Assunto exaustivamente comentado, fugindo de nichos específicos da Academia e passando para pautas do Supremo Tribunal Federal, a proteção de dados pessoais e, consequentemente, a Lei Federal nº 13.709/2018 (a LGPD) vêm trazendo muito o que falar. A LGPD já pode ser considerada como uma das Leis de maior Vacatio Legis (ainda em curso, por sinal) do nosso ordenamento jurídico.
Sobre a LGPD, naturalmente ainda pairam algumas dúvidas a quem busca estudá-la e também para aqueles que vêm buscando adequar suas atividades a esta nova realidade. Dentre os desafios relativos a este novo paradigma da preservação da privacidade e proteção de dados pessoais, certamente apontar a base legal ideal para cada atividade de tratamento de dados pessoais vem demandando certo tempo e dedicação.
A despeito das especificidades de cada uma das bases legais que a LGPD trouxe, buscando outras formas de tratamento de dados pessoais para além da necessidade de obtenção do consentimento, identifica-se como sendo um alicerce para isto a base legal do legítimo interesse – a qual será abordada neste artigo.
Aqui, busca-se apresentar uma visão mais clara sobre alguns cenários que podem se utilizar do legítimo interesse, bem como questões que deverão ser levantadas e digeridas pelos agentes de tratamento de dados pessoais e pela futura Autoridade Nacional de Proteção de Dados (ANPD), sobretudo quanto a certos pontos que ainda estão pendentes de regulamentação.
O legítimo interesse (ou interesse legítimo) é encontrado primeiramente no inciso IX, do artigo 7º, da LGPD, determinando ali que, a atividade de tratamento de dados poderá ser realizada quando para atender interesses legítimos do controlador ou de terceiros. Ainda, põe que tal tratamento só poderá ser feito neste sentido se respeitados os direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais – os quais devem prevalecer.
Disso, respeitados sempre os direitos e liberdades fundamentais dos titulares de dados pessoais, faz-se necessário notar que o legítimo interesse não é deste, mas do controlador ou de terceiros. Esta base legal permite, por exemplo, o tratamento de dados para apoiar e promover atividades de tratamento de controladores de dados, bem como para protegê-los, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.
Também, o legítimo interesse se destaca das demais bases legais por ser um tanto elástico em sua acepção e por não conter balizas taxativas, viabilizando atividades de tratamento de dados que estariam inviabilizadas, seja por um engessamento atinente à obtenção do consentimento ou pela ausência de insumos, tais como processo judicial em curso, estabelecimento de vínculo contratual ou cumprimento de dispositivo regulatório.
Isto é: o legítimo interesse não traz consigo um ponto de ancoragem específico como nas outras bases, permitindo assim que o controlador dos dados pessoais avalie certas questões para nortear tomadas de decisão quanto a atividades de tratamentos que venham a se valer desta base legal.
Embora subjetivo em essência e nomenclatura, se comparado com as demais bases legais, o legítimo interesse não pode ser entendido como sendo um cheque em branco ou um “Super Trunfo” nas mãos do controlador, para se legitimar atividades de tratamento. Aqui, não somente devem estar presentes tons de razoabilidade, mas também devem ser percebidos, os interesses do controlador (ou de terceiro), como sendo, de fato, “legítimos”.
Logo, atividades de tratamento de dados pessoais em contexto de ilegalidade, de antieticidade ou de abuso aos direitos e liberdades individuais dos titulares de dados não poderão ser avalizadas pela base legal do legítimo interesse, pois aqueles interesses não se mostram como sendo “legítimos”.
São alguns exemplos de aplicação do legítimo interesse:
- Uma empresa promove, por meio de sua plataforma de e-commerce(em formato de marketplace), a intermediação de venda de produtos e serviços entre consumidores (titulares) e fornecedores (terceiros). Para além das operações de compra/venda, ela trata dados pessoais ao produzir relatórios analíticos sobre as vendas (contendo informações e dados pessoais não necessariamente anonimizados) aos fornecedores da plataforma/parceiros comerciais, valendo-se quando da vigência da LGPD, do legítimo interesse de terceiros.
- Ao promover eventos e palestras institucionais para possíveis clientes, determinada empresa recebe e tem acesso a cartões de visita dos participantes dos eventos. Esta empresa, que não buscou qualquer consentimento à época da palestra institucional, e busca agora realizar o primeiro contato com aqueles participantes, pode se utilizar do legítimo o interesse para contatá-los (tratar seus dados pessoais). Entende-se como legítimo o interesse do controlador em buscar o primeiro contato com estes participantes a fim de ampliar seu networkinge/ou propor oportunidades de negócios, vez que os titulares que se inscreveram ou que forneceram seus cartões de certa forma esperariam um contato neste sentido.
Porém, é necessária a atenção neste caso. Uma vez que o primeiro contato foi realizado, a finalidade do controlador foi satisfeita, ou seja, alcançar o titular dos dados. O cadastro do titular dos dados em uma base de envio periódico de marketing será visto como necessário, à sua realização, a coleta de seu consentimento, criando assim uma nova atividade com os dados tratados.
- Num contexto de relações de trabalho, determinada empresa, buscando melhorar o desempenho de seus funcionários, adota políticas de bem-estar e promove pesquisas de clima com certa habitualidade. Tais práticas revelam o interesse do controlador como sendo legítimo, vez que busca perceber de seus colaboradores oportunidades de melhoria estrutural e/ou cultural, as quais podem ocasionar uma melhora no desempenho ou na redução da taxa de turnover, por exemplo.
