privado? 16 17
de regulamentação sobre o tema gera uma assimetria de poder muito grande entre os atores envolvidos
(Estado e cidadão).”
15. Cf. FERGUSON, Andrew. e Rise of Big Data Policing: Surveillance, Race, and the Future of Law
Enforcement. New York University Press, 2017. ANGWIN, Agoia; LARSON, Je; MAT TU, Sur ya;
KIRCHNER, Laure. Machine Bias: Risk assessments in criminal sentencing. ProPublica, publicado em
maio de 2016. Disponível em: opublica.org/article/machine-bias-risk-assessments-
-in-criminal-sentencing> MAYSON, Sandra Gabriel. Bias In, Bias Out. University of Georgia School of
Law Legal Studies, Research Paper No. 2018-35. Disponível em:
Acesso em: 03.05.21.
16. TEFFÉ, Chiara Spadaccini de; FERNANDES, Elora. Tratamento de dados sensíveis por tecnologias
de reconhecimento facial: proteção e limites. In: Gustavo Tepedino; Rodrigo da Guia Silva. (Org.). O
Direito Civil na Era da Inteligência Articial. 1ed.São Paulo: Editora dos Tribunais, 2020, v. 1, p. 283-
310.
17. A título exemplicativo, recorda-se experimento promovido durante o Carnaval de 2019 no Rio de
Janeiro pela Polícia Militar e empresa de telefonia. Os dados foram tratados pela Oi e houve aplicação
de tecnologia da Huawei, quando algumas pessoas foram presas. Nesse cas o, houve intenso debate
sobre os dados coletados, a falta de transparência da empresa sobre determinados tratamentos reali-
zados e a real efetividade da tecnologia (MARTINS, Helena. Reconhecimento Facial: a banalização
de uma tecnologia controversa.Le Monde Diplomatique Brasil. 22 abr. 2020. Disponível em: https://
diplomatique.org.br/reconhecimento-facial-a-banalizacao-de-uma-tecnologia-controversa/. Acesso
em: 08 de maio 2020.)
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
136
Pensando na última questão, o parágrafo 2º, do Art. 4º, destaca que é vedado
o tratamento dos dados a que se refere o inciso III por pessoa jurídica de direito
privado, exceto em procedimentos sob tutela de pessoa jurídica de direito públi-
co, que serão objeto de informe especíco à Autoridade Nacional e que deverão
observar a limitação imposta no parágrafo 4º: “Em nenhum caso a totalidade
dos dados pessoais de banco de dados de que trata o inciso III docaputdeste
artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que
possua capital integralmente constituído pelo p oder público”, como é o caso da
empresa pública.
Feitas essas considerações, sendo um tratamento de dados pessoais em que
haja a aplicação da LGPD18, deverá desde logo o agente indicar base legal perti-
nente para o tratamento pratic ado, levando em conta especialmente os tipos de
dados em questão, a idade do titular e sua natureza jurídica enquanto agente de
tratamento (se privada ou pertencente ao setor público). Diante do recorte pro-
posto para a presente tese, passa-se ao longo dos próximos títulos para o estudo
aprofundado e crítico das bases legais relativas ao tratamento de dados pessoais
sensíveis de adultos, adolescentes e crianças.
3.2 SELEÇÃO DA BASE LEGAL MAIS ADEQUADA PARA O TRATAMENTO
DE DADOS SENSÍVEIS
Dispõe a LGPD em seu artigo 11 que o tratamento de dados pessoais sen-
síveis somente poderá ocorrer nas seguintes hipóteses: I – quando o titular ou
seu responsável legal consentir, de forma especíca e destacada, para nalidades
especícas; ou II – quando sem fornecimento de consentimento do titular, nas
hipóteses em que for indispensável para as situações expressas nas alíneas desse
artigo: a) cumprimento de obrigação legal ou regulatória pelo controlador; b)
tratamento compartilhado de dados necessários à execução, pela administração
18. LGPD – “Ar t. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e
devem ser observadas pela União, Estados, Distrito Federal e Municípios. (...) Art. 3º Esta Lei aplica-se a
qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público
ou privado, independentemente do meio, do país de sua se de ou do país onde estejam localizados os
dados, desde que: I – a operação de tratamento seja realizada no território nacional; II – a atividade
de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ouIII – os dados pessoais objeto do tratamento
tenham sido coletados no território nacional. § 1º Consideram-se coletados no território nacional
os dados pessoais cujo titular nele se encontre no momento da coleta. § 2º Excetua-se do disposto no
inciso I deste artigo o tratamento de dados previsto no inciso IV docaputdo art. 4º desta Lei.”
137
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
pública, de políticas públicas previstas em leis ou regulamentos;19 c) realização
de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimiza-
ção dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em
contrato e em processo judicial, administrativo e arbitral, este último nos termos
daLei de Arbitragem (Lei nº 9.307, de 23 de setembro de 1996); e) proteção da
vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclu-
sivamente, em procedimento realizado por prossionais de saúde, serviços de
saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança
do titular, nos pro cessos de identicação e autenticação de cadastro em sistemas
eletrônicos, resguardados os direitos mencionados no Art. 9º d a LGPD e exceto
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam
a proteção dos dados pessoais.
Nessa situação, devem todos os cuidados já previstos para o tratamento dos
dados ser aplicados de forma ainda mais intensa, já que para os dados sensíveis
se espera um padrão ainda mais rigoroso de proteções técnica e jurídica. Em
um tratamento especíco em que haja mescla de dados pessoais sensíveis e não
sensíveis deverá prevalecer, naturalmente, um critério de maior rigor, de forma
que os tratamentos de dados respeitem a necessidade de uma base legal disposta
no Art. 11 da LGPD.
Em leitura comparativa das bases legais, como apresentado acima, verica-se
que o artigo 11 mantém várias das bases já previstas no artigo 7º para o tratamen-
to de dados pessoais, deixando de fora expressamente do tratamento de dados
sensíveis as hipóteses de atendimento aos interesses legítimos do controlador ou
de terceiro (Art. 7º, IX) e de proteção do crédito (Art. 7º, X)20. A base referente ao
19. Art. 11, II, §2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II docaputdeste artigo
pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento,
nos termos do inciso I docaputdo art. 23 desta Lei.
20. Recorda-se que, na Lei do Cadastro Positivo (Lei n. 12.414/11), os bancos de dados poderão conter
informações de adimplemento do cadastrado, para a formação do histórico de crédito, nas condições
estabelecidas nesta lei, cando proibidas as anotações de informações sensíveis ou excessivas. Para a
formação do banco de dados, somente poderão ser armazenadas informações objetivas, claras, verda-
deiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado.
A vedação do uso de dados sensíveis busca evitar a utilização discriminatória da informação e garantir
o dever de respeito à privacidade do consumidor. Nesse sentido, no Recurso Especial 1.419.697 (DJe
17/11/2014), foi estabelecido que na avaliação do risco de crédito devem ser respeitados os limites
estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da
máxima transparência nas relações negociais, como disposto no Código de Defesa do Consumidor
e na Lei 12.414/11. Além disso, no tocante ao sistema scoring de pontuação, armou-se que, “Apesar
de desnecessário o consentimento do consumidor consultado, devem ser a ele fornecidos esclareci-
mentos, caso solicitados, acerca das fontes dos dados considerados (histórico de crédito), bem como
as informações pessoais valoradas” (entendimento que motivou a Súmula 550 do STJ). Em seguida,
destacou-se que não podem ser valoradas pelo fornecedor do serviço de credit scoring informações
sensíveis, cando caracterizado abuso do direito a utilização de informações sensíveis, excessivas,
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
138
contrato recebe no artigo 11 novos contornos, podendo o tratamento de dados
sensíveis se dar para o exercício regular de direitos, inclusive em contrato.
O legítimo interesse é hipótese legal que visa a possibilitar tratamentos de
dados pessoais, por parte do controlador ou de terceiro, que estejam vinculados
ao escopo de suas atividades e que encontrem justicativa legítima.21 Há no caso
relação relevante e apropriada entre o titular dos dados e o responsável pelo seu
tratamento, como, por exemplo, em situações quando o titular é um cliente do
controlador e este deseja aplicar ações de marketing direto. Diante da exibilida-
de dessa base legal, as expectativas do titular dos dados têm peso especialmente
relevante para a sua aplicação, devendo ser consideradas também a nalidade,
a necessidade e a proporcionalidade da utilização dos dados no caso concreto.22
Dessa forma, a existência de um interesse legítimo exige uma avaliação
cuidadosa, incluindo se o titular dos dados pode razoavelmente esperar, no mo-
mento e no contexto da coleta dos dados, que o tratamento para esse m possa
ocorrer. Os interesses e direitos fundamentais do titular podem, em particular,
prevalecer sobre o interesse do responsável pelo tratamento quando os dados
pessoais forem tratados em circunstâncias em que os titulares não esperem um
tratamento posterior.
Quanto mais invasivo, inesperado ou genérico for o tratamento, menor será
a probabilidade de que seja reconhecido o legítimo interesse do controlador ou de
terceiro no caso concreto. Incluem-se, aqui, dentre outras relações, tratamentos
de dados pessoais em que a obtenção do consentimento do titular poderia atrasar
— ou mesmo inviabilizar — a exploração regular das informaçõ es. Mostrar que
há um interesse legítimo signica que o controlador (ou um terceiro) deve ter
algum benefício ou resultado claro e especíco com o tratamento, não sendo ta l
incorretas ou desatualizadas. Veja-se, a esse título, Transparência e Governança nos algoritmos: um
estudo de caso sobre o setor de birôs de crédito. Disponível em:
transparencia-e-governanca-nos-algoritmos-um-estudo-de-caso/>Acesso em: 14.07.21
21. Análise do legítimo interesse extraída do seguinte artigo: TEFFÉ, Chiara Spadaccini de; VIOLA,
Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais dos artigos 7º e 11. In:
BIONI, Bruno; DONEDA, Danilo; SARLET, Ingo Wolfgang; SCHERTEL, Laura; JUNIOR, Otavio
Luiz Rodrigues (Coord.). Tratado de Proteção de D ados Pessoais. 1ª ed. Rio de Janeiro: Editora Forense,
2021.
22. Acerca do legítimo interesse, vale ressaltar dois enunciados aprovados na IX Jornada de Direito Civil do
CJF em maio de 2022: “A legítima expectativa do titular quanto ao tratamento de seus dados pessoais
se relaciona diretamente com o princípio da boa-fé objetiva e é um dos parâmetros de legalidade e
juridicidade do legítimo interesse.” e “O interesse legítimo do terceiro, mencionado no inciso IX do
art. 7º da Lei Geral de Proteção de Dados, não se restringe à pessoa física ou jurídica singularmente
identicadas, admitindo-se sua utilização em prol de grupos ou da coletividade para atividades de
tratamento que sejam de seu interesse.”
139
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
interesse ilegítimo, antiético ou ilegal. Não basta armar a existência de interesses
vagos ou genéricos. 23
Exemplos de aplicação da base legal do legítimo interesse são: a) o trata-
mento de dados pessoais estritamente necessário aos objetivos de prevenção e
controle de fraudes24 ou para garantir a s egurança da rede e da informação nos
sistemas informáticos de determinada instituição;25 b) fornecimento de imagens
23. Como exemplos de legítima expectativa de tratamento dados, vale trazer o seguinte exemplo: “An
individual uploads their CV to a jobs board website. A recruitment agency accesses the CV and thinks
that the individual may have the skills that two of its clients are looking for and wants to pass the CV
to those companies. It is likely in this situation that the lawful basis for processing for the recruitment
agency and their clients is legitimate interests. e individual has made their CV available on a job
board website for the express reason of employers being able to access this data. ey have not given
specic consent for identied data controllers, but they would clearly expect that recruitment agencies
would access the CV and share with it their clients, indeed, this is likely to be the individual’s intention.
As such, the legitimate interest of the recruitment agencies and their clients to ll vacancies would not
be overridden by any interests or rights of the individual. In fact, thos e legitimate interests are likely to
align with the interests of the individual in circulating their CV in order to nd a job.” Outro exemplo a
se mencionar seria: “An individual creates a prole on a social networking website designed specically
for professional networking. ere is a specic option to selec t a function to let recruiters know that
the individual is open to job opportunities. If the individual chooses to select that option, they would
clearly expect those who view their prole might use their contact details for recruitment purposes
and legitimate interests may be available (subjec t to compliance with other legal requirements, and
PECR in particular). However, if they choose not to select that option, it is not reasonable to assume
such an expectation. e individual’s interests in maintaining control over their data – particularly in
the context of the PECR requirement for specic consent to receive unsolicited marketing messages
– overrides any legitimate interests of a recruitment agency in promoting its services to potential can-
didates.” Exemplos disponíveis em: otection/
guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/what-is-the-legitimate-
-interests-basis/>. Acesso em: 27.09.21.
24. “Algo bastante comum é a criação de pers comportamentais dos consumidores para combater fraudes
e incidentes de segurança, pelos quais se diagnosticam atividades que fogem do padrão para tratá-las
como suspeitas. É por esse motivo que serviços de e-mail, rede social e instituições nanceiras alertam
seus clientes e, em muitos casos, bloqueiam automaticamente acessos e transações nanceiras. Por
exemplo, se o acesso a uma conta parte de um dispositivo diferente, se a compra supera valores e é
realizada em locais que não aqueles usuais. Todos esses dados informam ações de combate a fraudes
e incidentes de segurança” (BIONI, Bruno. Proteção de dados pessoais: a função e os limites do con-
sentimento. 2. ed. Rio de Janeiro: Forense, 2020, p. 241).
25. Muitas empresas precisam tratar certos dados pessoais para cumprir com os padrões da indústria,
requerimentos dos reguladores e outros requisitos relacionados à prevenção de fraudes e lavagem de
dinheiro, como, por exemplo, instituições nanceiras, bancos, empresas de cartão de crédito, segura-
doras e outras organizações com negócios voltados para o consumidor. Entende-se que as instituições
nanceiras e as redes de pagamento devem processar dados pessoais de indivíduos para monitorar,
detectar e prevenir fraudes. Em particular, as redes de pagamento estão em uma posição privilegiada
para monitorar e detectar sinais de fraude nos participantes do ecossistema de pagamento. Elas po-
dem alertar em tempo real as instituições nanceiras de que uma transação de pagamento pode ser
fraudulenta, para que elas possam noticar os titulares de cartões individuais afetados e / ou tomar
uma decisão quanto a aprovar ou negar uma transação de pagamento. (Cf. Recommendations for Im-
plementing Transparency, Consent and Legitimate Interest under the GDPR. Centre for Information
Policy Leadership GDPR Implementation Project. Publicado em 19 de maio de 2017)
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
140
de câmeras de segurança para ns de seguro (a nalidade é a prevenção e controle
das fraudes na esfera securitária, não havendo o tratamento de dados sensíveis);
c) segurança e melhoria de produtos e serviços ao consumidor; d) tratamentos
de dados de empregados para programas de retenção de talentos e iniciativas de
bem-estar; e) no caso de uso de dados por uma empresa para fazer ofertas mais
adequadas e personalizadas a seus clientes, usando apenas os dados estritamente
necessários para tal (marketing direto); f ) envio de e-mail com descontos especí-
cos para os produtos buscados por determinado usuário ou com indicações de
compras, tomando como base seu histórico de compras; g) lembrar ao usuário
que ele deixou itens no carrinho online, mas não nalizou a compra; e h) reunião
de informações – de forma e em ambientes lícitos – sobre determinado candidato
em processos seletivos.
Em relação à base legal do legítimo interesse, dentro de uma abordagem
prática, é comum o seu questionamento em relações em que há a presença de
algum dado sensível ou quando o controlador não tem contato direto com o indi-
víduo e não pode pedir seu consentimento ou, ainda, em questões que envolvem
segurança, vericação e autenticação de pessoas. Os exemplos incluem o uso de
circuito fechadoou interno de televisão, de reconhecimento facial por varejistas,
para identicarem ladrões de lojas conhecidos, ou de impressões digitais para
identicação de pagamento.
Na LGPD, a hipótese legal do legítimo interesse não foi disponibilizada para
o tratamento de dados sensíveis, devendo a atividade ser encaixada nas demais
bases legais dispostas no Art. 11 da lei, que traz entre elas o consentimento, a pro-
teção da vida ou da incolumidade física do titular ou de terceiro26, a possibilidade
de tratamento para a garantia da prevenção à fraude e à segurança do titular, nos
26. Exemplo de aplicação: durante o período mais grave da pandemia de COVID-19, uma empresa decidiu
retomar parcialmente as suas atividades presenciais na sede, havendo, para isso, o estabelecimento de
uma série de medidas sanitárias e de segurança. Ela estabeleceu rotina de checagem de temperatura
corporal por meio de um aparelho medidor especíco. Diariamente, na entrada, um prossional
designado “testava” todos os funcionários, medindo sua temperatura e comunicando o resultado a
cada um individualmente. A temperatura era registrada em uma planilha simples, associada ao nome
do funcionário, à data de coleta e ao horário de entrada. Se um funcionário apresentasse temperatura
corporal elevada, ele seria impedido de entrar no prédio para trabalhar. Contestando a referid a análise,
funcionário apontou que nunca fora pedida a sua autorização expressa para a realização da testagem e
que não lhe fora dada a opção de se opor à prática (opt-out). Além disso, destacou que a medição não
era precisa, que não necessariamente a temperatura elevada seria um sinal de estar com COVID-19 e
que seu afastamento do trabalho seria injusticado. Analisando o caso, entende-se que o empregador
não poderia se valer do legítimo interesse para embasar o tratamento de dados realizado, visto que há
dados sensíveis sendo coletados, quais sejam, dados de saúde. Outra observação relevante envolve a
desnecessidade do armazenamento de tais dados de saúde conjugados com outros dados pessoais, visto
que a suposta utilidade desses dados se perdia rapidamente. (BIONI, Bruno; KITAYAMA, Marina;
RIELLI, Mariana. O Legítimo Interesse na LGPD: quadro geral e exemplos de aplicação. São Paulo:
Associação Data Privacy Brasil de Pesquisa, 2021. p.43-44).
141
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
processos de identicação e autenticação de cadastro em sistemas eletrônicos,
o exercício regular de direitos em contrato e o cumprimento de obrigação legal
ou regulatória pelo controlador.27
O legítimo interesse justamente por apresentar maior exibilidade ao agente
de tratamento vai apresentar algumas limitações p ara a sua aplicação, devendo ser
realizado antecipadamente um teste de ponderação28. Busca-se, assim, balancear
os direitos do titular e de quem faz uso de suas informações, vericando-se tanto se
há um interesse legítimo de quem trata os dados quanto se estão sendo respeitadas
as legítimas expectativas e os direitos e liberdades fundamentais dos titulares.29
O teste de balanceamento requer uma avaliação de risco x benefício espe-
cíca ao contexto e a implementação de salvaguardas e garantias como parte da
responsabilidade organizacional. Cada controlador é responsável por garantir
que a aplicação da base do legítimo interesse para uma nova nalidade de tra-
tamento atenda ao teste de balanceamento. Além disso, cada novo propósito de
27. “(...) o monitoramento de funcionários por seus empregadores faz parte da relação de subordinação
que é própria do direito do trabalho, sendo “uma das formas do empregador exercer o seu poder dire-
tivo sobre seus colaboradores”. Dessa forma, não há que se falar em ilegitimidade do ponto de vista da
legislação. O outro elemento que compõe o teste da legitimidade, a concretude da situação, depende
do tipo de monitoramento que será empregado – em qualquer caso, ele deve ser especicado (em
outras palavras, a nalidade não pode ser tão somente um “monitoramento” genérico). Um ponto de
atenção que pode ser suscitado é o tratamento de dados pessoais sensíveis, pois ele não pode acontecer
com base no legítimo interesse.” (BIONI, Bruno; KITAYAMA, Marina; RIELLI, Mariana. O Legítimo
Interesse na LGPD: quadro geral e exemplos de aplicação. São Paulo: Associação Data Privacy Brasil
de Pesquisa, 2021. p.44).
28. GRUPO DE TRABALHO DO ARTIGO 29 PARA A PROTEÇÃO DE DAD OS. Parecer 06/2014 sobre
o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º
da Diretiva 95/46/CE. Adotado em 9 de abril de 2014. Disponível em: stice/
article-29/documentation/opinion-recommendation/les/2014/wp217_pt.pdf>. Acesso em 14.08.19.
29. Destaca-se que o legitimate interest assessme nt (LIA) apresenta quatro fases que devem ser cumpridas
de modo a se vericar o preenchimento do requisito do legítimo interesse, sendo elas: (i) a avaliação
dos interesses legítimos; (ii) o impacto sobre o titular do dado; (iii) o equilíbrio entre os interesses
legítimos do controlador e o impacto sobre o titular; e (iv) salvaguardas desenvolvidas para proteger
o titular dos dados e evitar qualquer impacto indesejado. Tratando da aplicação do legítimo interesse
e do teste de ponderação, o Guide to the General Data Protection Regulation – desenvolvido pelo In-
formation Commissioner’s Oce (ICO) do Reino Unido – arma que: “It makes most sense to apply
this as a test in the following order: Purpose test– is there a legitimate interest behind the processing?
Necessity test– is the processing necessar y for that purpose? Balancing test– is the legitimate interest
overridden by the individual’s interests, rights or freedoms? is concept of a three-part test for legiti-
mate interests is not new. In fact the Court of Justice of the European Union conrmed this approach
to legitimate interests in the Rigas case (C-13/16, 4 May 2017) in the context of the Data Protection
Directive 95/46/EC, which contained a very similar provision. is means it is not sucient for you
to simply decide that it’s in your legitimate interests and start processing the data. You must be able to
satisfy all three parts of the test prior to commencing your processing”. Disponível em:
org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regula-
tion-gdpr/legitimate-interests/what-is-the-legitimate-interests-basis/#three_part_test>. Acesso em:
10.02.21.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
142
tratamento deve ser revisado novamente conforme o teste de balanceamento.
Os deveres de informação e de transparência são aqui muito relevantes, devendo
a transparência ser fornecida contextualmente, por diferentes métodos e em
diferentes momentos ao longo do ciclo de vida das operações de tratamento.
A LGPD estabelece parâmetros, em um rol exemplicativo, para a utilização
do legítimo interesse como requisito autorizativo para o tratamento de dados do
titular, conforme se depreende de seu artigo 10:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de
dados pessoais para nalidades legítimas, consideradas a partir de situações concretas,
que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de ser-
viços que o beneciem, respeitadas as legítimas expectativas dele e os direitos e liberdades
fundamentais, nos termos desta Lei. §1º Quando o tratamento for baseado no legítimo inte-
resse do controlador, somente os dados pessoais estritamente necessários para a nalidade
pretendida poderão ser tratados. §2º O controlador deverá adotar medidas para garantir a
transparência do tratamento de dados baseado em seu legítimo interesse. §3º A autoridade
nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais,
quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos
comercial e industrial.
Dados pessoais, quando processados em grande escala e combinados com
outros dados, podem levar a inferências e a resultados de caráter sensível. Diante
disso, bases que dependem menos de uma interação direta com o titular e que
apresentam maior exibilidade, como é o caso do legítimo interesse, podem
aumentar os riscos aos direitos e liberdades dos titulares, o que ser ia ainda mais
preocupante caso houvesse a permissão para o tratamento de dados sensíveis. Em
razão disso, a aplicação do legítimo interesse encontra parâmetros e restrições.
Nos últimos anos, diante da importância do tratamento de dados dentro
da lógica das eleições e das manifestações políticas, a Autoridade Nacional de
Proteção de Dados (ANPD) manifestou-se no sentido de armar que:
O interesse do controlador será considerado legítimo quando não encontrar óbices legais,
isto é, quando não for contrário às disposições da lei. Por exemplo, não há legítimo interesse
das candidatas e dos candidatos, dos partidos políticos, das coligações e das federações na
obtenção de dados custodiados pela administração pública ou por pessoa jurídica de direito
privado, tendo em vista se tratar de prática vedada pela legislação eleitoral (art. 57-E, caput, da
Lei nº 9.504/1997 e art. 31 da Res.-TSE nº 23.610/2019). Do mesmo modo, é vedada a venda,
por pessoas físicas e jurídicas, de cadastros eletrônicos (art. 57-E, § 1º, da Lei nº 9.504/1997 e
art. 31, § 1º, da Res.-TSE nº 23.610/2019), o que impede a caracterização do legítimo interesse.
Tampouco há legítimo interesse na utilização de dados pessoais para envio de propaganda
143
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
eleitoral por telemarketing, tendo em vista que é prática vedada pelo art. 34 da Res.-TSE n°
23.610/2019 e pelo Supremo Tribunal Federal (STF) na ADI nº 5.122. 30 31
As campanhas políticas utilizam, cada vez mais, processos automatizados
de tratamento de dados para apresentar propostas e se aproximarem de seus
potenciais eleitores, o que deve ser feito, porém, estritamente conforme as
normas da LGPD. Como apontado, o “tratamento irregular de dados pessoais
e, em particular, de dados sensíveis, no âmbito das campanhas políticas, pode
gerar impactos negativos sobre a lisura do processo eleitoral e sobre a igualdade
de oportunidades entre candidatas e candidatos.”32 Dentro da categoria dos
dados sensíveis, informações sobre opinião política e liação à organização de
caráter político vêm se mostrando muito relevantes, havendo grande busca pelo
tratamento de dados pessoais de indivíduos liados a partidos políticos e pela
formação de pers que indiquem a classicação da pessoa conforme sua opinião
política. Dessa forma, segundo guia da ANPD:
(...) quando há revelação ou identicação indireta de aspectos sensíveis relacionados à
personalidade da pessoa titular, com o potencial de prejudicar ou restringir seus direitos
e interesses, expondo informações sobre origem racial ou étnica, convicção religiosa,
opinião política, liação a sindicato ou a organização de caráter religioso, losóco ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, também
se aplica o regime jurídico especial previsto na LGPD para os dados sensíveis. É o caso da
identicação de convicção religiosa, origem racial ou opinião política de pessoa titular de
dados a partir de outras informações não sensíveis, como o nome, o endereço e o perl
30. ANPD. Guia orientativo: aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes de
tratamento no contexto eleitoral [recurso eletrônico]. Brasília: Tribunal Superior Eleitoral, 2021. p. 27.
