Desde que a Lei 13.709 foi promulgada, em agosto de 2018, aparecem dúvidas sobre as regras e exceções para a aplicação da LGPD (Lei Geral de Proteção de Dados Pessoais).
Como a proteção de dados tornou-se um tema de extrema relevância nos últimos anos, é essencial entender em que casos a lei deve ser aplicada e em quais situações ela não se aplica.
Para ajudar nessa tarefa, veremos neste artigo os seguintes tópicos:
- Aplicação da LGPD como uma lei de interesse nacional
- Aplicação da LGPD a operações de tratamento de dados pessoais
- Os 3 requisitos para aplicação da LGPD fora do Brasil
- As 4 exceções para aplicação da LGPD
Vamos começar com a definição da LGPD como uma lei nacional.
Aplicação da LGPD como uma lei de interesse nacional
O parágrafo único do art. 1º da LGPD dispõe que as normas gerais nela contidas são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
A diferença entre lei federal e lei nacional é conhecida na doutrina.
Lei federal é aquela editada pela União e que se aplica somente à União, sobretudo quando se trata de matérias de competência comum de todos os entes federativos (art. 23 da Constituição Federal).
Já lei nacional é aquela editada pela União mas de observação obrigatória não apenas pela União, mas também por todos os Estados, Municípios e Distrito Federal. É o caso das matérias de competência exclusiva da União e das de competência concorrente.
A LGPD, como o parágrafo único do art. 1º deixa claro, é uma lei nacional, de observância obrigatória por todos os entes federativos.
Aplicação da LGPD a operações de tratamento de dados pessoais
A aplicação da LGPD está detalhada, inicialmente, no caput do art. 3º, que dispõe o seguinte:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
Existem três partes neste trecho que precisam ser detalhadas, a começar pela expressão “operação de tratamento”.
Primeira parte: operação de tratamento
A própria lei dá uma pista do que se trata, no inciso X do art. 5º, que esclarece que tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Como se vê, a extensa lista de 20 substantivos deixa claro que praticamente qualquer coisa que se faça com dados pessoais pode ser classificada como “operação de tratamento”.
Segunda parte: realizada por pessoa natural ou jurídica
A segunda expressão que merece destaque no caput do art. 3º é “realizada por pessoa natural ou por pessoa jurídica de direito público ou privado”.
Pessoa natural é o ser humano com vida que pode assumir obrigações e titularizar direitos. Popularmente conhecida como “pessoa física”, a pessoa natural pode figurar tanto no “polo ativo” quanto no “polo passivo” de uma operação de tratamento de dados pessoais.
Vale ressaltar que, nos termos do art. 6º do Código Civil, a existência da pessoa natural termina com a morte. Ou seja, a partir de então ela não pode, por óbvio, realizar operação de tratamento, mas também em tese deixa de ter os seus dados pessoais protegidos pela LGPD.
A Autoridade Nacional de Proteção de Dados (ANPD), inclusive, já publicou Nota Técnica firmando posicionamento pela não aplicação da LGPD em casos de tratamento de dados de pessoas já falecidas:
“A LGPD se aplica apenas a informações relacionadas a pessoas naturais, ou seja, vivas, identificáveis ou identificadas. Os dados relativos a uma pessoa falecida não constituem dados pessoais para fins de LGPD e, portanto, não estão sujeitos ao nível de proteção da LGPD.”
Já a pessoa jurídica, entendida como uma entidade formada por uma ou mais pessoas naturais ou jurídicas, com propósitos e finalidades específicos, só pode figurar no “polo ativo”, realizando operação de tratamento de dados pessoais.
Isso significa que não existe aplicação da LGPD para proteger dados de pessoas jurídicas, visto que eles não são, a rigor, dados pessoais, conforme a definição do art. 5º, inciso I, que diz que dado pessoal é a informação relacionada a pessoa natural identificada ou identificável.
