Lei Geral de Proteção de Dados: aplicação do legítimo interesse como base legal de tratamento
O presente trabalho busca, por meio da análise da legislação vigente e doutrina, contextualizar a aplicação do Legítimo Interesse como base legal de tratamento de dados. Para tanto, são apresentadas, inicialmente, informações relativas ao trâmite do processo legislativo que levou à sua inclusão no rol de bases legais, traçando um breve paralelo com a legislação europeia. Seguindo adiante, são evidenciadas as aplicações da referida base legal e os requisitos a serem preenchidos para sua correta utilização, passando, na sequência, para a exibição dos cuidados a serem adotados quando do seu emprego. Por fim, são apresentadas situações práticas nas quais é possível optar pelo Legítimo Interesse como base legal para tratamento de dados.
1 • Introdução
A Lei Geral de Proteção de Dados - LGPD1 - enumera em seu artigo 7º2 as hipóteses justificadoras de operações relativas ao tratamento de dados pessoais, apresentando dez possibilidades de uso, dentre as quais se encontra, no inciso IX, os interesses legítimos do controlador ou de terceiros, assim descritos:
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Tal preceito não é uma inovação da lei brasileira e, em grande medida, replica as disposições presentes no artigo 6º, f), do Regulamento Geral de Proteção de Dados da Comunidade Europeia – GDPR3.
Uma análise superficial da base legal do Legítimo Interesse pode levar à falsa impressão de que esta seja a mais flexível das dez possibilidades previstas em lei, tratando-se de uma carta branca disponível para uso em toda e qualquer operação de tratamento de dados.
Contudo, sua flexibilidade de aplicação está proporcionalmente relacionada ao nível de criticidade presente, uma vez que, conforme previsto no artigo 10 da LGPD, a utilização do Legítimo Interesse está condicionada ao cumprimento de uma série de requisitos, sendo necessário avaliar se a operação pretendida atende estas exigências legais4.
Estes requisitos de utilização não são objetivos, demandando análise atenta do responsável pela operação de tratamento e, diferentemente do que ocorre na Europa, que já dispõe de farto material de apoio quanto ao uso desta base legal, a exemplo da consideração 47, do próprio GDPR5, e dos materiais desenvolvidos pelo Grupo de Trabalho do Artigo 29 (Article 29 Working Party)6, no Brasil sua aplicação ainda não conta com quaisquer diretrizes, cumprindo aos estudiosos do tema a tarefa de buscar compreender o intuito do legislador, propondo práticas que atendam estas regras e, por vezes, adequando as melhores práticas europeias à legislação pátria.
Tendo em vista esta falta de pressupostos objetivos para utilização de referida base legal, o presente artigo tem por objetivo apresentar, dentre as dez possibilidades de tratamento presentes na LGPD, as premissas que levaram à inclusão do Legítimo Interesse neste rol, e como o GDPR aborda a questão. Em seguida, passa-se para uma análise mais aprofundada do tema, evidenciando as medidas recomendadas para sua correta aplicação, bem como apresentando as particularidades relacionadas ao tema. Por fim, são retratados exemplos práticos de uso, além das especificidades relativas a cada um destes.
2 • As bases legais de tratamento na LGPD
A LGPD reconhece, no seu artigo 1º, que dados pessoais restringem- se aos dados de pessoas naturais, tratados tanto em ambiente físico como digital, tendo por objetivo a proteção dos direitos fundamentais da liberdade e privacidade dos titulares, além do livre desenvolvimento da personalidade do indivíduo. Tal lei deve ser aplicada às operações de tratamento desenvolvidas por naturais e jurídicas, de direito público ou privado7, estando excluídos do escopo da Lei os dados relativos às pessoas jurídicas.
Isto posto, partindo de uma definição propositalmente ampla8, conclui-se que todo dado pessoal é importante, pois nada impede que a mais irrelevante informação coletada a respeito de um determinado indivíduo venha a ser transferida, cruzada ou organizada posteriormente, passando a compor um terceiro repositório, este sim rico o suficiente de dados que lhe permita, em última instância e com o devido tratamento, pressupor comportamentos e antever tomada de decisões do seu titular. Por esta razão, a LGPD aplica um conceito abrangente à atividade de tratamento9, impondo-lhe o dever de respeito aos fundamentos10 e princípios11 estabelecidos em Lei, além da obrigação de estar fundado em alguma das hipóteses legais previstas12.
As hipóteses legais de tratamento, também chamadas de bases legais, distinguem as situações que autorizam o Controlador13 a tratar de maneira legítima e lícita os dados do Titular14. Muito embora o rol destas bases legais seja taxativo, algumas delas são dotadas de certo grau de subjetividade, podendo ser aplicadas em situações variadas, desde que preenchidos determinados requisitos, como é o caso do Consentimento15 e do Legítimo Interesse16, este último tema do presente estudo.
A LGPD elenca dez bases legais que autorizam o tratamento dos dados pessoais, sendo necessário que o agente de tratamento adeque-se a apenas uma destas hipóteses, sempre levando em consideração as circunstâncias concretas e sua finalidade. Imprescindível destacar que não há hierarquia entre estas bases legais, cada qual se destinando a uma determinada utilização, dentre as quais o consentimento é apenas uma destas, enquanto as outras nove independem de autorização expressa do titular.
Finalmente, ainda que o consentimento seja exigido em apenas uma das dez hipóteses autorizadoras de tratamento de dados, isso não significa que os direitos dos titulares17 não lhes sejam assegurados nas outras nove circunstâncias.