31. A ANPD traz hipótese exemplicativa em que é possível a coleta de dados pessoais em site de partido
político: “Coleta de dados de navegação para melhoria da experiência durante a navegação. Par-
tido Alpha coleta dados de navegação a partir do acesso de pessoas usuárias a seu site na internet com
a nalidade de desenvolver ações de melhoria da experiência durante a navegação. Para tanto, serão
coletados dados pessoais mediante a utilização de cookies, que serão utilizados para gerar informações
sobre a navegação das pessoas usuárias. No exemplo, o partido deverá, em momento anterior à coleta,
avaliar: a legitimidade do seu interesse; a proporcionalidade entre o interesse declarado e as legítimas
expectativas da pessoa titular do dado; e a eventual existência de violação aos direitos e liberdades
individuais da pessoa titular do dado, devendo, ainda, adotar salvaguardas para garantir o respeito
aos direitos da pessoa titular. Além disso, o partido Alpha deve limitar a utilização dos d ados pessoais
à nalidade declarada, não podendo utilizá-los para outras nalidades, como o desenvolvimento
de pers de pessoas usuárias a partir dos hábitos de navegação. Caso o partido pretenda utilizar os
dados pessoais para essa segunda nalidade, deverá, necessariamente, fazê-lo com fundamento em
outra base legal, como o consentimento, ou realizar nova avaliação de legítimo interesse. Além disso,
somente os dados pessoais estritamente necessários para a nalidade pretendida poderão ser tratados
e o controlador deverá adotar medidas para garantir a transparência do tratamento.” (ANPD. Guia
orientativo: aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes de tratamento no
contexto eleitoral [recurso eletrônico]. Brasília: Tribunal Superior Eleitoral, 2021. p.28-29)
32. ANPD. Guia orientativo: aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes de
tratamento no contexto eleitoral [recurso eletrônico]. Brasília: Tribunal Superior Eleitoral, 2021. p. 11
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
144
de consumo. Da mesma forma, um banco de dados de pessoas doadoras e voluntárias
engajadas em uma campanha eleitoral, ainda que contenha apenas informações cadastrais
e de contato da pessoa titular, pode revelar sua opinião política e ser considerado dado
sensível, por exemplo, ao ser associado ao partido ou a candidata ou candidato responsável
pela coleta das informações. 33
As novas e sosticadas formas de tratar dados, conjugadas com as dinâmicas
aplicações da inteligência articial, podem potencialmente conduzir ao pro ces-
samento de dados sensíveis ou contextualmente sensíveis, além de inferências e
previsões bastante especícas sobre os gostos, personalidades e comportamentos
de um indivíduo ou grupo. Dependendo da natureza, do impacto e da utilização
dessas previsões, isso pode ser altamente invasivo para a privacidade e a proteção
de dados das pessoas, ampliando discriminações ilícitas ou abusivas.
Por exemplo, os controladores podem ter um interesse legítimo em co-
nhecer as preferências de seus clientes, para permitir que eles personalizem
melhor suas ofertas e, em última instância, ofereçam produtos e serviços que
atendam melhor às necessidades e desejos dos clientes. O mesmo raciocí-
nio pode ser aplicado a outras formas de marketing direcionado, incluindo
publicidade baseada na atividade online de uma pessoa. A publicidade
direcionada deve ser considerada como estando dentro dos interesses legí-
timos dos controladores e de terceiros, desde que os dados sejam tratados de
acordo com requisitos específicos, que o indivíduo que receb e a publicidade
obtenha informações sobre como seus dados serão tratados e ele tenha con-
troles significativos sobre tais tratamentos. O controlador também deve ser
responsável por honrar as escolhas que os indivíduos fizeram sobre como
seus dados serão usados em anúncios.3435
Ainda, vale lembrar entendimento consolidado no ambiente europeu – por
meio dos Guidelines on consent under Regulation 2016/679, publicados pelo Ar-
33. ANPD. Guia orientativo: aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes de
tratamento no contexto eleitoral [recurso eletrônico]. Brasília: Tribunal Superior Eleitoral, 2021. p.
11-12.
34. Recommendations for Implementing Transparency, Consent and Legitimate Interest under the GDPR.
Centre for Information Policy Leadership GDPR Implementation Project. Publicado em 19 de maio
de 2017.
35. A publicidade é um dos principais modelos de negócio em serviços (aparentemente) gratuitos. A
personalização do conteúdo e da oferta é um recurso central de muitos serviços. Sem personali-
zação, muitos serviços perderiam negócios, pois seus clientes e usuários contam com a persona-
lização como uma das propostas de valor do serviço. A evidência crescente mostra a importância
dos anúncios direcionados para os modelos de negócios de muitos editores e anunciantes online
e o fato de que anúncios relevantes podem criar efetivo valor para os indivíduos, ajudando-os
a descobrir novos produtos, serviços e causas, bem como a evitar a sujeição a uma publicidade
discriminatória.
145
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
ticle 29 Working Party36 em 2017 – acerca da seleção e interação da base legal do
consentimento com as demais bases aplicáveis ao tratamento de dados pessoais.
Se um controlador optar por selecionar a base do consentimento para qualquer
parte do tratamento, ele deverá estar preparado para respeitar a escolha do titular
e, inclusive, interromper essa parte do tratamento se este retirar seu consenti-
mento. Em outras palavras, o controlador não poderá passar do consentimento
para outras bases legais. Por exemplo, não se mostra adequado utilizar a base do
legítimo interesse retrospectivamente para justicar um tratamento onde foram
encontrados problemas com a validade do consentimento. Devido à necessidade
de o controlador divulgar a base legal em que se baseia no momento inicial do
tratamento dos dados, ele deverá ter decidido com antecedência qual base será
aplicável.
Hipótese diversa seria no caso de o controlador utilizar base legal para o
tratamento dos dados que não fosse o consentimento. Seria lícito – em certos
casos – cumular as bases legais, assim como ocorre em algumas relações regi-
das pelo GDPR? Em determinadas situações práticas, por exemplo, é comum
que o controlador transite entre o legítimo interesse e a execução de contrato.
A possibilidade de identicação de mais de uma base legal para determinada
operação de tratamento de dados pessoais tem encontrado respaldo em alguns
documentos de autoridades europeias de proteç ão de dados.37-38 Todavia, caso o
36. Disponível em: Acesso em: 22.07.21
37. No mesmo sentido parece ter se posicionado o Grupo de Trabalho do Artigo 29, ainda durante a
vigência da Diretiva 95/46/CE, mas já após a aprovação do GDPR, em sua “Opinion 03/2017 on
Processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS)”
(Parecer 03/2017 sobre o tratamento de dados pessoais no contexto dos Sistemas de Transporte
Inteligentes Cooperativos (STIC)), quando armou que: “Processing shall be lawful only if and to
the extent that at least one of the following cases applies: (a) the data subject has given consent to the
processing of his or her personal data for one or more specic purp oses; (b) processing is necessary
for the performance of a contract to which the data subject is party; (c) processing is necessary for
compliance with a legal obligation to which the controller is subjec t; (d) processing is necessary in
order to protect the vital interests of the data subject or of another natural person; (e) processing is
necessary for the performance of a task carried out in the public interest or in the exercise of ocial
authority vested in the controller; (f) processing is necessary for the purposes of the legitimate
interests pursued by the controller or by a third party, except where such interests are overridden
by the interests or fundamental rights and freedoms of the data subject.”(Article 29 Working Party.
Opinion 03/2017 on Processing personal data in the context of Cooperative Intelligent Transport
Systems (C-ITS). Adopted on 4 October 2017. p.09. Disponível em: ttps://ec.europa.eu/newsroom/
article29/items/610171> Acesso em: 27.09.21).
38. Esse posicionamento também vem sendo aceito por parte da doutrina, sob a condição de que contro-
ladores consigam demonstrar que todos os requisitos para as distintas bases legais indicadas sejam
preenchidos: “(...) in practice, entities oen based their processing activities on several legal bases.
For example, where an entity processed personal data based on their necessity for the performance
of a contract, said entity would oen also obtain the data subject’s consent. is preventive appro-
ach aimed at securing the lawfulness of the processing operations in case one or several of the used
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
146
controlador considere que mais de uma base lega l pode ser utilizada para legiti-
mar o tratamento, ele deverá identic ar e documentar todas elas desde o início
de sua atividade. O Information Commissioner’s Oce (ICO) do Reino Unido
arma de maneira clara que:
You might consider that more than one basis applies, in which case you should identify and
document all of them from the start. You must not adopt a one-size-ts-all approach. No one
basis should be seen as always better, safer or more important than the others, and there
is no hierarchy in the order of the list in the UKGDPR. Several of the lawful bases relate to a
particular specied purpose – a legal obligation, performing a contract with the individual,
protecting someone’s vital interests, or performing your public tasks. If you are processing
for these purposes then the appropriate lawful basis may well be obvious, so it is helpful to
consider these rst.39
Em seguida, o ICO destaca que o agente de tratamento deve determinar
com cuidado e adequadamente sua base legal antes de iniciar o tratamento dos
dados pessoais.40 Se ele descobrir posteriormente que a base escolhida é realmente
inadequada, será difícil simplesmente trocar por uma diferente. Mesmo que uma
base diferente pudesse ter sido aplicada desde o início, a mudança retroativa da
legal bases would lose their legitimacy. is approach can be upheld under the GDPR . However,
entities should choose a primary legal permission among the available options. is is advisable as,
under the Regulation, the conditions for obtaining valid consent, as well as thos e regarding other
legal bases for processing, have been specied and tightened. erefore, entities should—prior to
processing—evaluate which legal basis might be most suitable for their processing activities. Under
the principle of accountability (see Sect. 3.1), entities must be able to prove that the legal bases they
use are fullled, e.g., when processing personal data based on their prevailing legitimate interests,
entities must be able to demonstrate their interests, as well as the legitimacy of the latter” (VOIGT,
Paul; BUSSCHE, Axel von dem. e EU General Data Protection Regulation (GDPR). A Practical
Guide. Springer, 2017, p. 101).
39. Disponível:
ta-protection-regulation-gdpr/lawful-basis-for-processing/> Acesso em: 27.09.21. Tradução: Você
pode considerar que mais de uma base se aplica. Nesse caso, você deve identicar e documentar todas
elas desde o início. Você não deve adotar uma abordagem única. Nenhuma base deve ser vista como
sempre melhor, mais segura ou mais importante do que as outras, e não há hierarquia na ordem da
lista no RGPD do Reino Unido. Várias das bases legais estão relacionadas a uma nalidade especíca:
uma obrigação legal, a execução de um contrato com o indivíduo, a proteção dos interesses vitais de
alguém ou a execução de suas tarefas públicas. Se você estiver tratando para esses ns, a base legal
apropriada pode ser óbvia, portanto, é útil considerá-la primeiro.
40. Disponível em:
ral-data-protection-regulation-gdpr/lawful-basis-for-processing/> Acesso em: 27.09.21. “You need
to include information about your lawful basis (or bases, if more than one applies) in your privacy
notice. Under the transparency provisions of the UKGDPR, the information you need to give people
includes: your intended purposes for processing the personal data; and the lawful basis for the pro-
cessing. is applies whether you collect the personal data directly from the individual or you collect
their data from another source. Read the ‘right to be informed’ section of this guide for more on the
transparency requirements of the GDPR.”
147
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
base provavelmente será injusta com o titular do dado e levará a violações dos
requisitos de responsabilidade e transparência.41
Portanto, é importante avaliar cuidadosamente qual base é apropriada e
documentar isso. Pode ser possível que mais de uma base se aplique ao tratamento
porque, por exemplo, o controlador tem mais de uma nalidade. Em sendo esse
o caso, ele deverá deixar isso claro desde o início. Se houver uma mudança nas
circunstâncias ou se ele tiver um propósito novo, poderá haver um bom motivo
para revisar sua base legal e fazer uma mudança, quando precisará informar ao
titular a questão e documentar a mudança.
3.1.1 Consentimento especíco, destacado e para nalidades
especícas
A base legal do consentimento para o tratamento de dados do titular re-
presenta instrumento de autodeterminação e livre construção da esfera privada.
Quando aplicável, permite diferentes escolhas e congurações em ferramentas
tecnológicas, garantindo ao indivíduo maior controle sobre os seus dados pes-
soais. Verica-se no texto da LGPD cuidadosa caracterização do consentimento,
denido como “manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma nalidade determi-
nada”, seguindo a linha do GDPR e das normas mais atuais sobre o tema. Nesse
sentido, entende-se que:
O maior cuidado com o consentimento do titular mostra-se de grande relevância no cenário
tecnológico atual, no qual se verica a coleta em massa de dados pessoais, a mercantilização
desses bens por parte de uma série de sujeitos e a ocorrência de situações de pouca trans-
parência no que tange ao tratamento de dados. Diante desse cenário, defende-se que a
interpretação do consentimento deverá ocorrer de forma restritiva, não podendo o agente
estender a autorização concedida para o tratamento dos dados para outros meios além
daqueles pactuados, para momento posterior, para m ou contexto diverso ou, ainda, para
41. O ICO apresenta o seguinte exemplo: “A company decided to process on the basis of consent, and
obtained consent from individuals. An individual subsequently decided to withdraw their consent
to the processing of their data, as is their right. However, the company wanted to keep processing the
data so decided to continue the processing on the basis of legitimate interests. Even if it could have
originally relied on legitimate interests, the company cannot do so at a later date – it cannot switch
basis when it realised that the original chosen basis was inappropriate (in this case, because it did not
want to oer the individual genuine ongoing control). It should have made clear to the individual
from the start that it was processing on the basis of legitimate interests. Leading the individual to
believe they had a choice is inherently unfair if that choice will be irrelevant. e company must the-
refore stop processing when the individual withdraws consent.” (Disponível em:
for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
lawful-basis-for-processing/> Acesso em: 27.09.21.)
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
148
pessoas distintas daquelas informadas ao titular. Além disso, o consentimento deverá ser
manifestado pelo titular antes do tratamento da informação.42
No Art. 11, a primeira hipótese autorizativa para o tratamento de dados
sensíveis refere-se ao consentimento do titular ou de seu responsável legal, que
deverá ser dado de forma especíca e destacada, para nalidades especícas.
Segundo doutrina, a base legal do consentimento para o tratamento de dados
sensíveis deverá ser enxergada “como um vetor para que haja mais assertividade
do titular com relação a esses movimentos ‘especícos’ de seus dados”.43 A no-
ção, no caso, aproxima-se da ideia de consentimento expresso, por exigir maior
atuação do titular dos dados, além de cuidado mais elevado com o tratamento
da informação pelo agente.44
Especíco deve ser compreendido como um consentimento manifestado
em relação a propósitos concretos e claramente determinados pelo controlador
e antes do tratamento dos dados, havendo também aqui, e com mais ênfase, as
obrigações de granularidade, que trazem em si congurações de privacidade
personalizáveis. Dessa forma, o titular terá condições de optar (ou não) por
determinado tratamento, produto ou ser viço que envolva os seus dados pesso-
ais, podendo, inclusive, manifestar consentimento especíco para certo tipo de
tratamento, excluindo outros que não considerar adequados.
Além de congurarem uma boa prática, as granular privacy settings permi-
tem maior autonomia para o titular de dados, devendo ele ser informado sempre
das consequências dos aceites e das negativas efetuadas. Inclusive, a LGPD esta-
belece que, se o tratamento dos dados pessoais for condição para o fornecimento
de produto ou de serviço ou para o exercício de direito, o titular será informado
com destaque sobre esse fato e sobre os meios pelos quais poderá exercer seus
direitos enumerados no Art. 18 da Lei. Regula-se, assim, a lógica binária das
42. TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. O consentimento na circulação de dados pessoais.
Revista Brasileira de Direito Civil (RBDCivil), Belo Horizonte, v. 25, p. 83-116, jul./set. 2020.
43. BIONI, Bruno, op. cit., p. 202. O autor apresenta a seguinte crítica em relação à adjetivação inserida
pelo legislador nacional ao consentimento para o tratamento de dados sensíveis: “(...) sob o ponto
de vista de técnica legislativa, teria sido melhor que a LGPD tivesse adotado o adjetivo expresso, tal
como fez a GDPR (...). Esse qualificador é o que semanticamente representaria melhor esse nível
de participação mais intenso do cidadão no fluxo dos dados. Apesar dessa diferença semântica,
entre os qualificadores expresso e específico, a consequência normativa tende a ser a mesma. Isso
porque o que está em jogo é reservar um tipo de autorização singular em situações igualmente
singulares no que tange ao tratamento de dados, sendo esta a racionalidade que percorre a LGPD,
a GDPR e parte das leis setoriais brasileiras de proteção de dados pessoais” (BIONI, Bruno, op.
cit., p. 203).
44. Cf. TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. O consentimento na circulação de dados
pessoais. Revista Brasileira de Direito Civil (RBDCivil), Belo Horizonte, v. 25, p. 83-116, jul./set. 2020.
149
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
políticas de tudo ou nada45, em que o usuário ou aceita todas as disposições e
termos do serviço ou não pode utilizá-lo.46
Na prática, um número reduzido de pessoas tem habilidade de negociar ou
a possibilidade concreta de rejeitar as condições impostas nos termos de serviço
e políticas de privacidade de plataformas. Assim, ao invés de realmente concordar
com o uso dos próprios dados, o que se verica é a obediência do titular à vontade
das empresas, o que facilita práticas de controle e de uso indiscr iminado de dados
pessoais.47 Dessa forma, mostra-se necessário realizar mudanças signicativas
tanto na maneira pela qual o consentimento é implementado nos termos e polí-
ticas, quanto no desenho e arquitetura das plataformas.48
Destacado pode ser interpretado no sentido de que é importante que o titular
tenha pleno acesso ao documento que informará todos os fatos relevantes sobre
o tratamento de seus dados pessoais, devendo tais disposições virem destacadas
para que a expressão do consentimento ocorra conforme a lei. Além de se referir
a dados determinados e haver declaração de vontade que esteja ligada à objetivo
45. “On the internet, we encounter many take-it-or-leave-it choices regarding our privacy. Social ne-
twork sites and email services typically require users to agree to a privacy statement or to terms and
conditions – if people do not agree, they cannot use the service. Some websites use a tracking wall, a
barrier that visitors can only pass if they agree to tracking by third parties. When confronted with such
take-it-or-leave-it choices, many people might click ‘I agree’ to any request. It is debatable whether
people have meaningful control over personal information if they have to consent to tracking to be
able to use services or websites.” “For instance, chat and email services oen require users to agree to
a data use policy – if people do not agree, they cannot use the service. An app might require access to
the camera or the contact list on an end-user’s phone, while that access is unnecessary for providing
the service. A ‘smart’ TV might listen to the sounds in people’s living rooms, and might only work
when people ‘consent’ to that. Internet of ings equipment may only work if people ‘consent’ to data
collection for marketing.” (BORGESIUS, Frederik J. Zuiderveen; KRUIKEMEIER, Sanne; BOERMAN,
Sophie C.; HELBERGER, Natali. Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the
ePrivacy Regulation. European Data Protection Law Review. 2017. Disponível em: https://www.ivir.
nl/publicaties/download/EDPL_2017_03.pdf. Acesso em: 28 dez. 2018.)
46. “Pode-se adotar todos os argumentos historicamente adotados para criticar a “liberdade” do consen-
timento, na presença de contextos nos quais existem condicionamentos tais que excluem uma real
possibilidade de escolha. (...) o condicionamento deriva do fato de que a possibilidade de usufruir de
determinados serviços, essenciais ou importantes, ou tidos como tais, depende não somente do for-
necimento de determinadas informações por parte do usuário do serviço, mas também do fato de que
tais informações (eventualmente com base no consentimento do interessado) podem posteriormente
ser submetidas a outras elaborações. Este é o caso de todos os serviços obtidos através das novas mídias
interativas, cujos gestores, por evidentes razões de ordem econômica, estão prontos a exercer forte
pressão sobre os usuários para que estes autorizem a elaboração (e a eventual transmissão a terceiros)
de “pers” pessoais ou familiares baseados nas informações coletadas por ocasião do fornecimento
dos serviços.” (RODOTÀ, Stefano. cit., p.76)
47. PEÑA, Paz; VARON, Joana. O poder de dizer NÃO na Internet. Coding Rights. Disponível em: https://
medium.com/codingrights/o-poder-de-dizer-não-na-internet-17d6e9889d4a. Acesso em: 29 julho.
2019.
48. Cf. TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. O consentimento na circulação de dados
pessoais. Revista Brasileira de Direito Civil (RBDCivil), Belo Horizonte, v. 25, p. 83-116, jul./set. 2020.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
150
especíco, a manifestação deverá vir em destaque no instrumento de declaração
que autoriza o tratamento.
Acerca do consentimento para o tratamento de dados sensíveis, Mulholland
nos ensina que:
Considera-se consentimento livre e esclarecido – para efeitos deste artigo, consentimento
informado – a anuência, livre de vícios, do titular de dados, após acesso prévio, completo e
detalhado sobre o tratamento dos dados, incluindo sua natureza, objetivos, métodos, du-
ração, justicativa, nalidades, riscos e benefícios, assim como de sua liberdade total para
recusar ou interromper o tratamento de dados em qualquer momento, tendo o controlador
ou operador a obrigação de informar ao titular dos dados, em linguagem adequada, não
técnica, para que ele a compreenda (Konder, 2003, 61). Portanto, em havendo o consenti-
mento informado prévio do titular dos dados pessoais sensíveis, o seu tratamento estará
autorizado. O consentimento deve ser também qualicado pela nalidade do tratamento,
isto é, a aquiescência para o tratamento de dados deve ser delimitada pelo propósito para o
qual os dados foram coletados, sob pena de abusividade ou ilicitude do tratamento a gerar
eventual responsabilidade do agente de tratamento.49
Em seguida, a autora destaca que:
O fundamento do consentimento qualicado para o tratamento de dados sensíveis se
deve, sobremaneira, à natureza existencial e fundamental dos conteúdos a que se referem.
Podemos tomar emprestado o conceito utilizado pelo biodireito para delimitar o que estaria
compreendido como consentimento especíco e destacado, para nalidades especícas. Essa
correlação pode ser feita justamente porque a área do biodireito, por se referir a interesses
de natureza existencial, em sua essência, necessita de um cuidado especíco por parte do
Direito para que viabilize a plena autonomia da pessoa que, em casos de tratamento de dados
sensíveis, pode ser considerada concretamente como vulnerável.50
Dizer que o consentimento também deverá ser informado signica que o
titular do dado deverá ter ao seu dispor as informações necessárias e sucientes
para avaliar corretamente a situação e a forma como seus dados serão tratados. A
informação é fator determinante para a expressão de um consentimento livre e
consciente, dirigido a certo tratamento e sob condições especícas. Exige a lei que
ao cidadão sejam fornecidas informações transparentes, adequadas, claras e em
quantidade satisfatória acerca dos riscos e implicações do tratamento de seus dados.
Na lógica do consentimento informado, o artigo 9º da LGPD dispõe que
o titular tem direito ao acesso facilitado às informações sobre o tratamento de
seus dados, que deverão ser disponibilizadas de forma clara, adequada e osten-
49. MULHOLLAND, Caitlin. Dados pessoais sensíveis e consentimento na Lei Geral de Proteção de Dados
Pessoais. Migalhas, publicado em 22 de junho de 2020. Disponível em: m.br/
coluna/migalhas-de-vulnerabilidade/329261/dados-pessoais-sensiveis-e-consentimento-na-lei-ge-
ral-de-protecao-de-dados-pessoais> Acesso em: 02.11.20.
50. MULHOLLAND, Caitlin. Op. Cit.
151
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
siva acerca da: (I) nalidade especíca do tratamento; (II) forma e duração do
tratamento, observados os segredos comercial e industrial; (III) identicação
do controlador; (IV) informações de contato do controlador; (V) informações
acerca do uso compartilhado de dados pelo controlador e a nalidade; (VI)
responsabilidades dos agentes que realizarão o tratamento; (VII) e direitos do
titular, com menção explícita aos direitos contidos no artigo 18.51
Na hipótese em que o consentimento é requerido, ele será considerado nulo
caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo
ou não tenham sido apresentadas previamente com transparência, de forma clara
e inequívoca. Quando o consentimento for necessário, havendo mudanças em
relação à nalidade para o tratamento dos dados não compatíveis com o consen-
timento original, o controlador deverá informar previamente o titular sobre as
mudanças de nalidade, podendo este revogar o consentimento, caso discorde
das alterações. Adicionalmente, observa-se que a utilização de opções pré-as-
sinaladas de adesão será inválida. Da mesma forma, o silêncio ou a inatividade
por parte do titular dos dados, bem como a mera utilização de um serviço, não
deverão ser encarados como manifestação ativa de escolha.
A nalidade da coleta dos dados deve ser previamente conhecida. O princípio
em questão diz respeito à relação entre os dados colhidos e a nalidade perseguida
pelo agente, apresentando relação também com o princípio da utilização não abusiva
e com a recomendação de eliminação ou transformação em dados anônimos das
informações que não sejam mais necessárias.52 Tratando-se de dados sensíveis, a
manifestação do consentimento será sempre para “nalidades especícas”.
Parte da doutrina encontra no Art. 11 da LGPD a existência de preferência
à base legal do consentimento, levando em conta o tipo de dado em questão e a
técnica legislativa utilizada, qual seja, a inserção de dois incisos no Art. 11, sendo
o primeiro sobre o consentimento e o segundo dispondo que, sem o fornecimento
de consentimento do titular, poderá ocorrer o tratamento de dados sensíveis
(apenas) nas hipóteses em que for indispensável para as s ete situações ali esta-
belecidas nas alíneas.53 Interpretação essa que já encontra crítica na doutrina:
51. Art. 8º § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei,
o controlador deverá informar ao titular, com destaque de forma especíca do teor das alterações,
podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo cas o discorde da alteração.
52. RODOTÀ, Stefano. cit., p. 59.
53. Conforme dispõe a Lei Complementar nº 95, de 26 de fevereiro de 1998, em seu Art. 10, incisos II e IV,
os textos legais serão articulados com observância dos seguintes princípios: “os artigos desdobrar-se-ão
em parágrafos ou em incisos; os parágrafos em incisos, os incisos em alíneas e as alíneas em itens” e “os
incisos serão representados por algarismos romanos, as alíneas por letras minúsculas e os itens por
algarismos arábicos”. Há, portanto, na técnica legislativa uma formalidade e uma hierarquia a serem
obedecidas.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
152
(...) tanto na hipótese de tratamento de dados sensíveis por meio do consentimento do titular
quanto naquelas que se referem às demais situações que independem desta manifestação de
autonomia, previstas nos incisos I e II do art. 11 da LGPD, reconhece-se na técnica legislativa utili-
zada uma posição de igualdade entre estas hipóteses, e não a de prevalência do consentimento.54
Acerca do uso do consentimento, o Information Commissioner’s Oce (ICO)
traz o seguinte exemplo: uma academia apresenta um sistema de reconhecimento
facial para permitir que os membros acessem suas instalações. Ela exige que todos
os membros concordem com o reconhecimento facial como condição de entrada
no local, não havendo outra maneira de acessar a academia. No caso, entende-se
que esse consentimento não será válido e livre, pois os membros não terão uma
escolha real. Se eles não consentirem, não poderão acessar a academia. Embora
o reconhecimento facial possa oferecer alguns benefícios no trato da segurança e
conveniência, ele não se mostra necessário para fornecer acesso às instalações de
uma academia de ginástica. Inclusive, em raros casos, este tipo de local apresenta
sistema robusto de proteção de dados, que envolva sosticadas ferramentas técnicas.
No entanto, se a academia oferecer uma alternativa, como a escolha entre o
acesso por reconhecimento facial ou por meio de um cartão de membro ou senha,
o consentimento poderá ser considerado livre e válido. Dessa forma, a academia
poderá contar com a base legal do consentimento, que deverá ser dado de forma
especíca e destacada, para o processamento das varreduras faciais biométricas
dos membros que indicarem que preferem tal opção.55
A expressão do consentimento livre implica uma verdadeira escolha e con-
trole para o titular dos dados. Se ele não puder exercer uma verdadeira escolha,
se se sentir coagido a dar o consentimento ou sofrer consequências negativas
injusticadas caso não consinta, então o consentimento não será válido. De acordo
com entendimento do European Data Protec tion Board 56, a noção de desequilíbrio
54. MULHOLLAND, Caitlin. Dados pessoais sensíveis e consentimento na Lei geral de Proteção de Dados
Pessoais. Revista do Advogado, n. 144, nov. 2019, p. 47-53, p. 52.
