A figura do consentimento na Lei Geral de Proteção de Dados: Dispensa no âmbito de atuação geral dos conselhos profissionais

Gustavo Oliveira Chalfun e José Gomes de Oliveira Junior

É cristalino ser o normativo em tela aplicável no âmbito dos Conselhos Profissionais, ante a natureza jurídica desses de autarquia, que se configura como uma pessoa jurídica do direito público da administração indireta.

segunda-feira, 19 de outubro de 2020
 
1. Introdução
 
A lei federal 13.709/18 - Lei Geral de Proteção de Dados -, trata-se de um ato normativo emanado pelo Poder Legislativo e promulgado pelo chefe do Poder Executivo na data de 15 de agosto de 2018.
 
Segundo a justificativa do deputado Milton Monti, membro do Poder Legislativo responsável por elaborar o projeto de lei 4.060/12, que deu origem ao normativo em tela, a Lei Geral de Proteção de Dados foi criada com o objetivo de "[...] dar ordenamento jurídico e institucional ao tratamento de dados pessoais, bem como a proteção dos direitos individuais das pessoas, de acordo com a Constituição da República Federativa do Brasil"1.
 
E, de fato, a vontade supra do legislador se espelha na lei 13.709/18, tanto que ela foi passada adiante e complementada na redação do artigo 1º do normativo em epígrafe. Confira-se:
 
"Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural" (lei 13.709/18 - Lei Geral de Proteção de Dados).
 
De se notar do dispositivo legal acima citado foi editado como norma de alcance demasiadamente amplo. Isso porquanto consta expressamente a aplicabilidade da lei em epígrafe sobre a pessoa natural e a pessoa jurídica de direito público ou privado, quando do tratamento de dados pessoais.
 
Nesse diapasão, é cristalino ser o normativo em tela aplicável no âmbito dos Conselhos Profissionais, ante a natureza jurídica desses de autarquia, que se configura como uma pessoa jurídica do direito público da administração indireta.
 
Face a isso e, ainda, considerando-se que a figura do consentimento tornou-se vital para o tratamento de dados pessoais, vem através da presente produção textual apresentar a dispensabilidade dela no âmbito da atuação geral dos Conselhos Profissionais, tecendo-se previamente alguns esclarecimentos prévios para o melhor entendimento da lei e do tema.
 
2. Da vigência do normativo em epígrafe
 
Antes de adentrar propriamente na temática que aqui se busca esmiuçar, ab initio, tem-se como de vital importância fazer algumas explanações sobre sua vigência.
 
In casu, apesar de publicada no Diário Oficial da União em 15 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) só alcançou a vigência de seu direito material recentemente, na data de 18 de setembro de 2020.
 
Sobre o assunto, nunca é demasia relembrar que, na linha do art. 6º, caput, do decreto-lei 4.657/42 - Lei de Introdução às Normas do Direito Brasileiro -, uma lei só é capaz de produzir efeitos quando de sua vigência.
 
Logo, vigente a LGPD, as obrigações ali contidas tornaram-se de observância obrigatória pelos Conselhos Profissionais, cabendo a eles se readequarem quanto às exigências da lei.
 
Não obstante, vale aqui registrar que período de vacância da LGPD, eventualmente, pode vir a se estender. Isso porque tramita no Congresso Nacional o projeto de lei 5.762/19, sob a autoria do deputado Carlos Bezerra - MDB/MT, o qual tem o seguinte objetivo: "Altera a lei 13.709, de 2018, prorrogando a data da entrada em vigor de dispositivos da Lei Geral de Proteção de Dados Pessoais - LGPD - para 15 de agosto de 2022"2.
 
Atualmente, a proposição foi sujeita à apreciação do plenário3, sob o regime de tramitação ordinária (art. 151, III, RICD), e, se ao final for aprovada no Congresso Nacional e promulgada pelo Presidente da República, nos termos que hoje se encontra, a LGPD pode vir a retornar ao estado de vacância e começar a produzir seus efeitos apenas a partir de 15 de agosto de 2022, tendo os Conselhos Profissionais até essa nova data para se readequar à lei.
 