3 • Trâmite de aprovação da LGPD: a inclusão do Legítimo Interesse no rol de bases legais de tratamento
Muito embora as primeiras discussões a respeito de uma lei para regulação do uso dos dados pessoais no Brasil datem do final da década de 70, ainda durante o período da ditadura militar18, foi só a partir da metade dos anos 2000 que o tema passou a compor a agenda política do país, tanto em decorrência de discussões iniciadas pela Argentina no âmbito dos grupos de trabalho do MERCOSUL, onde se pretendia a harmonização do tema entre os países do bloc19, como por convites da Rede Ibero-americana de Proteção de Dados - RIPD, que buscava um posicionamento do Brasil quanto ao tema20.
A partir de 2009, o Comitê Gestor da Internet no Brasil – CGI. br - passou a apoiar uma série de iniciativas relacionadas ao tema da proteção de dados no Brasil, como o “Decálogo da Internet”21, que propôs conceitos básicos da rede e que hoje rege os princípios para a governança e uso da internet22, e o “1º Seminário de Proteção à Privacidade e aos Dados Pessoais”, que passou a desempenhar, ano após ano, importante papel para discussão do tema, independentemente da realização de consultas públicas relacionadas à matéria23.
Com o tema em debate, surgiram Anteprojetos e Projetos de Lei que mantêm a discussão ativa, até que a Presidenta Dilma Rousseff enviou à Câmara dos Deputados o APL de Proteção de Dados Pessoais, que passou a tramitar como PL 5276/2016. Interessante observar que, diferente da legislação em vigor, os PLs e APLs inicialmente apresentados traziam o consentimento do titular como hipótese principal de tratamento.
A equiparação do consentimento com as demais hipóteses de autorização de tratamento de dados se deu mediante a realização de inúmeras consultas públicas, sendo o Legítimo Interesse incluído apenas após longas discussões travadas entre terceiro setor e iniciativa privada. Isso porque, enquanto os representantes do terceiro setor buscavam restringir a aplicação da referida base legal, por receio desta vir a se tornar um cheque em branco para que grandes corporações fizessem o que bem entendessem com os dados pessoais coletados, a iniciativa privada buscava ampliar o espaço a ser ocupado pela referida base legal, alegando ser esta uma realidade já presente no Regulamento Geral de Proteção de Dados – GDPR - e que restringi-la inviabilizaria inúmeros modelos de negócio já presentes em todo o mundo.
Neste ponto, foi imprescindível a atuação da academia na mediação destes debates, possibilitando que se alcançasse um denominador comum entre os interesses em disputa, resultando na inclusão do Legítimo Interesse no repertório de bases legais autorizadoras do tratamento de dados pessoais24, porém, seguida de um artigo exclusivo25, onde restaram definidos critérios específicos para sua aplicação, minimizando assim os riscos decorrentes da inclusão de uma base legal tão flexível e de conceito indeterminado.
A especificação destes critérios, que fazem com que a base legal do Legítimo Interesse não se torne um cheque em branco nas mãos dos entes responsáveis pelo tratamento dos dados, e as melhores práticas para utilização segura serão apresentadas e exemplificadas nos capítulos a seguir.
4 • Legítimo Interesse na GDPR
Os direitos assegurados aos titulares de dados no Regulamento Geral de Proteção de Dados – GDPR – não surgiram do dia para a noite, tendo como base previsões originadas na Convenção Europeia do Direito do Homem26 - de 1950, na Convenção 108 do Conselho da Europa27 - de 1981 - e nas Diretrizes da OCDE28, que culminaram na Diretiva 95/46/CE.
A Diretiva 95/46/CE – Diretiva - inaugurou, em seu artigo 7º, f)29, a previsão legal que autoriza o Controlador a tratar dados dos Titulares com base no seu Legítimo Interesse, vindo a ter seus termos praticamente replicados na redação do artigo 6º, f)30, do GDPR.
Tanto a Diretiva como o GDPR não trazem no texto legal maiores especificações quanto à aplicação prática da base legal do Legítimo Interesse, cumprindo este papel, respectivamente, ao Parecer 06/2014, do Grupo de Trabalho do Artigo 29º para a Proteção de Dados, e à Consideração 4731, do próprio GDPR, que estabelecem diretrizes para sua aplicação.
Dita Consideração 47 pouco se distanciou das recomendações do Parecer 06/2014, determinando que a aplicação da base legal em questão seja precedida de uma análise considerando três aspectos, quais sejam:
- Finalidade: identificação efetiva da atividade identificada como legítimo interesse e se esta diz respeito ao próprio controlador ou a terceiros;
- Necessidade: comprovação de que o uso daqueles dados é imprescindível para se alcançar os resultados pretendidos e que estes não poderiam ser obtidos de outra forma menos invasiva; e
- Proporcionalidade: análise se o uso proposto se sobrepõe aos direitos e liberdade fundamentais do titular, bem como se este uso estaria dentro das suas expectativas.
Algumas interpretações da legislação europeia incluem neste teste uma quarta etapa, identificada como “salvaguardas”. Contudo, tem-se que esta é uma obrigação inerente à atividade de tratamento de dados, visando proteger o titular de impactos indesejados decorrentes das operações de tratamento.
Além do teste, as Considerações do GDPR trazem exemplos práticos de aplicação do Legítimo Interesse, como na situação em que o titular dos dados é cliente do responsável pelo tratamento, quando esta se aplica à prevenção e controle de fraudes32, ou para garantir a segurança de determinadas redes e suas informações33.