Por fim, é de se notar que o caput do art. 3º fala que a pessoa jurídica realizadora de operação de tratamento pode ser de direito público ou de direito privado.
A aplicação da LGPD para pessoas jurídicas de direito público é um estudo à parte, tamanho o grau de detalhamento trazido pela lei, que dedica todo o Capítulo IV a este tema.
Terceira parte: independência do meio e do local
A parte final do caput do art. 3º fala que há aplicação da LGPD independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
A independência do meio significa que a lei se aplica tanto a suportes digitais quanto físicos. Isso significa que mesmo quem usa papel e caneta para anotar dados pessoais sofre aplicação da LGPD, em regra.
Já a independência de lugar busca forçar a aplicação da LGPD mesmo para entidades localizadas fora do Brasil ou que hospedam seus dados em servidores no exterior.
Esta terceira parte do caput do art. 3º precisa da ocorrência de pelo menos um dos três requisitos listados nos incisos do artigo.
Os 3 requisitos para aplicação da LGPD fora do Brasil
O art. 3º dispõe que há aplicação da LGPD a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- a operação de tratamento seja realizada no território nacional;
- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
- os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Como se vê pela expressão ou, basta que um dos três requisitos esteja presente para ocorrer a aplicação da LGPD a pessoas sediadas fora do Brasil ou que hospedam dados pessoais em servidores no exterior.
I – Operação de tratamento no território nacional
O primeiro caso é quando a operação de tratamento é realizada no território nacional.
Aqui valem todos os substantivos listados na definição de tratamento: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Este primeiro inciso não se aplica ao tratamento de dados pessoais provenientes de fora do Brasil e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
II – Oferta de produtos e serviços ao público brasileiro
O segundo caso é quando, mesmo o tratamento sendo realizado no exterior, há um objetivo de oferecer produtos e serviços ao público do Brasil.
Por exemplo, mesmo que uma rede social tenha sede no exterior e lá trate e hospede os dados pessoais de seu público, ocorre aplicação da LGPD se a empresa oferecer seus serviços ao público brasileiro.
Isso pode ser verificado pelo uso da língua portuguesa, pela veiculação de publicidade voltada a brasileiros, pelo cadastro de usuários com campos específicos para a realidade brasileira (CPF, por exemplo).
III – Coleta no território nacional
O terceiro e último caso é quando os dados pessoais foram coletados no território nacional.
Como a internet é sem fronteiras por definição, em alguns casos concretos pode surgir dúvidas sobre a que se refere essa coleta “no território nacional”.
A LGPD diz que se consideram coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
As 4 exceções para aplicação da LGPD
O art. 4º lista quatro situações específicas em que não ocorre a aplicação da LGPD.
Antes de detalharmos cada uma delas, lembremos que não há aplicação da LGPD sobre dados de pessoas jurídicas nem sobre dados de pessoas já falecidas, como explicado anteriormente.
Além disso, vale lembrar que mesmo quando a LGPD não se aplica, a proteção de dados pessoais continua valendo, visto que desde a promulgação da Emenda Constitucional 115/2022 nossa Constituição assegura o direito à proteção dos dados pessoais.
I – Tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos
Antes nós vimos que as operações de tratamento de dados realizadas por pessoa natural (popularmente conhecida como pessoa física) sofrem incidência da LGPD.
Essa é a regra geral, mas existe uma exceção.
Caso a operação feita pela pessoa natural seja para fins exclusivamente particulares e não econômicos, não ocorre aplicação da LGPD.
Por exemplo, se uma pessoa coleta dados como nome, CPF e placa do carro para organizar convites para uma festa de casamento, essa operação é para fins exclusivamente particulares e não econômicos. Assim, não incide a LGPD.
Mas se essa mesma pessoa coleta esses mesmos dados para cobrar estacionamento no quintal de sua casa, nesse caso já ocorre aplicação da LGPD, por conta da finalidade econômica.
II – Tratamento realizado para fins jornalísticos, artísticos ou acadêmicos
O segundo inciso do art. 4º desdobra-se em duas alíneas.