55. Disponível em:
ral-data-protection-regulation-gdpr/special-category-data/what-are-the-conditions-for-processin-
g/#conditions1> Acesso em: 01.11.20.
56. EUROPEAN DATA PROTECTION BOARD. Diretrizes 05/2020 relativas ao consentimento na aceção
do Regulamento 2016/679. Versão 1.1. Adotada em 4 de maio de 2020. p.08. Disponível em:
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regu-
lation-2016679_en> Acesso em: 19.07.21. Sobre a questão, o documento traz exemplo interessante:
“Exemplo 1: Uma aplicação para telemóvel de edição de fotograas solicita aos utilizadores que
ativem a localização por GPS para ns de prestação dos serviços. A aplicação também os informa de
que utilizará os dados recolhidos para efeitos de publicidade comportamental. Nem a geolocalizaç ão
nem a publicidade comportamental em linha são necessárias para a prestação do serviço de edição
de fotograas, indo além da concretização do serviço principal prestado. Uma vez que os utilizadores
não podem utilizar a aplicação sem darem o seu consentimento para estes efeitos, o consentimento
não pode ser considerado livre.”
153
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
e a assimetria informacional entre o responsável pelo tratamento e o titular dos
dados devem ser cuidadosamente consideradas, assim como a vulnerabilidade
de alguma das partes. Em termos gerais, qualquer elemento que constitua pressão
ou inuência inadequada sobre o titular dos dados e que o impeça de exercer
livremente a sua vontade tornará o consentimento inválido.
É possível destacar três ocasiões em que as disparidades e a posição de vul-
nerabilidade de uma das partes geram um “dese quilíbrio de poder”: o tratamento
de dados pelo poder público e nas relações de trabalho e de consumo. Isso ocorre,
muitas vezes, em decorrência da posição hierarquicamente super ior do contro-
lador e de seu poderio econômico. Diante disso, sendo adequado e possível, um
recurso seria o emprego de outras bases legais, diversas ao consentimento, em
razão da diculdade de sanar a assimetria existente.57
Na Opinion 2/2017 on data processing at work 58 arma-se, por exemplo,
que empregados dicilmente estarão em posição de fornecer ou de rec usar uma
solicitação de consentimento, em razão da relação empregado x empregador.
Dentre os motivos para esse paradigma do regime protetivo frente à base legal
do consentimento, pode-se citar a limitação que advém do poder decisório do
titular de dados. Na hipótese, por mais que o legislador tenha tido cautela ao
abordar a necessidade de informação sobre o tratamento de dados e os direi-
tos do titular, ainda pode persistir diculdade – por parte do empregado – de
efetuar um processo de tomada de decisão genuíno a respeito do uxo de seus
dados pessoais.
Ao analisar o contexto laboral, mostra-se agrante o desequilíbrio contratual
existente entre empregador e empregado, bem como a relação de dependência
do último. Assim, é necessário reconhecer que, por receio de represálias e con-
siderando a manutenção do emprego, o empregado irá fornecer praticamente
todo e qualquer tipo de consentimento para o controlador. Portanto, é “impro-
vável que um trabalhador responda livremente ao p edido de consentimento do
57. É necessário observar que: “Os desequilíbrios de poder não são exclusivos das autoridades públicas
e dos trabalhadores, também podem ocorrer noutras situações. Tal como foi realçado pelo GT29 em
vários pareceres, o consentimento só pode ser válido se o titular dos dados puder exercer uma verda-
deira escolha e não existir qualquer risco de fraude, intimidação, coação ou consequências negativas
importantes (p. ex. custos adicionais substanciais) se o consentimento for recusado. O consentimento
não será dado livremente nos casos em que exista qualquer elemento de obrigatoriedade, pressão,
incapacidade de exercício da livre vontade.” EUROPEAN DATA PROTECTION BOARD. Diretrizes
05/2020 relativas ao consentimento na aceção do Regulamento 2016/679. Versão 1.1. Adotada em
4 de maio de 2020. p.11. Disponível em: opa.eu/our-work-tools/our-documents/
guidelines/guidelines-052020-consent-under-regulation-2016679_en> Acesso em: 19.07.21.
58. Opinion 2/2017 on data processing at work. Disponível em: http://ec.europa.eu/newsroom/document.
cfm?doc_id=45631. Acesso em: 26 de julho de 2021.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
154
empregador para, por exemplo, ativar sistemas de controlo como a observação
do local de trabalho através de câmaras ou preencher formulários de avaliação”.59
Contudo, isso não signica que os empregadores nunca poderão utilizar
o consentimento como base legal. Pode haver situações em que seja possível ao
empregador demonstrar que o consentimento foi dado livremente. Imagine, por
exemplo, que uma equipe de lmagem pretende lmar determinada parte de um
escritório. O empregador solicita o consentimento de todos os trabalhadores
que se sentam na referida área do escritório para serem lmados, uma vez que
podem aparecer em segundo plano nas lmagens. No caso, os trabalhadores
que não quiserem ser lmados não serão de forma alguma penalizados, poden-
do ser colocados em um outro local de trabalho equivalente, enquanto durar a
lmagem.60 Orienta-se que: “Atendendo ao desequilíbrio de poder entre empre-
gadores e empregados, estes só podem dar o seu consentimento livremente em
circunstâncias excepcionais, quando o ato de dar ou recusar o consentimento
não produza quaisquer consequências negativas.” 61 62 63
Por vezes, em alguns contextos, evitar a base legal do consentimento pode
gerar uma proteção mais efetiva dos dados pessoais, especialmente diante de
relações assimétricas (imbalance of power) com elevado potencial de risco de
abuso de poder64. Nesse sentido, o consentimento não po de ser entendido como
59. EUROPEAN DATA PROTECTION BOARD. Diretrizes 05/2020 relativas ao consentimento na aceção
do Regulamento 2016/679. Versão 1.1. Adotada em 4 de maio de 2020. p.10. Disponível em:
rg>. Acesso em: 27 de jun. de 2021.
.com.br/2020-dez-07/pscheidt-relacao-entre-lgpd-boa-fe-contratual> Acesso
rganisations/guide-to-data-protection/guide-to-the-general-data-protec-
r tal/practice/awareness/detail?articleId=3017751>
t-is-a-child-age-assurance-in-
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-re-
gulation-2016679_en> Acesso em: 19.07.21.
60. EUROPEAN DATA PROTECTION BOARD. Diretrizes 05/2020 relativas ao consentimento na aceção
do Regulamento 2016/679. Versão 1.1. Adotada em 4 de maio de 2020. p.10. Disponível em:
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-re-
gulation-2016679_en> Acesso em: 19.07.21.
61. EUROPEAN DATA PROTECTION BOARD. Diretrizes 05/2020 relativas ao consentimento na aceção
do Regulamento 2016/679. Versão 1.1. Adotada em 4 de maio de 2020. p.10. Disponível em:
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-re-
gulation-2016679_en> Acesso em: 19.07.21.
62. Nos seus considerandos (42) e (43), o GDPR apresenta restrições quanto à base legal do consentimento,
não o considerando válido diante de relações com manifesto desequilíbrio entre o titular dos dados
pessoais e o agente responsável pelo seu tratamento: “Não se deverá considerar que o consentimento
foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou
não puder recusar nem retirar o consentimento sem ser prejudicado.”
63. Por exemplo, a concessão de plano de saúde empresarial ou tratamento de dados sensíveis de candidatos
em processos seletivos que apliquem ações armativas dirigidas a minorias para corrigir distorções
no mercado de trabalho.
64. Com base nesse entendimento, a Autoridade Helênica de Proteção de Dados, na decisão 26/19
– Greek SA x PWC, multou a empresa PWC em 150 mil Euros pela utilização indevida da bas e legal
do consentimento para tratar dados de seus funcionários. (EDPB. Company ned 150,00 euros for
infringements of the GDPR. 2019. Disponível em:
company-ned-150000-euros-infringements-gdpr_en> Acesso em: 25.06.21).
155
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
uma base legal válida diante do evidente desequilíbrio entre o titular de dados
e o responsável pelo seu tratamento, como acontece nas relações de trabalho.65
Seguindo, portanto, o entendimento europeu, entende-se que a utilização da base
do consentimento para o tratamento de dados pessoais, sobretudo sensíveis, nas
relações trabalhistas, deverá ser evitada.
Sobre a questão, dispõe o considerando 43 do GDPR que:
A m de assegurar que o consentimento é dado de livre vontade, este não deverá constituir
fundamento jurídico válido para o tratamento de dados pessoais em casos especícos em
que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tra-
tamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública
pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as
circunstâncias associadas à situação especíca em causa. Presume-se que o consentimento
não é dado de livre vontade se não for possível dar consentimento separadamente para
diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso
especíco, ou se a execução de um contrato, incluindo a prestação de um serviço, depender
do consentimento apesar de o consentimento não ser necessário para a mesma execução.
Quando o responsável pelo tratamento for uma autoridade pública, há dú-
vidas acerca da possibilidade de utilização do consentimento, uma vez que existe
frequentemente um desequilíbrio de poder na relação entre o responsável pelo
tratamento e o titular dos dados. De toda forma, a utilização do consentimento
como fundamento jurídico para o tratamento dos dados pelas autoridades públi-
cas não se encontra totalmente excluída, sendo possível, por exemplo, segundo
o European Data Protec tion Board (EDPB), nas seguintes situações:
a) Um município local está planejando realizar obras de manutenção ro-
doviária. Uma vez que essas obras podem perturbar o trânsito durante muito
tempo, o município oferece aos cidadãos a oportunidade de se registarem em
uma lista de correio eletrônico para receberem atualizações sobre a evolução
das obras e os atrasos previstos. O município deixa bem claro que não existe
obrigação de participar e solicita o consentimento para utilizar os endereços de
correio eletrônico (exclusivamente) para este m. Os cidadãos que não derem o
seu consentimento não deixarão de se beneciar de qualquer serviço essencial
65. Recentemente, motoristas da empresa norte-americana Amazon alegaram estar sendo coagidos pela
empresa a assinar um formulário de “consentimento biométrico”, sob pena desligamento. “Amazon
delivery drivers nationwide have to sign a “biometric consent” form this week that grants the tech
behemoth permission to use AI-powered cameras to access drivers’ location, movement, and biome-
tric data.If the company’s delivery drivers, who number around 75,000 in the United States, refuse
to sign these forms, they lose their jobs. e form requires drivers to agree to facial recognition and
other biometric data collection within the trucks they drive.” (GURLEY, Lauren. Amazon Delivery
Drivers Forced to Sign ‘Biometric Consent’ Form or Lose Job. VICE, 2021. Disponível em:
www.vice.com/en/article/dy8n3j/amazon-delivery-drivers-forced-to-sign-biometric-consent-for-
m-or-lose-job> Acesso em 25.5.21).
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
156
do município nem deixarão de exercer qualquer direito, podendo dar o seu
consentimento livremente. Todas as informações sobre as obras de manutenção
rodoviária também estarão disponíveis no site do município.
b) Uma faculdade pública solicita aos estudantes consentimento para utili-
zar as suas fotograas numa revista estudantil impressa. O consentimento nessa
situação seria uma verdadeira escolha, desde que não fosse negado aos estudantes
o ensino ou os serviços a que têm direito e eles pudessem recusar a utilização das
referidas fotograas sem carem prejudicados.
Outro tema de grande relevância acerca do consentimento e dos desaos
para a sua aplicação é a sua exigência de forma contínua nas relações e as possi-
bilidades de manipulação da real vontade do usuário. Sobre esse tema, a EDPB
destaca o seguinte ponto:
87. No contexto digital, muitos serviços necessitam de dados pessoais para funcionar, daí que
os titulares dos dados recebam diariamente vários pedidos de consentimento que exigem
respostas através de cliques ou do deslizar do dedo. Esta situação pode resultar num certo
«cansaço» em relação aos cliques: quando aparecem demasiadas vezes, o efeito de alerta
dos mecanismos de consentimento começa a diminuir.
88. Resulta daqui que as questões ligadas ao consentimento começam a deixar de ser lidas.
Esta situação constitui um risco particular para os titulares dos dados, uma vez que, tipica-
mente, o consentimento é solicitado para ações que, em princípio, são ilícitas sem o seu
consentimento. O RGPD imputa aos responsáveis pelo tratamento o dever de desenvolver
formas de dar resposta a esta questão.66
Nesse sentido, já se armou que o oferecimento excessivo de controle e
possibilidades de escolha ao titular podem sobrecarregá-lo, causando um efeito
negativo: ele não será capaz de gerenciar adequadamente as suas decisões quanto
aos seus dados.67 Haveria, assim, uma “fadiga do consentimento”68, especialmente
nas plataformas digitais.
66. EUROPEAN DATA PROTECTION BOARD. Diretrizes 05/2020 relativas ao consentimento na aceção
do Regulamento 2016/679. Versão 1.1. Adotada em 4 de maio de 2020. p.22. Disponível em:
edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-re-
gulation-2016679_en> Acesso em: 19.07.21.
67. CHATELLIER, Régis et al. Shaping choices in the digital world. From dark patterns to data protection:
the inuence of UX/UI design on user empowerment. CNIL, 2019, p. 30.
68. “(...) a cultura do consentimento está em cheque, especialmente porque o fenômeno da fadiga do
consentimento vai além do simples cansaço da pessoa em face das centenas de políticas de privaci-
dade diferentes. No ambiente online, o desinteresse e a falta de engajamento das pessoas ao ato de
consentir sobre o uxo de dados preponderam, seja porque os temas são bem complexos e explicados
de maneira truncada que dicultam a compreensão, ou ainda em virtude da excessiva quantidade de
cliquesque a pessoa tem que fornecer para acessar os mais diversos conteúdos ou serviços. Nesse sen-
tido, no âmbito do consentimento coletado para ns de processamento de dados com base em cookies,
pesquisas conduzidas na União Europeia apontam que o consentimento não é informadoe muitas
vezes causa confusão nos indivíduos sobre a extensão daquela autorização.” Como uma das formas
157
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Entende-se que o consentimento não deverá ser compreendido como um
mecanismo de imputação de responsabilidade inteiramente sobre os ombros
dos titulares, tendo em vista que os agentes também detêm responsabilidades
no que concerne à garantia da proteção de dados pessoais. Além disso, os valores
incorporados à tecnologia devem ser compatíveis com as expectativas sociais.
O consentimento deve ser visto como um processo, que envolve os dois polos
da relação, sendo segmentado em etapas, diante dos qualicadores atribuídos a
ele pela lei: informado, livre, inequívoco e dado de forma especíca e destacada
(quando se tratar de dado sensível). Há uma valorização da função dos agentes
de tratamento, que são responsáveis por garantir que cada fase ocorra de acordo
com a lei, de modo a obter um aceite válido ao nal do processo, sendo o design
um dos meios para se garantir que isso ocorra.
Contudo, da mesma forma que o design pode ser utilizado como instru-
mento para reforçar os direitos dos titulares, ele também pode ser vir como uma
forma de enganá-los, através por exemplo de interfaces maliciosas (dark patterns).
Design e consentimento estão relacionados seja de maneira positiva, quando
as práticas de design são utilizadas para melhorar a capacidade das pessoas de
tomarem decisões conscientes, seja negativamente, quando se busca enganá-las
por meio de práticas de design abusivas ou que visem a conduzi-las a decisões
não vantajosas.69
Interfaces maliciosas são inseridas no design de produtos e serviços para
inuenciar as tomadas de decisão das pessoas.70 Muitas vezes, contam ainda com
outros elementos, como os vieses cognitivos. Segundo Harry Brignull, “Dark
Patterns are tricks used in websites and apps that make you do things that you
de contornar esta situação, recorda-se “(...)o estabelecimento do chamado “one-stop shop” (balcão
único), não confundido aqui com as questões de competência de autoridades nacionais de proteção
de dados no contexto europeu. O conceito é bastante simples: a titular de dados encontrará todos os
controles sobre a sua privacidade e as maneiras de exercê-los em um único link, canal ou página. Dessa
maneira, consegue ter acesso a todas as informações sobre seus dados pessoais, além de alterar suas
congurações e preferências, ou revogar eventual consentimento dado anteriormente. Um exemplo
de sucesso das iniciativas de “one-stop shop” pode ser encontrado noCheck-Up de Privacidadedo
Google.” (VENTRE, Giovanna; CASTELLANO, Ana Carolina Heringer. O dilema do consentimento e
a sobrecarga informacional. Jota, publicado em 28 de julho de 2021. Disponível em: ttps://www.jota.
info/opiniao-e-analise/artigos/dilema-consentimento-sobrecarga-informacional-lgp d-28072021>
Acesso em: 28.07.21)
69. CHATELLIER, Régis et al. Shaping choices in the digital world. From dark patterns to data protection:
the inuence of UX/UI design on user empowerment. CNIL, 2019, p. 41.
70. NOUWENS, Midas. LICCARDI, Illaria. VEALE, MIchale,et al. Dark Patterns aer the GDPR: Scraping
Consent Pop-ups and Demonstrating their Inuence. Disponível em:
ticle/dark-patterns-aer-the-gdpr-scraping-consent-pop-ups-and-demonstrating-their-inuence/>
Acesso em: 22.07.21
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
158
didn’t mean to, like buying or signing up for something.” 71 Um elemento essen-
cial de sua caracterização é a intenção de manipular a percepção e, consequen-
temente, a atuação do usuário, estrutura essa bastante preocupante se utilizada
em tratamentos que envolvem dados s ensíveis. São exemplos de práticas assim
consideradas: (i) usar linguagem confusa, como os duplo-negativos; (ii) forçar os
usuários a clicar ou a ouvir os motivos pelos quais não devem enviar uma solici-
tação de cancelamento antes de conrmar sua solicitação; (iii) obrigar o usuário
a acessar uma política de privacidade para encontrar a opção de se descadastrar;
(iv) estabelecer para o descadastro uma quantidade de cliques muito superior
em relação à quantidade de cliques para se cadastrar; e (v) exigir que o titular
entregue mais dados pessoais a m de possibilitar o descadastro7273.
De forma a inibir tais recursos, mostra-se relevante desenvolver uma re-
gulamentação que verse sobre boas práticas na utilização do design, havendo
inclusive a participação de especialistas em psicologia no debate. Nesse cenário,
designers atuam como “arquitetos de escolhas” e são capazes de determinar como
o indivíduo poderá exercer seu poder de decisão74. Apresentar boas e seguras
interfaces é um recurso precioso, tendo em vista as diversas possibilidades quando
o assunto é usar elementos grácos e cognitivos para atender ao melhor interesse
dos titulares de dados.75 Além disso, para lidar com essa questão, recomenda-se
também a conscientização das pessoas e o estímulo à discussão sobre o tema, pois,
71. Brignull mantém um site sobre o tema onde são listados os principais tipos de interfaces maliciosas:
72. VICENT, James. California bans ‘dark patterns’ that trick users into giving away their personal data.
e Verge, 16 de mar. de 2021. Disponível em:
california-bans-dark-patterns-opt-out-selling-data>. Acesso em: 03 de jul. de 2021.
73. MERKEL, Jeremy. Dark Patterns Come to Light in California Data Privacy Laws. e National Law
Review, vol. XI, n. 183, 02 de jul. de 2021. Disponível em: < https://ww w.natlawreview.com/article/
dark-patterns-come-to-light-california-data-privacy-laws>. Acesso em: 03 de jul. de 2021.
74. CHATELLIER, Régis et al. Shaping choices in the digital world. From dark patterns to data protection:
the inuence of UX/UI design on user empowerment. CNIL, 2019, p. 41-42.
75. “Ao colocar o titular no centro dessa relação a m de lhe conferir maior poder sobre o uso de seus
dados, a LGPD se aproxima de outra área do conhecimento, User Experience (UX ou experiência do
usuário). Nesse sentido, ao analisar cookie banners, é latente a necessidade de engajar prossionais
com conhecimento especíco no tema, uma vez que são capazes de melhor traduzir um comando
legal ao titular de dados, ao mesmo tempo em que se alinha à estratégia da empresa para obtenção de
melhores taxas de consentimento, equilibrando os interesses que compõem essa relação. No univer-
soweb, o consentimento costuma ser obtido em websites por meio de banners na página inicia l com
opções sobre o uso decookiespara diferentes ns, como permitir análise comportamental, publicidade
direcionada ou aferir o desempenho do site. Tal tarefa é desempenhada porConsent Management
Platforms (CMPs), ferramentas que atuam não apenas mostrando o banner ao usuário do website, mas
também obtendo e registrando a opção feita sobre o tratamento de dados.” (SUNDFELD, Philippe;
FERNANDES, Maria Luiza. LGPD e UX: um equilíbrio para o consentimento. Jota, publicado em 16
de julho de 2021. Disponível em: < https://www.jota.info/opiniao-e-analise/artigos/lgpd-e-ux-um-
-equilibrio-para-o-consentimento-16072021> Acesso em: 22.07.21)
159
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
uma vez que elas tenham consciência do uso desses mecanismos para inuenciar
suas decisões, mais atentas carão, saindo de um comportamento meramente
passivo para uma postura mais ativa nas redes.
3.2.2 Cumprimento de obrigação legal ou regulatória pelo controlador
É lícito tratar dados sensíveis para o cumprimento de obrigação legal ou
regulatória pelo controlador, como, por exemplo, obrigações trabalhistas76 e
deveres oriundos da lei anticorrupção. Salvo melhor juízo, podemos incluir
também aqui a gura do operador, bem como obrigações oriundas de Códigos de
Ética prossionais, portarias do Ministério da Justiça e resoluções77 de entidades
consolidadas, como um Conselho de determinada prossão ou especialidade.
Obrigações contratuais não se encontram abrangidas por essa base legal.
Por exemplo, os setores de seguros e de saúde e o mercado nanceiro estão
submetidos a várias normas legais e regulatórias, devendo cumprir obrigações
que eventualmente poderão exigir o tratamento de dados pessoais (inclusive
sensíveis) de seus clientes. Além disso, pessoas jurídicas de direito privado que
operam planos de assistência à saúde submetem-se à Lei 9.656/98 e à regulação
da Agência Nacional de Saúde (ANS), a qual dispõe de resoluções normativas
que versam sobre privacidade e proteção de dados.78
Como exemplo de obrigação legal, recorda-se que os dados de prontuários
médicos deverão ser tratados conforme as disposições legais positivadas na Lei
13.787/1879:
Art. 6º Decorrido o prazo mínimo de 20 (vinte) anos a partir do último registro, os prontuários
em suporte de papel e os digitalizados poderão ser eliminados. § 1º Prazos diferenciados
para a guarda de prontuário de paciente, em papel ou digitalizado, poderão ser xados em
76. Exemplo: obrigatoriedade de exame médico (art.168, CLT); situações em que a lei permite o empregado
deixar de comparecer ao serviço sem prejuízo do salário (art. 473, CLT); e dados relativos à liação
77. Como a resolução nº 466/2012 do Conselho Nacional de Saúde (CNS), que trata de pesquisas e testes
em seres humanos; e a resolução da diretoria colegiada – RDC nº 9, de 20 de fevereiro de 2015, da
Agência Nacional de Vigilância Sanitária – ANVISA, que dispõe sobre o Regulamento para a realização
de ensaios clínicos com medicamentos no Brasil.
78. “Conhecer o ambiente legal e regulatório para o desenvolvimento de suas atividades econômicas é uma
diretriz segura que deve orientar não apenas hospitais e operadoras de planos de saúde mas também
clínicas, prestadores de saúde, laboratórios, indústria farmacêutica e empresas de inovação em saúde,
como as health techs. Setores altamente regulados como o setor de saúde precisam ter uma especial
atenção às bases legais que autorizam o tratamento de dados, tudo levando em consideração a entrega
do melhor serviço de saúde ao titular.” Disponível em: m.br/2019-nov-12/
lei-geral-protecao-dados-pessoais-atividades-setor-saude> Acesso em: 01.11.20.
79. Dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento
e o manuseio de prontuário de paciente.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
160
regulamento, de acordo com o potencial de uso em estudos e pesquisas nas áreas das ciências
da saúde, humanas e sociais, bem como para ns legais e probatórios. § 2º Alternativamente
à eliminação, o prontuário poderá ser devolvido ao paciente. § 3º O processo de eliminação
deverá resguardar a intimidade do paciente e o sigilo e a condencialidade das informações. §
4º A destinação nal de todos os prontuários e a sua eliminação serão registradas na forma de
regulamento. § 5º As disposições deste artigo aplicam-se a todos os prontuários de paciente,
independentemente de sua forma de armazenamento, inclusive aos microlmados e aos
arquivados eletronicamente em meio óptico, bem como aos constituídos por documentos
gerados e mantidos originalmente de forma eletrônica.
Nesse tema, é possível citar também a Resolução do Conselho Federal de
Medicina n. 1.605/09, que dispõe que o médico não pode, sem o consentimento
do paciente, revelar o conteúdo do prontuário ou cha médica, bem como a
Resolução do CFM n. 1.821/07, a qual aprova as normas técnicas concernentes
à digitalização e uso dos sistemas informatizados para a guarda e manuseio
dos documentos dos prontuários dos pacientes, autorizando a eliminação do
papel e a troca de informação identicada em saúde.80
Diante do contexto pandêmico, a Lei nº 13.979/202081, em seu artigo 6º,
dispõe que é obrigatório o compartilhamento entre órgãos e entidades da ad-
ministração pública federal, estadual, distrital e municipal de dados essenciais à
identicação de pessoas infectadas ou com suspeita de infecção pelo coronavírus,
com a nalidade exclusiva de evitar a sua propagação. A obrigação a que se refere
ocaputdeste artigo estende-se às pessoas jurídicas de direito privado quando os
dados forem solicitados por autoridade sanitária. O Ministério d a Saúde man-
terá dados públicos e atualizados sobre os casos conrmados, suspeitos e em
investigação, relativos à situação de emergência pública sanitária, resguardando
o direito ao sigilo das informações pessoais.
Um tema que vem gerando discussão acerca da escolha da melhor base legal
diz respeito à utilização de dados biométricos de empregados para controle de
jornada82 ou para acesso a áreas restritas de uma empresa. Há entendimento de
80. Vale destacar os seguintes artigos da resolução do CFM n. 1.821/07: “Art. 6° No caso de microlma-
gem, os prontuários microlmados poderão ser eliminados de acordo com a legislação especíca que
regulamenta essa área e após análise obrigatória da Comissão de Revisão de Prontuários da unidade
médico-hospitalar geradora do arquivo. Art. 7º Estabelecer a guarda permanente, considerando a
evolução tecnológica, para os prontuários dos pacientes arquivados eletronicamente em meio
óptico, microlmado ou digitalizado. Art. 8°Estabelecer o prazo mínimo de 20 (vinte) anos, a
partir do último registro, para a preservação dos prontuários dos pacientes em suporte de papel,
que não foram arquivados eletronicamente em meio óptico, microlmado ou digitalizado.”
81. Dispõe sobre as medidas para enfrentamento da emergência de saúde pública de importância inter-
nacional decorrente do coronavírus responsável pelo surto de 2019.