O teor destas Considerações não foi ignorado pelo legislador brasileiro na redação da Lei, servindo como base para a formulação de seu artigo 10, no qual se estabelecem os parâmetros para aplicação da base legal do Legítimo Interesse no tratamento de dados de terceiros, que serão adiante apresentados.
5 • O Legítimo Interesse como base legal de tratamento de dados pessoais na LGPD
Conforme já explanado anteriormente, a LGPD apresentou em seu artigo 7º um rol taxativo contendo dez bases legais que autorizam o tratamento de dados pessoais, sendo mais uma vez importante ressaltar a não ocorrência de hierarquia entre as hipóteses enunciadas, compreendendo a cada uma delas uma situação específica, devendo o Controlador identificar aquela que melhor se adeque à finalidade pretendida.
O Legítimo Interesse do Controlador ou de Terceiros, objeto deste estudo, é uma destas hipóteses e está prevista no inciso IX do referido artigo 7º, sendo tida como a menos restritiva delas, possibilitando sua aplicação em inúmeras situações, desde que respeitados os direitos e liberdades fundamentais do Titular dos dados, bem como não tenha como objetivo o tratamento de dados pessoais sensíveis, uma vez que tal possibilidade não consta das hipóteses apresentadas no artigo 1134 da LGPD.
Apesar da flexibilidade de aplicação desta base legal, seu uso, nos termos do artigo 10, da LGPD, deve sempre se destinar a uma finalidade legítima, considerada a partir de situações concretas, que incluem, mas não se limitam a:
- Apoio e promoção de atividades do controlador; e
- Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
A adoção de um rol não taxativo de situações em que o Legítimo Interesse pode ser utilizado como base legal de tratamento mostrou-se bastante conveniente, pois é justamente sua plasticidade que assegura a necessária autonomia para que agentes de tratamento cuja economia se baseia no tratamento de dados e na inovação possam operar de forma segura, como nas operações de Big Data e Internet das Coisas35.
Além dos requisitos supramencionados, o Controlador deve ainda limitar seu tratamento aos dados estritamente necessários para a finalidade pretendida, adotando medidas que garantam a transparência deste processo, sempre atento, nestes casos, à possibilidade da autoridade nacional – Agência Nacional de Proteção de Dados (ANPD) - solicitar ao agente de tratamento o Relatório de Impacto à Proteção de Dados Pessoais - RIPD, resguardados seus segredos comerciais e industriais.
Desta forma, importante ter em perspectiva que, nos casos em que o Legítimo Interesse venha a ser adotado, sempre existirá a possibilidade de o Controlador ser instado a apresentar a documentação descrevendo detalhes da operação de tratamento, os quais devem estar devidamente discriminados no RIPD, fazendo com que, apesar de sua flexibilidade, esta seja a mais temerária das hipóteses de tratamento previstas no artigo 10, da LGPD, na medida em que tal relatório será submetido ao crivo da ANPD, que poderá eventualmente discordar das justificativas apontadas, provocando uma situação de insegurança maior do que quando da aplicação das demais bases legais, cujas hipóteses de utilização estão mais bem delimitadas.
Por esta razão, ao optar pela adoção do Legítimo Interesse como base legal justificadora de determinada operação de dados, é recomendável que o Controlador, seguindo as melhores práticas internacionais, especialmente aquelas previstas nas já mencionadas considerações 47, 48 e 49 do GDPR e recomendações apresentadas no Parecer 06/2014 do Grupo de Trabalho do Artigo 29º para a Proteção de Dados, elabore, antes, o teste de proporcionalidade, podendo utilizar como base o já conhecido LIA (Legitimate Interests Assessment), que estipula três etapas a serem cumpridas, pelas quais, conforme já apresentado no capítulo anterior, busca-se atestar o cumprimento dos requisitos legais de (i) finalidade, (ii) necessidade e (iii) proporcionalidade, a fim de identificar se o legítimo interesse apresentado se sobrepõe aos direitos e liberdades individuais do titular.
Concluir pela realização do LIA nestas situações soa bastante razoável, não apenas para atendimento ao todo quanto determinado no artigo 10, §3º, da LGPD, mas também levando em consideração a inegável inspiração que a Lei brasileira teve na GDPR, razão pela qual recomenda-se que, antes da adoção do Legítimo Interesse como base legal para tratamento de dados, seja realizado referido teste. Constatada a viabilidade de se prosseguir com a utilização desta base legal, indispensável que se relate as etapas da operação de tratamento no documento hábil a este fim, que é o Relatório de Impacto à Proteção de Dados.
Como se pode notar, a escolha pela base legal do Legítimo Interesse onera o Controlador com um ônus adicional em relação às demais hipóteses de tratamento, devendo restar assegurado que o LIA tenha sido realizado de maneira adequada, bem como devidamente reportado no RIPD, caso se alcance uma resposta positiva quando da realização do primeiro teste.
Importante destacar um cuidado especial a se ter quando da escolha do Legítimo Interesse como base legal para tratamento de dados pessoais de crianças36. Isso porque, uma leitura restritiva do artigo 14, §1º, da LGPD37, pode levar ao entendimento de que, nestas circunstâncias, seria imprescindível a obtenção do consentimento específico e em destaque de ao menos um dos responsáveis legais do titular, o que impediria a aplicação desta hipótese de tratamento em tais situações.
Por fim, vale lembrar que, ao optar pelo tratamento dos dados com base no Legítimo Interesse, o Controlador continua igualmente sujeito ao atendimento dos princípios e garantias assegurados aos seus titulares38, inclusive em relação aos direitos previstos no artigo 18, da LGPD39, atendendo, desta forma, ao seu dever de transparência.