Apesar disso, enquanto não houver a transformação do projeto de lei supracitado em lei propriamente dita, imprescindível que se tenha a LGPD como atualmente vigente e eficaz, tomando-se todos os cuidados ali previstos.
 
Mais a mais, ressalta-se que, ante o que dispõe o art. 65, I-A da lei 13.709/18, as penalidades de competência da Agência Nacional de Proteção de Dados (ANPD) não se encontram vigentes, só podendo ser aplicadas a partir da data de 01º de agosto de 2021.
 
Entretanto, nada impede que Ministério Público fiscalize o cumprimento da lei e aplique as sanções previstas em outras normas.
 
Da mesma forma, também não há impedimento de que o titular dos dados proponha ações indenizatórias com fundamento na violação de suas informações e na LGPD, tanto o é que nesse sentido se encontra o art. 42 da lei em tela.
 
A título de exemplo, vale aqui citar uma recente condenação exarada na 13ª Vara Cível do Foro Central Cível da Comarca de São Paulo/SP, na qual a Juíza Tonia Yuka Koruku condenou a parte ré ao pagamento em favor da parte autora de R$ 10.000,00 (dez mil reais), a título de danos morais, em razão de a primeira ter disponibilizados dados da segunda a terceiros, sem o prévio consentimento e informação de tal finalidade específica ao consumidor4.
 
Ante a isso, é de rigor a observância a todas as obrigações previstas na lei 13.709/18.
 
3. Dos conceitos iniciais introdutórios à lei geral de proteção de dados
 
Devidamente tratada a temática da vigência da LGPD, para melhor didática, cabe aqui trazer alguns conceitos introdutórios acerca dos termos técnicos utilizados no decorrer da lei 13.709/18, para que não haja dúvidas ao leitor acerca do tema aqui tratado.
 
Sobre a questão conceitual, o próprio normativo em epígrafe se desincumbe de grande parte de tal trabalho, não deixando margens a eventuais exercícios hermenêuticos deturpados sobre a lei, conforme se observa do art. 5º da LGPD. Senão vejamos:
 
"Art. 5º Para os fins desta Lei, considera-se:
 
I - DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;
 
II - DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
 
III - Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
 
IV - Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
 
V - TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
 
VI - CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
 
VII - OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
 
VIII - ENCARREGADO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
 
IX - agentes de tratamento: o controlador e o operador;
 
X - TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, UTILIZAÇÃO, acesso, REPRODUÇÃO, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
 
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
 
XII - CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; [...]" (lei 13.709/18 - Lei Geral de Proteção de Dados, grifo nosso).
 
Delineados pela lei os conceitos introdutórios necessários, passa-se agora a debruçar sobre a dispensabilidade do consentimento no âmbito da atuação geral dos Conselhos Profissionais.
 
4. Da dispensabilidade consentimento prévio no tratamento de dados pelo controlador: os conselhos profissionais
 
Para o tratamento de dados, a lei 13.709/18 veio a trazer a figura do "CONSENTIMENTO" do titular como uma de suas bases fundamentais.
 
Ocorre que, em algumas hipóteses legais, o mencionado consentimento pode vir a ser dispensado, tanto para tratamento de dados pessoais ordinários (art. 5º, I, da LGPD) quanto para o de dados pessoais sensíveis (art. 5º, II, da LGPD).
 
Para tanto, vale aqui conferir o teor dos arts. 7º e 11 lei 13.709/18, os quais tratam justamente sobre a temática em apreço:
 
"Art. 7º O tratamento de dados pessoais SOMENTE poderá ser realizado nas seguintes hipóteses:
 
I - mediante o fornecimento de consentimento pelo titular;
 
II - PARA O CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA PELO CONTROLADOR;
 
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
 
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
 
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
 
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
 
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
 
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
 
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
 
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente" (Lei 13.709/18 - Lei Geral de Proteção de Dados, grifo nosso).
 
"Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
 
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
 
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
 
a) CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA PELO CONTROLADOR;
 
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
 
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
 
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
 
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
 
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
 
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais" (lei 13.709/18 - Lei Geral de Proteção de Dados, grifo nosso).
 
Diversas das hipóteses de dispensa de consentimento acima são aplicáveis no âmbito de atuação dos Conselhos Profissionais, pelo que passa a explicitá-las.
 
4.1. Do cumprimento de obrigação legal ou regulatória pelo controlador
 
In casu, segundo a obra "Guia de Boas Práticas: Lei Geral de Proteção de Dados (LGPD)" (BRASIL, 2020), as pessoas jurídicas de direito público enquadram-se nas hipóteses de exceção ao consentimento previstas no art. 7º, II, e no art. 11, II, "a" e "b", ambos da lei 13.709/18. Confira-se:
 
"No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. O tratamento para cumprimento de obrigação legal ou regulatória pelo controlador também é uma hipótese corriqueira no serviço público. NESSAS DUAS SITUAÇÕES, O CONSENTIMENTO DO TITULAR DE DADOS É DISPENSADO" (BRASIL, 2020, p. 10)5.
 
O mencionado posicionamento se justifica, especificamente no que tange aos Conselhos Profissionais, porquanto nas respectivas leis que os criam e estabelecem suas atribuições, há diversas hipóteses legais que versam direta ou indiretamente sobre o tratamento de dados antes mesmo da gênese da lei 13.709/18. Ou seja, POR FORÇA DE OBRIGAÇÃO LEGAL prévia à LGDP, já cabia e cabe a eles procederem ao tratamento de dados.
 
A título de exemplo, sobre o Conselho Regional de Fisioterapia e Terapia Ocupacional, vale aqui fazer referência e enumerar os arts. 3º, § 1º, 7º, II, V, XIII, XV, 12, 14, 15, 16, II, V, VI, 17 e 22, todos da lei 6.316/75, os quais, de alguma forma, implicam no tratamento de dados pessoais, sob pena de se tornarem impraticáveis as disposições legais ali contidas.
 
Mais a mais, por força de OBRIGAÇÕES LEGAIS previstas na legislação esparsa, também compete aos Conselhos Profissionais proceder ao tratamento de dados.
 
Veja-se, por exemplo, que na linha da lei 12.527/11 - Lei de Acesso à Informação, cabe a eles disponibilizarem no portal da transparência informações de interesse coletivo ou geral produzidas ou custodiadas pelo próprio órgão, conforme dispõe o art. 8º do mencionado normativo.
 
Outro ponto que justifica o posicionamento levantado na obra do Governo Federal, é que os Conselhos Profissionais EXERCEM FUNÇÃO REGULATÓRIA.
 
Sobre o assunto, o autor Gabriel Plancha (2007), em sua dissertação de mestrado intitulada de "A Atividade Regulatória de Estado", esclarece que
 
"[...] a atividade regulatória se caracteriza pelo controle administrativo exercido pelo Estado sobre atividades de interesse público, com a aplicação de normas específicas para restringir ou promover condutas, bem como a adoção de outras medidas de natureza não repressiva e sancionadora, além de possuir cunho decisório em algumas situações de conflito" (PLANCHA, 2007, p. 94)6.
 
In casu, considerando-se o conceito acima delineado, dúvida não há de que o exercício do poder de polícia exercido pelos Conselhos Profissionais, através da FISCALIZAÇÃO das atividades profissionais a eles vinculadas, enquadra-se como função regulatória, sendo dispensável, portanto, o consentimento do titular para o tratamento de dados voltados ao ato.
 
Na linha acima, vale aqui citar o art. 24 da lei 5.194/66 - que regula o exercício das profissões de Engenheiro, Arquiteto e Engenheiro-Agrônomo, e dá outras providências - e o art. 15, "c", da lei 3.268/57 - que dispõe sobre os Conselhos de Medicina, e dá outras providências -, todos no sentido de que as profissões aqui citadas devem ser submetidas à fiscalização da respectiva autarquia.
 