82. O ponto eletrônico por biometria identica o dado biométrico do empregado através de um leitor e
registra o horário utilizando-se, como regra, da impressão digital. Já o registro de jornada por reco-
nhecimento facial pode se utilizar até mesmo das câmeras de segurança do local para o cômputo da
161
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
que seria válida a utilização da biometria para ns de registro de ponto em cum-
Ministério do Trabalho e Emprego84, por ser a forma mais dedigna de atestar a
autenticação do lançamento dos horários e da autoria, estando assegurada pela
base legal do Art. 11, II, “a”, da LGPD.85 Enquanto a utilização da biometria para o
controle de acesso de funcionários a áreas restritas da empresa estaria legitimada
na base legal do Art. 11, II, “g”, do mesmo diploma legal. Ainda que as bases legais
sugeridas não sejam o consentimento, deve-se ter bem claro que estamos diante
de dados sensíveis, cujo tratamento é diferenciado pela própria legislação. Assim,
certo é que não pode haver desvio na nalidade do uso desses dados e deve o
controlador zelar pela segurança dessas informações.
Observa-se, porém, que o tema não está pacicado e requer maiores ree-
xões. Isso porque se pode questionar a “indispensabilidade” da biometria diante
da possibilidade de utilização de sistemas alternativos menos intrusivos para as
nalidades desse tratamento, tais como cartão magnético particular, utilização
jornada, não sendo necessário um aparelho especíco apenas para essa função (o empregado pode
usar o seu celular ou um tablet, bastando se posicionar em frente ao aparelho e registrar a sua imagem).
De forma menos usual, há também o registro por voz para o controle de ponto.
83. CLT,Art. 74. O horário de trabalho será anotado em registro de empregados.§1º (Revogado).§2º Para
os estabelecimentos com mais de 20 (vinte) trabalhadores será obrigatória a anotação da hora de entrada
e de saída, em registro manual, mecânico ou eletrônico, conforme instruções exp edidas pela Secretaria
Especial de Previdência e Trabalho do Ministério da Economia, permitida a pré-assinalação do período
de repouso. §3º Se o trabalho for exec utado fora do estabelecimento, o horário dos empregados constará
do registro manual, mecânico ou eletrônico em seu poder, sem prejuízo do que dispõe ocaputdeste
artigo. § 4º Fica permitida a utilização de registro de ponto por exceção à jornada regular de trabalho,
mediante acordo individual escrito, convenção coletiva ou acordo coletivo de trabalho
84. O artigo 74, da CLT, permite o controle manual, mecânico ou eletrônico, enquanto a Portaria
1.510/2009 do MTE disciplina o registro eletrônico de ponto e a utilização do Sistema de Re-
gistro Eletrônico de Ponto. Há, ainda, a port aria nº 373, de 25 de fevereiro de 2011, que dispõe
sobre a possibilidade de adoção pelos empregadores de sistemas alternativos de controle de jornada
de trabalho.
85. “Conquanto seja possível, de fato, assinalar a jornada por outros meios diversos da biometria, não há
meio tão ecaz quanto este para assegurar a integridade dos horários lançados nos respectivos registros
e a autoria. E a dedignidade desses registros é essencial e extremamente saudável para ambas as partes,
evitando alegações de desvirtuamento da jornada pela existência, por exemplo, de controle paralelo
e permitindo a justa e real apuração do saldo de horas. O tratamento do dado biométrico para ns de
jornada estaria, assim, assegurado pelo cumprimento de obrigação legal pelo controlador (art. 11, II, a,
da LGPD). Além disso, o registro biométrico também pode ser utilizado para outras formas de controle
de acesso e segurança na empresa, o que também se legitimaria mesmo sem o consentimento do titular
pela alínea “g” do mesmo dispositivo para “garantia da prevenção à fraude e à segurança do titular, nos
processos de identicação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos
mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais
do titular que exijam a proteção dos dados pessoais”.” (PINHEIRO, Iuri; BOMFIM, Vólia. A Lei Geral
de Proteção de Dados e seus impactos nas relações de trabalho. Trabalho em Deb ate. Instituto Trabalho
em Debate, 2020. Disponível em o-
tecao-de-dados-e-seus-impactos-nas-relacoes-de-trabalho#sdfootnote17sym> Acesso em: 01.06.21.)
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
162
de senha de acesso às dependências da empresa ou medidas organizacionais de
segurança.86
Além de ser uma base legal que consta tanto no rol do art. 7º quanto no rol
do art. 11, o cumprimento de obrigação legal ou regulatória pelo controlador
permite a conservação de dados pessoais após o término de seu tratamento, na
forma do art. 16, inciso I, da LGPD.
3.2.3 Tratamento compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou
regulamentos
Aborda-se, aqui, o tratamento de dados pessoais pela Administração Pública que
sejam necessários à execução de políticas públicas previstas em leis ou regulamentos.87
As políticas em questão podem envolver, por exemplo, saúde pública, prevenção de
doenças, campanhas de vacinação, auxílios a cidadãos em situação de vulnerabilidade
ou projetos voltados ao combate de discr iminação dirigida a minorias.
Na redação do Art. 11, II, b, fala-se em “tratamento compartilhado de dados”,
expressão criticada pela doutrina especializada:
(...) é necessário chamar atenção para a confusão terminológica do legislador quanto ao uso
da expressão “tratamento compartilhado” no art. 11 da LGPD. Com efeito, a partir da leitura
da lei, é possível compreender que o “uso compar tilhado de dados”, previsto no art. 5º, X VI, é
uma modalidade de “tratamento” de dados, conforme denição do art. 5.º, X. Não faria sentido
imaginar que a legislação tivesse pretendido limitar o tratamento de dados sensíveis pelo
Poder Público à hipótese de uso compartilhado. Uma interpretação sistemática dos artigos
em questão conduz, portanto, ao entendimento de que o art. 11 se refere tanto ao tratamento
quanto ao uso compartilhado de dados sensíveis pelo Poder Público.88
Execução de políticas públicas é uma das justicativas para que o poder
público realize tratamentos de dados.89 Esse requisito encontra-se intimamente
86. Nesse sentido, a Autoridade Holandesa de Proteção de Dados impôs uma multa de 725.000 euros a
uma empresa, por entender que o tratamento era excessivo ao exigir dos funcionários suas impressões
digitais (ngerprint data) para ns de registro de presença e jornada. A empresa não estava autorizada
a processar esses dados pessoais sensíveis, pois não se enquadrava em nenhuma das exceções legais.
(Company ned for processing employees’ ngerprint data. Abril de 2020. Disponível em:
autoriteitpersoonsgegevens.nl/en/news/company-ned-processing-employees%E2%80%99-nger-
print-data> Acesso em: 06.06.21).
87. Conferir: ANPD. Guia Orientativo. Tratamento de Dados Pessoais pelo Poder Público. Janeiro/2022.
88. WIMMER, Miriam. O regime jurídico do tratamento de dados pessoais pelo poder público. In: Bruno
Bioni, Laura Schertel Mendes, Danilo Doneda, Otavio Luiz Rodrigues Jr., Ingo Wolfgang Sarlet. (Org.).
Tratado de Proteção de dados pessoais . 1ed.Rio de Janeiro: Forense, 2021. E-book.
89. LGPD, Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso
compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à
descentralização da atividade pública e à disseminação e ao acesso das informações pelo público
163
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
ligado à previsão estabelecida no artigo 23 da LGPD90, que dispõe que o trata-
mento de dados pessoais pelas pessoas jurídicas de direito público referidas no
deverá ser realizado para o atendimento de sua nalidade pública, na persecu-
ção do interesse público, com o objet ivo de executar as competências legais ou
cumprir as atribuições legais do serviço público, desde que: a) sejam informadas
as hipóteses em que, no exercício de suas competências, realizam o tratamento
de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão
legal, a nalidade, os procedimentos e as práticas utilizadas para a execução
dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios
eletrônicos; e b) seja indicado um encarregado quando realizarem operações de
tratamento de dados pessoais.
O tratamento de dados sensíveis pela Administração traz uma série de
questões, especialmente em um momento de intensa coleta de dados de saúde
e biométricos, bem como de uso crescente de tecnologias digitais por governos.
Diante disso, primar pelos princípios constitucionais e de proteção de dados
mostra-se fundamental para a garantia de direitos ao cidadão.
em geral. Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a
finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas
entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º
desta Lei. (...)
90. “(...) o Estado desempenha um amplo rol de atividades de tratamento de dados que nem sempre
podem ser compreendidas como políticas públicas. Atividades relacionadas ao pagamento de sa-
lários e gestão de servidores públicos, por exemplo, são claramente necessárias ao funcionamento
da máquina estatal, mas dicilmente classicáveis como políticas públicas. Também atividades de
scalização e sancionamento poderiam ser compreendidas como execução de políticas públicas
apenas numa compreensão bastante dilatada do termo. O deslinde dessa questão se dá pela leitura
do art. 23 da LGPD, que estabelece uma hipótese complementar para o tratamento de dados pelo
Poder Público, ao acrescentar às previsões dos arts. 7.º e 11 o objetivo de “executar as competências
legais ou cumprir as atribuições legais do serviço público”. Compreende-se, assim, que, no que tange
às bases legais especícas para o tratamento de dados pessoais pelo Poder Público, a LGPD prevê
duas hipóteses centrais: (i) execução de políticas públicas; e (ii) execução de competências legais
ou atribuições legais do serviço público.” (WIMMER, Miriam. O regime jurídico do tratamento de
dados pessoais pelo poder público. In: Bruno Bioni, Laura Schertel Mendes, Danilo Doneda, Otavio
Luiz Rodrigues Jr., Ingo Wolfgang Sarlet. (Org.). Tratado de Proteção de dados pessoais. 1ed.Rio de
Janeiro: Forense, 2021. E-book.) (grifou-se)
91. Art. 1o Esta Lei dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito
Federal e Municípios, com o fim de garantir o acesso a informações previsto no inciso XXXIII
do art. 5o, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal. Parágrafo
único. Subordinam-se ao regime desta Lei: I – os órgãos públicos integrantes da administração
direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Mi-
nistério Público; II – as autarquias, as fundações públicas, as empresas públicas, as socie dades
de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados,
Distrito Federal e Municípios.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
164
3.2.4 Realização de estudos por órgão de pesquisa
Pode-se também tratar dados sensíveis para a realização de estudos por
órgão de pesquisa, a exemplo de estudos de caráter histórico, estatístico, tecno-
lógico ou cientíco, garantida, sempre que possível, a anonimização dos dados
pessoais.92 A referida disposição encontra-se com a mesma redação nos artigos
7º e 11 da LGPD.
É necessário observar que não será qualquer instituição que poderá utilizar
esta base legal. Dispõe a lei, em seu Art. 5º, XVIII, que órgão de pesquisa repre-
senta “órgão ou entidade da administração pública direta ou indireta ou pessoa
jurídica de direito privado sem ns lucrativos legalmente constituída sob as leis
brasileiras, com sede e foro no País, que inclua em sua missão institucional ou
em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter
histórico, cientíco, tecnológico ou estatístico”. Como exemplos de órgão de
pesquisa, pode-se recordar do Ipea-Instituto de Pesquisa Econômica Aplicada,
do IBGE – Instituto Brasileiro de Geograa e Estatística e da Fiocruz – Fundação
Oswaldo Cruz.
A ausência de nalidade lucrativa para pessoa jurídica de direito privado
cria parâmetro que impede que determinadas entidades de pesquisa privadas,
como sociedades, possam se valer dessa base legal para tratar dados pessoais. O
agente de tratamento legitimado à utilização da referida base legal será o próprio
órgão de pesquisa, e não pessoas naturais que atuem em nome próprio.93 Apo nta
estudo que:
(...) a responsabilidade pelo tratamento de dados pessoais nas hipóteses previstas nos arts.
7º, IV e 11, II, c, será sempre do órgão de pesquisa – e não das pessoas naturais a ele subor-
dinadas ou vinculadas, a exemplo de pesquisadores, bolsistas e estudantes de graduação
ou de pós-graduação. Trata-se, por outras palavras, de uma responsabilidade de natureza
institucional, que é legalmente atribuída ao próprio órgão de pesquisa. Em razão disso, em
momento anterior à realização de uma operação de tratamento, como no caso de com-
partilhamento de dados pessoais para ns de pesquisa, deve ser conrmada, pelos meios
92. Cf. BARRETO, Maurício Lima; ALMEIDA, Bethania de Araujo; DONEDA, Danilo. Uso e Proteção de
Dados Pessoais na Pesquisa Cientíca. RDU, Porto Alegre, Volume 16, n. 90, 2019, 179-194, nov-dez
2019.
93. “(...) pessoas naturais que atuam como controlador ou operador podem realizar tratamento de dados
pessoais para ns de estudos e pesquisa, desde que amparados em outra base legal, a exemplo do con-
sentimento e do legítimo interesse, vedada a utilização deste último no caso de dados pessoais sensíveis.
Da mesma forma, a restrição apontada não impede que entidades e órgãos públicos disponibilizem a
pessoas naturais acesso a dados pessoais em políticas de transparência ativa ou passiva, com amparo
na LAI, observadas as disposições pertinentes da LGPD.” (ANPD. TEXTO PARA DISCUSSÃO Nº
1/2022. ESTUDO TÉCNICO. A LGPD e o tratamento de dados pessoais para ns acadêmicos e para
a realização de estudos por órgão de pesquisa.2022.)
165
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
legítimos, a ciência do órgão de pesquisa quanto à realização do estudo e o seu compromisso
de cumprir as disposições pertinentes da LGPD.94
Em relação à anonimização95 — utilização de meios técnicos razoáveis e
disponíveis no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo —, entende a Lei
que essa situação seria mais protetiva para os titulares, devendo ser sempre que
possível garantida. Anonimizado é o dado que não identica seu titular, ou seja,
não apresenta mais relação direta ou indireta com seu titular. Uma vez anonimi-
zado, o dado deixa de ser pessoal, segundo o Art. 12 da LGPD.96
Convém, no entanto, recordar crítica que arma que o processo de ano-
nimização seria, em verdade, circunstancial, podendo ser revertido em muitos
casos a partir das novas técnicas e ferramentas tecnológicas. Seria, portanto, um
equívoco acreditar que a anonimização ofereceria alto grau de proteção para os
dados, tendo em vista as diversas possibilidades de cruzamento de informações
e o contínuo desenvolvimento de tecnologias que visam a desanonimizar bases
de dados pessoais, inclusive sensíveis.97
94. ANPD. TEXTO PARA DISCUSSÃO Nº 1/2022. ESTUDO TÉCNICO. A LGPD e o tratamento de
dados pessoais para ns acadêmicos e para a realização de estudos por órgão de pesquisa. 2022.
95. “Para proteger a privacidade dos indivíduos as bases de dados anonimizadas podem se valer de vários
expedientes, como ocultar algumas informações, generalizar outras e assim por diante. Então ao invés de
saber quem exatamente visitou o meu estabelecimento eu sei que essa pessoa é homem ou mul her e que
tem uma idade entre 40-50 anos, só para continuar com o exemplo. Somando todas as entradas na base
de dados eu consigo gerar uma visualização de quantos % do meu público é de cada faixa etária, gênero e
assim por diante. Acontece que quanto mais informações eu jogo nessa base, mais fácil ca reidenticar
a pessoa cujo dado foi anonimizado. Chegamos então em uma encruzilhada: como criar uma base de
dados anonimizados que possa atingir o equilíbrio entre utilidade para quem se vale dela e ao mesmo
tempo não saia por aí revelando a identidade de todo mundo? (...) para o dado ser considerado como
anonimizado eu preciso olhar para dois fatores: um objetivo e outro subjetivo. Por fatores objetivos no
conceito de “esforços razoáveis” a própria lei menciona “o custo e o tempo necessários para reverter o
processo de anonimização, de acordo com as tecnologias disponíveis” (art. 12, §1º). Já os fatores subjetivos
olham para quem fez o processo de anonimização e para quem está tentando quebrá-lo (SOUZ A, Carlos
Aonso. Eles sabem quem é você? Entenda o monitoramento de celulares na quarentena. Disponível
em: tenda-o-moni-
toramento-de-celulares-na-quarentena/>. Acesso em: 03.05.20).
96. Considerando 26 do GDPR: “(...)Para determinar se há uma probabilidade razoável de os meios serem
utilizados para identicar a pessoa singular, importa considerar todos os fatores objetivos, como os
custos e o tempo necessário para a identicação, tendo em conta a tecnologia disponível à data do
tratamento dos dados e a evolução tecnológica. Os princípios da proteção de dados não deverão, pois,
aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pesso a
singular identicada ou identicável nem a dados pessoais tornados de tal modo anónimos que o seu
titular não seja ou já não possa ser identicado. O presente regulamento não diz, por isso, respeito ao
tratamento dessas informações anónimas, inclusive para ns estatísticos ou de investigação.”
97. Em perspectiva crítica, arma-se que: “Interessa salientar que, em face dos processos de agregação
de bases de dados e, portanto, de reidenticação, qualquer dado anonimizado é, em regra, um dado
pessoal e, assim, as formas de discriminação podem igualmente sofrer alterações profundas, inclusive
por vezes se tornando sutis e imperceptíveis ao cidadão comum. Oportunamente, deve-se claricar que
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
166
Acerca da possibilidade de anonimização, destaca-se relevante posição
doutrinária:
(...) o ônus da determinação da possibilidade de anonimização de dados sensíveis recai
necessariamente sobre o agente de tratamento de dados, no caso, os órgãos de pesquisa.
Nessa hipótese, devem-se considerar o desconhecimento e a hipossuciência do titular de
dados em relação às técnicas de anonimização de dados existentes para estabelecer um
padrão de segurança exigível. Portanto, parece necessário que seja regulado pela Autoridade
Nacional de Proteção de Dados Pessoais qual o tipo de tecnologia de segurança e sistema
de anonimização de dados que devem ser utilizados pelos agentes de tratamento, com ns
de promover a ampla proteção dos dados sensíveis dos sujeitos que participam dos estudos
levados a cabo pelos órgãos de pesquisa.98
Essa posição dialoga diretamente com o artigo 12, § 3º, da LGPD, o qual
arma que a Autoridade Nacional de Proteção de Dados poderá dispor sobre
padrões e técnicas utilizados em processos de anonimização e realizar veri-
cações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de
Dados Pessoais.
Vale lembrar também que, de acordo com o Art. 13 da LGPD, na realização
de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de
dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente
para a nalidade de realização de estudos e pesquisas e mantidos em ambiente
controlado e seguro, conforme práticas de segurança previstas em regulamento
especíco e que incluam, sempre que possível, a anonimização ou pseudonimi-
zação99 dos dados, bem como considerem os devidos padrões éticos relacionados
a estudos e pesquisas.100
Acrescenta-se que a divulgação dos resultados ou de qualquer excerto do
estudo ou da pesquisa de que trata ocaputdeste artigo em nenhuma hipótese
o termo identicável é, em regra, superável, tendo sido recepcionado pela LGPD no que diz respeito
às formas de expressão da razoabilidade, ou seja, ao nível de investimento de tempo e de dinheiro
envolvidos no processo de anonimização. De toda sorte, a pseudoanonimização, não custa mencionar,
constitui um meio-termo entre o dado pessoal e o dado anomizado.” (RUARO, Regina Linden; SARLET,
Gabrielle Bezerra Sales. O direito fundamental à proteção de dados sensíveis no sistema normativo
brasileiro: uma análise acerca das hipóteses de tratamento e da obrigatoriedade do consentimento livre,
esclarecido e informado sob o enfoque da lei geral de proteção de dados (LGPD) – Lei 13.709/2018.
In: Bruno Bioni, Laura Schertel Mendes, Danilo Doneda, Otavio Luiz Rodrigues Jr., Ingo Wolfgang
Sarlet. (Org.). Tratado de Proteção de dados pessoais. 1ed. Rio de Janeiro: Forense, 2021. E-book.)
98. MULHOLLAND, C. O tratamento de dados pessoais sensíveis. In: Mulholland, Caitlin (Org.). LGPD
e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, v. 1, p. 142.
99. Art. 13, § 4º, da LGPD: Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do
qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso
de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
100. Cf. EDPB. Document on response to the request from the European Commission for clarications on
the consistent application of the GDPR, focusing on health rese arch. Adopted on 2 February 2021.
167
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
poderá revelar dados pessoais. O órgão de pesquisa será o responsável pela
segurança da informação prevista nocaputdeste artigo, não permitida, em
circunstância alguma, a transferência dos dados a terceiro. O acesso aos dados
de que trata este artigo será objeto de regulamentação por parte da Autoridade
Nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas
competências.101
Entende-se que estudos realizados em outras áreas do saber também de-
verão adotar standards de proteção necessários, adequados e sucientes para
a mitigação de riscos aos titulares, aplicando-se, no que couber, os parâmetros
denidos no Art. 13. Além disso, especialmente nos casos de estudos que reali-
zarem tratamentos de dados sensíveis, será necessária a aplicação de garantias
técnicas e jurídicas apropriadas aos riscos envolvidos e vericar os mais elevados
padrões éticos e de transparência aplicáveis.
Ainda sobre o tema, a LGPD assegura, expressamente, em seu art igo 16, II,
que os dados pessoais serão eliminados após o término de seu tratamento, no
âmbito e nos limites técnicos das atividades, autorizada a conservação para as
seguintes nalidades: “(...) II – estudo por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais.”
3.2.5 Exercício regular de direitos, inclusive em contrato e em processo
judicial, administrativo e arbitral
A norma traz a possibilidade de tratamento de dados sensíveis para o exer-
cício regular de direitos tanto em relação a um contrato quanto em processo
judicial, administrativo ou arbitral (nos termos da Lei nº 9.307, de 23 de setembro
de 1996 – Lei de Arbitragem). O Art. 11 não replicou, portanto, a disposição do
Art. 7º, V, que permite o tratamento de dados pessoais quando necessário para a
execução de contrato ou de procedimentos preliminares relacionados a contrato
do qual seja parte o titular, a pedido do titular dos dados.102
101. “Em decorrência do disposto no art. 13 da LGPD, e em consonância com obrigações similares previstas
em outros normativos, o acesso a dados pessoais por órgãos de pesquisa e respectivos pesquisadores
para ns de estudos em saúde pública é vinculado ao compromisso legal e ético de respeitar a con-
dencialidade desses dados e a privacidade dos titulares, bem como de utilizá-los apenas para
a nalidade especíca de realização de estudos em saúde pública. Nesse sentido, a posição dos
pesquisadores nessas situações pode ser equiparada à de prossionais que têm o dever de conferir
sigilo às informações recebidas no exercício de sua atividade prossional, a exemplo de médicos
e advogados.” (ANPD. TEXTO PARA DISCUSSÃO Nº 1/2022. ESTUDO TÉCNICO. A LGPD e o
tratamento de dados pessoais para ns acadêmicos e para a realização de estudos por órgão de pes-
quisa.2022.)
102. Como, por exemplo, nas situações em que o titular adquira produtos ou serviços seus dados poderão
ser tratados para essa nalidade especíca (Art. 7º, V). A base também pode ser aplicada para levan-
tamentos realizados por instituições nanceiras em relação a determinada pessoa, anteriormente à
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
168
Acerca das diferenças entre as bases legais no que concerne ao contrato,
doutrina destaca:
(...) quis o legislador impor maior grau de cautela aos agentes de tratamento. Assim, em
vez de simplesmente transpor o texto do artigo 7º, V, e correr o risco de a base legal de
execução de contrato ser aplicada de maneira extensiva, o legislador fez questão de frisar
que o agente de tratamento deve identicar um direito concreto que exsurge do contrato
e atrai a necessidade do tratamento. Na verdade, mais do que necessidade, no caso, a lei
demanda que o tratamento seja essencial, dado o uso do termo “indispensável” no inciso
II do artigo 11.103
Quanto ao exercício regular de direitos em contrato, recorda-se a situação
de um seguro saúde ou seguro de vida necessitar coletar informações sensíveis,
pois, sem o tratamento de tais dados, poderá não ser possível entregar a presta-
ção que lhe compete decorrente da relação contratual, como o ressarcimento de
despesas médicas no seguro saúde ou o pagamento de indenização por algum
tipo de invalidez decorrente de acidente ou doença.104 Arma-se que, aqui, a
seguradora não teria apenas o dever de cumprir a obrigação contratual, mas
também o direito de adimpli-la.105 Nesse sentido,
(...) o requisito para tratamento de dados com base no exercício regular de direitos em sede
contratual não se confunde com os interesses legítimos do controlador ou de terceiros.
Como se trata de dados sensíveis, aqui a legislação impõe um controle maior sobre o que
efetivamente poderia contar como requisito que chancele o tratamento, incluindo
a análise sobre: (i) a existência de um direito envolvido no caso; (ii) se o exercício desse
concessão de crédito a ela. Após a solicitação efetuada pela pessoa, a instituição realizará análise de
risco e de crédito. “Essa base legal tem especial importância para o setor de seguros, que necessita
realizar análises preliminares para subsidiar a contratação (conhecimento do risco), como também
para cumprir o contrato, como na hipótese da regulação de um sinistro, do fornecimento de assistência
24 horas, da inspeção de risco etc.” (Guia de boas práticas do mercado segurador brasileiro sobre a
proteção de dados pessoais. CNseg. p.26. Disponível em: seg .org.br/data/les/A6/25/A2/
F2/9B22571029E24F473A8AA8A8/GBPMS_ONLINE_ok.pdf>. Acesso em: 29.07.21)
103. PALHARES, Felipe; PRADO, Luis; VIDIGAL, Paulo. Compliance digital e LGPD. São Paulo: omson
Reuters Brasil, 2021. p.176.
104. Guia de boas práticas do mercado segurador brasileiro sobre a proteção de dados pessoais. CNseg.
p.31.
105. Da mesma forma, a doutrina europeia tratando de dispositivo similar no GDPR reconhece a possibili-
dade de uma seguradora ̶ com base no exercício regular de direitos decorrentes de um contrato ̶ tratar
dados de saúde de um segurado para vericar a regularidade de uma reclamação de indenização oriunda
de um sinistro de seguros de pessoas. “Using sensitive data may also be necessary for a controller to
establish, exercise or defend legal claims. Reliance on this criterion requires the controller to establish
necessity. at is, there must be a clos e and substantial connection between the processing and the
purposes. One example of an activity that would fall under this criterion is processing medical data by
an insurance company in order to determine whether a person’s claim for medical insurance is valid.
Processing such data would be necessary for the insurance company to consider the claim brought by
the claimant under their insurance policy” (USTARAN, Eduardo. European Data Protection Law and
Practice. Portsmouth: IAPP, 2018, p. 88).
169
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
direito é regular (e não abusivo) e (iii) se esse direito decorre de uma relação contratual. (...)