6 • Da elaboração do Teste de Ponderação (Legitimate Interests Assessment – LIA)
Conforme explanado nos capítulos anteriores, antes da adoção do Legítimo Interesse como base legal de tratamento de dados, é recomendável que se empregue o teste de ponderação, que busca identificar se a operação a ser realizada estará de acordo com o todo quanto exigido no artigo 10, da LGPD. Identificado que o propósito sob análise atende às exigências legais, então passa-se à documentação do processo, por meio do RIPD.
Cumpre esclarecer que, enquanto na legislação europeia a realização do LIA conta com previsão e orientações expressas, estabelecidas no Parecer 06/2014 do Grupo de Trabalho do Artigo 29º para a Proteção de Dados, na LGPD a aplicação do referido teste ainda decorre da interpretação acertada que a doutrina tem dado ao artigo 10, que, sempre levando em consideração o fato de a legislação nacional ser indiscutivelmente inspirada na GDPR, estabelece: (a) no seu caput e inciso I, o dever de identificação da finalidade legítima do tratamento: (b) no §1º, determina a obrigação do Controlador demonstrar que a coleta se restringe apenas aos dados mínimos para atendimento da necessidade apresentada; e, por fim (c) no inciso II, define que sejam sopesados os interesses do operador e os direitos e liberdades individuais do titular, a fim de identificar a necessária proporcionalidade de direitos.
Superados estes três pontos e decidido pela viabilidade do tratamento, passa-se então à análise daquilo que preconizam os §§ 2º e 3º em relação às salvaguardas aplicadas para proteção destes dados, a fim de minimizar eventuais impactos negativos decorrentes deste tratamento.
Portanto, antes de se iniciar uma operação de tratamento com base no Legítimo Interesse, uma boa prática a ser adotada é a submissão da atividade pretendida ao presente teste. Caso a resposta alcançada apresente um cenário de equilíbrio entre os interesses do Controlador (ou de terceiros) e os direitos e liberdades do Titular, então a mencionada base legal pode ser aplicada para justificar o tratamento.
Diferentemente do que pode parecer, a aplicação do LIA não constitui uma atividade objetiva em que os pontos a serem analisados são claros e facilmente identificáveis. Muito pelo contrário, cada análise evidencia um desafio diferente, o que não raramente transforma sua realização em uma tarefa complicada e abstrata.
Na ausência de diretrizes nacionais que auxiliem na realização desta imprescindível etapa, defende-se, dentre outras possibilidades, que sua aplicação seja balizada pelo todo quanto preconizado no Parecer 06/2014 do Grupo de Trabalho do Artigo 29º para a Proteção de Dados40.
Nesse passo, o processo se inicia com a identificação e a descrição do contexto em que se dará o tratamento, que deve corresponder a uma situação concreta, atual e conhecida, não sendo permitida sua aplicação para situações hipotéticas e ainda não existentes, representando, portanto, um interesse real e presente.
Seguindo adiante, deve-se avaliar se a finalidade atribuída ao tratamento pretendido não é ilegal, ou seja, se este não encontra óbice ou está em desacordo com a legislação vigente, especificando se o responsável será o próprio Controlador ou Terceiros.
O passo seguinte diz respeito à necessidade concreta de realização da operação de tratamento em análise, onde deve restar demonstrado que a única forma de se alcançar o fim perseguido é por meio da utilização daqueles dados, não havendo caminho menos intrusivo, sendo esta fundamental para que se alcance a finalidade pretendida. Outro ponto a ser observado nesta etapa é se a operação de tratamento sob análise permitirá ao Controlador alcançar o objetivo declarado, bem como se a coleta se restringe estritamente aos dados necessários para este fim.
Por fim, passa-se à última, mais complexa e importante destas etapas41, pela qual se analisará a necessária proporcionalidade entre os interesses legítimos do Controlador e as consequências disso para o Titular dos dados, ou seja, se referido uso afronta seus direitos e garantias fundamentais, bem como se tal uso encontra-se dentro das legítimas expectativas daquele Titular, levando-se em conta a natureza da relação que originou a coleta (direta ou indireta), sendo que, nas palavras de Leonardi, “quanto mais invasivo ou inesperado for o tratamento dos dados pessoais pela ‘pessoa média’, menor a probabilidade de que seja reconhecida a existência de um legítimo interesse na hipótese específica”42.
Superadas estas etapas e alcançadas respostas que autorizem o prosseguimento da operação planejada, passa-se então à quarta fase, onde se impõe ao Controlador o dever de relatar quais salvaguardas serão adotadas a fim de minimizar os riscos do Titular, assegurando, assim, a redução do impacto deste uso à sua privacidade, com o emprego de medidas como, por exemplo, transparência do tratamento realizado, medidas de segurança que minimizem o risco de exposição dos dados e direito de exercício de opt-out, que é a possibilidade dos indivíduos se descadastrarem da sua lista de emails, quando cabível43.
É primordial que as respostas do Controlador aos questionamentos do LIA sejam honestas e, sendo identificada a impossibilidade de seguir adiante em qualquer das fases do teste, deve-se compreender pela inviabilidade do prosseguimento da operação de tratamento fundado na base legal do Legítimo Interesse.
