A Lei 13.709/18[1], Lei Geral de Proteção de Dados Pessoais (LGPD), estabelece requisitos para o tratamento de dados pessoais (DPs) aos controladores responsáveis perante a referida lei. Tais requisitos recebem a denominação de bases legais de tratamento, as quais devem sustentar o tratamento de DPs, seguindo sempre os princípios elencados no seu artigo 6º. Este artigo oferecerá minhas impressões sobre esta modalidade de tratamento frente às disposições da LGPD e antecipo aqui minha opinião: desde que utilizado em conformidade com a lei e colocando o titular de DPs no centro da gestão de privacidade, o legítimo interesse é “do bem”, não “vilão”.
A primeira premissa digna de destaque é a ausência de hierarquia entre bases legais. A definição da finalidade de tratamento, embora uma prerrogativa do controlador, tem que ser sustentada pelos princípios de tratamento de DPs, com foco na proteção do titular de dados. Vale dizer, o legítimo interesse dever ser a melhor opção do ponto de vista (i) do ideal enquadramento e (ii) da situação de equilíbrio dos interesses do controlador e da manutenção das garantias dos titulares de dados. Trata-se de uma escolha fundamentada e objetiva, não um teste de sorte para conseguir atingir objetivos comerciais de publicidade e/ou monitoramento de comportamento.
A LGPD inaugura o legítimo interesse em seu art. 7º, inciso IX:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
[…]
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou […]
O dispositivo acima condiciona a possibilidade de utilização do legítimo interesse pelo controlador somente quando o seu interesse não ofenda os direitos e garantias fundamentais do titular de dados. Neste sentido, quando o tratamento de dados pessoais com base no legítimo interesse for desproporcional às expectativas de salvaguarda dos direitos fundamentais do titular de dados, esta base legal não deve ser o fundamento escolhido. Ainda, nos parece que o legislador buscou na verdade reforçar o compromisso com o titular de dados em situações que não contemplem o seu consentimento, pois entende-se que os direitos e garantias deste devem ser sempre priorizados em todas as demais bases legais.
Diante disso, como equilibrar esta questão e fundamentar corretamente o legítimo interesse? Iniciando esta reflexão de maneira simples, pode-se constatar como legítimo o tratamento quando há uma expectativa aceitável pelo titular de que seus dados pessoais estão sendo coletados pelo controlador. O exercício prático consistiria no seguinte: “o titular ficaria surpreso, indignado, desconfortável ao saber que dados a, b, e c foram coletados e estão sendo tratados sem o seu consentimento? Ou é esperado que, por exemplo, eu (controlador), colete e-mail, nome e número de telefone para oferecer um produto ou serviço?”
Reforçando o que já entendemos ser intrínseco ao tratamento de dados pessoais, conforme os princípios listados no artigo 6, o artigo 10 prescreve:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Com estes comandos, o controlador deve dispensar ainda mais atenção aos fundamentos – e à respectiva documentação no seu sistema de gestão de proteção de dados – que sustentarão o tratamento de DPs com base no seu legítimo interesse. Um verdadeiro checklist objetivo deve ser elaborado com questões-chave como:
- O tratamento é legítimo e não fere os direitos do titular frente às minhas necessidades comerciais/institucionais?
- É uma expectativa de que seja esperado por parte do titular que eu trate tais dados? Neste momento, vale a pena fazer uso de indicadores históricos, nos casos de programas em andamento, para avaliar o nível de aceitação / expectativa, como por exemplo, números de oposição e interações realizadas com titulares de dados em dado período.
- São estritamente necessários os dados coletados? Com o perdão da repetição, percebam aqui que isso vale para todas as bases legais, ou seja, ousamos dizer que há um reforço de que tem que ser muito bem fundamentada a necessidade de tratamento com base no legítimo interesse.
- Nossa política de privacidade deixa claro e transparente ao titular de que (i) nos importamos com a segurança de seus dados, bem como seus interesses e (ii) ele(a) pode se opor? Transparência.
Última questão e não menos importante, por isso retirada deliberadamente da lista para ser explorada com a atenção merecida. A avaliação (relatório) de impacto à proteção de dados pessoais (AIPD).
Embora tratada como uma possibilidade no §3º artigo 10, corro o risco de afirmar ser um consenso entre os profissionais – desde os segmentos de tecnologia até o jurídico – de que para chegar à conclusão de que um dado tratamento não daria gatilho a uma AIPD, deve-se, por excelência, conduzir uma avaliação sobre o risco para os titulares de dados, sendo no mínimo, baixo, médio ou alto. Ora, chegamos ao dilema existencial da galinha ou do ovo, não? Para poder determinar que um tratamento é de baixo risco e não precisa de uma avaliação de impacto, é primordial avaliar este impacto.
Em outras palavras, é altamente recomendável que seja realizada uma avaliação de impacto sobre os dados pessoais dos titulares anteriormente ao tratamento.
Vamos além, se todas as ações em um sistema de gestão da proteção de dados devem colocar a privacidade em evidência desde a implementação e também por toda a vida útil dos dados na instituição, não menos diligente – ou ainda mais diligente – deve ser o tratamento de dados pessoais com base no legítimo interesse.
Em conclusão, espero ter compartilhado um panorama otimista para os controladores à luz da LGPD, pois as legislações local e internacional reconhecem o desenvolvimento econômico e a possibilidade de pessoas físicas e jurídicas fomentarem suas atividades comerciais. Não é proibido, nem temerário coletar dados pessoais, desde que os direitos e garantias fundamentais dos titulares sejam respeitados. Embora seja sensível e objeto de diligências mais aprofundadas (situações concretas e claramente documentadas na AIPD), a base legal do legítimo interesse do controlador é uma estratégia, não uma cilada.
Faz sentido? Opine, compartilhe.
Saudações e sucesso.
[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Imagem de Pixabay.
Danilo Wanderley 