Legítimo interesse como hipótese para tratamento de dados

Em 29 de maio, o Congresso Nacional aprovou, com emendas, a Medida Provisória 869/2018, que alterou a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018). Caso seja sancionado sem vetos, o respectivo projeto de lei de conversão encaminhado à Presidência da República entrará em vigor em agosto de 2020. Faltando pouco mais de um ano para que a lei passe a vigorar, é necessário bem compreender seu alcance e suas limitações.

Após analisar conceitos-chave da LGPD, tais como dado pessoal, consentimento e anonimização, vale discutir os limites da atividade de tratamento de dados baseada no legítimo interesse do controlador ou de terceiros, por ser esta uma das alternativas mais utilizadas no âmbito do Regulamento Geral de Proteção de Dados da União Europeia (GDPR), na qual a LGPD buscou inspiração.

Com linguagem bastante similar ao GDPR, a LGPD dispõe que dados pessoais podem ser objeto de tratamento “para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”[1], sendo que “o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas”[2], ficando ressalvado que “somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”[3].

Assim, o tratamento de dados fundado em legítimo interesse está condicionado ao cumprimento de determinados requisitos, podendo ser difícil compreender o seu verdadeiro alcance legal. Este texto procurará trazer luz a tal questão, abordando os pontos controvertidos verificados na prática europeia, que, desde 1995, possui legislação específica sobre o tema.

O primeiro ponto a merecer destaque é a diferença entre “interesse” e “finalidade”, verbetes utilizados nos artigos acima transcritos e na legislação europeia e que, embora similares, não são intercambiáveis. De fato, por finalidade entende-se o propósito específico do tratamento de dados intencionado pelo controlador ou por terceiro. Já o interesse é conceito mais amplo, sendo aquilo que o controlador, ou terceiro, pretende auferir com o tratamento de dados; em outras palavras, é o benefício que se espera decorrer da atividade de tratamento, seja para o controlador, para o próprio titular dos dados ou, ainda, para a sociedade em geral[4].

Uma ressalva deve ser feita: apesar de sua amplitude conceitual, a experiência europeia demonstra que somente interesses claramente definidos e vinculados ao escopo de atividades praticados pelo controlador poderão servir de base para tratamento de dados que pretenda encontrar fundamento da hipótese aqui discutida. Remete-se ao caso dos aplicativos de controle de atividades físicas. Neste exemplo, o interesse do controlador pode ser proporcionar maior transparência e controle sobre as atividades físicas desempenhadas pelo usuário, com intuito de proteger a saúde e aprimorar o condicionamento físico. A finalidade específica perseguida pelo controlador, de outro lado, pode envolver a implementação de um meio instantâneo e de fácil acesso para registro de atividades com uso de georreferenciamento.

O segundo aspecto diz respeito ao titular do legítimo interesse. A LGPD parece bem clara ao dispor que o interesse a ser tutelado deve ser do controlador ou de terceiro. À primeira vista, portanto, a proteção não abarcará interesses do operador dos dados, conclusão que parece apropriada, já que ao operador simplesmente cabe executar a atividade de tratamento dos dados da forma estabelecida pelo controlador[5]. Em síntese, o interesse tutelado deve ser real, legal e claramente identificável[6], não se admitindo interesses ilegais ou puramente especulativos.

Vale ressaltar: ainda que o controlador não tenha interesse legítimo, o respectivo tratamento pode se justificar se for do interesse de terceiros. Veja-se o exemplo de dados pessoais de executivos que eventualmente sejam divulgados para acionistas da empresa, com vistas a maior transparência. Neste caso, o interesse legítimo tutelado pela LGPD é do acionista, terceiro na relação entre o controlador e o titular dos dados.

Por fim, merece especial destaque o eventual conflito entre o legítimo interesse do controlador ou de terceiros, de um lado e, de outro lado, as expectativas, igualmente legítimas, do titular dos dados objeto de tratamento. Nesta hipótese, sendo impossível compatibilizar os interesses de tais polos, faz-se necessário realizar teste de ponderação, para verificar qual deles deverá se sobrepor ao outro. A análise deve ser específica para o caso concreto, levando em conta os direitos fundamentais do titular e o interesse do controlador ou do terceiro.

A coleta e tratamento de dados nesta hipótese deve se limitar às informações necessárias para o cumprimento da intenção (interesse) do controlador, adotando-se medidas mitigatórias dos impactos ao titulares dos dados. No caso de uma escola em tempo integral, pode ser necessário recolher informações pessoais dos alunos sobre as respectivas intolerâncias alimentares para fins de proteção à saúde, medida que beneficia tanto o controlador quanto o titular dos dados. Contudo, a escola não poderia ceder dados para terceiros, sem autorização prévia, para direcionar publicidade para alunos com intolerância alimentar.

Com base na experiência europeia, o teste de ponderação deve levar em conta a natureza do interesse do controlador, o impacto do tratamento no titular dos dados, a expectativa do titular dos dados quanto à atividade de tratamento e, por fim, as medidas adotadas pelo controlador dos dados para mitigar possíveis impactos negativos ao titular[7].

Segundo a LGPD, o controlador deve manter registro das suas atividades de tratamento de dados. Essa obrigação adquire mais relevância no caso das atividades fundadas em legítimo interesse, sendo necessário que o encarregado de proteção de dados tenha guardado, para cada atividade de tratamento de dados, os interesses perseguidos, os impactos previstos e as medidas mitigadoras de tais impactos. Essas informações poderão ser solicitadas pela Autoridade Nacional de Proteção de Dados, por meio do Relatório de Impacto à Proteção de Dados Pessoais de que trata o artigo 38 da LGPD. É necessário, portanto, preparação para o cumprimento das obrigações previstas na LGPD, cuja entrada em vigor já se aproxima.