Cumpre esclarecer que o LIA, conforme mencionado nos parágrafos anteriores, compõe a proposta de análise do Legítimo Interesse proposta no Parecer 06/2014 do Grupo de Trabalho do Artigo 29º para a Proteção de Dados, sendo possível que este estudo também seja realizado seguindo as orientações do Information Commissioner’s Office (ICO)44, autoridade responsável por assegurar o respeito à privacidade dos cidadãos, pelas organizações públicas e privadas no Reino Unido.
Outras forma de análise deste cenário podem ser extraídas seja com base na doutrina constitucional de aplicação do teste da proporcionalidade, notavelmente defendida por Marcela Mattiuzzo e Paula Pedigoni Ponce45; bem como por meio de uma perspectiva original e brilhantemente adaptada à LGPD, por Bruno Bioni46, sendo que cada uma delas contará com suas próprias particularidades, não havendo concorrência nem exclusão por parte de qualquer uma destas.
7 • Diferenças entre o Teste de Ponderação - LIA e o Relatório de Impacto à Proteção de Dados – RIPD
Conforme abordado no capítulo anterior, antes de se definir o Legítimo Interesse como base legal para determinada operação de tratamento de dados, o Controlador deve averiguar se suas práticas estão adequadas ao todo quanto previsto no artigo 10 da LGPD. Para tanto, recomenda-se a realização do Teste de Ponderação – LIA, a fim de averiguar se suas pretensões se justificam.
Diferentemente do GDPR, em que a realização do LIA e suas etapas de aplicação estão explicitamente estabelecidas no Parecer 06/2014 do Grupo de Trabalho do Artigo 29º para a Proteção de Dados, na LGPD referido teste não possui previsão expressa, decorrendo da aplicação prática dos preceitos do dito artigo 10.
Nas definições trazidas por Teffé e Viola, a realização deste teste tem por objetivo “balancear os direitos do titular dos dados e de quem faz uso das suas informações, verificando-se tanto se há um interesse legítimo de quem trata os dados quanto se estão sendo respeitadas as legítimas expectativas e os direitos e liberdades fundamentais dos titulares”47.
Isto posto, pode-se concluir que a aplicação do LIA visa averiguar a possibilidade de aplicação da base legal do Legítimo Interesse frente à situação concreta, submetendo as pretensões do Controlador aos requisitos estabelecidos na Lei, a fim de checar se a pretendida operação de tratamento de dados atende às exigências legais (finalidade, necessidade e proporcionalidade).
Constatada a legalidade e a viabilidade do tratamento, parte- se para uma análise mais aprofundada da operação, que, para fins de atendimento ao estipulado no artigo 10, §3º, deve ser formalizada por meio da elaboração do RIPD48.
O artigo 5º49, XVII, da LGPD, assim define o RIPD: “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
As exigências para constituição do RIPD também constam do artigo 38, da LGPD, que, ao prever genericamente situações em que a autoridade nacional poderá determinar sua elaboração50, estipula, no parágrafo único, seus requisitos mínimos, quais sejam: “a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados”51.
Compreende-se, então, que o RIPD tem por finalidade principal, em suma, apontar os riscos que possam advir da operação de tratamento sob análise, direcionando o responsável pela operação à mitigação dos riscos mapeados52.
Nota-se que o nível de descrição exigido no RIPD em relação à operação de tratamento descrita é muito mais detalhado que aquele exigido para o LIA, demandando maior dedicação do Controlador na sua elaboração, o que justifica que este seja redigido apenas e tão somente nos casos em que seja identificada a viabilidade e efetiva aplicação da operação sob análise.
Conclui-se, portanto, que, embora existam similaridades entre o LIA e o RIPD e que, em certa medida, em relação ao Legítimo Interesse, os temas abordados possam ser comuns a ambos, o LIA constitui um documento muito mais simplificado, a ser aplicado para fins de identificação da viabilidade do uso do Legítimo Interesse como base legal de uma determinada operação de tratamento, enquanto que, no RIPD, avaliam-se os riscos inerentes à operação, documentando como esta se dará, podendo trazer como conteúdo, dentre outras informações, aquelas previamente inseridas no LIA.
8 • Da necessidade de elaboração do Relatório de Impacto à Proteção de Dados - RIPD para aplicação da base legal do Legítimo Interesse
Apresentadas as principais diferenças entre o LIA e o RIPD, passa-se então aos esclarecimentos quanto à necessidade de elaboração do RIPD para atendimento de parte das exigências previstas pelo artigo 10, § 3º, da LGPD, quando da aplicação do Legítimo Interesse como base legal de tratamento.
Neste sentido, embora o dever de transparência53, responsabilização e prestação de contas54 já integre o rol de princípios da LGPD, a previsão expressa da necessidade de elaboração do RIPD no artigo 10, §3º, da LGPD, reforça a importância de os Agentes de Tratamento adotarem cautelas ainda maiores quando da utilização da base legal do Legítimo Interesse.
De acordo com o entendimento de Vainzof55, o RIPD deve ser incorporado aos procedimentos de governança e privacidade da empresa com o fim de demonstrar que a operação desenvolvida atende aos princípios da finalidade, adequação, necessidade, segurança e prevenção56.
Reconhecida sua importância e complexidade, cumpre esclarecer que a elaboração do RIPD não é uma exigência para toda e qualquer operação de tratamento de dados, uma vez que, conforme previsto no artigo 38, caput, da LGPD:
A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Como se pode constatar, o supramencionado artigo prevê a possibilidade de requisição do dito Relatório pela autoridade nacional, o que exime os Controladores de dados do dever de elaborá-lo previamente mediante toda e qualquer operação de tratamento57.
