DADOS PESSOAIS DE ACESSO PÚBLICO

Considerando a abrangência e o impacto da Lei Geral de Proteção de Dados para empresas e cidadãos, pretendemos discutir um ponto específico, relativo à exceção ao consentimento requerido do titular para o tratamento de seus dados pessoais – o §4º do art. 7º da LGPD:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta lei.

A obtenção de consentimento do titular é uma das alternativas que autorizam o tratamento de dados pessoais pelo controlador; contudo, requer planejamento, preparo técnico e legal, porquanto, conforme o art. 8º da referida lei, o consentimento precisa ser demonstrado de forma inequívoca, pois cabe ao controlador o ônus de comprová-lo. Além disso, o consentimento do titular deve ser específico e voltado para finalidades determinadas - as quais devem ser devidamente destacadas pelo controlador.

De fato, gerir o consentimento dos titulares é tarefa complexa, desgastante e potencialmente problemática, uma vez que, o uso de dados para finalidade diversa da autorização concedida, ou a ausência de comprovação do consentimento recebido, podem resultar nas sanções legais previstas na LGPD (arts. 52 a 54), e na responsabilização do controlador ao ressarcimento de danos causados ao titular dos dados pelo uso indevido destes.

Por isso, a utilização dos "dados tornados manifestamente públicos pelo titular" poderá redundar na minimização dos riscos e do ônus durante a gestão de consentimentos, ao aplicar a exceção prevista no §4º do art. 7º da LGPD.

De forma prática, surgem questões importantes. A expressão "tornados manifestamente públicos pelo titular" refere-se à intenção prévia do titular, quando tornou públicos seus dados (o titular tinha clara ciência disso), ou diz respeito ao aspecto inegavelmente público que os dados alcançaram, após a sua divulgação, promovida pelo titular ou por algum órgão público?

Poderíamos considerar, por exemplo, os dados publicados no perfil do titular em uma rede social ou, aqueles veiculados em uma página de web criada pelo próprio titular. Em tais casos, é possível concluir que os dados foram fornecidos e publicados pelos próprios titulares.

No entanto, os dados que uma pessoa compartilha de maneira voluntária nas redes sociais podem ser utilizados por quem quer que seja para os mais diversos fins? E os dados pertencentes a bancos de dados públicos como Receita Federal, dos diversos Tribunais de Justiça e outros registros cuja obrigação de publicidade da informação deriva de lei, estes poderão ser tratados por qualquer pessoa, independente de qual será a destinação desses dados?

A questão é o uso dessas informações para fins comerciais, visando a constituição de perfis destinados à publicidade direcionada, e outras finalidades que possam levar à discriminação, ou facilitar a prática de fraudes e crimes. Ora, não é porque um determinado dado pessoal consta em cadastros públicos, e pode ser encontrado com facilidade na Internet, que tais informações não mereçam a proteção devida.

A premissa central é que dados públicos não deixam de ser dados pessoais, e devem ser protegidos como tal. Tanto que, de acordo com a LGPD, a ciência do titular sobre a publicidade de seus dados é condição indispensável para que o tratamento daqueles, sem prévio consentimento, seja autorizado.

Assim, mister se faz melhor compreender os chamados "dados pessoais cujo acesso é público". De acordo com os comentários de Marcel Leonardi acerca do projeto de lei 5.276/16 (que resultou na Lei Geral de Proteção de Dados), dados pessoais de acesso público são aqueles cuja publicação é obrigatória por lei, os quais, no entanto, estariam sujeitos ao ajuste a uma das hipóteses autorizadoras de tratamento.

A Lei Geral de Proteção de Dados determina que “o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”, e que o titular seja informado de novas utilizações, e que o compartilhamento ou destinação à finalidade diversa seja autorizada por ele (cabe destacar a nulidade de autorizações genéricas, conforme previsto no art. 9, §1º da LGPD).

Em conclusão, o tratamento de dados tornados manifestamente públicos pelo titular, os quais dispensam a obtenção de consentimento prévio, deve respeitar os princípios e o limites legais previstos na LGPD, em especial, aos princípios da finalidade, adequação e necessidade.