Não obstante, será possível se valer do exercício regular de um direito em sede contratual
como base legal para o tratamento de dados em algumas hipóteses como, por exemplo,
na prevenção e combate à fraude, porque prevenir e combater a fraude em seguros mais
do que um direito da sociedade seguradora é um dever, como entidade encarregada de
proteger a mutualidade representada por toda a massa de segurados e em decorrência de
determinações legais e regulatórias especícas para essa nalidade.106
Acerca do exercício regular de direitos/de defesa em açõ es judiciais, entende-
-se que ele não deve se limitar a um processo judicial já em andamento, podendo
tal hipótese de tratamento ser interpretada para abranger procedimentos judiciais
futuros (para o seu estabelecimento ou em sede de defesa, dentro de critérios
razoáveis e havendo justicativa plausível), para obtenção de orientação jurídica
ou outra forma de defesa legal para exercício de direitos.107 108
Essa base poderá ser utilizada para respaldar a guarda de dados, mesmo após
o término de uma operação, para constituir eventua l meio de prova de direitos e
obrigações. Um parâmetro de tempo razoável para a guarda, em alguns casos, pode
ser o prazo para exercício de determinada pretensão. Em um caso de constituição
de prova, os dados pessoais deverão ser usados quando forem indispensáveis para
a defesa do agente, levando em conta os princípios constitucionais docontraditório
e da ampla defesa. Observa-se, portanto, cuidadosamente as situações de violação
à boa-fé e de abuso do direito. É possível pedir ao juiz, em determinados casos,
segredo de justiça para que o acesso aos dados que limitado e protegido.
Vale recordar, aqui, exemplos desenvolvidos pela ICO para a presente bas e
legal:
a) Um empregador está sendo processado por um de seus empregados após
um acidente de trabalho. O empregador deseja transmitir os detalhes
do acidente aos seus advogados para obter aconselhamento jurídico e
se defender em reclamação judicial. As informações sobre o acidente
106. Guia de boas práticas do mercado segurador brasileiro sobre a proteção de dados pessoais. CNseg.
p.31-32.
107. Disponível em:
ral-data-protection-regulation-gdpr/special-category-data/what-are-the-conditions-for-processin-
g/#conditions6> acesso em: 22.11.20
108. “e processing of special categories of data which “is necessary for the establish ment, exercise or
defence of legal claims”, whether in court proceedings or in an administrative or out-of-court proce-
dure,425 is also allowed under the GDPR. In this case, processing must be relevant to a specic legal
claim and its exercise or defence respectively, and may be requested by any one of the disputing parties.
When acting in their judicial capacity, courts may process speci al categories of data within the con-
text of resolving a legal dispute. Examples of these special catego ries of data processed in this context
could include for example, genetic data when establishing parentage, or health status when part of the
evidence concerns details of an injury sustained by a victim of crime.” (Handbook on European data
protection law 2018 edition. p.163.)
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
170
incluem detalhes das lesões do indivíduo, que se qualicam como dados
de saúde. Aqui, a presente base legal seria aplicável.
b) Um cabeleireiro realiza teste em cliente para vericar se ela terá alguma
reação alérgica com a tintura que ele pretende aplicar em seu cabelo. O
cabeleireiro registra quando o teste foi feito e os resultados. O cabelei-
reiro está, portanto, tratando dados de saúde sobre as alergias da cliente.
Embora não haja nenhuma reclamação judicial em curso ou esperada,
os objetivos no caso são estabelecer que o cabeleireiro está cumprindo o
seu dever de cuidar da cliente e se defender em eventual ação judicial, no
caso de haver alguma reação adversa.
3.2.6. Proteção da vida ou da incolumidade física do titular ou de terceiro
Em alguns casos, o tratamento de dados pessoais sensíveis pode proteger
interesses individuais, relativos à vida e integridade do titular dos dados, e/ou
coletivos, como, por exemplo, quando o tratamento for necessário para ns hu-
manitários ou visando a tutelar questões de interesse público.
Em meio à pandemia da COVID-19, essa base legal mostrou-se de aplicação
relevante na medida em que diferentes sujeitos da socied ade civil passaram a im-
plementar estratégias para combater o coronavírus em seus ambientes privados,
como, por exemplo, em prédios corporativos, indústrias ou estabelecimentos
comerciais. O tratamento – devidamente fundamentado e apenas em situações
necessárias – de determinados dados sensíveis dos titulares que frequentam tais
ambientes passou a ser relevante para se limitar a possibilidade de proliferação
da doença, representando uma medida de segurança.
Idealmente, a aplicação dessa base legal deve se dar nos casos em que for difícil
obter o consentimento do titular dos dados, porque, por exemplo, ele se encontra
inconsciente ou desaparecido. Exemplo: pessoa inconsciente é levada para um
hospital (onde nunca esteve), após sofrer grave acidente. Nesse caso, o novo hospital
precisará de pelo menos parte do histórico médico do paciente para atendê-lo de
forma adequada. A partir dessa base legal, entende-se que poderá o médico que
irá atendê-lo requisitar documentação a outro hospital onde o paciente já esteve
ou ao médico de conança dessa pessoa (se essa informação estiver disponível).
3.2.7 Tutela da saúde, exclusivamente, em procedimento realizado por
prossionais de saúde, serviços de saúde ou autoridade sanitária
Diante da restrição quanto aos sujeitos que podem fazer uso desta base
legal, resta claro que os principais controladores nesse contexto serão hospitais
171
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
e outros agentes da área da saúde. Em relação à autoridade sanitária, recorda-se
a Lei nº 9.782/99, que dene o Sistema Nacional de Vigi lância Sanitária e cria a
Agência Nacional de Vigilância Sanitária.
Podemos trazer os seguintes questionamentos a respeito da base legal:
quem seriam os prossionais de saúde109 e quais serviços110 seriam considerados
de saúde? Um plano de saúde, por exemplo, poderá utilizar de forma ampla tal
base legal? A tutela da saúde nesse dispositivo seria especicamente da pessoa
a quem esses dados dizem respeito ou poderia envolver uma coletividade ou
grupo especíco?
O cuidado com a mencionada base deve existir entre outras razões
porque, a partir da solicitação de exames ou da análise de dados de saúde,
é possível ter em mãos situações muito sensíveis sobre determinada p essoa
e terceiros que com ela tenham relação, b em como praticar discriminações
ilícitas ou abusivas.
De acordo com o “Código de Boas Práticas: Proteção de Dados para Pres-
tadores Privados de Serviços em Saúde”, publicado em 2021 pela Confederação
Nacional de Saúde (CNSaúde), para a adequada utilização dessa base legal mos-
tra-se necessário cautela, pois seu conceito não se aplica indiscriminadamente
a todas as etapas da prestação de serviços de saúde. Ainda que todo o setor de
saúde atue pelo menos indiretamente para o benefício da saúde do paciente,
a referida base legal somente será aplicável nos “procedimentos realizados
por prossionais de saúde, serviços de saúde ou autoridade sanitária”, não
podendo ser aplicável a qualquer processamento de dados do setor da saúde.
No documento, sugere-se que sua uti lização seja realizada à luz do conceito de
tutela da saúde presente no Artigo 9(2)(h) e Artigo 9(3) do GDPR, que dispõem
respectivamente que:
Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a
avaliação da capacidade de trabalho do empregado, para o diagnóstico médico, a prestação
de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços
de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por
109. Prossionais da saúde são, por exemplo, médicos, enfermeiros, nutricionistas, sioterapeutas, tera-
peutas ocupacionais, biólogos, biomédicos, farmacêuticos, odontólogos, fonoaudiólogos, psicólogos,
assistentes sociais, prossionais da educação física e médicos veterinários. Fonte: CGPNI: Coordenação
Geral do Programa Nacional de Imunizações, janeiro de 2021. Informado pelo Grupo de Vigilância
Estadual.
110. Lei nº 8.080, de 19 de setembro de 1990 – Dispõe sobre as condições para a promoção, proteção e
recuperação da saúde, a organização e o funcionamento dos serviços correspondentes e dá outras
providências. Art. 1º Esta lei regula, em todo o território nacional, as ações e serviços de saúde,
executados isolada ou conjuntamente, em caráter permanente ou eventual, por pessoas naturais ou
jurídicas de direito Público ou privado.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
172
força de um contrato com um prossional de saúde, sob reserva das condições e garantias
previstas no nº 3;111
(...)
3. Os dados pessoais referidos no nº 1 podem ser tratados para os ns referidos no nº 2, alínea h), se
os dados forem tratados por ou sob a responsabilidade de um prossional sujeito à obrigação de
sigilo prossional, nos termos do direito da União ou dos Estados-Membros ou de regulamentação
estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita
a uma obrigação de condencialidade ao abrigo do direito da União ou dos Estados-Membros
ou de regulamentação estabelecida pelas autoridades nacionais competentes.112
Dessa forma, conforme o “Código de Boas Práticas”, será necessário vericar
quais tratamentos são realizados no âmbito das atividades m dos prestadores
(medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho
do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos
de saúde) e se os dados foram tratados por ou sob a responsabilidade de um
prossional sujeito à obrigação de sigilo prossional
Como exemplos, são destacados usos da base legal em casos de: “acesso
e manuseio das informações do prontuário médico por prossionais de saúde
envolvidos no tratamento do paciente que são obrigados ao sigilo prossional”;
“utilização do prontuário médico para gerar diagnósticos com auxílio de sowares”;
e “acessar informações do prontuário médico por prossional da saúde obrigado
ao sigilo prossional em caso de risco de vida”. Por outro lado, o “acesso e manuseio
de informações do prontuário médico por prossionais não obrigados ao sigilo
prossional” devem ser realizados com o consentimento do usuário ou por obri-
gação legal ou regulatória.
Ainda, no “Código de Boas Práticas” entende-se que, em relação às bases
legais dos principais tipos de tratamentos de dados envolvendo exames labora-
toriais, será necessário utilizar as bases do Art. 11. Diante disso,
No caso da “coleta das amostras ou das imagens”; “encaminhamento da amostra ou da
imagem para o setor responsável pela análise clínica”; “emissão de laudo diagnóstico”;
“divulgação do resultado para o paciente”; “armazenamento dos resultados”, quando
111. Artigo 9(2)(h) do GDPR (…) “processing is necessary for the purposes of preventive or occupational
medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision
of health or social care or treatment or the management of health or social care systems and services on
the basis of Union or MemberState law or pursuant to contract with a health professional and subject
to the conditions and safeguards referred to in paragraph3;”
112. Artigo 9(3) do GDPR “Personal data referred to in paragraph1 may be processed for the purposes
referred to in point(h) of paragraph2 when those data are processed by or under the responsibility of
a professional subject to the obligation of professional secrecy under Union or Member State law or
rules established by national competent bodies or by another person also subject to an obligation of
secrecy under Union or MemberState law or rules established by national competent bodies.”
173
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
realizados por prossional de saúde obrigado ao sigilo médico, a base legal aplicável é a
tutela da saúde.113
Recorda-se que, durante o tratamento de um paciente, o prossional de
saúde pode precisar compartilhar informações com colegas da prossão para
dirimir dúvidas ou obter uma segunda opinião sobre determinado diagnóstico
ou outras nalidades diretamente relacionadas à tutela da saúde do paciente.
Sobre a situação, o “Código de Boas Práticas” esclarece que:
(...) um clínico geral pode necessitar do auxílio de um neurologista para diagnosticar deter-
minados sintomas, ou quer discutir um caso especíco com outro colega da mesma área, e,
para isso, circula dados do seu paciente em meios de comunicação. Caso algum dado que
permita a identicação do paciente seja divulgado, ou mesmo os exames dele sejam com-
partilhados, o caso atrai a incidência da LGPD, devendo estar embasado em uma base legal
que permita tal compartilhamento.114
A interpretação da referida base legal conforme a visão do GDPR parece uma
proposta bastante interessante e que apresenta mais garantias à pessoa humana.
O setor de saúde possui grande uxo de dados sensíveis, devendo contar com
proteções adicionais e maior segurança jurídica e técnica.
3.2.8 Garantia da prevenção à fraude e à segurança do titular, nos
processos de identicação e autenticaç ão de cadastro em sistemas
eletrônicos
No lugar da hipótese relativa ao legítimo interesse (que não se aplica quando
no tratamento houver dados sensíveis), o Art. 11, II, “g”, trouxe base mais especí-
ca, que visa à prevenção de fraudes e a garantir a segurança do titular, restando
vinculada aos interesses dos titulares e determinadas entidades.
Como exemplo de aplicação, aponta-se a seguinte situação: instituições
bancárias e empregadores podem tratar dados biométricos para a prevenção de
fraudes, sem o consentimento dos titulares dos dados, a m de conrmar que
é o empregado autorizado que está entrando em área de acesso restrito da em-
presa ou que é determinado cliente que está realizando uma transação bancária
relevante. Ainda, é possível tratar dados sensíveis a partir dessa base legal em um
contexto em que se necessite prevenir fraudes em processos de identicação ou
de conrmação de identidade por meio de aplicativos utilizados em smartpho-
nes, como, por exemplo, para a criação de uma conta digital. Da mesma forma,
113. Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde. p. 66.
Documento disponível em: ui-o-codigo-de-boas-praticas-protecao-
-de-dados-para-prestadores-privados-de-saude/> Acesso em: 27.07.21.
114. Código de Boas Práticas, op.cit., p. 76.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
174
pode-se utilizar essa base para a coleta de dados biométricos de colaborador
para acesso a sistemas nanceiros da empresa. Outra situação seria o pedido
para atendimento médico-hospitalar, com a utilização de seguro ou de plano de
assistência à saúde, que o segurado/beneciário colocasse seu polegar em um
leitor biométrico para conrmar sua identidade, a m de evitar que outra pessoa
utilizasse a cobertura securitária em seu lugar.
Na aplicação da referida base, é necessário observar em síntese quatro
questões:
a) O tratamento deve ocorrer visando a garantir a prevenção à fraude e a
segurança do titular. Por consequência, o tratamento também oferecerá
maior segurança ao controlador.
b) O tratamento do dado sensível será em processos de identicação e au-
tenticação de cadastro do titular em sistemas eletrônicos.
c) No tratamento deverão ser resguardados os direitos mencionados no Art.
9º da LGPD.115
d) No tratamento em questão, é necessário observar cuidadosamente
eventual lesão ou situação indevida que envolva direitos e liberdades
fundamentais do titular e exija a proteção de seus dados pessoais. Assim
como ocorre na utilização da base legal do legítimo interesse116, caso os
direitos e liberdades fundamentais do titular devam preva lecer no caso
concreto, esta base legal não poderá ser utilizada.
A respeito da aplicação dessa base, parece equivocado realizar seu empre-
go quando for possível identicar a pessoa natural com outros dados pessoais
(não sensíveis) e/ou através de ferramentas especícas, havendo, então, níveis
próximos de segurança e o alcance da nalidade pretendida. É importante, aqui,
que se tenha certeza de que os dados que serão tratados a partir dessa hipótese
legal sejam realmente indispensáveis para se alcançar a prevenção de fraudes
e a proteção da segurança do titular na utilização de serviços/bens relevantes.
115. Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que
deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características
previstas em regulamentação para o atendimento do princípio do livre acesso: I – nalidade especíca
do tratamento; II – forma e duração do tratamento, obser vados os segredos comercial e industrial; III
– identicação do controlador; IV – informações de contato do controlador ; V – informações acerca
do uso compartilhado de dados pelo controlador e a nalidade; VI – responsabilidades dos agentes
que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no
art. 18 desta Lei. (...) (grifou-se)
116. LGPD – “Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(...) IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais;”
175
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Sua utilização, como regra, será para contextos especiais em que sej a necessário
maior segurança para a correta identicação e autenticação do titular de dados.
Além disso, deve-se observar – com maior vigor – as hipóteses legais e o período
de conservação dos dados sensíveis tratados.
Diante da possibilidade de uso de reconhecimento facial para algumas
atividades públicas e privadas, mostra-se necessário discutir com maior pro-
fundidade o uso de dados biométricos, bem como se a imagem de uma pessoa
natural (contida em fotos ou captada em víde o) pode ser considerada um dado
pessoal sensível. Conforme dispõe o considerando 51 do General Data Protec-
tion Regulation (GDPR), o tratamento de fotograas não deverá ser considerado
sistematicamente um tratamento de categorias especiais de dados pessoais, uma
vez que elas serão apenas abrangidas pela denição de dados biométricos quando
forem processadas por meios técnicos especícos que permitam a identicação
inequívoca ou a autenticação de uma pessoa singular. Em adição ao considerando,
mostra-se necessário observar também no caso concreto o contexto, os dados
revelados pela imagem e a nalidade de seu tratamento.
Além de questões biométricas, considerando-se que uma imagem pode
revelar, em alguns casos, dados de origem étnica ou racial, de saúde, de orientação
sexual ou questões religiosas de determinada pessoa natural, é possível defender
seu enquadramento, em determinados contextos e diante de certos usos, como
um dado pessoal sensível. Além disso, se a nalidade do processamento da ima-
gem (e demais dados adicionados) se relacionar com a obtenção de informações
sensíveis, isso acarretará a aplicação das normas especiais relacionadas.117
3.2.9 Compartilhamento de dados sensíveis pelo setor privado
Voltando para os parágrafos do Art. 11 da LGPD, a comunicação ou o uso
compartilhado de dados pessoais sensíveis entre controladores com o objetivo de
obter vantagem econômica poderá ser objeto de vedação ou de regulamentação
por parte da Autoridade Nacional de Proteção de Dados, ouvidos os órgãos se-
toriais do Poder Público, no âmbito de suas competências (Art.11, §3º). A LGPD
não dispôs, porém, se e em que condições o próprio titular poderia obter vanta-
gem econômica a partir do compartilhamento dos seus dados sensíveis de saúde,
o que vem sendo bastante discutido no setor da saúde e em novos negócios.118
117. Observa-se que a questão já foi abordada e aprofundada nos capítulos 1 e 2 da presente tese de dou-
torado.
118. Sugere-se, aqui, a análise do projeto My Health My Data: -
-mhmd/> Acesso em: 27.07.21. ROTHBARTH, Renata. Monetização de d ados de saúde à luz da
LGPD: interpretação do artigo 11, §3º. In: DALLARI, Analluza Bolivar; MONACO; Gustavo Ferraz
de Campos (Org.). LGPD na saúde. São Paulo: Revista dos Tribunais, 2021. p. 299.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
176
Segundo a Lei (Art.11, §4º), é vedada a comunicação ou o uso comparti-
lhado entre controladores de dados pessoais sensíveis referentes à saúde com o
objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação
de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde
que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose
e terapia, em benefício dos interesses dos titulares de dados, e para permitir:I
– a portabilidade de dados quando solicitada pelo titular; ouII – as transações
nanceiras e administrativas resultantes do uso e da prestação dos ser viços de
que trata este parágrafo119.
Nesse caso, a noção de “em benefício dos interesses dos titulares de dados”
mostra-se bastante aberta e traz uma série de discussões por se tratar de situação
em que haverá a comunicação ou o uso compartilhado entre controladores de
dados sensíveis referentes à saúde com o objetivo de obter vantagem econômica.
Quem determinará se realmente há um benefício preponderante? Sobre o pará-
grafo em questão, arma-se que “(...) o que o legislador quis evitar com a vedação
ao compartilhamento dos dados de saúde foi, especialmente, a compra e venda
mascarada de bases de dados com essas informações sensíveis e a discriminação
na formação de preços de planos de saúde em razão dos conhecimentos obtidos
por meio desses dados.”
Recorda-se que a portabilidade dos dados representa um dos direitos do
titular120. Ela possibilita que o titular, junto ao controlador, possa obter as suas
informações pessoais de forma estruturada e de modo que possam ser transmiti-
das e reutilizadas em diferentes serviços. Ela permite que eles movam, copiem ou
transram dados pessoais facilmente de um ambiente para outro, de forma segura
e protegida, sem afetar sua usabilidade. O direito se aplica apenas às informações
que o indivíduo forneceu ao controlador.121 Estando de posse de seus dados e
de seu histórico, o titular pode obter similar contratação em concorrente, por
119. “(...) é de rigor que as operadoras de planos de saúde e outros prestadores de serviços de saúde recebam
esses dados para que possam realizar as atividades para as quais são contratadas, como realizar o paga-
mento pelos serviços prestados e pelos eventuais insumos médicos utilizados durante o atendimento.”
(PALHARES, Felipe. Vantagem econômica no compartilhamento de dados de saúde: interpretação
do artigo 11, § 4º, da LGPD. In: DALLARI, Analluza Bolivar; MONACO; Gustavo Ferraz de Campos
(Org.). LGPD na saúde. São Paulo: Revista dos Tribunais, 2021. p. 310.)
120. LGPD – “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição: (...) V – portabilidade
dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a
regulamentação da autoridade nacional, observados os segredos comercial e industrial;”
121. Sobre portabilidade, a ICO apresenta o seguinte material:
guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/
right-to-data-portability/> Acesso em: 28.07.21.
177
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
exemplo, exercendo assim sua livre opção.122 Na LGPD, o direito à portabilidade
não inclui dados que foram anonimizados.123
Enm, o § 5º do Art. 11 dispõe que é vedado às operadoras de planos privados
de assistência à saúde o tratamento de dados de saúde para a prática de seleção
de riscos na contratação de qualquer modalidade, assim como na contratação
e exclusão de beneciários. Esse dispositivo deve ser lido em consonância com
o que dispõe a Lei 9.656/1998 (que versa sobre os planos e seguros privados de
assistência à saúde) e seu Art. 14, o qual estabelece que, em razão da idade do
consumidor, ou da condição de pessoa p ortadora de deciência, ninguém pode
ser impedido de participar de planos privados de assistência à saúde.124
Essa vedação não parece completamente nova para o setor da Saúde Suple-
mentar, pois na Resolução Normativa n. 195, de 14 de julho de 2009, a Agência
Nacional de Saúde Suplementar(ANS) já coibia tal prática, estabelecendo, em
seu Art. 16, que para vínculo de beneciários aos planos privados de assistência à
saúde coletivos por adesão ou empresarial não serão permitidas quaisquer outras
exigências que não as necessárias para ingressar na pessoa jurídica contratante.
O setor de Saúde Suplementar, o qual apresenta consolidada regulação, dispõe
de normas que disciplinam todo o processo de contratação de planos privados, o
122. Um doente de uma clínica privada Y vai mudar-se para outra clínica X. O doente solicita à clínica Y,
que possui arquivos eletrônicos a seu respeito, que lhe forneça os seus dados p essoais num formato
estruturado de leitura automática, a m de poder transmitir os mesmos aos prossionais de saúde
pertinentes na clínica X. A clínica Y deve fornecer-lhe os seus dados pessoais num formato aberto
de uso corrente. Ao selecionar o formato dos dados, a organização deve ter em consideração o modo
como o formato irá afetar ou prejudicar o direito da pessoa a reutilizar os dados. Por exemplo, o for-
necimento, a um doente, de versões em PDF do seu processo poderá não ser suciente para garantir
a reutilização fácil dos dados em questão.
123. LGPD – “Art. 18, § 7º A portabilidade dos dados pessoais a que se refere o inciso V docaputdeste artigo
não inclui dados que já tenham sido anonimizados pelo controlador.”
124. “Esse dispositivo, porém, deve ser lido em consonância com o que dispõe a Lei nº 9.656/98 (que
versa sobre os planos e seguros privados de assistência à saúde) e aqui merece ser feita uma distinção
entre seleção de riscos e análise de risco para ns de subscrição e precicação. A Lei nº 9.656/98 veda
a seleção de riscos, ou seja, a possibilidade de recusa de oferecimento de cobertura a determinado
proponente, porém a mesma lei reconhece a possibilidade de precicação e de análise de riscos para
ns de subscrição ao admitir que, na presença de doença preexistente, deverá ser ofertada ao propo-
nente a cobertura parcial temporária ou o agravo do prêmio durante o período no qual seria aplicável
a cobertura parcial temporária. Portanto, é nessa linha que deve ser interpretado esse dispositivo da
LGPD. Logo, é fundamental que se ponha em perspectiva que nem toda discriminação é prejudicial
e ilícita, como não é, por exemplo, aquela diretamente relacionada a subsidiar a contratação de um
seguro” (Guia de boas práticas do mercado segurador brasileiro sobre a proteção de dados pessoais.
CNseg. p.14.). “Portanto, seleção de r iscos para ns de não oferecimento de cobertura em seguro saú-
de é vedada pelo dispositivo em questão, mas não a análise de risco para ns de precicação (agravo
do prêmio) ou para o estabelecimento de cobertura parcial temporária, no caso de identicação de
preexistência de alguma doença, o que, como consequência, autoriza o tratamento de dados sensíveis
referentes à saúde do beneciário ou do segurado para essas nalidades” (p. 34).
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
178
que mostra a importância de um diálogo consistente entre a LGPD e a legislação
setorial. 125
A ANS determina126 que para a contratação de planos privados de assis-
tência à saúde o contratante (beneciário) apresente uma Declaração Pessoal
de Saúde, por meio da qual deverá informar sobre as doenças ou lesões de que
saiba ser portador ou sofredor e das quais tenha conhecimento no momento da
contratação ou adesão contratual, para que a operadora possa vericar a neces-
sidade de aplicação de carência, agravo ou cobertura parcial temporária. Não são
permitidas perguntas sobre hábitos de vida, sintomas ou uso de medicamentos.
Faz parte do contrato de seguro o cálculo de risco, notadamente porque tal
cálculo poderá pautar o preço da contraprestação a ser quitada pelo segurado.
Nesse sentido, a Súmula Normativa nº 27/2015 da ANS dispõe que é vedada a
prática de seleção de riscos pelas operadoras de planos de saúde na contratação
de qualquer modalidade de plano privado de assistência à saúde. Por tanto, resta
vedada a não concretização da proposta de contratação de plano de saúde, em
virtude de seleção de risco, em qualquer tipo de contratação. Levando isso em
conta, entende-se que o parágrafo 5º, do Art.11, da LGPD “(...)não pretendeu
extinguir a análise de risco com base em dados de saúde, mas somente proibir a
seleção de risco que possa acarretar a exclusão de segurados ou a não contratação
com pessoas que sejam classicadas como de risco alto.”127 128
125. Em relação ao parágrafo 5º, do art. 11, da LGPD, arma-se que ele “Não signica uma vedação completa
a que as operadoras realizem estudos populacionais, avaliando o comportamento de carteiras para o
m de aplicar uma precicação justa e adequada para cada grupo, coletivamente considerado. Signica,
apenas, que as operadoras não realizarão tratamento de dados pessoais para aceitar ou excluir titular
de sua carteira (...).” Disponível: eral-protecao-da-
dos-pessoais-atividades-setor-saude> Acesso em: 02.11.20.
126. Resolução normativa nº 162, de 17 de outubro de 2007- Art. 9º Na contratação de planos privados de
assistência à saúde, o conteúdo da declaração do beneciário a respeito de seu estado de saúde e de
possíveis DLP, que ser virão de base para aplicação da regra contida no art. 11 daLei nº 9.656de 1998,
deverão observar o disposto nesta Resolução.
127. Disponível em:
-pessoais/> Acesso em: 28.07.21.
