Opinião & Análise

Série

Cartórios e proteção de dados: tratamento de dados especiais

Dados sensíveis ou de crianças têm restrição no tratamento e exigem mais transparência. Texto 5 da série

Crédito: Pixabay

A expressão “dados especiais” não se encontra na lei, mas é aqui utilizada com o sentido de gênero de dados ao qual a LGPD confere mais proteção, o qual comporta duas espécies: (1) dados de crianças e adolescentes e (2) dados sensíveis.

  1. Dados de crianças e adolescentes: a existência de regras específicas para proteção dados desse público é benéfica e prudente, porque a minoridade dos titulares pressupõe uma condição de vulnerabilidade que exige maior proteção em todos os aspectos.

Na realidade, a LGPD segue a estrutura protetiva que decorre do próprio ordenamento brasileiro, em que o Código Civil prevê um regime de capacidades diferenciado e, sobretudo, em que o Estatuto da Criança e do Adolescente (ECA) contempla um microsistema normativo específico para a tutela de crianças e adolescentes.

Essa proteção diferenciada é também perceptível no direito externo. Nos EUA, desde 1998 existe a Children’s Online Privacy Protection Act (COPPA). E na Europa, a General Data Protection Regulation (GDPR) apresenta diversas normas conferindo mais proteção para dados de crianças e adolescentes, seja prevendo um conteúdo totalmente voltado a esse público (art. 8º; art. 40, 2, “g”), seja utilizando expressões que detonam a necessidade de uma tutela específica, tais como: “em especial se o titular for uma criança” (art. 6º, f); “em especial quando as informações são dirigidas especificamente a crianças” (art. 12, 1); “As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial” (art. 57, 1, “b”).

A lei brasileira enfatiza que os controladores não deverão exigir informações pessoais de crianças e adolescentes além das estritamente necessárias à atividade (art. 14, § 4º, LGPD). E determina o uso de linguagem adaptada, necessária para que o público infanto-juvenil compreenda as informações que lhes são repassadas sobre seus dados pessoais (art. 14, § 6º, LGPD).

Art. 14 (…) § 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Na mesma linha que o COPPA americano, a LGPD prevê que o consentimento para tratamento de dados de crianças e adolescentes está a cargo de um dos pais ou do responsável legal (art. 14, § 1º), cabendo ao controlador o dever de realizar todos os esforços razoáveis para averiguar se o consentimento foi realmente prestado pelo responsável (art. 14, § 5º). Mesmo o consentimento sendo dado pelos representantes, note-se que o tratamento dos dados deverá ser realizado no melhor interesse das crianças e dos adolescentes (art. 14, caput, LGPD). Essa expressão quer significar tratamento prioritário, que salvaguarda crianças e adolescentes “de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão” (art. 227, Constituição Federal) e lhes assegura todas as oportunidades para o “desenvolvimento físico, mental, moral, espiritual e social” (art. 3º, ECA).

No âmbito das serventias extrajudiciais, reitera-se o que foi dito no artigo 4 sobre a necessidade de o consentimento dos usuários ser expresso e válido segundo os critérios legais de manifestação da vontade.

Uma vez que os dados de crianças e adolescentes devem ser tratados com redobrada demonstração da finalidade, o consentimento deve ser o mais granularizado possível. Na medida do razoável, deve haver um consentimento específico para cada ato que use dados pessoais (cadastro, atualização de cadastro, cookies em sites, assentamentos em geral, intimações, recibos de emolumentos, etc.).

Evidentemente, a forma de colher o consentimento pode variar bastante. Para os atos mais relevantes, como cadastros e assentamentos, é interessante que se exija a assinatura de uma declaração pelo titular. Mas a lei permite que o consentimento possa ser feito por formas diversas, inclusive por áudio (cadastros telefônicos) ou pela marcação de “tick” numa caixa de mensagem (cadastros em sites).

  1. Dado sensível: aquele que se relaciona mais profundamente com aspectos personalíssimos da pessoa, envolvendo suas crenças (religiosidade, ideologia, sindicalização) e suas condições biológica (raça, etnia, biometria, genética, saúde física) e psicológica (saúde mental, sexualidade).

Assim como as demais legislações de proteção de dados ao redor do mundo, a LGPD protege os dados sensíveis de maneira mais acentuada, pelo pressuposto de que seu mau uso possui maior potencial lesivo aos titulares. Além disso, “o princípio da não discriminação ganha contornos especiais quando se está a investigar a tutela dos dados pessoais sensíveis, pois, devido à sua natureza, tais dados revelam um acirramento dos riscos de estratificação pessoal e estigmatização de pessoas a partir de perfis traçados pelo processamento de dados coletados.”[i]

O art. 11 da LGPD prevê um rol específico hipóteses autorizativas para legitimação de tratamento, as quais possuem interpretação taxativa, dado o uso da palavra “somente” no caput do dispositivo. Se o tratamento ocorrer com mais de um tipo de dados, a presença de dados sensíveis atrai a incidência da proteção especial, na forma do art. 11, § 1º.

Embora semelhantes às hipóteses gerais do art. 7º, as previsões do art. 11 possuem variações de redação que apontam sempre para a restrição ao tratamento de dados sensíveis, considerados mais valiosos[ii]. Isso é claramente perceptível pelo cotejo entre os permissivos equivalentes de ambos os dispositivos.