Vale frisar que a flexibilização desta exigência diz respeito especificamente ao RIPD, não desobrigando os Controladores do dever de cumprimento ao todo quanto disposto no artigo 37, da LGPD58, relativo à necessidade de registro de quaisquer operações de tratamento de dados pessoais realizadas.
Isto se dá por meio da elaboração do Relatório de Registro das Operações de Tratamento de Dados Pessoais, estando tal incumbência ligada à recomendação de mapeamento das operações de tratamento, a fim de atender ao princípio de mitigação de riscos e prestação de contas59.
Feitas as necessárias diferenciações e esclarecimentos, passase então às razões que justificam a necessidade de elaboração do RIPD nas hipóteses em que a operação de tratamento de dados estiver baseada no Legítimo Interesse.
Conforme exposto acima, o artigo 38, da LGPD, prevê apenas a possibilidade genérica de a autoridade nacional determinar ao Controlador que elabore o RIPD, o que leva à conclusão de que não se espera que este já esteja à disposição. Diferente disso, o artigo 10, §3º, da LGPD, estabelece categoricamente que a autoridade nacional poderá solicitar o RIPD, quando o tratamento tiver como fundamento o interesse legítimo.
A respeito destas previsões distintas, assim ponderou Leonardi ao concluir pela necessidade de elaboração prévia do Relatório: (...) enquanto o art. 38 estipula que a Autoridade Nacional de Proteção de Dados pode determinar a elaboração de relatório, o art. 10 da mesma lei destaca que a Autoridade poderá solicitar ao controlador esse relatório, o que significa que o documento já deve ter sido elaborado anteriormente, no momento da decisão pela utilização do legítimo interesse e antes que qualquer tratamento de dados pessoais fundamentado nessa base legal efetivamente ocorra (...)60.
No mesmo sentido, MATIUZZO e PONCE61 propõem que se considere a elaboração do RIPD desde o início do processo de tratamento baseado no Legítimo Interesse, atendendo assim a um dever especial de tratamento presente nestas situações.
Feitas estas considerações, tende-se a concluir, tanto com base na interpretação legal como da análise da Doutrina, pela necessidade de elaboração prévia do RIPD sempre que uma operação de tratamento de dados esteja embasada no Legítimo Interesse.
9 • A aplicação do Legítimo Interesse por terceiros
Não restam dúvidas de que as operações de tratamento embasadas no Legítimo Interesse estão sujeitas ao cumprimento de uma série de obrigações relativas à demonstração prévia da necessidade, finalidade e proporcionalidade, além da elaboração do RIPD.
Conquanto o artigo 7º, IX, da LGPD, determine que o Legítimo Interesse possa ser aplicado pelo Controlador ou por Terceiros, o artigo 10, §3º, da LGPD, ao estipular seus critérios de utilização, faz menção apenas ao Controlador, deixando um vácuo obrigacional relativo a Terceiros que venham optar pela utilização desta base legal nas suas operações de tratamento de dados.
Diante deste hiato legal, resta a dúvida se tal ausência decorre de um lapso do legislador, ou se a não inclusão de Terceiros no rol de obrigações do artigo 10 da LGPD, foi proposital.
O texto de Lei não traz maiores esclarecimentos quanto ao tema, restando como alternativa a busca por soluções na doutrina. Neste passo, Leonardi62 entende que esta brecha poderá vir a ser preenchida futuramente pela Agência Nacional de Proteção de Dados – ANPD e, ainda sobre o tema, pondera que o Legítimo Interesse de Terceiros diz respeito não somente aos terceiros englobados em uma determinada relação negocial, mas também à coletividade, representando os Legítimos Interesses de determinadas categorias de pessoas e até mesmo de toda uma população.
Entretanto, em que pese ser bem-vinda a perspectiva de a ANPD dispor o quanto antes de direcionamentos relativos ao tema, a vigência da Lei coloca todos diante de desafios iminentes e que precisam ser resolvidos. Assim sendo, uma primeira interpretação pode ser facilmente alcançada pela análise meramente gramatical dos termos do artigo 10, da LGPD, o que leva a conclusões bastante permissivas no sentido de que as obrigações ali impostas seriam destinadas apenas ao Controlador, não se aplicando aos casos de utilização por Terceiros, situação em que estes deveres previamente propostos estariam dispensados.
Outra interpretação possível é aquela apresentada por Bioni63, no sentido de que a ausência da menção a Terceiros no dito artigo da Lei não se deu em vão, mas sim de forma proposital, pois, neste caso, o Legítimo Interesse de Terceiros estaria necessariamente abarcado pelo Teste de Ponderação – LIA – quando da identificação das legítimas expectativas do titular dos dados pessoais, tendo em vista a ausência de relação pré-estabelecida.
Já na leitura trazida por Viola e Bucar64, embora houvesse espaço para que o texto fosse mais claro quanto às suas intenções, a ausência da menção ao Terceiro não se deu por equívoco, mas sim porque a obrigação da realização do Teste de Ponderação recai, de fato, sobre o próprio Controlador, que é quem está na posse dos dados e deve ponderar antes de permitir que o Terceiro tenha acesso a estes.
Posição mais ortodoxa é a aventada por Lima65, cujo entendimento é de que as imposições do artigo 10, da LGPD, são extensíveis a Terceiros, devendo a ausência de referência ser complementada por uma interpretação mais ampla da norma, levando em conta, inclusive, os termos da GDPR, que prevê expressamente que tais deveres se estendem a Terceiros.
Como é possível constatar, a posição dos estudiosos do tema sugere que o tratamento de dados por Terceiros, com base no Legítimo Interesse, seja sempre precedido do LIA, havendo dissenso apenas em relação ao ente responsável pela sua realização.