A primeira alínea dispõe que não há aplicação da LGPD sobre tratamento de dados pessoais realizado para fins exclusivamente jornalísticos e artísticos.
Pense em uma empresa que edita um jornal, por exemplo. Sobre suas atividades fins (produção de reportagens, entrevistas, redação de notícias etc.) não ocorre a incidência da LGPD. Porém sobre suas atividades meio (contratação de funcionários, relacionamento com fornecedores, serviços administrativos etc.) há aplicação da LGPD.
A segunda alínea dispõe que não ocorre incidência geral da LGPD sobre tratamento de dados pessoais realizados para fins acadêmicos.
Neste segundo caso, porém, é preciso respeitar uma das bases legais do art. 7º, que relaciona as dez hipóteses em que é permitido o tratamento de dados pessoais.
Caso a finalidade acadêmica envolva o tratamento de dados pessoais sensíveis, também é preciso seguir o disposto no art. 11.
Dado pessoal sensível é qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O art. 11 lista as duas hipóteses em que dados sensíveis podem ser tratados, inclusive para fins exclusivamente acadêmicos.
Em 2023, a ANPD orientou que a exceção para fins acadêmicos deve ser interpretada restritivamente, com a publicação do Guia Orientativo sobre Tratamento de Dados Pessoais para Fins Acadêmicos.
III – Tratamento para fins de segurança (“LGPD penal”)
O terceiro e último inciso do art. 4º dispõe que a LGPD não se aplica ao tratamento de dados pessoais realizados para fins exclusivos de:
- Segurança pública;
- Defesa nacional;
- Segurança do Estado; ou
- Atividades de investigação e repressão de infrações penais.
Esses casos deverão ser regidos por legislação específica, o que é conhecido como “LGPD Penal”.
A “LGPD Penal” ainda não foi editada. Seu projeto deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
Na IX Jornada de Direito Civil, em 2022, foi aprovado um enunciado que recomenda a aplicação pelo menos do devido processo legal, princípios gerais de proteção e direitos do titular previstos na LGPD:
“ENUNCIADO 678 – Ao tratamento de dados realizado para os fins exclusivos elencados no inciso III do art. 4º da Lei Geral de Proteção de Dados (segurança pública, defesa nacional; segurança do Estado e atividades de investigação e repressão de infrações penais), aplicam-se o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na LGPD, sem prejuízo de edição de legislação específica futura.”
Enquanto a nova lei não é editada, a Lei 13.709/2018 dispõe que é vedado o tratamento dos dados para fins de segurança por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à ANPD.
A ANPD também tem o dever de emitir opiniões técnicas ou recomendações referentes às exceções previstas e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
Por fim, a lei dispõe que, em nenhum caso, a totalidade dos dados pessoais de banco de dados relacionado à segurança pública poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.
IV – Tratamento de dados provenientes do exterior
A última exceção trata dos dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.
Nesse caso, não ocorre aplicação da LGPD desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na nossa lei de proteção de dados.
Conclusão: a aplicação da LGPD e as exceções legais
Neste artigo, vimos que União, Estados, Distrito Federal e Municípios devem observar a aplicação da LGPD a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
Não estão incluídos aí o tratamento de dados de pessoas jurídicas nem o de pessoas físicas já falecidas.
Além disso, a LGPD não se aplica ao tratamento de dados pessoais:
- Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
- Realizado para fins exclusivamente jornalístico e artísticos; ou acadêmicos, neste último caso aplicando-se os artigos referentes às bases legais e ao tratamento de dados pessoais sensíveis;
- Realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais (existe a previsão de uma lei específica para estas situações, que já é conhecida como “LGPD Penal”);
- Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Por fim, registre-se que mesmo quando não ocorre aplicação da LGPD, a proteção de dados continua valendo, por conta do disposto no art. 5º, inciso LXXIX, da Constituição Federal, que assegura a todos o direito à proteção dos dados pessoais.