Para maior esclarecimento, veja a tabela comparativa abaixo, na qual foram cotejadas as hipóteses que mais diretamente interessam à atividade notarial e de registro:

 

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titularI – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas
 

 

II- cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (…)”

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a- cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

 

Como se percebe, as hipóteses gerais são diretamente vinculadas ao caput do art. 7º, ao passo que o art. 11 contempla dois incisos, o primeiro sobre consentimento e o segundo fazendo as vezes de caput para as demais hipóteses. A diferença decorre do uso do termo “indispensável”, que restringe ao mínimo possível todas as hipóteses de tratamento de dados sensíveis sem consentimento. Assim, embora a hipótese de tratamento de dados sensíveis com base em dever legal (art. 11, II “a”) tenha redação idêntica à hipótese do art. 7, II, é mais restritiva do que esta.

Nos cartórios, dados sensíveis podem ser coletados por dever legal a partir das exigências de qualificação, assim como dados comuns. Todavia, ao requerer dados sensíveis, o agente delegado deve ter redobrada a necessidade de cautela e de reflexão sobre a real necessidade da exigência que está sendo feita.

A “diligência razoável” que se exige para perceber e comunicar operações suspeitas ao COAF motiva o tratamento de dados sensíveis como hipótese de obrigação regulatória (prevista no art. 7, I do Provimento 88/2019 do CNJ).

Mesmo que a coleta seja mais cautelosa, em caso de dúvida é sempre melhor comunicar ao COAF as operações suspeitas. Tendo em vista “opção preferencial pela comunicação” do Provimento 88 (v. texto 3 da série a respeito), a falta ao dever diligência razoável pode ser mais facilmente punida que eventual excesso nas comunicações, se elas forem de boa-fé.

Já a hipótese de tratamento com base em políticas públicas (art. 11, II “b”) tem redação em si mesma mais restritiva: não permite que as políticas sejam baseadas em convênios e contratos, mas apenas em leis e regulamentos, ao contrário da equivalente genérica (art. 7º, III). Afora o já dito sobre a maior restrição, não se vislumbram outras especificidades sobre tratamento de dados sensíveis com base em políticias públicas.

A aparente equivalência de conteúdo das hipóteses de tratamento com base no consentimento faz pensar que a previsão do art. 11, I é de dispensável prolixidade. Mas é um engano pensar assim. Conquanto a redação não seja a mais apurada, a ênfase dada pelo legislador tem relevância como critério hermenêutico. Em termos práticos, significa, por um lado, que a demonstração da finalidade do tratamento de dados sensíveis deve ser mais robusta; e, por outro, que lesões a tais dados acarretarão sanções e indenizações em valores mais expressivos. As considerações que se fez acima sobre tratamento de dados de crianças e adolescentes com base no consentimento se aplicam também aos dados sensíveis.

Sem equivalente no art. 7º, a hipótese do art. 11, II “g” aborda o tratamento de dados sensíveis para “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos”.

Trata-se das consultas a bancos de dados estatais para identificação da pessoa (endereço residencial, fotografia, digital), muito importantes sobretudo nos tabelionatos de notas, onde pululam estelionatários com documentos profissionalmente falsificados. Para evitar responsabilizações, é recomendável que as serventias estabeleçam manuais e protocolos internos para essas consultas, prevendo restrições de acesso, cuidados especiais com a segurança dos dados e prazos de eliminação após a utilização.

A respeito destas consultas, por fim, é preciso fazer duas distinções.

  • Segurança pública: o tratamento de dados para fins de segurança pública ou investigação criminal não se enquadra na LGPD. Mas a consulta aos bancos dados sensíveis do Estado para prevenção de fraudes – mesmo que os acervos tenham sido inicialmente formados para fins de segurança pública, como cadastros de criminosos das corporações policiais – enquadra-se no art. 11, II “g”;
  • diligência razoável: a consulta para averiguar suspeitas de lavagem de dinheiro e comunicar ao COAF é tratamento de dados com base em dever regulatório (art. 7º, II ou art. 11, II, “a”). Todavia, quando o agente delegado consulta esses mesmos cadastros para evitar fraudes, atua pela hipótese do art. 11, II “g”.

Mais do que a origem do dado, a finalidade define a legitimidade do tratamento.

—————————————–

Bibliografia e notas de fim

UENO. GDPR em Português. Disponível em: https://bit.ly/2ToJsVp. Acesso em: 04 mar. 2020.

[i] FALEIROS JUNIOR, José L. A tutela jurídica dos dados pessoais sensíveis à luz da Lei Geral de Proteção de Dados in LONGHI, João V. R. FALEIROS JUNIOR, José L. (coord.) Estudos Essenciais de Direito Digital. Uberlândia: LAECC. Ebook.

[ii] FALEIROS JUNIOR, José L. A tutela jurídica dos dados pessoais sensíveis à luz da Lei Geral de Proteção de Dados in LONGHI, João V. R. FALEIROS JUNIOR, José L. (coord.) Estudos Essenciais de Direito Digital. Uberlândia: LAECC. Ebook.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito