A Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou “LGPD”) estabelece em seu art. 7º, inc. IX, que uma das bases legais que autoriza o tratamento de dados pessoais é justamente a necessidade de atender aos legítimos interesses do controlador ou de terceiro, exceto apenas no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Já no art. 10, a LGPD determina que esse legítimo interesse do controlador somente poderá fundamentar o tratamento dos dados pessoais para finalidades que sejam legítimas, que serão consideradas a partir de situações concretas. Nos incisos I e II, são apresentadas duas situações exemplificativas, quais sejam (i) o apoio e a promoção de atividades do controlador; e (ii) a proteção, em relação ao titular, do exercício regular dos direitos dos controladores ou prestação de serviços que beneficiem os titulares, respeitadas as legítimas expectativas destes últimos e os direitos e liberdades fundamentais.
No §1º deste artigo, a LGPD chama a atenção para o fato de que, quando a base legal para tratamento dos dados pessoais for o legítimo interesse do controlador, somente e unicamente os dados pessoais que sejam estritamente necessários para a finalidade pretendida poderão ser tratados. Isso mostra que houve uma preocupação do legislador em reforçar o princípio da necessidade (art. 6º, III) para o tratamento dos dados pessoais nesse caso. Justamente porque, no tratamento com base no legítimo interesse, não há coleta de consentimento do titular, muitas vezes o titular não tem nem mesmo conhecimento sobre o processamento de seus dados e, por isso, a observância do princípio da necessidade é tão essencial.
Nesse sentido, a primeira observação importante é a de que o tratamento de dados com base no interesse legítimo tem uma esfera de atuação, autorizada pela Lei, menor que a do consentimento. Aqui, o tratamento será limitado apenas ao mínimo necessário para a realização das finalidades, abarcando apenas dados pertinentes, proporcionais e não excessivos.
O §2º do art. 10 trata ainda sobre a necessidade de que o controlador adote medidas para garantir a transparência do tratamento dos dados quando baseado no seu legítimo interesse, destacando outro princípio extremamente importante na LGPD, o princípio da transparência (art. 6º, VI), que impõe a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados sempre os segredos comercial e industrial.
O §3º do art. 10, por fim, determina expressamente que a Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”) poderá solicitar, ao controlador, Relatório de Impacto de Proteção de Dados Pessoais (RIPDP) quando o tratamento tiver como fundamento seu legítimo interesse, observados sempre os segredos comercial e industrial. O RIPDP nada mais é que uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação destes riscos adotadas pelos agentes de tratamento (controlador e operador).
E quem é o controlador? E o operador?
O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, é quem efetivamente determina a forma como será realizado o tratamento. Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, quem executa as diretrizes definidas pelo controlador para o tratamento.
Os controladores são por exemplo, bancos, seguradoras, supermercados, e como operadores temos as empresas de call center ou empresas de TI terceirizadas. O operador deve sempre obedecer às ordens do controlador. Justamente por isso, por exemplo, uma empresa de call center (operador), que seja contratada por um banco ou por um supermercado (controladores), somente coletará as informações de correntistas e clientes que dizem respeito ao negócio da instituição bancária ou do supermercado.
Lembrando que o tratamento dos dados pessoais (art. 5º, X) abrange toda e qualquer operação realizada com dados pessoais, seja a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição e processamento, seja o arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados pessoais.
O GDPR tem alguma previsão semelhante?
O Regulamento Geral de Proteção de Dados Pessoais (General Data Protection Regulation ou “GDPR”) também determina em seu art. 6º (1) f que o tratamento de dados só será lícito se e na medida em que se verifique, dentre outras situações, sua necessidade para efeito dos legítimos interesses prosseguidos pelo responsável pelo tratamento (controlador) ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
O GPDR, contudo, ao contrário da LGPD (que é silente nesse aspecto), determina expressamente no art. 13º (1) d e 14º (2) b que, quando os dados pessoais forem coletados, seja junto ou não ao titular, o responsável pelo tratamento facultar-lhe-á, quando da coleta desses dados pessoais, a possibilidade de ter conhecimento acerca dos interesses legítimos do responsável pelo tratamento ou do terceiro.
Em seu art. 20 (2) b, por fim, preocupa-se em dispor que os códigos de conduta de associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes deverão especificar o que pode ser considerado legítimo interesse em contextos específicos.
E, afinal, o que é o legítimo interesse do controlador na prática?
A situação prevista no inc. II do art. 10, qual seja “apoio e promoção das atividades do controlador”, nos faz refletir se realmente a LGPD concedeu carta branca aos controladores, para que tratem os dados de titulares sem o seu consentimento sob a justificativa de apoio a quaisquer atividades que realizem. Isso porque tal disposição justificaria praticamente tudo, com exceção apenas a atos evidentemente abusivos é claro.
Se observarmos atentamente, até mesmo no GDPR essa questão é nebulosa. Contudo, lá, a partir da leitura e interpretação dos Considerandos, conseguimos extrair informações que nos ajudam a entender melhor os limites e o significado prático do legítimo interesse do controlador.
O Considerando 47 esclarece que pode haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular é cliente ou está ao serviço do responsável pelo tratamento. Ele considera que é possível considerar que há interesse legítimo no tratamento de dados pessoais efetuado para efeitos de comercialização direta.
Já o Considerando 48 traz outra hipótese, dispondo que os responsáveis pelo tratamento que façam parte de um grupo empresarial ou de uma instituição associada a um organismo central poderão ter um interesse legítimo em transmitir dados pessoais no âmbito do grupo de empresas para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou funcionários.
O Considerando 49 traz outro exemplo extremamente útil: o tratamento de dados pessoais para assegurar a segurança da rede e das informações, ou seja, a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais conservados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou acessíveis através destas redes e sistemas. Nesse caso, o objetivo é impedir o acesso não autorizado a redes de comunicações eletrônicas e a distribuição de códigos maliciosos e pôr termo a ataques de negação de serviço e a danos causados aos sistemas de comunicações informáticas e eletrônicas.
Enquanto isso, o Considerando 50 determina que a transmissão de dados, em casos individuais ou em vários casos relativos ao mesmo ato criminoso ou ameaça à segurança pública a uma autoridade competente, deverão ser consideradas como sendo do interesse legítimo do responsável pelo tratamento.
Contudo, em todos os casos, como bem destacado pelo Considerando 47, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade.
Ainda que o GDPR disponha sobre alguns cenários concretos de aplicação do interesse legítimo, é certo que a margem interpretativa ainda é grande e a delimitação de todas as hipóteses possíveis de tratamento de dados pessoais para atender aos legítimos interesses do controlador permanece em aberto.
Uma coisa é certa, a diferença entre o legítimo interesse e as outras bases legais (que também dispensam o consentimento do titular) é a de que aqui não há um equilíbrio entre os interesses do controlador e do titular dos dados. Em verdade, como bem destacado pelo GDPR em seu Considerando 69, o responsável pelo tratamento (controlador) deverá provar que os seus interesses legítimos imperiosos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.
Exatamente por isso, o GDPR entende ser necessário um teste específico, em que o controlador ou o terceiro provem justamente seu legítimo interesse no caso concreto. Esse teste garante a verificação de proporcionalidade entre tal interesse e os direitos e liberdades fundamentais do titular dos dados.
E o que seria o Teste de Proporcionalidade?
Primeiro, contextualizando um pouco, antes da entrada em vigor do GDPR, a normativa que regulava a proteção das pessoas físicas no que diz respeito ao tratamento e a livre circulação de seus dados pessoais na União Europeia era a Diretiva 95/46/CE.
O art. 29 dessa Diretiva tratava especificamente da criação de um grupo de trabalho, de caráter consultivo e independente, que formularia pareceres e recomendações sobre questões relativas a proteção das pessoas no que diz respeito ao tratamento dos seus dados pessoais. Esse grupo foi criado e ficou conhecido como “Article 29 Data Protection Working Party”. Contudo, com a entrada em vigor do GDPR, ele deixou de existir e foi de certa forma substituído, se considerarmos suas atribuições, pelo “European Data Protection Board”.
Enfim, em 2014, o Grupo de Trabalho do Artigo 29 apresentou o Parecer 06/2014 acerca do que seria o legítimo interesse do controlador na Diretiva 95/46/EC, cujos esclarecimentos são até hoje extremamente importantes para a própria interpretação do Regulamento Europeu.
Duas questões devem ser consideradas neste teste: a probabilidade e a severidade. A probabilidade deve ser considerada de duas maneiras: quanto à previsibilidade do tratamento, ou seja, se o titular tinha expectativas sobre sua realização e, ainda, quanto às chances reais de que os prováveis efeitos negativos se tornarem realidade. Já a severidade deve ser considerada desde o número de afetados até a qualidade do risco assumido ao tratar os dados.
Portanto, o Teste de Proporcionalidade é uma forma de segurança para o controlador. Em situações nebulosas sobre a base legal para o tratamento dos dados, se o resultado do teste for favorável, o interesse legítimo pode provavelmente apresentar-se como a melhor opção.
O Grupo de Trabalho do Artigo 29 define algumas medidas que possivelmente poderiam auxiliar a justificativa para o tratamento de dados, tais como: (i) separação funcional; (ii) uso de técnicas de anonimização; (iii) agregação de dados; (iv) tecnologias para fomentar a privacidade; (v) transparência; (vi) direito de saída (opt-out); (vii) medidas para empoderamento do titular. Contudo, a existência de tais medidas não legitima qualquer interesse do controlador, mas representa uma forma de proteção ao titular dos dados, tornando os riscos do tratamento ainda menores e modificando possivelmente o resultado preliminar do teste.
O resultado final do teste de proporcionalidade feito pelo controlador resultará no Relatório de Impacto à Proteção de Dados Pessoais (RIPDP), que deverá apresentar (i) descrição detalhada do processamento, incluindo a caracterização do legítimo interesse; (ii) demonstração da necessidade e proporcionalidade do tratamento; (iii) demonstração do teste relacionando o legítimo interesse com as consequências para o titular; e (iv) medidas que visam proteger o titular.
