A aplicação do legítimo interesse para o tratamento de dados pessoais

As disciplinas da privacidade e da proteção de dados pessoais são questões de extrema relevância no cenário jurídico internacional há muitos anos, buscando acompanhar a evolução das tecnologias e as modificações da sociedade globalizada. Nesse contexto, a União Europeia, em 2016, promulgou a General Data Protection Regulation (GDPR), que regulamenta o tratamento de dados pessoais no âmbito dos Estados-membros da União Europeia. No Brasil, mais especificamente, foram inúmeros os fatores que culminaram na produção da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), como, por exemplo, o escândalo da Cambridge Analytica, a própria promulgação da GDPR como instrumento limitador aos negócios e acordos comerciais entre o Brasil e os países da União Europeia, a intenção de integração, pelo Brasil, na Organização para a Cooperação e Desenvolvimento Econômico (OCDE) e até mesmo as adequações legislativas para a implantação do Cadastro Positivo.

Com a promulgação da Lei Geral de Proteção de Dados Pessoais, inaugurou-se um sistema autônomo e horizontal de proteção de dados pessoais no Brasil [2], regulando a aplicação da norma pela adoção de princípios e exposição dos permissivos que legitimam o tratamento dos dados pessoais, também conhecidos como "bases legais".

Dentre essas previsões, há a possibilidade de tratamento de dados pessoais quando necessário para "atender aos interesses legítimos do controlador ou de terceiro", ressalvados os casos onde "prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais". É visível que se está diante de um conceito jurídico indeterminado e amplo, com aplicação subjetiva pelo agente, o que traz, evidentemente, insegurança e alta margem para discussão quanto à sua aplicação.

Em razão disso, quando da escolha do legítimo interesse como base legal para determinada atividade de tratamento, faz-se necessária a aplicação do teste de proporcionalidade e balanceamento, mais conhecido como legitimate interests assessment (LIA), que divide em três etapas [3] a verificação da efetiva legitimidade do interesse do controlador: em primeiro lugar, a verificação da finalidade legítima e situação concreta do tratamento dos dados pessoais; também, deve-se ponderar se os dados coletados são realmente necessários (em consonância com a minimização e necessidade previstas pela lei); e, após, o controlador deve balancear se o uso atribuído àquele dado está dentro das legítimas expectativas do titular e se há alguma reflexão em suas liberdades e direitos fundamentais.

Além disso, é necessário analisar o papel dos agentes de tratamento de dados pessoais nessa equação: a figura do controlador de dados pessoais e sua ligação com o titular quando coletar e tratar seus dados pessoais com base em seu legítimo interesse ou, ainda, em legítimo interesse de terceiro, de acordo com a previsão legal. Oportuno destacar, a propósito e ainda que preliminarmente, que o "terceiro" a que se refere a lei não é um agente de tratamento (controlador ou operador), mas somente um ente participativo da relação envolvida pelo tratamento de determinado dado pessoal. Portanto, quem tem o dever de decidir sobre a possibilidade de enquadramento ou não do tratamento daquele dado pessoal amparado no legítimo interesse é o próprio controlador [4].

Ainda sob esse enfoque, destacamos as nuances do vínculo jurídico estabelecido entre o controlador e o titular dos dados pessoais, com especial atenção àquelas relações em que haja, ao menos em tese e presumidamente, disparidade ou hipossuficiência entre as partes. Destacam-se, nesse contexto, as relações consumeristas, onde geralmente o consumidor, pessoa física, desempenhará o papel do titular dos dados pessoais, e o fornecedor, pessoa física ou jurídica, atuará como controlador desses dados coletados e tratados. Outro exemplo é, também, a relação trabalhista constituída entre empregado e empregador, onde o empregado, titular de seus dados pessoais, os fornece para que o seu empregador, agindo como controlador, decida quais usos fará com as informações coletadas — por exemplo, quando há utilização de vigilância por sistema de vídeo em locais de trabalho independentemente do consentimento do empregado [5].

Ainda, algumas questões expressivas e práticas permeiam o estudo da aplicabilidade do legítimo interesse — do controlador ou de terceiro — para o tratamento dos dados pessoais. Por exemplo, a questão sensível do lucro como justificador do legítimo interesse: se a finalidade da atividade empresarial é obter lucros [6] com seus bens e serviços [7], seria o lucro, portanto, um interesse "legítimo" das empresas? Veja-se que a disciplina da proteção de dados pessoais tem como fundamentos, entre outros, o desenvolvimento econômico e tecnológico e a livre iniciativa e livre concorrência, demonstrando, portanto, a intenção do legislador em não só proteger os direitos de titular — pessoa física —, mas, também, a atividade empresarial.

Sobre essa temática, destacamos a Consulta Pública sobre o Anteprojeto de Lei de Proteção de Dados Pessoais, realizada pela Secretaria Nacional do Consumidor (Senacon) em conjunto com a Secretaria de Assuntos Legislativos (SAL) dentro do escopo do projeto "Pensando o Direito" do Ministério da Justiça, que recebeu contribuições de diversos entes dos setores público e privado, academia, cidadãos e organizações não-governamentais para consideração da elaboração do Anteprojeto de Lei de Proteção de Dados Pessoais apresentado em outubro de 2015. Nessa Consulta, diversas entidades — do setor privado e também acadêmicas — propuseram alterações na redação do anteprojeto visando incluir o tratamento do legítimo interesse do responsável como hipótese excepcional à adoção do consentimento [8], o que ajuda a demonstrar a altíssima relevância dessa discussão desde o momento de construção do texto legal.

Assim, fica visível que a aplicabilidade do legítimo interesse como base legal possui alta carga de subjetividade, apresentando, pois, dificuldade em estabelecer os limites para a sua aplicabilidade e as diversas particularidades práticas da sua utilização como base legal de tratamento de dados pessoais por controladores no contexto atual.

Referências bibliográficas:

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Ed. Forense, 2019.

COELHO, Fábio Ulhoa. Curso de Direito Comercial, volume 1: direito de empresa. 17ª edição. São Paulo: Saraiva, 2013.

CRUZ, Andresa, RIBEIRO Carlos Alberto, TEIXEIRA João Pedro Ferraz, BANOS José, MIRANDA Leandro Alvarenga, AZEVEDO Ricardo, COTS Márcio (Coord.), OLIVEIRA Ricardo de (coord.). O Legitimo Interesse e a LGPDP. São Paulo: Ed. RT, 2019.

INTERNETLAB, Associação Internetlab de Pesquisa em Direito e Tecnologia. O que está em jogo no debate sobre dados pessoais no Brasil: Relatório final sobre o debate público promovido pelo Ministério da Justiça sobre o Anteprojeto de Lei de Proteção de dados pessoais. São Paulo. 2016. Disponível em: https://www.internetlab.org.br/wp-content/uploads/2016/05/reporta_apl_dados_pessoais_final.pdf. Acesso em: 2 de maio de 2020.

MENDES, Laura Schertel; e DONEDA, Danilo. Comentário à Nova Lei de Proteção de Dados Pessoais (Lei 13.709/2018): o Novo Paradigma da Proteção de Dados no Brasil. Revista de Direito do Consumidor, vol. 120. 2018. P. 571

SANTOS, Isabela Maria Rosal. O legítimo interesse do controlador ou de terceiro no tratamento de dados pessoais. Trabalho de Conclusão de Curso (Bacharelado em Direito). Universidade de Brasília. Brasília, 2019.

VERÇOSA, Haroldo Malheiros Duclerc. Curso de Direito Comercial, volume 1. 2ª edição. São Paulo: Malheiros, 2008.