4.2. Do exercício regular de direitos em processo judicial e administrativo e da proteção do crédito
 
Saindo agora da explicitada linha da obra "Guia de Boas Práticas: Lei Geral de Proteção de Dados (LGPD)" (BRASIL, 2020), vez que limitada à dispensa de consentimento nas hipóteses do art. 7º, II, e ao art. 11, II, "a" e "b", ambos da lei 13.709/18, vem agora expandir o entendimento ali esboçado.
 
Isso porque entende-se que as hipóteses do art. 7º, VI e X, e no art. 11, II, "d", da LGPD também são aplicáveis no âmbito de atuação dos Conselhos Profissionais.
 
Primeiro porque ELES ATUAM EM PROCESSOS ADMINISTRATIVOS como Tribunais de Ética Profissional, inclusive no que tange às anuidades de seus profissionais, sendo certo que para o exercício de tal poder/dever é imprescindível o tratamento de dados pessoais.
 
Nesse sentido, por exemplo, os arts. 5º, XI, e 7º, V, ambos da lei 6.316/75 - que cria o Conselho Federal e os Conselhos Regionais de Fisioterapia e Terapia Ocupacional e dá outras providências -, e os arts. 6º, "d", e 10º, "b", ambos do decreto-lei 9.295/46 - que cria o Conselho Federal de Contabilidade, define as atribuições do Contador e do Guarda-livros, e dá outras providências.
 
Em segundo, PORQUE ELES EXERCEM SEU DIREITO DE AÇÃO E TAMBÉM SUA DEFESA EM DEMANDAS JUDICIAIS, sendo imprescindível o tratamento de dados prévio, atual e ulterior para a proposição de uma execução fiscal de anuidades, de modo a alcançar crédito que lhe é devido, ou para exercer seus direitos ao contraditório e ampla defesa em processos propostos em seu desfavor pelos próprios profissionais e empresas vinculados ao conselho.
 
5. Da conclusão
 
Ante o exposto, conclui-se ser dispensável a exigência do consentimento do titular de dados quanto ao tratamento exercido pelos Conselhos Profissionais, desde que o ato ocorra em relação às atividades gerais por esses exercidas e, cumulativamente, seja respeitado o enquadramento nas hipóteses previstas no art. 7º, II, III, VI e X, e no art. 11, II, "a", "b" e "d", da LGPD.
 
Apesar disso, nos casos de tratamentos de dados NÃO CONDIZENTES com as hipóteses legais citadas acima, a figura do consentimento do titular torna-se indispensável, conforme dispõe do art. 7º, I, e do art. 11, I, da lei 13.709/18.
 
De um modo ou de outro, nada impede que os Conselhos Profissionais, mesmo nas situações de dispensa de consentimento, colham esse previamente do titular de dados, indicando-se a finalidade específica para a qual eles serão voltados, de modo a melhor se resguardar juridicamente em eventual processo administrativo ou judicial.
 
_________
 
1 Disponível clicando aqui. Acesso em: 16 set. 2020.
 
2 Disponível clicando aqui. Acesso em: 17 set. 2020.
 
3 Disponível clicando aqui. Acesso em: 17 set. 2020.
 
4 Disponível clicando aqui. Acesso em: 13 out. 2020.
 
5 Disponível clicando aqui. Acesso em: 14 out. 2020.
 
6 Disponível clicando aqui. Acesso em: 14 out. 2020.
 
_________
 
*Gustavo Oliveira Chalfun é advogado e diretor presidente na sociedade Chalfun Advogados Associados. Mestre em Direito Constitucional. Professor universitário da Faculdade de Direito de Varginha - FADIVA.
 
*José Gomes de Oliveira Junior é advogado na sociedade Chalfun Advogados Associados. Graduado pela Faculdade CNEC Varginha/MG. Pós-graduando em Direito Processual Civil da Faculdade CNEC de Osório/RS.