Em quais casos, então, o legítimo interesse justificaria o tratamento de dados pessoais? Qual o entendimento consolidado pela jurisprudência da União Europeia?
O Parecer 06/2014 enumera alguns casos (trazendo também exemplos concretos exemplificativos): (i) exercício do direito de liberdade de expressão ou do direito à informação, incluindo na mídia e nas artes; (ii) marketing direto convencional ou outras formas de marketing ou propaganda; (iii) mensagens comerciais não solicitadas, inclusive para campanhas políticas ou angariação de fundos beneficentes; (iv) execução de ações judiciais, incluindo cobrança de dívidas por meio de procedimentos extrajudiciais; (v) prevenção a fraudes, ao uso indevido de serviços ou à lavagem de dinheiro; (vi) monitoramento de funcionários para fins de segurança ou gerenciamento; (vii) esquemas de denúncia interna; (vii) segurança física, de TI ou de rede; (ix) pesquisas científicas; (x) obrigação legal internacional; (xi) reutilização de dados publicamente disponíveis; (xi) crianças e outras pessoas vulneráveis; (xii) Privacy by design como salvaguardas adicionais; (xiii) combinação de informações pessoais em serviços da web e (xiv) finalidades históricas, estatísticas ou científicas.
O Tribunal de Justiça da União Europeia (TJUE) já definiu, em algumas hipóteses, a possibilidade de tratamento de dados pessoais das pessoas naturais com base no legítimo interesse do controlador. Abaixo, seguem alguns exemplos.
Caso C-40/17 (Fashion ID x Facebook Ireland) – TJUE decidiu que, apesar de o compartilhamento dos dados entre as partes pautarem-se efetivamente no interesse legítimo de ambas, já que se dá para fins de marketing ou publicidade, o site deveria coletar o consentimento expresso do titular para o compartilhamento e transferência de seus dados para terceiros.
Caso C-210131/12 (Google Spain x Mario Costeja Gonzáles) – no caso, o legítimo interesse do Google foi justificado através do interesse econômico do operador em processar tais dados e também porque há interesse de terceiros, o público em geral, em ter acesso a tais informações. Contudo, o TJUE entendeu que o tratamento não deve ser feito a partir da mera alegação do legítimo interesse existente no direito ao acesso à informação, mas sim a partir das regulações referentes à finalidade jornalística.
Caso C-212/13 (František Ryneš x Úřad pro ochranu osobních údajů) – nesse caso, discutiu-se a possibilidade de um particular tratar imagens de câmera de segurança no imóvel, que filma inclusive ruas públicas, a fim de reconhecer quem causou danos ao bem. O TJUE entendeu que esse sistema de gravação não é uma atividade exclusivamente pessoal ou doméstica e o tratamento, nesse caso, se objetivar o reconhecimento do autor do ilícito, pode caracterizar o legítimo interesse.
Caso C-434/16 (Peter Nowak x Data Protection Commissioner) – o caso trata de um cidadão que tenta acessar suas folhas de resposta para exercício de determinada categoria profissional. O TJUE definiu que tais dados são pessoais e seu tratamento seria legítimo. Contudo, os titulares teriam o direito de retificação e destruição, sendo que, os pedidos de alteração não poderiam versar sobre o conteúdo das respostas do titular, já que essas informações deverim ser preservadas na forma original para que o tratamento fosse justo a todos os candidatos.
Caso C-201/14 (Smaranda Bara e o. x Președintele Casei Naționale de Asigurări de Sănătate, Casa Naţională de Asigurări de Sănătate, Agenţia Naţională de Administrare Fiscală) – TJUE entendeu que há um legítimo interesse do controlador em tratar dados pessoais para qualificar sujeitos e também para possibilitar cobrança de contribuições em atraso (cobrança de crédito), minimizando pagamentos não realizados.
Esses são apenas alguns exemplos sobre o assunto.
É certo que, hoje, no Brasil, ainda temos um longo caminho para compreender o verdadeiro significado do legítimo interesse disposto na LGPD. Contudo, podemos, com toda certeza, levar em consideração o que já tem sido colocado em discussão na Europa como referencial, sem, contudo, simplesmente transpor as conclusões lá alcançadas para o Brasil, já que é necessário adaptar a interpretação da LGPD ao contexto nacional. Exatamente por isso, a ANPD torna-se tão essencial e sua criação é hoje ansiosamente aguardada.
#proteçãodedados #dadospessoais #privacidade #LGPD #GDPR #RGPD #interesselegítimo #legítimointeresse #privacidade #TJUE #WorkingParty29
Referências
ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC.Disponível em: <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf>.
FRAZÃO, Ana. Nova LGPD: as demais hipóteses de tratamento de dados pessoais. Jota, 2018. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-as-demais-hipoteses-de-tratamento-de-dados-pessoais-19092018>.
SANTOS,Isabela Maria Rosal. O legítimo interesse do controlador ou de terceiro no tratamento de dados pessoais. Trabalho de Conclusão de Curso (Bacharelado em Direito) - Universidade de Brasília. Brasília, 2019. Disponível em: <https://bdm.unb.br/handle/10483/23535>.
Comments