128. “De forma expressa na Lei Geral de Proteção de Dados Pessoais (LGPD), está proibido que as operadoras
de saúde se utilizem de uma investigação do histórico do paciente para limitar acesso, contratação,
bem como a exclusão de eventuais benefícios em razões da vida pregressa do beneciário. Pois bem,
ocorre que no âmbito da Lei 9.656/1998, que regulamenta os planos de saúde no Brasil, há a autorização
legal para que as operadoras xem um período de exclusão de cobertura em razão de doenças preexis-
tentes. (...) De certo, a indicação de uma DLP no momento da contratação está inserid a no dever de
transparência e boa-fé contratual, pois a omissão de dados essenciais na prestação do serviço poderá
desequilibrar a expectativa econômica das partes. (...) Portanto, é dever legal do beneciário trazer essa
informação no momento da contratação; mas acaso este se omita, pode a operadora de saúde atuar para
comprovar a prática ilícita do consumidor. Surge então um grande embaraço trazido pela LGPD, pois
proíbe as operadoras de saúde de utilizaro histórico do paciente; porém, esse ônus lhe é imposto por
outra norma, qual seja, pelo artigo 11 da Lei nº 9.656/1998. Como então compatibilizar a LGPD (que
179
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Uma proteção diferenciada aos dados sensíveis – considerando-se sua re-
lação com a tutela da dignidade da pessoa humana – mostra-se obrigatória seja
em qual setor que ocorra o tratamento. A partir dessas informaçõ es, é possível
conhecer com elevada precisão indivíduos, assim como criar cenários de discri-
minações ilícitas ou abusivas em face do titular do dado. Além disso, como visto,
há dados potencialmente sensíveis e tratamentos rea lizados com ns de se obter
ou inferir informações sensíveis sobre a pessoa, que exigem igualmente tutela
especial pelo ordenamento.
3.2.10 Tratamento de dados públicos sensíveis
Quando a LGPD aborda os dados públicos, ela dispõe sobre duas categorias:
a) dados tornados manifestamente públicos pelo titular ; e b) “dados pessoais cujo
acesso é público”. A disposição legal sobre ambas se encontra nos parágrafos do
Art.7º da lei. Importa ressaltar que a lei não tratou de forma especíca os dados
públicos de caráter sensível, trazendo, aparentemente, apenas duas normas gerais
para o tratamento de dados pessoais considerados públicos.
Diante disso, cabe indagar: teria a LGPD unicado a forma como deverão
ser tratados os dados públicos (sendo eles sensíveis ou não) ou todos os dados
sensíveis, sendo públicos ou não, deveriam sempre ser t ratados com base em uma
das hipóteses legais do Art. 11? Verica-s e, então, que além do debate sobre que
tipos de dados pessoais devem, de fato, ser considerados públicos, há também
dúvidas acerca do seu tratamento lícito quando forem também sensíveis. Diante
disso, mostra-se relevante tanto um maior cuidado doutrinário sobre o tema
quanto uma manifestação da Autoridade Nacional de Proteção de Dados, para
que esclareça dúvidas e detalhe a questão.
No caso de dispensa da exigência do consentimentoprevisto noAr t.7º, §4º,
para os dados “tornados manifestamente públicos pelo titular”,129 os agentes de
proíbe a utilização de dados relativos à saúde) com a Lei dos Planos de Saúde (que exige que o plano
de saúde comprove a doença preexistente)? (...) não se p ode cogitar que a LGPD não trouxe nenhuma
barreira instransponível para a operadora de saúde apurar o histórico do beneciário; e tampouco é
uma ferramenta que inviabiliza o acesso a qualquer documento ou histórico do paciente. A nova lei
coloca, nesse sentir, uma vedação clara, direta e objetiva nos objetivos dessa investigação. A pretensão
da operadora de saúde somente será legítima se os dados colhidos para a vericação do conhecimento
prévio do consumidor ou beneciário dessa doença preexistente foi realizada unicamente para ns
de satisfazer o artigo 11 da Lei 9.656/1998.” (PSCHEIDT, Kristian Rodrigo. A relação entre a LGPD
e a apuração da boa-fé contratual. Conjur, publicado em 07 de dezembro de 2020. Disponível em:
em: 28.07.21.)
129. LGPD – Art. 7º, § 4º É dispensada a exigência do consentimento previsto nocaputdeste artigo para os
dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios
previstos nesta Lei.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
180
tratamento continuarão obrigados a obser var os direitos do titular e os princí-
pios previstos na Lei. Assim como na hipótese dos dados de acesso público130,
aqui deve ser considerado o contexto em que a informação foi disponibilizada e
a nalidade do tratamento pretendido. Deve haver compatibilidade entre o seu
uso e as circunstâncias pelas quais tal informação foi tornada pública pelo titular,
tendo em vista a ressalva disposta na lei, que não autoriza seu uso indiscrimi-
nado. Esses tipos de dados, ainda que sejam considerados públicos, não deixam
de ser pessoais, sendo necessário considerar sempre os princípios da LGPD,
especialmente a nalidade, a adequação e a necessidade, em sua circulação e o
que justica sua disponibilização.131
A proteção dos dados públicos em todo o processo que envolve sua circulação
e tratamento caminha ao encontro das novas formas de expressão da pessoa hu-
mana e de tutela dos dados sensíveis. Nesse sentido, destaca-s e relevante reexão:
A necessidade de proteção foi dilatada para além das informações relacionadas à esfera
íntima da pessoa, compreendidas como aquelas que o interessado excluiria de qualquer
tipo de circulação (RODOTÀ, 2008). Se é possível conceber um “núcleo duro” da privacidade,
a partir de informações que tradicionalmente remetem a uma necessidade de sigilo, ganha
cada vez mais relevância as informações que têm uma potencialidade discriminatória, mas
não podem ser connadas na esfera privada, porque integram a esfera pública, constituindo
as convicções que a pessoa deve poder manifestar publicamente e que formam, portanto, a
sua identidade pública (RODOTÀ, 2008). Não obstante, a origem racial ou étnica da pessoa,
abrangente de uma noção de pertencimento ao respectivo grupo social, constituem dados
sensíveis que não podem circunscrever a sua tutela a uma reserva privada. (...) É com a nali-
dade de garantir a plenitude à esfera pública que são determinadas rigorosas condições para
a circulação dos dados sensíveis, assegurando, paradoxalmente, segundo Rodotà (2008), um
forte estatuto privado. É neste sentido que os riscos conexos ao uso das informações levaram
ao reconhecimento da autodeterminação informativa como um direito fundamental, e não
apenas de um sigilo, a partir da tendência de tutelar uma série de “posições individuais e
coletivas relevantes no âmbito da informação”(RODOTÀ, 2008, p. 96). 132
130. LGPD – Art. 7°, § 3º O tratamento de dados pessoais cujo acesso é público deve considerar a nalidade,
a boa-fé e o interesse público que justicaram sua disponibilização.
131. A doutrina oferece dois exemplos de utilização que esclarecem as possibilidades desses dados: “(...) a
princípio, terceiros não poderiam usar dados de uma rede social, mesmo que de pers públicos, para
ns de marketing. As circunstâncias pelas quais tais dados foram tornados públicos pelo s eu próprio
titular deram-se para uma outra nalidade, que é a de se relacionar com quem integra o seu círculo
social. Por outro lado, a princípio, ser ia compatível o uso de dados de pers públicos de uma rede
prossional (e.g., Linkedin) por terceiros, como headhunters, para aproximar seus usuários às vagas
prossionais de seu eventual interesse. Esse uso é compatível com a nalidade não só da plataforma
em si, como, principalmente, a razão pela qual tais dados são públicos” (BIONI, Bruno. Proteção de
dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 271).
132. KORKMAZ, Maria Regina Detoni Cavalcanti Rigolon. Dados Sensíveis na Lei Geral de Proteção de
Dados Pessoais: mecanismos de tutela para o livre desenvolvimento da personalidade. Orientador:
Sergio Marcos Carvalho de Ávila Negri. Dissertação (mestrado acadêmico) – Universidade Federal
de Juiz de Fora, Faculdade de Direito. Programa de Pós-Graduação em Direito, 2019. p. 43.
181
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Uma questão relevante em torno da expressão dados “tornados manifes-
tamente públicos pelo titular” é a sua interpretação: ela diz respeito à intenção
prévia do usuário quando tornou públicos seus dados (ou seja, ele tinha clara
ciência de que estava tornando públicos alguns dados pessoais) ou se refere ao
aspecto público que os dados atingiram em virtude da divulgação/disponibili-
zação feita pelo titular? Diante da lógica da lei, parece que os dois fatores devem
ser conjugados na análise.133 A ciência do titular sobre a publicização de seus
dados, por meio da disponibilização, revela-se condição para que o tratamento
deles, sem prévio consentimento, seja autorizado pela LGPD. Como exemplos
de dados assim considerados, vale recordar os dados publicados no perl do ti-
tular em uma rede social, bem como aqueles veiculados em uma página na rede
criada pela própria pessoa. A exceção do §4º, do Art. 7º, não deverá servir para
ns amplos e irrestritos.
Os dados devem ter sido “manifestamente” tornados públicos, o que requer
um ato armativo por parte do titular dos dados e que ele perceba que ess e será o
resultado. Já se armou que o tratamento de dados no contexto da videovigilância
não pode se basear na norma que regula o tratamento de dados pessoais tornados
manifestamente públicos pelo titular. O mero fato de entrar no alcance de uma
câmera não implica que o titular dos dados pretende tornar públicas até mesmo
informações pessoais sensíveis sobre ele.
Sobre a questão, o Information Commissioner’s Oce apresenta algumas
questões para se vericar se determinado dado pessoal pode ser considerado
como tendo sido tornado manifestamente público por seu titular: a) Quem
tornou os dados públicos: foi o próprio indivíduo ou outra pessoa? b) Em que
contexto o referido dado foi tornado público: em razão de uma entrevista, de o
titular ter se candidatado a um cargo público ou de ele ter publicado conteúdo
em suas mídias sociais? c) O indivíduo deliberadamente tomou as medidas
que tornaram públicos esses dados ou foi algo acidenta l e não intencional? d)
O indivíduo entendeu que sua ação signica que seus dados pessoais serão
considerados públicos?134
133. “On the other hand, such data would have to be made public by the data subject, and more than that,
manifestly made public, so as to indicate that they wish and expect such data to be further processed.
No need to mention that all other provisions, including the principles and the Article 6, still apply, and
also the personal data may be processed only if the purpose of the processing could not reasonably be
fullled by other means” (FOITZIK, Piotr. Publicly available data under the GDPR: Main considera-
tions. Disponível em: rg/news/a/publicly-available-data-under-gdpr-main-conside-
rations/>. Acesso em: 01.08.21)
134. A respeito dessa hipótese legal, vale ressaltar interpretação da ICO: “e term ‘manifestly made public’
is not dened by the UKGDPR. But it clearly assumes a deliberate act by the individual. It’s not enough
that it’s already in the public domain – it must be the person concerned who took the steps that made
it public. Example A security breach means that information about an individual’s health condition
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
182
Necessário analisar também a segunda categoria de dados públicos: “da-
dos pessoais cujo acesso é público”, como aqueles cuja publicação é obrigatória
por lei, como o fato de alguém ser proprietário de um imóvel, sócio de uma
empresa ou casado. Outro exemplo é a consulta de CPFs no site da Receita
Federal com o propósito de mera conrmação da titularidade para operações
nanceiras. De acordo com o § 3º, do Art.7º, a tratamento dos referidos d ados
deverá considerar a nalidade, a boa-fé e o interesse público que justic aram
sua disponibilização.
Nesse sentido, armou o legislador que o tratamento posterior dos dados
pessoais (públicos) a que se referem os §§ 3º e 4º do Art. 7º poderá ser realizado
para novas nalidades, desde que observados os propósitos legítimos e especí-
cos para o novo tratamento e a preservação dos direitos do titular, assim como
os fundamentos e os princípios previstos nesta Lei (§7º).
Nos dois casos mostra-se relevante discutir acerca da necessidade de se
aplicar uma base legal para tratar tais dados. Na hipótese do § 4º (dados torna-
dos manifestamente públicos pelo titular), pode-se entender que não haveria
necessidade de uma nova base legal para o tratamento desses dados, já que se
trataria de hipótese autorizativa para o tratamento de dados sem o consentimento
is publicly available from an organisation’s website. Clearly, making their specia l category data public
was not a deliberate act on the part of the individual. erefore this condition would not apply to any
processing of health data obtained from the website. Example e political aliations of a member
of parliament are technically special category data (these are ‘political beliefs’). However these are
clearly a matter of public knowledge and the individual has actively chosen to make these public by
standing for election as a member of parliament. You need to be condent that it was the individual
themselves who actively chose to make their special category data public and that this was unmistakably
a deliberate act on their part. ere is a dierence between assenting to or being aware of publication,
and an individual actively making information available. For example, by blogging about their health
condition or political views. You might also nd it hard to show that someone has manifestly made
information public if, for example, they made a social media post for family and friends but default
audience settings made this public. You should therefore be very cautious about using this condition
to justify your use of special category data obtained from social media posts. To be manifestly made
public, the data must also be realistically accessible to a member of the general public. e question
is not whether it is theoretically in the public domain (eg in a publication in a specialist library, or
mentioned in court), but whether it is actually publicly available in pract ice. Disclosures to a limited
audience are not necessarily ‘manifestly public’ for these purposes. In particular, information is not
necessarily public just because you have access to it. e question is whether any hypothetical interested
member of the public could access this information. You cannot use this condition to justify publication
of previously unpublished data. It only applies to information which is already public.” Disponível em:
tion-regulation-gdpr/special-category-data/what-are-the-conditions-for-processing/#conditions5>
Acesso em: 01.08.21.
183
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
de seu titular.135-136 Por outro lado, no caso do § 3º (dados pessoais cujo acesso é
público), o enquadramento em uma das bases legais autorizativas contidas no
rol do Art. 7º ou do Art. 11 se mostraria adequado. Entende-se não ser razoável
admitir que dados disponíveis publicamente possam ser tratados sem uma base
legal especíca, pois isso seria o mesmo que autorizar que qualquer informação
publicada, por exemplo, por força de uma obrigação legal, pudesse ser utilizada
para uma nalidade distinta sem que o novo controlador precisasse demonstrar
que existia uma base legal que autorizava o tratamento. Tanto é que o referido §
3º não dispensa a exigência de consentimento como faz o § 4º.137
Nesse sentido, destaca-se estudo da ANPD:
(...) o tratamento de dados pessoais cujo acesso é público também deve observar a LGPD. Mais
especicamente, o tratamento desses dados pessoais, prática usual no ambiente acadêmico,
deve se amparar em uma base legal apropriada e respeitar “a nalidade, a boa-fé e o interesse
público que justicaram a sua disponibilização” (art. 7º, § 3º). Além disso, a utilização desses
dados para outras nalidades – inclusive de dados tornados manifestamente públicos pelo
titular – deve observar “os propósitos legítimos e especícos para o novo tratamento e a
preservação dos direitos do titular, assim como os fundamentos e os princípios previstos”
na LGPD (art. 7º, § 7º).138
De forma geral, dispôs a Lei que eventual dispensa da exigência do consen-
timento não desobriga os agentes de tratamento das demais obrigações previstas
135. Essa previsão, aliás, encontra semelhança no art. 9º, § 2º, alínea ‘e’ do GDPR, que reconhece como
possível base legal para o tratamento de dados pessoais – no caso do GDPR dados sensíveis – quando
tiverem sido manifestamente tornados públicos pelo seu titular. Isso não quer dizer, contudo, que
basta que o dado pessoal tenha sido, por exemplo, disponibilizado online por seu titular. Para que um
dado seja considerado como tornado manifestamente público pelo seu titular, deve restar inequívoco
que ele pretende e espera que seus dados pessoais sejam tratados ulteriormente. Além disso, como
previsto no próprio § 4º do Art. 7º da LGPD, devem ser observados os direitos do titular e os princípios
previstos na LGPD.
136. Neste sentido, já se armou que “salvo engano, referida regra seria uma válvula de escape a todas as
hipóteses autorizadoras do art. 7º, e não apenas àquela do inciso I (consentimento), como seu texto
dá a entender. A regra do §4º do citado artigo, a bem da verdade, poderia ser tratada como uma outra
hipótese permissiva, pois o controlador que atua sob a regra excepcional acima não precisaria justicar
suas atividades em nenhuma das demais hipóteses autorizadoras do art. 7º da LGPD, conforme enten-
do.” (MOREIRA, André de Oliveira Schenini. A exceção dos dados pessoais tornados manifestamente
públicos pelo titular na LGPD. Migalhas, publicado em 07 de janeiro de 2019. Disponível em:
www.migalhas.com.br/depeso/293745/a-excecao-dos-dados-pessoais-tornados-manifestamente-
-publicos-pelo-titular-na-lgpd> Acesso em: 01.08.21.)
137. LGPD – Art. 7º (...) § 3º O tratamento de dados pessoais cujo acesso é público deve considerar a
nalidade, a boa-fé e o interesse público que justicaram sua disponibilização. § 4º É dispensada a
exigência do consentimento previsto nocaputdeste artigo para os dados tornados manifestamente
públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
138. ANPD. TEXTO PARA DISCUSSÃO Nº 1/2022. ESTUDO TÉCNICO. A LGPD e o tratamento de
dados pessoais para ns acadêmicos e para a realização de estudos por órgão de pesquisa.2022.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
184
na Lei, especialmente da observância dos princípios gerais e da garantia dos
direitos do titular (Art. 7º, § 6º).
Em diálogo com o tema abordado, recorda-se que o sistema de proteção de
dados da LGPD relaciona-se com a Lei de Acesso à Informação (Lei Federal nº
têm direito a receber dos órgãos públicos informações de seu interesse partic ular,
ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de
responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança
da sociedade e do Estado (Art.5º, XXXIII, da CF/88). A LAI busca promover dire-
trizes como: publicidade como preceito geral e sigilo como exceção; divulgação de
informações de interesse público, independentemente de solicitações; utilização
de meios de comunicação viabilizados pela tecnologia da informação; fomento ao
desenvolvimento da cultura de transparência na administração pública; e desen-
volvimento do controle social da administração pública.140
139. Dispõe o enunciado n. 688, aprovado na IX Jornada de Direito Civil do CJF, em maio de 2022: “A Lei de
Acesso à Informação (LAI) e a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelecem sistemas
compatíveis de gestão e proteção de dados. A LGPD não afasta a publicidade e o acesso à informação
nos termos da LAI, amparando-se nas bases legais do art. 7º, II ou III, e art. 11, II, a ou b, da Lei Geral
de Proteção de Dados.”
140. “Com efeito, ao dispor sobre o tratamento de dados pessoais pelo Poder Público (arts. 23 a 30), a LGPD
não utiliza, em momento algum, as palavras “segredo” ou “sigilo”. Em sentido diverso, a lei expressa-
mente reforça e amplia as obrigações de transparência de entidades e órgãos públicos, ao determinar,
por exemplo, a publicação de informações relativas ao tratamento de dados pessoais em veículos de
fácil acesso (art. 23, I). Na mesma linha, o art. 25 estabelece que “os dados deverão ser mantidos em
formato interoperável e estruturado para o uso compartil hado, com vistas […] à disseminação e ao
acesso das informações pelo público em geral”, norma de teor semelhante ao art. 8º, § 3º, III, da LAI.
Por sua vez, a LAI confere especial proteção ao tratamento de informações p essoais no setor público,
conceito este (art. 4º, IV) similar ao de dado pessoal na LGPD (art. 5º, I). Daí a restrição de seu acesso
a agentes autorizados e a possibilidade de sua divulgação apenas nas hipóteses previstas em lei ou
mediante consentimento do titular (art. 31, § 1º). Além disso, a LAI já previa a responsabilização de
agentes públicos ou particulares pelo “uso indevido” de informações pessoais (art. 31, § 2º), norma
que pode ser interpretada em consonância com o princípio da nalidade e seus desdobramentos,
conforme estabelecidos pela LGPD. (...)” Sobre a harmonização das normas, o autor arma: “Será
necessário, por exemplo, reavaliar pro cessos internos e contratos com entidades privadas, questionar
a necessidade de coleta ou de publicação de determinados dados pessoais e adotar medidas adicionais
de prevenção e segurança que minimizem os riscos de acidentes e acessos não autorizados. Ademais,
deve-se reconhecer a limitação da tradicional e rígida distinção entre dados públicos e sigilosos. Isso
porque a LGPD demanda a adoção de medidas de proteção ao longo de todo o processo de tratamento,
isto é, desde a coleta inicial até o término de sua utilização, independentemente do conteúdo ou do
grau de publicidade conferido aos dados pessoais. Por conseguinte, mesmo dados pessoais a que se
atribua publicidade são protegidos pela lei, devendo ser observados os direitos do titular, bem como
a “nalidade, boa-fé e o interesse público que justicaram a sua disponibilização” (art. 7º, §§ 3º e 4º,
LGPD).” (CARVALHO, Lucas Borges de. A LGPD e o acesso à informação pública: dado pessoal é
dado sigiloso? Jota, publicado em 16 de dezembro de 2020. Disponível em: .jota.info/
opiniao-e-analise/artigos/lgpd-informacao-publica-16122020> Acesso em: 02.08.21)
185
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Diante disso, parece surgir um aparente conito normativo: enquanto a LAI
tem como pilar os princípios da transparência e da publicidade da Administra-
ção Pública, a LGPD trata da proteção da privacidade e dos dados pessoais dos
cidadãos, por meio de medidas de prevenção e de segurança, buscando assegurar
tratamentos com base legal delimitada e nalidade determinada. Entende-se,
porém, que não há uma incompatibilidade entre a LAI e a LGPD, ainda que
alguns casos concretos requeiram ponderação de valores, diante dos bens e
direitos apresentados.141
3.3 TRATAMENTO DE DADOS SENSÍVEIS DE CRIANÇAS E DE
ADOLESCENTES
Conforme os mecanismos de comunicação e de interação online avançam,
o ambiente digital vem se tornando cada vez mais rele vante na vida das pessoas.
Especialmente após o início da pandemia de COVID-19, diversas operações e
atividades foram intensicadas ou migraram para o referido ambiente, como
o ensino em escolas, universidades e cursos, serviços governamentais, parte
do comércio e ferramentas de entretenimento e jogos. Não há dúvidas de que a
Internet, em razão das potencialidades e recursos que oferece, apresenta novas
oportunidades para a realização dos direitos de crianças e adolescentes. Além
disso, o acesso permanente a tecnologias digitais pode ajudá-los a realizar uma
série de direitos civis, políticos, culturais, econômicos e sociais. Contudo, diante
dos diversos sujeitos que nela interagem e das sosticadas formas de tratamento
de dados disponíveis, ela apresenta também riscos de violação ou abuso a direitos
dos menores.142 143
141. Cf. BUCAR, Daniel. Administração Pública e Lei Geral de Proteção de Dados. In: SOUZA, Carlos
Affonso; MAGRANI, Eduardo; SILVA, Priscilla (coord.). Caderno Especial: Lei Geral de Proteção
de Dados (PGPD). São Paulo: Revista dos Tribunais, 2019. p. 153-165. LANGENEGGER, Natalia;
GOBBATO, Andréa. Compatibilização da Lei de Acesso à Informação com a Lei Geral de Prote-
ção de Dados Pessoais: desafios no âmbito do Poder Judiciário. Revista do Advogado, São Paulo,
v. 39, n. 144, p. 141-148, nov. 2019. MATOS, Ana Carla Harmatiuk; RUZYK, Carlos Eduardo
Pianovski. Diálogos entre a Lei Geral de Proteção de Dados e a Lei de Acesso à Informação. In :
FRAZÃO, Ana; OLIVA, Milena Donato; TEPEDINO, Gustavo (coord.). Lei Geral de P roteção de
Dados Pessoais: e suas repercussões no Direito brasileiro. São Paulo: Revista dos Tribunais, 2019.
p. 199-218.
142. Cf. LATERÇA, Priscilla Silva; FERNANDES, Elora; TEFFÉ, Chiara Spadaccini de; BRANCO, Sérgio
(Coords.). Privacidade e Proteção de Dados de Crianças e Adolescentes. Rio de Janeiro: Instituto de
Tecnologia e Sociedade do Rio de Janeiro; Obliq, 2021. E-book.
143. Human Rights Watch. “How Dare ey Peep into My Private Life?” Children’s Rights Violations by
Governments at Endorsed Online Learning During the C ovid-19 Pandemic. 2022. Disponível em:
https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-vio-
lations-governments Acesso em: 18.06.22
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
186
O acesso a conteúdos que estimulam violência, automutilação144 ou o uso de
drogas, o vazamento de imagens íntimas145, o tratamento indevido de dados pes-
soais, o cyberbullying e o aliciamento sexual são exemplos de riscos signicativos a
menores na rede. A relação das crianças e dos adolescentes com a Internet é marcada
pela conectividade e pela mobilidade no acesso à rede, sendo o smartphone um dos
principais dispositivos para a sua conexão. Inclusive, ele foi responsável muitas vezes
por manter os menores conectados e acompanhando as aulas escolares em lares
brasileiros. Segundo pesquisa realizada em 2019, considerando o total de usuários
de 9 a 17 anos, 83% assistiram a vídeos, programas, lmes ou séries na Internet; 76%
pesquisaram na Internet para trabalhos escolares; e 68% utilizaram redes so ciais.146
Mostra-se, assim, necessário analisar os diversos instrumentos de proteção
a crianças e adolescentes e destacar a importância de um uso ético e responsável
da Internet. Neste sentido, promover uma educação digital de qualidade para pais,
professores e menores resultará em um melhor uso da rede, capaz de oferecer
mais benefícios aos sujeitos. Adicionalmente, é importante manter canais para
um diálogo aberto com os menores, de forma que eles se sintam seguros para tirar
dúvidas e relatar situações de abuso que estejam sofrendo.
O controle e a mediação parental – necessários para a orientação de me-
nores no uso da rede – devem ser aplicados em intensidades compatíveis com
as idades da criança e do adolescente, respeitando seus graus de autonomia e
discernimento, bem como seus processos de aquisição gradual de competências
e entendimentos.147 Os riscos e oportunidades relacionados com o envolvimento
dos menores no ambiente digital mudam a depender de sua idade e estágio de
desenvolvimento. Sendo possível e seguro, entende-se adequado conferir espaços
de liberdade e privacidade para o menor, para que desenvolva sua autonomia e
comunicação, tendo os seus pontos de vista devidamente considerados. O design
de medidas apropriadas a cada idade deve ser informado pelas mais atualizadas
144. TEFFÉ, Chiara Spadaccini de. Desao da Baleia Azul: o que se sabe até agora. ITS FEED, 25 abr. 2017.
Disponível em: ra-
-b4b85ae77a56> Acesso em 04.06.21.
145. TEFFÉ, Chiara Spadaccini de. Exposição não consentida de imagens íntimas: como o Direito pode
proteger as mulheres? In: Nelson Rosenvald; R afael Dresch; Tula Wesendonck (Org.). Responsabilidade
civil: novos riscos. 1ed.Indaiatuba: Foco, 2019. p. 91-113.
146. Resumo Executivo – Pesquisa sobre o uso da Internet por crianças e adolescentes no Brasil – TIC
Kids Online Brasil 2019. Novembro de 2020. p.04. Disponível em:
resumo-executivo-pesquisa-sobre-o-uso-da-internet-por-criancas-e-adolescentes-no-brasil-t ic-
-kids-online-brasil-2019/> Acesso em: 05.06.21
147. O comentário n.25 acerca dos direitos da criança no ambiente digital foi importante embasamento
teórico para o presente artigo. Committee on the Rights of the Child. General comment No. 25 (2021)
on children’s rights in relation to the digital environment. 2 March 2021. Disponível em: ps://
tbinternet.ohchr.org/_layouts/15/treatybodyexternal/Download.aspx?symbolno=CRC%2fC%2f-
GC%2f25&Lang=en> Acesso em: 05.06.21.
