LGPD

LGPD: lei geral de proteção de dados – Camargo & Vieria

Com a promulgação da LGPD – Lei Geral de Proteção de Dados, ficaram estabelecidas as hipóteses de tratamento dos dados pessoais dos usuários, bem como inúmeros princípios que os agentes de tratamento devem respeitar ou, pelo menos, priorizar, no manuseio desses dados.

Dentre eles, o “consentimento” é a base legal mais comum em que o próprio usuário, de forma consciente ou não, autoriza, por meio de sua manifestação de vontade (ou pelo menos assim deveria ser), que aquela entidade específica (controlador ou operador) pode usar seus dados para a finalidade informada.

Essa base legal, necessariamente, deve ser dada pelo usuário. Porém, a própria LGPD permitiu, por outra base legal, e sem a anuência do titular dos dados, o seu tratamento e utilização para os fins que entender de direito, desde que haja “legítimo interesse”.

A situação gera um questionamento na interpretação e aplicação da lei: será que poderia haver, a partir dessa possibilidade legal, uma banalização de justificativa do tratamento de dados dos usuários pelo “legítimo interesse”?

Neste artigo especial, vamos tentar entender a legislação e suas bases, buscando uma resposta para essa pergunta. Acompanhe!

O consentimento dos usuários no tratamento de dados e a LGPD

Não foi pela nova Lei Geral de Proteção de Dados — LGPD que os controladores e operadores passaram a pedir o consentimento dos usuários para uso e tratamento dos seus dados, ainda que, na grande maioria das vezes, todos consentem sem sequer saber com o quê.

Essa “preocupação” dos agentes de tratamento ocorre em virtude de já haver legislações que protegem os dados pessoais dos usuários, como o Código de Defesa do Consumidor, Lei do Cadastro Positivo e Marco Civil da Internet.

Ocorre que o ano de 2018 foi o divisor de águas sobre a regulamentação da privacidade dos usuários e consumidores, tanto na Europa, com a entrada em vigor do General Data Protection Regulation — GDPR, como no Brasil, com a promulgação da LGPD, que entrará em vigor em 2020.

Isso porque as legislações acima, sendo a brasileira inspirada nitidamente na europeia, definiram, de forma categórica, as hipóteses em que os agentes de tratamento (controladores e operadores) poderão tratar os dados pessoais dos usuários.

Dentre as dez hipóteses descritas no artigo 7º da LGPD, o consentimento é apenas um deles. Contudo, a própria Lei, no inciso IX do mencionado artigo, permite que os dados possam ser tratados sem o consentimento do titular, quando “necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular…”.

Surge, então, o primeiro questionamento: o que são, ou em quais circunstâncias, há o legítimo interesse do controlador ou de terceiro? E mais, até que ponto essa base legal sobrepujará aos direitos e liberdades do titular?

A imprecisão da lei e a necessidade de interpretação das normas

Eis as questões que o legislador, a princípio, não deixou transparentes, passando a interpretação aos operadores do Direito, Encarregados (Data Protection Officer) e Autoridade Nacional de Proteção de Dados (instituída recentemente pela MP 869, aguardando sanção presidencial).

Pois bem, é o que ousaremos a fazer, ainda que de forma sucinta.

O legítimo interesse

A hipótese do legítimo interesse está regulada no artigo 10 da LGPD e seus parágrafos. Somente para ilustrar a falta de clareza da lei, vamos citar o caput do artigo, que diz: “o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: (…)”.

Ora, nos parece um tanto quanto genéricos termos como “finalidades legítimas”, “situações concretas” e, principalmente, “mas não se limitam a”.

É importante esclarecer ao leitor que o “legítimo interesse” é uma base legal regulamentada tanto pelo GDPR quanto por outras legislações sobre privacidade, o que significa dizer que, em algumas situações, as empresas (controladores ou processadores) não precisam do consentimento do titular dos dados, tampouco existe a possibilidade de uso das outras bases legais. Exemplos:

  • recall de carros por montadoras, já que a segurança dos usuários está à prova;
  • monitoramento dos funcionários dentro da empresa, pois, ainda que eles estejam usando as ferramentas do empregador, ao monitorar a performance do empregado, há análise de dados pessoais;
  • em fusões e aquisições (M&A), quando existem dados de usuários das empresas distintas, seria impossível pedir consentimento para realizar a operação, por ser uma operação extremamente sigilosa e que envolve, inclusive, modelos de negócio, segredos comerciais, dentre outros.

Essas são algumas hipóteses em que haveria, em tese, o legítimo interesse. Contudo, o instituto não pode ser banalizado a ponto de se ser utilizado quando não houver outra base legal adequada ao tratamento dos dados, uma vez que bastaria um pouco de esforço de interpretação para fundamentar o tratamento no interesse legítimo.

Os incisos do artigo 10 poderiam, portanto, esclarecer e especificar mais detalhadamente as hipóteses do legítimo interesse. Ao contrário, são ainda mais amplos e genéricos, pois dizem sobre “apoio e promoção de atividades do controlador” e, ainda, a “proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem”.

A Autoridade Nacional de Proteção de dados e uma possível solução para o impasse

A tendência é que a Autoridade Nacional de Proteção de Dados, criada formalmente pela MP 869/2018, adote mecanismos e orientações legais sobre o legítimo interesse.

Como dissemos, a legislação brasileira se baseou na europeia, que também dispõe sobre os legítimos interesses de forma tão vaga quanto a nossa norma. Ocorre que, no GDPR, existem inúmeros “Considerandos” que explicitam, ainda que de forma não taxativa, quando pode haver a utilização da base legal do legítimo interesse.

Seja como for, a nossa legislação previu, no artigo 37, que “o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”. Daí se percebe a preocupação do legislador com a indigitada base legal, ainda que este mesmo legislador tenha elaborado o controverso texto normativo.

Então, os agentes de tratamento que optarem por utilizar a base legal do legítimo interesse precisam, antes de mais nada, documentar as etapas do processo de tratamento, respondendo perguntas de um “teste” para aprovação da base legal: a atividade exercida é lícita? A finalidade do tratamento é legítima? Há necessidade? Existem outras bases legais nas quais se poderia apoiar? Existe expectativa do usuário com o uso de seus dados para os fins que os agentes pretendem? Existe a possibilidade de o titular dos dados se opor a esse tratamento?

Ao responderem as perguntas acima, os agentes de tratamento saberão se realmente dispõem de artifícios legais para utilização dos dados pessoais do usuário para os fins desejados sob a base legal do legítimo interesse, mantendo o registro dessas fases de adequação.

Ainda, ressalta-se que o legítimo interesse só deverá ser considerado após esgotadas todas as outras nove possibilidades legais e, mesmo assim, desde que “passe no teste” acima mencionado. Se assim não for, os agentes de tratamento assumem os riscos de utilização de bases legais inadequadas.

Gostou deste artigo sobre a Lei Geral de Proteção de Dados e os impasses envolvendo o tratamento dos dados pessoais dos usuários? Então, aproveite para aprofundar seu conhecimento sobre o tema. Confira este artigo especial da Camargo & Vieira sobre o funcionamento da privacidade de dados nas empresas.

Fale o que você pensa

O seu endereço de e-mail não será publicado.