10 • Relativização do opt-out no Legítimo Interesse
O artigo 18 da LGPD assegura aos Titulares de dados uma série de direitos, dentre eles o de oposição ao tratamento realizado com fundamento em qualquer das hipóteses de dispensa de consentimento (§ 2º)66, assegurando ao sujeito de dados o controle sobre suas próprias informações, independentemente da base legal utilizada. Tal previsão endossa o todo quanto apresentado nos capítulos iniciais deste trabalho, no sentido de que as bases legais de tratamento não concorrem entre si, cada qual cumprindo com uma determinada finalidade, entregando níveis equivalentes de controle e segurança ao Titular dos dados.
No que tange ao Legítimo Interesse, tem-se que, quando da opção pela sua aplicação, uma das etapas do Teste de Ponderação – LIA - é a análise das expectativas do Titular, devendo o responsável pela operação de tratamento, seja o Controlador ou Terceiro, analisar se a utilização daqueles dados para o fim pretendido poderia ser tida como uma opção previsível, bem como se tal conduta não frustraria a relação de confiança firmada previamente.
Todavia, ainda que o Teste de Ponderação seja aplicado levando em consideração todos os cenários possíveis relativos às expectativas do Titular, importante considerar a possibilidade deste não desejar que seus dados sejam tratados em uma situação específica (ainda que previsível e dentro das suas expectativas), conforme bem assegurado pelo aludido artigo 18, §2º, da LGPD, garantindo acesso facilitado ao opt-out, que é a ferramenta por meio do qual o Titular pode exercer seu direito de oposição ao tratamento realizado.
Contudo, conforme já discutido anteriormente, por vezes o Legítimo Interesse atenderá aos interesses legítimos de outros, que não o próprio Titular dos dados, sendo que nestas ocasiões este choque de direitos deve impedir o exercício de oposição ao tratamento, prevalecendo os interesses da coletividade.
Uma ocasião em que é possível prever a ocorrência de conflito entre o interesse do Titular, que deseja a interrupção do tratamento dos seus dados, e a objeção do Controlador em interromper este tratamento, pode acontecer na aplicação do Legítimo Interesse no combate a fraudes, situação em que o agente de tratamento pode se negar a atender o interesse do Titular de não ter seus dados tratados.
Tendo em vista que tais situações não estão previstas expressamente na LGPD, no entendimento de Bioni, abre-se margem para disputas interpretativas, onde “a aplicação e a interpretação do direito de oposição não devem ter como resultado um regime jurídico assimétrico, especialmente perante o direito correspondente de revogação do consentimento”67.
Isto posto, pode-se concluir que o Titular tem direito de se opor ao tratamento dos seus dados quando este ocorrer com base no Legítimo Interesse. Entretanto, haverá situações em que este direito será relativizado, devendo o exercício do opt-out ser analisado caso a caso.
11 • Hipóteses práticas de aplicação do Legítimo Interesse como base legal de tratamento
Conforme demonstrado nos capítulos anteriores, a viabilidade da utilização do Legítimo Interesse como base legal de uma operação de tratamento de dados deve ser analisada conforme a situação específica, analisando as particularidades do caso concreto por meio da aplicação do LIA.
Neste sentido, enquanto o Regulamento Europeu – GDPR – apresenta em suas consideradas uma série de situações práticas exemplificando a aplicação da referida base legal68, no Brasil o legislador optou por, como bem esclarecido no caput do artigo 10 da LGPD, elencar um breve rol exemplificativo de situações em que o Legítimo Interesse poderá vir a ser aproveitado69.
Entretanto, ainda que estas referências legais auxiliem na compreensão de operacionalização da aludida base legal, suas possibilidades de uso são muito maiores que aquelas anunciadas no texto de Lei, tanto no Europeu, dotado de amplo material de apoio, como no nacional, deveras restrito neste sentido.
Buscando ampliar este panorama, enumera-se a seguir, certamente de maneira não exaustiva, algumas situações práticas em que a base legal do Legítimo Interesse pode vir a ser aplicada.
O cenário clássico, e talvez mais lembrado, de uso do Legítimo Interesse como base legal para tratamento de dados, é na publicidade. Neste campo, abrem-se inúmeras possibilidades, como o envio de e-mail marketing direto, perfilamento de potenciais clientes por meio do mapeamento das interações nas redes sociais, solicitação de realização de cadastro para acesso a determinados conteúdos, marketing eleitoral, anúncios publicitários direcionados, dentro outros70.
Embora tais utilizações destinem-se a uma aplicação legítima, é importante que se colete os dados estritamente necessários para o fim pretendido, respeitando a expectativa do titular quanto à natureza de produto/serviço que se pretende ofertar, permitindo-lhe a fácil manifestação de oposição àquele tratamento por meio de opt-out 71.
Outra possibilidade de emprego da base legal do Legítimo Interesse se dá nas relações de trabalho, podendo esta ser aplicada para justificar o acompanhamento do dia-a-dia do funcionário, decorrendo da relação de subordinação sempre presente nas relações empregatícias. Nestas circunstâncias, pode-se aplicar a presente base legal para, por exemplo, monitorar algumas das atividades do colaborador72. Contudo, é recomendável que este monitoramento seja comunicado ao funcionário, devendo possuir uma justificativa específica e plausível, não podendo ocorrer de maneira contínua e nem por motivações genéricas, respeitando assim sua privacidade73.