187
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
pesquisas e práticas nos campos da educação e da tecnologia. Observa-se tam-
bém que as referidas considerações devem ser equilibradas com a importância
de os menores exercerem seus direitos em ambientes apoiados, assim como com
a gama de experiências e circunstâncias individuais.
Outros instrumentos igualmente relevantes, a depender da idade e da matu-
ridade, são: a realização de atividades em conjunto com os pais, o estabelecimento
de determinadas limitações quanto ao tempo de uso de tecnologias, a utilização de
ferramentas e ltros para restringir atividades dos menores online e o monitoramento
de interações diversas realizadas na Internet. Um adequado controle parental atrela-
do a uma educação digital de cunho emancipatório, pautada em resp onsabilidade e
diálogo aberto, mostram-se essenciais para a proteção de crianças e adolescentes.148
O uso de dispositivos digitais não deve ser um substituto para as necessárias
interações entre crianças e seus pais e crianças e seus colegas de escola. Além
disso, verica-se a importância de se prestar atenção aos efeitos da tecnologia
nos primeiros anos de vida da criança, momento de grande relevância para o seu
desenvolvimento cerebral e quando o ambiente social, em particular as relações
com os pais e cuidadores, revela-se crucial para moldar seu desenvolvimento
cognitivo, emocional e social.
O ambiente digital deve apoiar e promover um engajamento seguro e
equitativo dos menores, sendo relevante o desenvolvimento de políticas e ações
que visem a uma efetiva inclusão digital. Caso isso não ocorra, as desigualdades
existentes provavelmente aumentarão e outras poderão surgir, como no acesso à
educação e à informação. O direito a não discriminação deve garantir que crianças
e adolescentes tenham um acesso de qualidade ao ambiente digital. Neste sentido,
mostram-se relevantes políticas públicas que facilitem o acesso a dispositivos
conectados, uma internet aberta e serviços digitais. Além disso, com base no
direito a não discriminação, deve-se proteger crianças e adolescentes de dados
tendenciosos, falsos ou parciais, de tratamentos indevidos ou ilícitos de infor-
mações, além da criação de pers voltados ao direcionamento de publicidade.149
148. Parágrafo extraído de: TEFFÉ, Chiara Spadaccini de. Proteção de dados de crianças e adolescentes.
Revista do Advogado, v. 39, 2019.
149. Adicionalmente, o comentário n.25 acerca dos direitos da criança no ambiente digital arma que:
“e Committee calls upon States parties to take proactive measures to prevent discrimination on the
basis of sex, disability, socioeconomic background, ethnic or national origin, language or any other
grounds, and discrimination against minority and indigenous children, asylum-seeking, refugee and
migrant children, lesbian, gay, bisexual, transgender and intersex children, children who are victims
and survivors of tracking or sexual exploitation, children in alternative care, children deprived of
liberty and children in other vulnerable situations. Specic measures will be required to close the
gender-related digital divide for girls and to ensure that particu lar attention is given to access, digital
literacy, privacy and online safety.”
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
188
Todas as ações direcionadas a crianças e adolescentes devem necessa-
riamente visar ao seu melhor interesse, como, por exemplo, no fornecimento,
regulação, design, gestão e uso do ambiente digital. O reconhecimento e a tutela
de sua hipervulnerabilidade150 ou vulnerabilidade agravada151 podem ser inferi-
prioridade absoluta aos direitos da criança e do adolescente.152 Caminha, assim,
o Direito buscando harmonizar o respeito à capacidade e autodeterminação da
pessoa e a necessária proteção jurídica que deve ser conferida a determinados
grupos, para que gozem plenamente de seus direitos fundamentais. Longe de
uma ótica paternalista, busca-se garantir efetividade e aplicação direta às normas
constitucionais.153
A construção da doutrina da proteção integral e prioritária das crianças
e dos adolescentes, segundo a qual tais “pessoas em desenvolvimento” devem
receber total amparo e proteção do sistema jurídico154, remonta à Declaração dos
Direitos da Criança adotada pela Ass embleia-Geral das Nações Unidas no ano de
150. A construção da noção de hiper vulnerabilidade pelos Tribunais parece estar associada à ideia de que as
pessoas assim qualicadas se encontram em situação de maior desigualdade e, por essa razão, carentes
de maior proteção. Nesse sentido, Cláudia Lima Marques explica que a noção foi desenvolvida “como
um corolário positivo da proibição de discriminação, logo do princípio da iguald ade (um dever ser),
e mandamento de pleno desenvolvimento da personalidade, diretamente ligada, pois, a nossa visão de
dignidade da pessoa humana.” (MARQUES, Cláudia Lima. O diálogo das fontes como método da nova
teoria geral do direito: um tributo a Erik Jayme. In.: _______ (coord.). Diálogo das fontes: do conito
à coordenação de normas no direito brasileiro novo regime das relaçõ es contratuais. São Paulo: RT,
2012, p.17-66, p. 46-47.) “Quanto à pergunta sobre se os hiper vulneráveis são apenas os mencionados
no texto constitucional (crianças, adolescentes, idosos e portadores de deciência), parece-me cedo
para responder de forma denitiva. A diferença está em que os hipervulneráveis mencionados nas
normas constitucionais se beneciam do mandamento de proteção constitucional (com efeitos e força
normativa no direito privado), enquanto, por exemplo, os doentes e analfabetos são hipervulneráveis
cuja proteção especial dependerá da atuação ativa do Judiciário e das especicidades do caso concreto
(por exemplo, conhecimento pelo parceiro contratual de sua condição agravada de vulnerabilidade,
tipo de contrato, onerosidade ou gratuidade deste, etc.).” (MARQUES, Cláudia Lima. O diálogo das
fontes como método da nova teoria geral do direito: um tributo a Erik Jayme. In.: _______ (coord.)
Diálogo das fontes: do conito à coordenação de normas no direito brasileiro novo regime das relações
contratuais. São Paulo: RT, 2012, p.17-66, p. 48.)
151. MIRAGEM, Bruno. Curso de Direito do Consumidor. 3ed. São Paulo: RT, 2012, p.102.
152. Art. 227. É dever da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem,
com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à prossiona-
lização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além
de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e
opressão.
153. “10. Congura dano moral coletivo ofensa a direitos coletivos ou difusos de caráter extrapatrimonial
associados a sujeitos ou bens vulneráveis e hipervulneráveis – pessoas com deciência, consumidor,
criança e adolescente, idoso, meio ambiente, ordem urbanística, entre outros.” (STJ. REsp 1.793.332/
MG, Rel. Ministro Herman Benjamin, Segunda Turma, DJe 26/08/2020)
154. STJ. REsp 1.587.477. Quarta Turma. Rel. Min. Luis Felipe Salomão, DJe 27/08/2020.
189
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
1959.155 Posteriormente, em 1989, através da Convenção das Nações Unidas sobre
os Direitos da Criança156, houve a ampliação dos direitos da criança no cenário
internacional. Este documento considerou como criança todo ser humano com
menos de 18 anos de idade, salvo quando, em conformidade com a lei aplicável
à criança, a maioridade seja alcançada antes.
A referida Convenção foi raticada pelo Brasil em 1990 e inuenciou direta-
mente a elaboração do Estatuto da Criança e do Adolescente (Lei 8.069/90 – ECA),
que em seus artigos 3º e 4º destaca que todas157 as crianças (pessoa até doze anos
de idade incompletos) e adolescentes (aquela entre doze e dezoito anos de idade
incompletos) gozam dos direitos fundamentais inerentes à pessoa humana, sem
prejuízo da proteção integral de que trata esta Lei, sendo assegurados a eles todas
as oportunidades e facilidades, a m de lhes facultar o desenvolvimento físico,
mental, moral, espiritual e social, em condições de liberdade e de dignidade.158
Ato contínuo, o ECA dispõe que a criança e o adolescente têm direito à
liberdade, ao respeito e à dignidade como pessoas humanas em processo de de-
senvolvimento e como sujeitos de direitos civis, humanos e sociais garantidos na
Constituição e nas leis (Art. 15). O direito ao respeito consiste na inviolabilidade
155. Princípio II – A criança gozará de proteção especial e disporá de oportunidade e serviços, a serem esta-
belecidos em lei por outros meios, de modo que possa desenvolver-se física, mental, moral, espiritual
e socialmente de forma saudável e normal, assim como em condições de liberdade e dignidade. Ao
promulgar leis com este m, a consideração fundamental a que se atenderá será o interesse superior
da criança. (Declaração dos Direitos da Criança, 1959).
156. Disponível em:
em: 05.06.21.
157. Art. 3°, parágrafo único: “Os direitos enunciados nesta Lei aplicam-se a todas as crianças e adoles-
centes, sem discriminação de nascimento, situação familiar, idade, sexo, raça, etnia ou cor, religião
ou crença, deciência, condição pessoal de desenvolvimento e aprendizagem, condição econômica,
ambiente social, região e local de moradia ou outra condição que diferencie as pessoas, as famílias ou
a comunidade em que vivem.”
158. Recorda-se também a Lei nº 13.257, de 8 de março de 2016, chamada de Marco Legal da Primeira
Infância: “Art. 1º Esta L ei estabelece princípios e diretrizes para a formulação e a implementação de
políticas públicas para a primeira infância em atenção à especicidade e à relevância dos primeiros anos
de vida no desenvolvimento infantil e no desenvolvimento do ser humano, em consonância com os
princípios e diretrizes daLei nº 8.069, de 13 de julho de 1990 (Estatuto da Criança e do Adolescente);
altera a Lei nº 8.069, de 13 de julho de 1990 (Estatuto da Criança e do Adolescente); altera os arts. 6º,
185, 304 e 318 doDecreto-Lei nº 3.689, de 3 de outubro de 1941 (Código de Processo Penal); acres-
centa incisos ao art. 473 daConsolidação das Leis do Trabalho (CLT), aprovada pelo Decreto-Lei nº
5.452, de 1º de maio de 1943; altera os arts. 1º, 3º, 4º e 5º daLei nº 11.770, de 9 de setembro de 2008;
e acrescenta parágrafos ao art. 5º daLei nº 12.662, de 5 de junho de 2012. Art. 2º Para os efeitos desta
Lei, considera-se primeira infância o período que abrange os primeiros 6 (seis) anos completos ou
72 (setenta e dois) meses de vida da criança. Art. 3º A prioridade absoluta em assegurar os direitos da
criança, do adolescente e do jovem, nos termos doart. 227 da Constituição Federale doart. 4º da Lei
nº 8.069, de 13 de julho de 1990, implica o dever do Estado de estabelecer políticas, planos, programas
e serviços para a primeira infância que atendam às especicidades dessa faixa etária, visando a garantir
seu desenvolvimento integral.”
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
190
da integridade física, psíquica e moral da criança e do adolescente, abrangendo
a preservação da imagem, da identidade, da autonomia, dos valores, ideias e
crenças, dos espaços e objetos pessoais (Art. 17). A lei não menciona expressa-
mente a proteção de dados pessoais dos menores, porém, diante da ampla tutela
aplicada, é possível armar que o referido direito se encontra contemplado.
Observa-se também que eles têm direito à informação, cultura, lazer, esportes,
diversões, espetáculos e produtos e serviços que respeitem sua condição peculiar
de pessoa em desenvolvimento (Art. 71). Isso é especialmente relevante quando
consideramos os novos dispositivos conectados e os serviços disponibilizados
na rede, como games, mídias sociais e aplicativos interativos.
A tutela diferenciada das crianças e adolescentes em qualquer relação na
qual participem justica-se exatamente por lhes faltar o completo dis cernimento,
radicando nesse ponto a ratio protetiva. Contudo, deve-se ressaltar que não se
trata apenas de uma proteção adequada ao estágio de desenvolvimento em que
crianças e adolescentes se encontram, mas de uma proteç ão prospectiva, a m de
garantir a dignidade deles hoje e no futuro. Temos, nos últimos tempos, a geração
mais observada de toda a história. Cada vez mais, o rastro digital de menores vem
sendo iniciado mais cedo e de forma ampliada, seja por meio de aplicativos para
serem usados pelas mães durante a gestação, seja por meio de postagens realizadas
pelos próprios pais, em mídias sociais, ainda quando são nascituros ou já nascidos.
Diante disso, cabe salientar a questão do oversharenting: hábito de os pais
postarem constantemente e de forma intensa imagens e informações na Internet
sobre os menores que estão sob sua responsabilidade. Abarca também situações
em que os pais fazem a gestão da vida digital de seus lhos na internet, criando
pers em nome das crianças em redes sociais e postando sempre informações
sobre sua rotina. Com isso, verica-se que a intensa exposição dos lhos feita pelos
pais vem causando uma verdadeira mudança na caracterização da infância, de
forma que a nova geração já cresce com responsabilidades, anseios e exp ectativas
de uma vida adulta. Ocorre também, nesse cenário, a divulgação da família e dos
lhos menores pelos chamados inuenciadores digitais, os quais conjugam tal
exposição com a divulgação de marcas e serviços.
Recomenda-se, portanto, que antes da publicação de conteúdos que envol-
vam menores, os responsáveis reitam criticamente acerca das consequências
de suas ações. Além disso, mostra-se relevante incluí-los no process o decisório
sobre o que vai ser postado sobre eles, de forma a educá-los sobre privacidade,
consentimento e como se portar nas redes sociais.159 Oversharenting pode trazer
159. STEINBERG, Stacey. Growing Up Shared: How Parents Can Share Smarter on Social Media-and What
You Can Do to Keep Your Family Safe in a No-Privacy World. Sourcebooks, 2020. PLUNKETT, Leah
191
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
sérios impactos emocionais e subjetivos às crianças.160 Dentro das consequências
negativas, é possível elencar: bullying em ambientes coletivos; invasão de senhas,
falsicação de identidade e fraudes variadas; diculdade de conseguir vaga de
estágio ou mesmo crédito em instituições bancárias; e ser alvo de manipul ação
(política, comercial ou para qualquer m de controle). Há, inclusive, uma pre-
ocupação acerca das consequências (presentes e futuras) da construção de uma
memória pública e de um registro amplo de eventos e momentos que envolvam
diretamente menores de idade.
Outro tema que permeia os debates envolve a Internet dos br inquedos, com
bonecas, bichinhos de pelúcia e robôs conectados e inteligentes.161 Ela se insere
no amplo universo da Internet da Coisas, que representa a integração de objetos
físicos e virtuais em redes conectadas à Internet, permitindo que “coisas” tratem
uma enorme quantidade de dados em nuvem, sendo possível o gerenciamento
de dispositivos, mesmo à distância, para aumentar a eciência de sistemas e
processos. Cada vez mais, percebe-se a incorporação daIOT na vida de adultos,
adolescentes e crianças. Relógios, geladeiras, leitores de digitais, vibradores se-
xuais, detectores de movimento, câmeras, peças de vestuário e brinquedos já se
encontram conectados à Internet e presentes nas casas e corp os das mais diversas
pessoas, enquanto empresas coletam dados sobre movimentos, preferências e há-
bitos de seus usuários, que não têm, por vezes, nem mesmo plena capacidade civil.
Dentro da Internet of Toys, despontam questões acerca: a) da falta de trans-
parência e informação sobre o tratamento de dados de menores; b) do compar-
tilhamento expressivo de dados com terceiros; c) da ausência de adequação das
instituições à LGPD e às boas práticas internacionais em proteção de dados; d)
de tratamentos indevidos de informações pessoais de terceiros que se encontram
na residência, como pais, visitantes e amigos, sendo o brinquedo, por vezes, con-
siderado um verdadeiro dispositivo de vigilância; e) da exposição excessiva da
intimidade e de dados sensíveis do menor, a part ir da coleta de informações, da
interação realizada e das respostas oferecidas pela criança; e f) da qualidade do
conteúdo que é direcionado a quem interage com os dispositivos, tendo em vista
A. Sharenthood: Why We Should ink before We Talk ab out Our Kids Online. e MIT Press, 2019.
EBERLIN, Fernando Büscher von Teschenhausen. Sharenting, liberdade de expressão e privacidade
de crianças no ambiente digital: o papel dos provedores de aplicação no cenário jurídico brasileiro.
Revista Brasileira de Políticas Públicas. Brasília, v. 7, nº 3, 2017 p. 255-273.
160. Recorda-se o enunciado n. 691, aprovado na IX Jornada de Direito Civil do CJF: “A possibilidade de
divulgação de dados e imagens de crianças e adolescentes na internet deve atender ao seu melhor inte-
resse e ao respeito aos seus direitos fundamentais, observados os riscos associados à superexposição.”
161. Cf. TEFFÉ, Chiara Spadaccini de; SOUZA, Carlos Aonso. Infância conectada: direitos e educação
digital. In: Comitê Gestor da Internet no Brasil. (Org.). Pesquisa sobre o uso da internet por crianças
e adolescentes no Brasil: TIC kids online Brasil 2017. 1ed.São Paulo: Comitê Gestor da Internet no
Brasil, 2018, v. 1, p. 31-40.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
192
a possibilidade de inserção de publicidade implícita de bens durante as interações
dos brinquedos com as crianças.
Adicionalmente, ainda na seara relativa à proteção de dados, há sérias preocu-
pações acerca da segurança e da proteção da integridade dos menores. Questiona-se,
por exemplo: como ca a responsabilidade dos agentes em casos de incidentes de
segurança e de danos? Quais padrões éticos e boas práticas eles deveriam adotar?
Como mapear e sanar riscos e vulnerabilidades? O hackeamento de dispositivos, a
reidenticação de dados anonimizados, o rastreamento de indivíduos e o proling
mostram-se presentes em diversas estruturas de tratamento de dados de crianças
e adolescentes. Por m, destaca-se também o impacto que a relação com o brin-
quedo conectado pode gerar nas formas de comunicação, interação e expressão
das crianças.162
Outro tema que vale recordar envolve o uso de mídias sociais por meno-
res.163-164Como regra, as principais mídias sociais estabelecem, nos termos de uso
apresentados no Brasil, a idade mínima de 13 anos para a abertura de contas e a
162. “Como regra, a comunicação estabelecida com esses dispositivos é pouco complexa e, muitas vezes,
realizada na forma de comandos, sendo desnecessário utilizar expressões como “por favor” e “obrigado”
(Lemos, 2017). Isso poderia inuenciar negativamente as formas de expressão das crianças, prejudican-
do a sua interação com outros seres humanos. Em última instância, a diversão s e transformou em um
processo de criação de bases de dados. Quantas vezes a criança acessou o brinquedo? Quais informações
ela trocou com ele? Quem tem acesso a essa comunicação e onde os dados são armazenados? O que pode
ser feito com eles, além de melhorar a performance do brinquedo e do jogo? Existe um debate complexo
sobre o consentimento dos pais e responsáveis para o tratamento de dados pessoais de seus lhos. Ainda
que os pais tenham consentido com o uso do brinquedo e instalado um aplicativo que permite que eles
controlem a brincadeira, há aspectos nebulosos nessa relação que precisam ser melhor debatidos. O que
acontece se uma outra criança brincar junto e se comunicar com a boneca ou jogo? Enquanto cada vez mais
brinquedos e jogos se conectam à rede, mais cedo as crianças também passam a utilizar a Internet. Duas
certezas provenientes desse cenário são a transformação das práticas de diversão e os desaos constantes
para a proteção da privacidade e dos dados pessoais.” (TEFFÉ, Chiara Spadaccini de; SOUZA, Carlos
Aonso. Infância conectada: direitos e educação digital. In: Comitê Gestor da Internet no Brasil. (Org.).
Pesquisa sobre o uso da internet por crianças e adolescentes no Brasil: TIC kids online Brasil 2017. São
Paulo: Comitê Gestor da Internet no Brasil, 2018, v. 1, p. 31-40.)
163. Cf. TEFFÉ, Chiara Spadaccini de; FERNANDES, Elora. Contratação em redes sociais e proteção de
dados de crianças e adolescentes. In: ROQUE, André Vasconcelos; OLIVA, Milena Donato. Direito
na era digital: aspectos negociais, processuais e registrais. Salvador : Juspodivm, 2022. p.97-122.
164. “Segundo a TIC Domicílios 2020, 64% da população de 10 a 17 anos reportou possuir uma conta no
Instagram. A tendência de aumento da plataforma já havia sido identicada na pes quisa TIC Kids
Online Brasil, na qual o Instagram apresentava o maior crescimento em relação à posse de perl pela
população de 9 a 17 anos (passou de 36%, em 2016, para 45%, em 2018). De maneira inédita, a TIC
Domicílios 2020 investigou a posse de perl no TikTok, reportado p or 46% da população de 10 a 17
anos. A proporção foi expressivamente superior aos que possuíam perl no Snapchat (18%) e no Twitter
(14%). Ainda que o WhatsApp (86%) e o Facebook (61%) sejam as plataformas em que a população
investigada mais possui perl, o Instagram (35%) e o TikTok (27%), plataformas cujas funcionalida-
des centrais estão no compartilhamento e acesso a vídeos, foram reportados como as redes sociais
mais utilizadas.” (Resumo Executivo TIC Kids Online Brasil 2020 Edição COVID-19 – Metodologia
adaptada. Publicado em 25 de novembro de 2021. p.06)
193
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
utilização de seus serviços. Essa determinação tem como base norma norte-ameri-
cana que considera criança o indivíduo com menos de 13 anos de idade: o Children’s
Online Privacy Protection Act de 1998 (COPPA).
Para a Europa, a idade mínima estabelecida nas redes sociais costuma ser a de
16 anos165 , tendo em vista que alguns países ainda vêm se adequando ao GDPR.
O artigo 8º da norma europeia dispõe, em síntese, que, quando for aplicável o
artigo6o, n.1, “a”166,que traz a base legal do consentimento, quanto à oferta direta
de serviços da sociedade da informação para crianças, o tratamento dos dados
pessoais delas será legal quando tiverem pelo menos 16 anos de idade. Caso a
criança tenha menos de16 anos, o tratamento só será lícito se o consentimento
for dado ou autorizado pelos titulares da autoridade parental. Contudo, desta-
ca-se que os Estados-Membros poderão estabelecer idade menor para os efeitos
referidos, desde que não inferior a 13 anos.167
Tanto a LGPD quanto o GDPR determinam que o responsável pelo
tratamento deverá promover todos os esforços razoáveis para verificar se
o consentimento foi dado ou autorizado pelo titular das responsabilidades
parentais sobre a criança, tendo em conta a tecnologia disponível.168 O us o
165. Como exemplo, vale recordar os termos de uso do WhatsApp: “Se você reside em um país do Espaço
Econômico Europeu (que inclui a União Europeia) ou em qualquer outro país ou território incluído
(coletivamente,Europa), deve ter pelo menos 16 anos (ou mais, se for exigido em seu p aís) para se
cadastrar e usar o WhatsApp. Se você reside em qualquer outro país, e não nos países pertencentes
àRegião Europeia, você deve ter pelo menos 13 anos (ou mais, se for exigido em seu país) para se ca-
dastrar e usar o WhatsApp.” Disponível em: m/general/security-and-privacy/
minimum-age-to-use-whatsapp/?lang=pt_br> Acesso em: 05.06.21.
166. Artigo6.o Licitude do tratamento 1.O tratamento só é lícito se e na medida em que se verique pelo
menos uma das seguintes situações: a) O titular dos dados tiver dado o seu consentimento para o
tratamento dos seus dados pessoais para uma ou mais nalidades especícas; (...)
167. No estudo e GDPR child’s age of conse nt for data processing across the EU – one year later (July
2019) foram apresentadas as idades mínimas estabelecidas por alguns países europeus para um menor
consentir com o tratamento de seus dados por serviços da sociedade da informação. Disponível em:
Acesso em: 05.06.21.
168. “e GDPR contains a number of specic protections for children’s data protection rights, including
the specic provisions in Article 8 GDPR, setting out the conditions applicable to obtaining a child’s
consent in relation to information society services.10 It should be noted, however, that consent is not
the only possible legal basis for the processing of children’s personal data, and controllers should assess
on a case-by-case basis which is the most appropriate legal basis for any proposed processing. Where
such services are oered directly to a child, and the controller seeks to rely on consent as a legal basis,
the child’s must b e at least 16 years old to consent independently, or, if the child is younger, the holder
of parental responsibility must have given or authorised the consent. Whilst Article 8(1) does allow
for Member States to set the age at a lower level (between 13 and 16), the 2018 Act has maintained the
age cut-o for consent to such services at 16 years old in Ireland. In cases involving children under 16,
controllers must make reasonable eorts to verify that consent is given or authorised by the holder
of parental responsibility over the child, taking into consideration available technology.” (Autoridade
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
194
de linguagem clara e acessível para os menores nas plataformas também é
sempre recordado.169
No momento pandêmico, o uso de redes so ciais foi substancialmente alar-
gado em razão de trends virais, desaos, ltros e práticas de unboxing, o que
motivou, inclusive, que crianças buscassem t ais plataformas, mesmo diante da
vedação de sua presença nos termos de uso. Como evitar que crianças acessem
serviços e conteúdos inadequados para a sua idade em mídias sociais? Quais
mecanismos podem ser utilizados para se vericar a idade real do sujeito?170
Sugere-se, por exemplo, a implementação de medidas de vericação de idade:
como fazer uma pergunta que uma criança não seria capaz de responder; so-
licitar que o menor forneça o e-mail de seus pais, para que eles manifestem o
consentimento por escrito; solicitar o número de determinados doc umentos do
menor e de seu responsável (como o CPF e o número de um cartão de crédito);
e analisar o hábito de navegação do sujeito para vericar se é compatível com
a idade que diz ter.
Contudo, será a idade de 13 anos já adequada para o uso desacompanhado
de mídias sociais? Proibir ou controlar diretamente o uso seria a solução? As
referidas questões desaam pesquisadores e pais, devendo ser analisadas caso a
de proteção de dados irlandesa. Guidance Note: Legal Bases for Processing Personal Data. December
2019. p. 09.)
169. “Additional protection is granted to this type of personal data since children are less aware of the
risks and consequences of sharing data and of their rights. Any information addressed specically to
a child should be adapted to beeasily accessible, using clear and plain language. For most online
servicesthe consent of the parent or guardianis required in order to process a child’s personal data on
the grounds of consent up to a certain age. is applies to social networking sites as well as to platforms
for downloading music and buying online games. e age threshold for obtaining parental consent
is established by each EU Member State and can be between 13 and 16 years. (…) Companies have
to make reasonable eorts, taking into consideration available technology, to check that the consent
given is truly in line with the law. (…) Preventive or counselling ser vices oered directly to children
are exempted from the requirement for parental consent as they seek to protect a child’s best interests.”
Disponível em: ic/data-protection/reform/rights-citizens/
how-my-personal-data-protected/can-personal-data-about-children-be-collected_en> Acesso em:
05.06.21.
170. “e ongoing debate around age assurance is oen centred around restricting access to the internet
for children and young people. But done properly, age assurance can drive the development of new
products and services to create a richer and more diverse digital ecosystem in which children (one
in three internet users) are a recognised user group. (…) Rather than viewing it as simply restrict ing
access, we should be looking at age assurance as a chance to invite children into a digital world that
oers them greater privacy, freedom from commercial pressures, content and information in formats
and language that they like, protection from misinformation or material that promotes harmful acti-
vities (such as suicide, self-harm or disordered eating), alongside supporting digital services in their
legal duty not to provide children with age restricted contact and content.” (But how do they know
it is a child? Age Assurance in the Digital World. 5Rights Foundation. Março de 2021. Disponível:
-the-digital-world.html> Acesso em: 11.06.21)
195
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
caso, conforme as características, a autonomia e o discernimento do menor. As
diversas e dinâmicas relações desenvolvidas na Internet, que envolvem tratamen-
tos de dados e, por vezes, sua monetização e utilização para ns comerciais, nem
sempre são adequadamente compreendidas por adolescentes. Além disso, durante
a adolescência o sujeito não goza ainda de plena capacidade civil (a menos que
seja emancipado aos 16 anos), o que traz questionamentos acerca da validade do
consentimento manifestado em termos de uso, contratos e ferramentas online.