- É legítimo também o interesse na a prevenção a fraudes. A fraude é um ato ilícito que violaria não só os direitos de agentes de tratamento, como também de titulares de dados pessoais e põe em xeque a estrutura do nosso ordenamento jurídico, pelo que é válido que o controlador faça uso de mecanismos que previnam e coíbam tal ato.
Para estas e outras hipóteses que se valem do legítimo interesse, ressalte-se que os direitos dos titulares de dados pessoais, incluindo o direito à informação, seriam aplicáveis.
Além disso, é válido frisar que, no artigo 10 da LGPD, o Legislador se certificou de atribuir o uso do legítimo interesse somente a situações concretas, prezando-se pela utilização de dados pessoais estritamente necessários, para atendimento a determinada finalidade, e pela transparência para com o titular sobre a atividade de tratamento, e sob a sujeição de eventual pedido da ANPD para apresentação de relatório de impacto à proteção de dados sobre o tratamento específico.
Assim, quando da vigência da LGPD, o controlador que se valer do legítimo interesse como base legal para atividade(s) de tratamento de dados pessoais, precisará ser transparente para com titular dos dados, informando-o sobre o que é feito com os dados pessoais, resguardando aqui os segredos comerciais e industriais, e sobre eventuais mecanismos para controle, segurança e mitigação de danos.
A partir deste dispositivo, pretende-se reforçar que o controlador não deverá tratar dados pessoais indiscriminadamente, sem um plano ou finalidade específicos, especialmente quando se valer do legítimo interesse
Disso, para que possam se valer do legítimo interesse, os agentes de tratamento de dados deverão se pautar principalmente na minimização dos dados pessoais tratados e na transparência perante os titulares, bem como na boa-fé e demais princípios de proteção de dados.
Ainda, apesar de não estar expressamente consignado no corpo da LGPD, é recomendável que os agentes de tratamento de dados realizem uma avaliação prévia às atividades que vão se valer do legítimo interesse, a fim de produzir materiais para
accountability e para mensurar possíveis riscos.
Tal avaliação seria pautada em três pontos:
i) objetivo pretendido a partir do tratamento;
ii) necessidade do tratamento; e,
iii) ponderação entre o tratamento e os direitos e liberdades individuais dos titulares de dados pessoais. É necessário perceber as nuances destes pontos ao promover uma reflexão sobre alguns questionamentos, tais como:
- Existe algum conflito de interesse evidente entre controlador/terceiro e titular de dados pessoais?
- Quais os riscos envolvidos neste tratamento?
- É esperado pelo titular que o controlador promova esta atividade de tratamento?
- O Legítimo interesse pautado neste tratamento é de fácil compreensão pelo titular?
- Existe a possibilidade de entenderem esta atividade de tratamento de dados pessoais como uma atividade abusiva?
Partindo desta avaliação prévia, pode-se observar e assumir certos riscos com relação ao tratamento de dados pessoais pretendido, valendo-se o legítimo interesse, quando da vigência da LGPD.
A fim de auxiliar na avaliação sobre o uso do legítimo interesse, elaboramos a equação abaixo, para demonstrar, de maneira um tanto quantificada, aos agentes de tratamento sobre a adoção desta base legal. Vejamos:
- i) Se (Prp)Propósito > (NT)Necessidade de Tratamento + (DT)Direitos do Titular ?ao optar pelo legítimo interesse, há uma assunção de riscos pelo controlador
- ii) Se (Prp) ? (NT) + (DT) ?há uma hipótese de tratamento de dados pessoais mais confortável, valendo-se do legítimo interesse.
Trocando em miúdos:
Caso se verifique,
in casu, que o Propósito é maior que a Necessidade mais os Direito do Titular de dados (Prp > NT + DT), valer-se do legítimo interesse implicaria um cenário mais frágil ao controlador, com relação à proteção de dados pessoais, pelo que pode não ser a base legal mais apropriada para tornar tal atividade de tratamento legítima.
Por outro lado, verificando-se que o Propósito é menor ou igual à Necessidade mais os Direitos do Titular de dados ( Prp ? NT + DT), valer-se do legítimo interesse não traria tantos riscos relacionados à proteção de dados pessoais, pelo que pode ser adotado no caso concreto e trazer certo conforto jurídico e/ou operacional ao controlador.
As hipóteses acima levantadas certamente serão objetos de avaliação e discussão em âmbito administrativo e judicial, pelo que, para dirimir dúvidas presentes e futuras acerca do legítimo interesse, faz-se necessária a formatação e operacionalização da ANPD. Desta maneira, interpretações tropicalizadas de entendimentos importados da Europa e exercícios de futurologia podem ser deixados em segundo ou terceiro plano, dando vez para o endosso pragmático de opiniões e
guidelines brasileiras.
Por isso, os novos paradigmas trazidos pela LGPD e as janelas de possibilidades para tratamento de dados pessoais, que conciliam a autodeterminação informativa e o respeito à privacidade com o desenvolvimento econômico e tecnológico, por exemplo, vão permitir que a inovação dê o tom para as mais variadas formas de relacionamentos e negócios jurídicos no Brasil.
Fonte: Jota