LGPD: tratamento de dados feito por hotéis, locadoras e prédios comerciais

É cada vez mais comum a prática de estabelecimentos como hotéis, locadoras de veículos e, inclusive, prédios comerciais, solicitarem dos hóspedes, locatários e visitantes documentos que são fotografados ou digitalizados e, em seguida, as informações são armazenados com finalidade um tanto duvidosa. Por vezes também, referidos dados são mal utilizados pelos agentes de tratamento, eventualmente causando algum dano ao titular. Caso o funcionário de hotel ou prédio, ou atendente de locadora venda tais informações para um golpista e, com base neles abre conta bancária, compra empresa, contrai empréstimo, quem se responsabiliza?

O quadro acima pintado toca diretamente a norma recentemente introduzida no ordenamento jurídico nacional. Referido diploma normativo cuida precipuamente do tratamento de dados realizado por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

Nenhum hotel, locadora ou prédio é "dono" dos dados coletados de alguém que se hospedou no estabelecimento no ano anterior. O uso dos dados de quem entra no prédio só pode ser armazenado durante os dias em que a pessoa foi seu hóspede. Em seguida deve ser destruído. Utiliza-se o mesmo conceito um contrato de locação: uma vez encerrado o contrato, e os dados nele constantes, deve ser devidamente apagado.  

Impossível, portanto, entender como tratamento de dados previsto na nova legislação uma enorme gama de atos sem responsabilizar-se pelo seu conteúdo. Estes atos vão desde a simples coleta, passando por qualquer forma de classificação e de utilização, além da transmissão, processamento, armazenamento e, até, a eliminação do dado. Significa dizer que toda vez que a pessoa física fornece um dado pessoal que a identifica como tal e que a individualiza perante o resto do mundo (tal como seu nome, mas também o seu CPF, RG, título de eleitor, placa de seu carro) ela dá o gatilho para que o receptor passe a realizar o tratamento dessas informações.

Só que a LGPD exige que o agente de tratamento tenha um motivo para tanto: não basta simplesmente requerer o dado de alguém, devendo ser seguidos pelo agente todos os princípios normativos, tais como o da finalidade, o da necessidade e o da adequação. Isso é, o agente deve ter uma razão justa para tanto e os meios empregados devem ser os corretos também.

E aí, tratar dos motivos para que o agente de tratamento realize o procedimento dialogando diretamente com o artigo 7º da LGPD. É exatamente ele que respalda o tratamento e que dá as justificativas para que se proceda. O primeiro deles está no consentimento, de modo que o agente deveria solicitar ao titular o seu aceite para que seja feito o tratamento.

Na verdade, a LGPD fornece diversas outras possibilidades de realização do tratamento pelo agente, ainda que ele não tenha o consentimento do titular. E há dois deles que entendemos oferecer tal possibilidade para a realização do procedimento sem o consentimento expresso do titular. O primeiro deles tem respaldo no inciso V do mesmo artigo 7º. Nele fica explicitado que pode se dar o tratamento quando ele for necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Note que quando uma pessoa reserva ou faz check-in em um hotel ela está dando os passos para que se efetuem os procedimentos preliminares a um contrato do qual ela será parte ou, a rigor, ela está de fato já executando um contrato de hospedagem.

A lógica é a mesma quando ela aluga um carro em uma locadora de veículos, situação em que ela está executando o contrato. Em ambos os casos são elementares os dados transmitidos pela pessoa, seja ao hotel, seja à locadora, como o nome, eventual número de passaporte (no caso da hospedagem) e o número da carteira de habilitação (no caso do contrato de locação do veículo). Então parece absolutamente razoável que o agente de tratamento realize o procedimento ainda que sem o aceite do titular uma vez que sem referidos dados a execução dos contratos simplesmente não poderia ser realizada. A falta do aceite não constituiria abuso?

Os casos dos prédios comerciais parecem trazer panorama próprio, que não toca diretamente no inciso V do artigo 7º. O prédio comercial, ao requerer os dados da pessoa, torna-se o agente de tratamento, mas não há naquele momento contrato a ser realizado entre ambos. O único inciso que parece permitir esse tratamento sem o consentimento do titular se daria com base no permissivo transcrito no inciso IX, já que esse diz que será realizado o tratamento quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. O ponto chave do texto da lei se refere a aquilo que o legislador realmente entendeu como interesses legítimos do controlador ou de terceiro.

Interesse legítimo do controlador (agente de tratamento) é uma expressão um tanto vaga, aberta e altamente subjetiva, e como a lei é ligeiramente nova a jurisprudência ainda terá muito o que caminhar até pacificar o entendimento a esse respeito. Assim, o prédio poderia realizar o tratamento para fins de segurança das pessoas que nele estão, protegendo-os de quem nele adentra? É possível que sim.

Isso tudo supera em certa medida a pergunta inicial a respeito da possibilidade de tratamento por tais agentes, mas não responde a segunda a respeito da responsabilidade desses agentes em caso de mau uso no tratamento dos dados da pessoa. Em um ponto a LGPD é cristalina ao afirmar que independentemente do motivo pelo qual está se dando o tratamento: uma vez ele sendo feito, deverá respeitar a norma e em caso de mau uso os agentes de tratamento deverão ser responsabilizados.

O que deve provocar maior reflexão é a manutenção dos dados de um ex-cliente no banco de dados, demonstrando a continuidade do tratamento. Isso é o que gera a maior discussão porque nesse caso, já que a pessoa não está mais hospedada aquele tratamento que outrora se deu com a finalidade de abastecer um contrato entre as partes, agora não tem mais razão de ser. Em última análise, simplesmente não faria sentido manter os dados da pessoa (e com isso o seu tratamento), sobretudo sem o consentimento de seu titular, com a finalidade específica sendo oferecida a ele. É no mínimo discutível, sendo, no entanto, necessário ainda se apurar eventual dano (real) gerado do titular do dado.

Seja como for, voltando à lei, o fato é que por qualquer justificativa que embase o tratamento, cabe ao agente que o faz respeitar os ditames legais previstos na LGPD. Certamente, as infrações que importarem em dano patrimonial, moral, individual ou coletivo ao(s) titular(es) deverão ser reparadas pelos causadores.