Ainda no campo das relações de trabalho, é possível utilizar o Legítimo Interesse para justificar ações de verificação de antecedentes de candidatos a determinadas vagas de trabalho. Neste sentido, entende-se que esta seja uma utilização legítima, pois visa promover uma atividade do controlador74. No entanto, é fundamental que se pondere quais dados serão acessados, furtando-se de analisar dados considerados sensíveis ou que não guardem relação com a vaga em questão75.
Também é possível aplicar a aludida base legal no relacionamento entre empresa e funcionários pode se dar para fins de gestão em ambientes internos da própria empresa. Nestes casos, que englobam um grande número de situações, é importante que se tenha em perspectiva a descrição específica dos fatos e situações a serem apuradas, delimitando, assim, o espectro dos dados alcançados76, e sempre mantendo as salvaguardas necessárias, especialmente em relação ao sigilo destas informações, evitando assim a exposição do titular objeto da apuração.
Mais uma aplicação desta base legal é mencionada por Bruno Bioni, Mariana Rielli e Marina Kitayama, na obra O Legítimo Interesse na LGPD: Quadro Geral e Exemplos de Aplicação77, na qual os autores elencam o exemplo das fusões e aquisições entre empresas. Isso porque, na palavra destes estudiosos, o acesso aos bancos de dados da empresa adquirida pode vir a ser necessário para fins de evitar a interrupção das suas atividades, bem como para realização de auditorias e avaliações prévias da consistência destas bases de dados, muitas das vezes tidas como sendo os principais ativos destas empresas, atividades estas previstas no artigo 5º, X, da LGPD como operações de tratamento78. Apesar de tais práticas serem tidas como legítimas, é importante que se encontre um ponto de convergência entre os dados necessários para se alcançar o objetivo pretendido, sendo uma opção a coleta de amostras de dados ao invés da sua totalidade, assegurando sempre que estes não serão utilizados para quaisquer outros fins.
Dando sequência a esta vasta lista de aplicações do Legítimo Interesse, pode-se suscitar sua utilização para justificar a análise e prevenção de fraudes. Nestes casos, que envolvem especialmente a prevenção de fraudes comerciais, nas quais o legítimo interesse defendido é o da coletividade em que o titular dos dados está inserido e não seu interesse individual, busca- se a preservação de um ambiente saudável para realização de negócios, merecendo atenção especial para que a coleta se restrinja aos dados necessários para tal fim, e sempre diante de uma situação concreta, atendendo assim efetivamente aos interesses da sociedade no sentido de mitigar ocorrências desta natureza79.
Encerrando esta lista exemplificativa, incluímos a perspectiva de emprego do Legítimo Interesse na análise comportamental de usuários de determinadas plataformas ou consumidores de certos serviços, buscando a identificação e implementação de melhorias por parte do Controlador. Neste contexto, não restam muitos questionamentos quanto à legitimidade do processo, uma vez que os fins de uso são concretos e legítimos, sendo importante estar atendo aos exatos dados que serão necessários para realização desta análise e ao balanceamento relativo às legítimas expectativas dos Titulares80.
Como se pode constatar, as possibilidades de utilização do Legítimo Interesse vão muito além da publicidade e prospecção de clientes, podendo atender inúmeras atividades de tratamento de dados, desde que preenchidos os requisitos legais dispostos no artigo 10, da LGPD, devendo o responsável pela operação identificar o propósito e analisar a efetiva necessidade do tratamento em vista do fim pretendido, avaliar e destacar pontualmente quais dados pessoais serão utilizados, protegendo- os de eventuais compartilhamentos excessivos com terceiros e utilizações que fujam da sua finalidade primeva, executando, por fim, o teste de balanceamento, a fim de apurar se estão sendo respeitados os direitos e liberdades fundamentais dos Titulares.
12 • Conclusão
A chegada da LGPD impôs uma nova realidade às operações de tratamentos de dados, exigindo que os responsáveis por tais operações readequassem suas práticas, sob pena de estarem sujeitos a duras sanções. Neste cenário, em um primeiro momento, pode soar convidativa a possibilidade de justificar quaisquer operações com base no Legítimo Interesse, que dentre as bases legais é a que apresenta maior espectro de abrangência.
Contrapondo esta falsa impressão, o presente estudo buscou demonstrar que é mais prudente resistir a este impulso e, antes de optar por referida base legal, submeter suas condições de utilização aos preceitos legais, a fim de identificar se o uso pretendido está de acordo com o todo quanto previsto no artigo 10, da LGPD, cumprindo os princípios da finalidade, necessidade e proporcionalidade.
Para tanto, buscou-se esclarecer o significado destes e como proceder para atendê-los, elencando as práticas atuais e mais recomendadas neste sentido, além de elucidar algumas características próprias desta base legal.
Neste passo, restou demonstrada a conveniência de, antes de se iniciar a operação de tratamento, realizar o Teste de Ponderação – LIA, a fim de identificar a viabilidade de uso do Legítimo Interesse, atestando também a importância da elaboração do Relatório de Impacto à Proteção de Dados – RIPD – quando se decidir pela sua efetiva utilização, diferenciando ambos e analisando hipóteses específicas relacionadas ao tema, como sua aplicação por terceiros e a relativização do opt-out por parte dos titulares.
Por fim, foram trazidos exemplos práticos de aplicação da base legal em comento, indicando que, apesar da necessidade de cumprimento de requisitos específicos, a aplicação do Legítimo Interesse é absolutamente viável, atendendo uma vasta gama de situações de tratamento de dados.
Fonte:
Revista ABPI Edição 178 | PDF Download