Isso nos faz reetir sobre o processo de tomada de decisões na Internet e a
respeito das escolhas jurídicas para a proteção da criança e do adolescente, com-
preendidos em caráter concreto e dentro de sua multiplicidade. Não se pode cair
no equívoco de um excessivo formalismo, sob pena de prejudicarmos despro-
porcionalmente novos modelos de negócio e relações relevantes para a dinâmica
comunicacional do ser humano. A análise do discernimento e da maturidade do
sujeito se mostra fundamental, pois, ainda que o critério etário seja importante,
ele não deverá ser em todos os casos único e absoluto.
Como apresentado no capítulo 1, dados sensíveis poderão alcançar diferen-
tes níveis de sensibilidade e de risco ao serem tratados, a depender da informação
em si que guardam e do titular a quem dizem respeito, impactando em graus de
intensidade diversos a esfera íntima ou secreta de seu titular. Excelentes exem-
plos para se pensar em contextos altamente sensíveis são dados biométricos de
crianças e dados de saúde de menores de idade com deciência171, os quais além
de serem sensíveis dizem respeito a sujeitos hipervulneráveis e destinatários de
tutela integral. Neste caso, o melhor interesse e o dever de cuidado impõem grau
de zelo maior com tais dados pessoais.
Para ilustrar, recorda-se interessante caso ocorrido em 2019 em que a
Autoridade de Proteção de Dados Sueca172 multou um município em aproxi-
madamente 20.000 euros por usar tecnologia de reconhecimento facial para
monitorar a frequência de alunos em escola.173 No norte da Suécia, uma escola
conduziu um projeto piloto aplicando reconhecimento facial para monitorar
a frequência dos alunos. O teste foi realizado em uma turma da escola por um
período limitado. A Autoridade sueca concluiu que o teste violava disposições
171. Sugere-se a leitura de caso que envolveu multa aplicada p ela Autoridade de Proteção de Dados da
Noruega ao município de Rælingen. Disponível em: ttps://www.datatilsynet.no/en/news/2020/
nal-decision-administrative-ne-for-ralingen-municipality/> Acesso em: 06.06.21
172. Fonte:
dens-rst-gdpr-ne_en> Acesso em: 06.06.21.
173. Recomenda-se a leitura da Opinion 2/2009 on the protection of children’s personal data (General Gui-
delines and the special case of schools), adotada em 11 de fevereiro de 2009. Disponível em: < https://
ec.europa.eu/justice/article-29/documentation/opinion-recommendation/les/2009/wp160_en.pdf>
Acesso em: 06.06.21.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
196
do GDPR e aplicou a referida multa. Entendeu que a escola havia tratado dados
biométricos ilegalmente e que deveria ter realizado uma avaliação de impacto
adequada, além de consulta prévia à Autoridade. A escola baseou o tratamento
na base legal do consentimento, mas a Autoridade considerou que essa não era
uma base válida, dado o claro desequilíbrio entre o titular dos dados e o respon-
sável pelo tratamento.
Em 2020, o Presidente do Gabinete Polaco de Proteção de Dados Pessoais
aplicou uma multa de 20.000 PLN por violação que consistia no tratamento de
dados biométricos de menores para a utilização de cantina escolar.174 A escola
estava tratando categorias especiais de dados (dados biométricos) de 680 crian-
ças, quando, na verdade, poderia usar outros recursos menos invasivos para
identicar os alunos. Por essa violação, uma multa administrativa foi imposta à
Escola Primária nº 2 em Gdansk. Além disso, foram ordenados o apagamento
dos dados pessoais relativos às impressões digitais das crianças e a cessação de
qualquer nova coleta de dados.
Foi apurado que a escola utilizava um leitor biométrico na entrada da
cantina escolar que identicava as crianças para vericar o pagamento da taxa
de alimentação. Ela obtinha os dados e os tratava com base no consentimento
por escrito dos pais ou responsáveis legais. A solução estava em vigor desde 1 de
abril de 2015. No ano letivo 2019/2020, 680 alunos utilizaram o leitor biométrico,
enquanto quatro alunos usaram sistema de identicação alternativo.
Ressaltou-se que o tratamento de dados biométricos não era essencial para
se atingir o objetivo de identicar o direito de uma criança ao almoço. A escola
poderia realizar a identicação por outros meios que não interferissem tanto
na privacidade da criança. Inclusive, de forma alternativa, a própria escola pos-
sibilitava a utilização dos serviços da cantina por meio de cartão eletrônico ou
através da indicação do nome e do número do contrato. Contudo, de acordo com
o regulamento, os alunos que não possuíam identicação biométrica deveriam
aguardar no nal da la até que todos os alunos com a referida identicação
entrassem na cantina. Na opinião da Autoridade, tais regras introduziam um
tratamento desigual aos alunos e sua diferenciação era injusticada, p ois favorecia
claramente os alunos com identicação biométr ica. Além disso, a utilização de
dados biométricos, tendo em conta a nalidade para a qual eram processados,
era signicativamente desproporcional.
O Presidente da Autoridade destacou que os menores necessitam de especial
proteção para os seus dados pessoais. O sistema biométrico identica caracte-
174. Fonte:
-imposed-school_en> Acesso em: 06.06.21.
197
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
rísticas que não estão sujeitas a alterações, como no caso dos dados dactiloscó-
picos. Devido ao caráter único e permanente dos dados biométricos, eles devem
ser usados com o devido cuidado. Os dados biométricos são únicos à luz dos
direitos e liberdades fundamentais e, portanto, requerem proteção especial. Seu
possível vazamento pode resultar em um alto risco para os direitos e liberdades
das pessoas naturais.
Aplicar uma proteção ainda maior a dados sensíveis de crianças e adolescen-
tes requer uma série de instrumentos jurídicos e técnicos, além do estabelecimento
de boas práticas. Contar com o comprometimento de instituições públicas e
privadas no tema também é de suma importância, havendo tanto a aplicação de
severas sanções, por descumprimento das normas de proteção de dados, quanto
a adequada orientação dos agentes por meio da publicação de guias e instruções.
Nesse sentido, vale recordar os posicionamentos já estabelecidos pela Autoridade
irlandesa de proteção de dados175 e pela Autoridade do Reino Unido (Information
Commissioner’s Oce – ICO)176.
Em junho de 2021, a Autoridade Francesa de Proteção de Dados (Commis-
sion Nationale de l’Informatique et des Libertés – CNIL) publicou oito recomen-
dações para a proteção de menores177, quais sejam: a) supervisionar a capacidade
dos menores de agir online; b) incentivar os menores a exercerem seus direitos; c)
apoiar os pais na educação digital; d) obter o consentimento de um dos pais para
menores de 15 anos; e) promover ferramentas de controle parental que respeitem
a privacidade e o melhor interesse da criança; f) fortalecer a informação e os di-
reitos dos menores por design; g) vericar a idade da criança e o consentimento
dos pais com respeito à sua privacidade; e h) oferecer garantias especícas para
proteger os interesses da criança.
Nesse caminho, recorda-se também do Código Holandês para os Direitos
da Criança e do Adolescente (Dutch Code for Children’s Rights), elaborado pela
Universidade de Leiden e pela organização Waag, a partir de encomenda do
Ministério Holandês de Assuntos Internos e Relações do Reino.178 O Código
ajuda desenvolvedores e designers a se concentrarem nos direitos das crianças
175. Fonte: https://www.dataprotection.ie/en/dpc-guidance/childrens-data-protection-rights ; https://
www.dataprotection.ie/en/news-media/latest-news/dpc-publishes-nal-version-childrens-funda-
mentals Acesso em: 06.06.21.
176. Disponível em:
tion-themes/age-appropriate-design-a-code-of-practice-for-online-services/executive-summary/>
Acesso em: 06.06.21
177. Disponível em:
tection-des-mineurs-en-ligne> Acesso em: 11.06.21.
178. Disponível em: https://codevoorkinderrechten.nl/wp-content/uploads/2022/02/Code-voor-Kinder-
rechten-EN.pdf Acesso em: 18.06.22
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
198
e dos adolescentes ao desenvolverem serviços digitais. Ele é composto por dez
princípios, apresentados com base em exemplos práticos de implementação, quais
sejam: Princípio 1: Faça do melhor interesse da criança a principal consideração
ao projetar; Princípio 2: Envolva as crianças e suas expectativas no processo de
design; Princípio 3: Garanta o processamento legítimo de dados pessoais de
crianças; Princípio 4: Forneça transparência de forma compreensível e acessível
às crianças; Princípio 5: Realize uma avaliação do impacto na privacidade com
base nos direitos das crianças; Princípio 6: Forneça um design de privacidade
adequado para crianças. Não processe mais dados pessoais do que o estritamente
necessário para atingir o objetivo especíco do serviço. Inclua privacidade no
design e torne as congurações padrão o mais amigável possível à privacidade;
Princípio 7: Impeça a criação de pers de crianças. A criação de pers de usuá-
rios é uma forma de processamento de dados de alto risco; Princípio 8: Evite a
exploração econômica de crianças em todos os momentos; Princípio 9: S empre
evite um design prejudicial para crianças. Um serviço digital pode ser prejudi-
cial para crianças se o design abusar da vulnerabilidade delas ou não as proteger
adequadamente contra possíveis conteúdos e comportamentos prejudiciais; e
Princípio 10: Desenvolva diretrizes do setor voltadas para a proteção dos inte-
resses e direitos das crianças.
Aplicações que envolvam o tratamento de dados de crianças e adolescentes
necessitam ser desenvolvidas a partir de orientações que considerem, especial-
mente, princípios e valores éticos, a lógica do privacy by design, a feitura de relató-
rios de impacto à proteção de dados pessoais e medidas técnicas e organizacionais
de prestação de contas. Quando se advoga pela ampliação das bases legais para o
tratamento de dados de crianças e adolescentes, as referidas práticas mostram-se
essenciais para a tutela do melhor interesse dos menores.
Como se depreende da leitura do artigo 14 da LGPD, o consentimento179
é uma das bases legais para o tratamento de dados de crianças e adolescentes,
mas não a única. Entende-se que podem ser aplicadas, além das normas do
Art. 14180, as disposições dos artigos 7º e 11 da LGPD, com algumas limitações,
179. Sobre o consentimento e suas polêmicas ver: TEFFÉ, Chiara Spadaccini de. Proteção de dados de
crianças e adolescentes. Revista do Advogado, v. 39, 2019.
180. “Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu
melhor interesse, nos termos deste artigo e da legislação pertinente. § 1º O tratamento de dados pessoais
de crianças deverá ser realizado com o consentimento especíco e em destaque dado por pelo menos
um dos pais ou pelo responsável legal. (...) § 3º Poderão ser coletados dados pessoais de crianças sem
o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais
ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em
nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.”
Observa-se que tanto o parágrafo 1º quanto o 3º mencionam apenas “crianças”.
199
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
quando, respectivamente, se tratar dado pessoal de caráter geral e dado pesso al
sensível de criança ou adolescente. Nesse sentido, inclusive, arma o enunciado
n. 684, aprovado na IX Jornada de Direito Civil do CJF, em maio de 2022: “O
art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) não
exclui a aplicação das demais bases legais, se cabíveis, observado o melhor
interesse da criança.”
Diante da redação dos parágrafos 1º e 3º do Art. 14, ampliar as bases legais
para o tratamento de dados de crianças pode parecer uma tese mais arriscada
para alguns agentes, tendo em vista que as referidas disposições, ao mencionarem
estritamente crianças, poderiam sinalizar uma possível restrição das hipóteses
legais de tratamento para esses sujeitos. Por outro lado, tal situação não envolve
diretamente a gura do adolescente, o qual apenas é mencionado no caput do
art. 14 da LGPD.
O pilar central e inegociável será sempre o melhor interesse da criança e
do adolescente.181 Contudo, levando em conta as práticas de agentes públicos e
privados, bem como a experiência europeia positivada no GDPR, expandir o rol
de bases legais mostra-se uma tese possível e por vezes necessária, ainda que se
ressalve a aplicação do legítimo interesse e da tutela do crédito. Nessa lógica, já
se armou que tal entendimento:
(...) pode ser facilmente vericado no tratamento de dados de crianças e adolescentes no
âmbito de políticas públicas (Art. 7º, III, da LGPD), pela Administração Pública, visando-se a
promover sua saúde e educação. Outros exemplos encontram-se no tratamento de dados
para o cumprimento de obrigação legal ou regulatória pelo controlador (inciso II), no ne-
cessário tratamento de dados para a proteção da vida ou da incolumidade física (inciso VII)
e para a tutela da saúde (inciso VIII), bases legais que, denitivamente, podem ser utilizadas
para garantir o melhor interesse e proteção. (...) Ainda que o presente entendimento não seja
pacíco e encontre várias polêmicas, defende-se que o art. 14 da LGPD traria, em si, especi-
cidades quanto ao consentimento como base legal, mas não um rol extremamente restrito
para o tratamento de dados de crianças. Dessa forma, como complemento às hipóteses de
autorização legal para o tratamento de dados, arma-se, no parágrafo 3º, do artigo 14, que
poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o
parágrafo 1º, do mencionado artigo, quando: a) a coleta for necessária para contatar os pais
ou o responsável legal, devendo os dados serem utilizados uma única vez e sem armazena-
181. Cf. TEIXEIRA, Ana Carolina Brochado; RETTORE, Anna Cristina de Carvalho. O princípio do
melhor interesse no ambiente digital. In: LATERÇA, Priscilla Silva; FERNANDES, Elora; TEFFÉ,
Chiara Spadaccini de; BRANCO, Sérgio (Coords.). Privacidade e Proteção de Dados de Crianças e
Adolescentes. Rio de Janeiro: Instituto de Tecnologia e Sociedade do Rio de Janeiro; Obliq, 2021. Edi-
ção do Kindle. MULHOLLAND, Caitlin; PALMEIRA, Mariana. As bases legais para tratamento de
dados de crianças e adolescentes. In: LATERÇA, Priscilla Silva; FERNANDES, Elora; TEFFÉ, Chiara
Spadaccini de; BRANCO, Sérgio (Coords.). Privacidade e Proteção de Dados de Crianças e Adolescentes.
Rio de Janeiro: Instituto de Tecnologia e Sociedade do Rio de Janeiro; Obliq, 2021. Edição do Kindle.
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
200
mento; ou b) para a proteção da criança. Porém, em nenhum caso, esses dados poderão ser
repassados a terceiros sem o consentimento de que trata o § 1º.182
Acerca da base legal do consentimento, disposta no par. 1º do Art. 14,
mostra-se necessário tecer algumas considerações. Na lei, em relação às crian-
ças, arma-se que o tratamento dos dados pessoais desses sujeitos deverá ser
realizado com o consentimento especíco e em destaque dado por, pelo menos,
um dos pais ou pelo responsável legal, devendo esse consentimento ser também
livre, informado e direcionado a tratamento de dados p essoais para nalidade
determinada. Diante disso, o consentimento dado por sujeito fora do requisito
legal ou pela própria criança não poderá ser admitido. Optou a lei por oferecer
tutela destacada à criança, sujeito hipervulnerável e absolutamente incapaz, o
qual deve ser representado sob pena de nulidade absoluta do ato praticado.
Como visto, o par. 1º não menciona o adolescente, criando, assim, dúvida se
o consentimento manifestado por ele sem assistência ou representação deveria ser
considerado válido, como hipótese de capacidade especial, ou se simplesmente
o legislador teria optado por não tratar do tema, por já existir legislação geral
A priori, parece que o legislador pretendeu reconhecer validade ao con-
sentimento manifestado diretamente pelo adolescente no que concerne, espe-
cicamente, ao tratamento de seus dados pessoais (quando a base legal adotada
para o caso for o consentimento).183 Como já armado, “Tomando-se como
base a realidade da utilização da internet e das mídias sociais, que têm entre seus
usuários milhares de adolescentes, é possível que se tenha optado por considerar
jurídica hipótese fática dotada de ampla aceitação social.”184 Recorda-se, inclusive,
que tanto o Código Civil quanto o Estatuto da Criança e do Adolescente trazem
em suas normas disposições que valorizam a vontade dos menores e oferecem
hipóteses de capacidade especial a eles.185
182. Cf. TEFFÉ, Chiara Spadaccini de; FERNANDES, Elora. Contratação em redes sociais e proteção de
dados de crianças e adolescentes. In: ROQUE, André Vasconcelos; OLIVA, Milena Donato. Direito
na era digital: aspectos negociais, processuais e registrais. Salvador: Juspodivm, 2022.p.97-122.
183. Cf. TEPEDINO, Gustavo; OLIVA, Milena Donato. Tratamento de dados de crianças e adolescentes
na LGPD e o sistema de incapacidades do Código Civil. In: LATERÇA, Priscilla Silva; FERNANDES,
Elora; TEFFÉ, Chiara Spadaccini de; BRANCO, Sérgio (Coords.). Privacidade e Proteção de Dados de
Crianças e Adolescentes. Rio de Janeiro: Instituto de Tecnologia e Sociedade do Rio de Janeiro; Obliq,
2021. Edição do Kindle.
184. TEPEDINO, Gustavo;TEFFÉ, Chiara Spadaccini de. O consentimento na circulação de dados pesso ais.
Revista Brasileira De Direito Civil, v. 25, p. 83-116, 2020.p.109-110
185. Exemplos de exibilização do regime das incapacidades no ECA: art. 16, II; art. 28, §§1º e 2º; art. 100,
XII; art. 111, V; e art. 161, §3º. Além desses exemplos, pode-se citar o próprio Código Civil, em seu art.
1.740, III. Existem também atos e negócios que os relativamente incapazes podem praticar, mesmo
201
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
Em sentido contrário186, parte da doutrina entende que levando em conta as
normas do Código Civil e a doutrina do melhor interesse, tanto para o tratamento
de dados de criança quanto de adolescente, seria necessário ocorrer a manifes-
tação do consentimento de, pelo menos, um dos pais ou responsável legal. No
caso de adolescentes entre 16 e 18 anos, seria necessário o consentimento dele e
de seu responsável.187
Acerca da aplicação das demais bases legais dispostas na LGPD aos menores,
há corrente que apresenta interessante entendimento, buscando conciliar uma
perspectiva de ampliação das bases legais (por meio do Art. 11 da LGPD) com
o Art. 14 da Lei:
(...) a hipótese do art. 14, §1º, da LGPD, de consentimento parental, é semelhante à hipótese de
consentimento de titular adulto prevista na regra para o tratamento de dados pessoais sensíveis
do art. 11, I, da LGPD, no que diz respeito a suas características de ser especíco e destacado –
além, é claro, de livre, informado e inequívoco, como previsto no art. 5.º, XII, da LGPD. Há, com
efeito, uma equivalência entre tais dispositivos legais (...) Diante dessa similitude de condições,
é possível que se entenda que as outras hipóteses que dispõem sobre o tratamento de dados
pessoais sensíveis, previstas no inciso II do art. 11 da LGPD – que não a do consentimento, que
possui previsão especíca no art. 14, § 1.º –, são válidas também para o tratamento de quaisquer
dados pessoais de crianças e adolescentes, mesmo que não sejam considerados sensíveis nos
termos da denição do art. 5.º, II, da LGPD, e contanto que haja observância ao melhor interesse
sem assistência, como se casar, exigindo-se autorização de ambos os pais ou de seus representantes
legais; elaborar testamento; servir como testemunha de atos e negócios jurídicos; e ser eleitor.
186. TEIXEIRA, Ana Carolina Brochado; RETTORE, Anna Cristina de Carvalho. A autoridade parental e
o tratamento de dados pessoais de crianças e adolescentes. In: TEPEDINO, Gustavo; FRAZÃO, Ana;
OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro.
São Paulo: Revista dos Tribunais, 2019. HENRIQUES, Isabella; PITA, Marina; HARTUNG, Pedro. A
proteção de dados pessoais de crianças e adolescentes. In: Bruno Bioni, Laura Schertel Mendes, Danilo
Doneda, Otavio Luiz Rodrigues Jr., Ingo Wolfgang Sarlet. (Org.). Tratado de Proteção de dados pessoais.
1ed. Rio de Janeiro: Forense, 2021. Ebook.
187. “(...) ainda que o §1º não mencione os adolescentes, não faria sentido deixá-los desprovidos da igual e
devida proteção, sob pena de se violar as garantias constitucionais dessas pesso as. Há que se defender,
nesse caso, a aplicação do Código Civil, a m de se promover a integralidade de seus direitos. De fato, a
proteção de dados pessoais, entendida enquanto parte do contrato civil, reforça a objeção à capacidade
legal de crianças e de adolescentes consentirem quanto ao tratamento de seus dados, uma vez que, pelo
exercício do poder familiar, compete a mães, pais e responsáveis representá-los até os 16 anos, nos atos
da vida civil, e assisti-los, após essa idade, nos atos em que forem partes, suprindo-lhes o consentimento.
Não se coadunaria, com efeito, com as garantias legais ao melhor interesse e à absoluta prioridade do
adolescente que lhe fosse facultada a outorga de consentimento autônomo ilimitado para o tratamento
de seus dados pessoais. Dessa forma, entende-se indispensável o consentimento parental ou de pessoa
responsável legal para o tratamento de dados pessoais de crianças e de adolescentes de até 16 anos de
idade, observando-se a forma prevista no referido 14, §1º, da LGPD, devendo, assim, o consentimento
ser especíco e em destaque. No caso de adolescentes entre 16 e 18 anos, será necessário o consenti-
mento de ambos, não bastando o consentimento parental.” (HENRIQUES, Isabella; PITA, Marina;
HARTUNG, Pedro. A proteção de dados pessoais de crianças e adolescentes. In: Bruno Bioni, Laura
Schertel Mendes, Danilo Doneda, Otavio Luiz Rodrigues Jr., Ingo Wolfgang Sarlet. (Org.). Trat ado
de Proteção de dados pessoais. 1ed. Rio de Janeiro: Forense, 2021. Ebook.)
DADOS PESSOAIS SENSÍVEIS • Chiara SpadaCCini de Teffé
202
dessas pessoas. Isso porque, no referido dispositivo, o legislador aumentou a proteção dos
dados pessoais, por entender que dados pessoais sensíveis merecem maior cuidado, tal qual
a criança e o adolescente por suas inerentes características.188
A referida corrente entende que, para ns de Direito, os dados pessoais
de crianças e adolescentes serão sempre considerados sensíveis, visto que, por
estarem em uma situação peculiar de desenvolvimento de suas capacidades, elas
são mais vulneráveis e suscetíveis, inclusive às atividades de tratamento, mani-
pulação e hiperexposição de dados pessoais. Dessa forma, além da hipótese de
consentimento parental prevista no Art. 14, §1º, são também hipóteses legais para
o tratamento de dados de crianças e adolescentes aquelas arroladas no Ar t. 11,
II, da LGPD, que apresenta hipóteses mais restritas em relação à norma geral do
Art. 7º. Há, portanto, pelo menos três correntes e possíveis interpretações para
as bases legais aplicáveis ao tratamento de dados de crianças.
De forma a ampliar as garantias no tratamento de dados de crianças e
adolescentes, doutrina e autoridades de proteção de dados vêm armando a
necessidade de os agentes desenvolverem relatórios de impacto à proteção de
dados quando esses sujeitos estiverem envolvidos diretamente nas atividades
de tratamento de dados, especialmente se houver o tratamento de informações
sensíveis. Nessa lógica, a Agência Espanhola de Proteção de Dados destaca que
precisarão de avaliação de impacto: tratamentos de dados de sujeitos vulneráveis
ou em risco de exclusão social, incluindo dados de menores de 14 anos, maiores
com algum grau de deciência, pessoas que acedem a serviços sociais e vítimas
de violência de gênero, bem como seus descendentes e pessoas que estão sob sua
guarda e custódia.189 Ela lista também diversos tratamentos que envolvem dados
pessoais sensíveis.
O Age appropriate design: a code of practice for online services, publicado
pela ICO, dispõe acerca da avaliação de impacto à proteção de dados. Segundo
o código, deve-se realizar um DPIA (Data Protection Impact Assessment)190 para
188. HENRIQUES, Isabella; PITA, Marina; HARTUNG, Pedro. A proteção de dados pessoais de crianças e
adolescentes. In: Bruno Bioni, Laura Schertel Mendes, Danilo Doneda, Otavio Luiz Rodrigues Jr., Ingo
Wolfgang Sarlet. (Org.). Tratado de Proteção de dados pessoais. 1ed. Rio de Janeiro: Forense, 2021. Ebook.
189. “Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de
menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a
servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo
su guardia y custodia.” Fonte:
pdf> Acesso em: 06.06.21.
190. “A DPIA is a dened process to help you identify and minimize the data protection risks of your service
– and in particular the specic risks to children who are likely to access your service which arise from
your processing of their personal data. You should begin a DPIA early in the design of your service,
before you start your processing. It should include these steps: Step 1: identify the need for a DPIA Step
2: describe the processing Step 3: consider consultation Step 4: assess necessity and proportionality Step
203
3 • DISCIPLINA NORmATIVA APLICÁVEL PARA O TRATAmENTO DE DADOS SENSÍVEIS
avaliar e mitigar os riscos aos direitos e liberdades das crianças que provavelmen-
te terão acesso aos serviços ali mencionados. Arma-se também que o agente
deverá levar em consideração as diferentes idades, capacidades e necessidades
de desenvolvimento dos menores, além de se certicar de que seu DPIA seja
elaborado em conformidade com o referido código. Orientações que devem,
sem dúvida, ser aplicadas no cenário brasileiro.
O contexto tecnológico atual – dinâmico e hiperconect ado – traz diversas
oportunidades e recursos para as crianças e adolescentes, auxiliando inclusive na
promoção de seus direitos. Contudo, os ris cos enfrentados e as diversas situações
de tratamento indevido de dados trazem consigo desaos para a tutela dos refe-
ridos sujeitos. Ameaças à integridade física, psíquica ou moral, a hiperexposição
de dados pessoais e a discriminação, a modulação e a manipulação de comporta-
mentos e a publicidade infantil são exemplos de impac tos negativos e problemas
concretos enfrentados pelos menores. Diante disso, como apresentado, a LGPD
trouxe uma série de direitos, orientações e garantias para a proteção de crianças
e adolescentes, nos meios físico e digital, as quais deverão ser conjugadas com a
doutrina do melhor interesse e a proteção integral, havendo a ampla participação
dos mais variados sujeitos que atuam em sociedade.
5: identify and assess risks arising from your processing Step 6: identify measures to mitigate the risks
Step 7: sign o, record and integrate outcomes.” (Disponível em: -organisations/
guide-to-data-protection/key-data-protection-themes/age-appropriate-design-a-code-of-practice-
-for-online-services/2-data-protection-impact-assessments/> Acesso em: 06.06.21.)
Para continuar a ler
PEÇA SUA AVALIAÇÃO