A LGPD permite a cumulação de bases legais de tratamento de dados pessoais?

Uma questão sobre a Lei Geral de Proteção de Dados (LGPD) que suscita dúvidas interpretativas nos Controladores e Operadores de dados é a possibilidade ou não de cumulação de bases legais de tratamento.

Assim, discute-se, por exemplo, se o tratamento realizado em uma base de dados pode se justificar cumulativamente tanto no consentimento do titular dos dados (art. 7º, inciso I, LGPD) quanto no legítimo interesse do controlador (art. 7º, inciso IX, LGPD).

A despeito do respeitável posicionamento daqueles que entendem que não pode haver cumulação de bases legais de tratamento, firmamos entendimento em contrário, a favor da possibilidade de cumulação.

Usando-se como ponto de análise comparativa a “General Data Protection Regulation” (GDPR), que regulamenta o tratamento e a proteção legal dos dados pessoais na União Europeia e serviu de inspiração à LGPD brasileira, podemos destacar que, em seu art. 6, a GDPR permite expressamente a cumulação de base legais, quando, ao enumerar as hipóteses legais de fundamentação para o tratamento de dados, informa que “o tratamento só é lícito se e na medida em que se verificar pelo menos uma das seguintes situações”.

Depreende-se, pois, da literalidade do texto legal da GDPR, que mais de uma base legal pode ser usada como fundamento para o tratamento de dados.

Por outro lado, na lei brasileira, a Lei Geral de Proteção de Dados, no art. 7º, caput, lê-se que “o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses”. Não há, pois, na nossa legislação nacional, a mesma clareza no que diz respeito à possibilidade de cumulação de bases legais.

Outrossim, sustentamos o entendimento de que é possível a cumulação de hipóteses (bases) legais para fundamentar o tratamento de dados, posto que, caso fosse do interesse do legislador limitar a justificativa de tratamento de dados a apenas uma base legal, assim o legislador o teria feito no texto legal.

Ademais, a possibilidade de cumulação de bases legais não viola a base principiológica da LGPD, trazida em seu artigo 6º. Se houver da parte do controlador ou do operador a observância da boa-fé no ato de tratamento de dados pessoais, nada impede que este enquadre suas atividades de tratamento de dados em mais de uma base legal.

Se fossemos adotar uma perspectiva mais restrita, por exemplo, no que diz respeito à escolha de apenas uma base legal para a formação de um banco de dados, engessaríamos completamente a atividade dos agentes de tratamento e acabaríamos por frustrar expectativas do próprio titular de dados.

Imagine-se, por exemplo, uma clínica médica que apenas pudesse justificar o tratamento de dados pessoais na hipótese do consentimento do titular (art. 7º, I, da LGPD). Absurdamente, não haveria espaço para a hipótese da tutela da saúde, nos termos do inciso VIII do artigo 7º da LGPD, a qual inclusive dispensa o consentimento. Por outro lado, em regra geral, os procedimentos médicos precisam de consentimento do paciente para a sua realização, vide os protocolos de consentimento informado adotado pelos médicos, clínicas e hospitais. Ou seja, o banco de dados de uma clínica médica ou de um hospital terá, necessariamente, dados pessoais coletados sobre diversas bases legais distintas.

Em outro ponto, onde repousam mais dúvidas na discussão ora levantada, poderia se questionar a possibilidade do enquadramento de uma atividade específica de tratamento de dados de uma pessoa determinada, a qual nomeamos para fins de exemplo de Sr. João, em mais de uma base legal; parece-nos totalmente compatível com a ordem principiológica da LGPD a possibilidade de se atribuir duas ou mais bases de dados distintas à mesma atividade de tratamento de dados pessoais, em hipótese, como por exemplo, em que o Sr. João tenha seus dados pessoais coletados antes de receber uma dose da vacina a COVID-19 aplicada pela Prefeitura de Maceió: podemos enquadrar a coleta destes dados no consentimento do titular (art. 7º, inciso I), no cumprimento de obrigação legal ou regulatória do controlador (inciso II), no tratamento pela administração pública para fins de execução de políticas públicas (inciso III), na proteção da vida ou incolumidade física do titular (inciso VII), na tutela da saúde (inciso VIII), e para atender ao interesse legítimo do controlador (inciso IX).

Temos no exemplo acima, portanto, uma coleta de dados que se encaixa perfeitamente em seis das dez hipóteses elencadas no artigo 7º da LGPD.

Portanto, concluímos pelo entendimento de que é possível a cumulação de bases legais de tratamento de dados pessoais, não precisando se submeter ao dilema entre optar pela base legal do consentimento do titular ou a base legal do legítimo interesse.