Foi noticiada recentemente a primeira decisão judicial de busca e apreensão fundada na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) , proferida contra uma corretora de planos de saúde de São Paulo, determinando diligências na sede da empresa e na casa de uma colaboradora, com apreensão de documentos, computadores e celulares. A ação estaria fundada no uso indevido dos dados pessoais dos clientes.

O uso indevido de dados pessoais geralmente se dá mediante algum vício de finalidade, muitas vezes relacionado a uma utilização posterior dos dados. Dispõe a LGPD que o tratamento de dados pessoais se sujeita à realização de propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedada a utilização posterior para fins incompatíveis com os originalmente indicados. A primeira operação de tratamento em geral é a coleta dos dados, consistindo tratamento posterior, sujeito ao requisito da compatibilidade, qualquer operação realizada depois, incluindo o primeiro tratamento típico na sequência da coleta - o armazenamento de dados. 

A proibição de uso incompatível estabelece uma limitação para uso posterior dos dados, exigindo que se faça uma distinção entre uma utilização posterior que seja 'compatível' e uma utilização posterior que seja 'incompatível' com a finalidade original e, consequentemente, proibida.

O uso posterior pode se encaixar estritamente no propósito inicial do tratamento de dados ou ser dele diferente, o que não significa que seja automaticamente com ele incompatível – a compatibilidade deve ser aferida em cada caso concreto, mediante a avaliação de uma série de fatores relevantes, como o contexto em que se realiza o tratamento dados, a relação entre as finalidades dos tratamentos inicial e posterior, as expectativas razoáveis dos titulares dos dados quanto ao tratamento posterior, o que também põe em evidência a relação entre o responsável pelo tratamento de dados (controlador) e os titulares destes dados.

O critério da expectativa dos titulares é viabilizado pela exigência da especificidade do propósito inicial do tratamento dos dados que, por sua vez, guarda forte conexão com a transparência, assegurando ao titular uma previsibilidade quanto ao tratamento dos seus dados e viabilizando o exercício do respectivo controle. Daí a exigência legal de que os fins do tratamento de dados sejam também explícitos.

A definição de um propósito suficientemente claro e específico possibilita aos titulares dos dados ter ciência do que esperar, proporcionando segurança jurídica não somente a eles, como àqueles que tratam dados em nome do responsável pelo tratamento. A previsibilidade então é um dos critérios a ser empregado na avaliação da compatibilidade das operações de tratamento de dados posteriores com as finalidades que originalmente determinaram o primeiro tratamento de dados.

Conclui-se que propósitos enunciados de modo genérico, como um objetivo geral, para justificar uma operação de tratamento de dados posterior, que apenas remotamente se relaciona com a finalidade inicial, não atendem às exigências da LGPD e podem ensejar aplicação de sanções ao controlador.

Por fim, ressalta-se que a existência de compatibilidade do uso posterior dos dados, com a finalidade originalmente indicada para o primeiro tratamento, não dispensa o controlador da observância de todas as demais regras que orientam a atividade de tratamento de dados, notadamente a indicação da base legal, a aplicação dos princípios e a implementação dos direitos dos titulares dos dados, além da instituição das salvaguardas e medidas técnicas e administrativas aptas à proteção dos dados pessoais.