Martha Leal*
A Lei 13.709/2018 que trata da proteção de dados pessoais, em seu artigo 7, dispõe de dez bases legais que autorizam um tratamento de dados pessoais, devendo estar a mesma estritamente vinculada à finalidade do tratamento a ser realizado.
Na prática, significa dizer que um controlador não poderá processar nenhum tipo de tratamento de dado pessoal como coleta, transmissão, arquivamento, eliminação e avaliação, entre outros, sem que haja a correspondente hipótese legal que o justifique, não sendo raro a opção pela desistência ou interrupção de um processamento quando é constatada a inexistência de base legal.
A importância da correta atribuição da base jurídica ao tratamento é uma das obrigações de grande importância nas organizações e a não conformidade com esta provisão tem potencial de originar as multas mais elevadas, de acordo com o Regulamento Geral de Proteção de Dados – RGPD, por ofensa ao artigo 6.
Entretanto, não raramente, nos encontramos diante de dúvidas quanto a escolha da melhor base legal relacionada ao caso em concreto.
E sendo a Lei Geral de Proteção de Dados uma lei contextual, essa definição só será segura se compreendermos como se dá o tratamento, quais atores envolvidos e qual o objetivo principal do tratamento.
Legítimo interesse do controlador
O legítimo interesse do controlador ou de terceiros está elencado como uma das dez bases legais, no art. 7, IX, podendo ser utilizada quando representar um legítimo interesse e desde que este interesse não viole os direitos e liberdades fundamentais do titular.
Haja vista a subjetividade da expressão “interesses legítimos”, é compreensível que exista desconfiança com relação a sua utilização.
Entretanto, o legítimo interesse deve ser visto como uma alternativa de uso de dados de forma responsável e com o potencial de impulsionar com privacidade o desenvolvimento econômico e a inovação, fundamentos assegurados na lei, em seu artigo 2, V.
Pois, em muitas situações a base legal do legítimo interesse no tratamento de dados pessoais apresenta-se como a base mais apropriada, apesar de ser evitada por insegurança no seu uso.
Alguns entendimentos equivocados de que outras bases legais poderiam prover mais segurança, a exemplo do consentimento e execução de contrato não se justificam a depender da atividade e finalidade do tratamento e desde que observados os requisitos legais impostos pela Lei Geral de Proteção de Dados.
O legítimo interesse apresenta maior flexibilidade e dinamicidade e, exatamente por isso, requer um exercício constante de balanceamento entre os interesses legítimos do controlador e de terceiros e as liberdades individuais do titular.
E, nesta esteira, a eleição da base legal do legítimo interesse é precedida de uma análise de riscos, devendo essa análise ser documentada, consoante exige o art. 10, parágrafo 2 e 3 da LGPD. A Autoridade de Proteção de Dados – ANPD – poderá solicitar ao controlador o relatório de impacto à proteção de dados baseado nesta hipótese legal.
Legítimo interesse e aplicação a terceiros
É importante observar que os interesses legítimos não são aplicáveis somente ao controlador, podendo também ser aplicados à figura do terceiro, autorizando que o controlador, atendidas às exigências legais, possa realizar um tratamento de dados que não seja no seu próprio interesse.
A figura do terceiro poderá a depender do caso concreto ser interpretada em amplo aspecto, podendo ser representada por um setor, uma comunidade ou a sociedade, a exemplo da utilização da referida base legal para o combate à fraude. Eis que ao mesmo tempo que é interesse do controlador evitar a fraude também é interesse do sistema bancário e financeiro que a fraude seja coibida.
Hipótese legal do legítimo interesse
O Considerando 47 do Regulamento Geral de Proteção de Dados – GDPR fornece algumas dicas sobre os tipos de casos em que as organizações podem lançar mão da hipótese legal do legítimo interesse, incluindo a prevenção à fraude e marketing.
Porém, tendo em vista o dinamismo dos negócios e respeitados os direitos e garantias individuais dos titulares, é necessário que seja conferido maior flexibilidade à base legal do legítimo interesse devendo ser encorajada o seu uso com responsabilidade, transparência e especial atenção a minimização do uso dos dados, de forma que não represente ônus excessivo às organizações e sobretudo não impeçam a inovação e o desenvolvimento econômico digital.
Convém ressaltar que inobstante a proteção de dados ter sido alçada ao rol de direitos fundamentais do art. 5, VXXII da Constituição Federal, através da Emenda Constitucional no. 115 em nada enfraquece a utilização da base legal do legítimo interesse.
Apenas a título de analogia com o contexto da União Europeia que conta com uma estrutura jurídica que compreende a existência de uma legislação nacional onde cada um dos países membros possuem as suas constituições, havendo uma legislação comunitária do Direito Europeu e que naturalmente se sobrepõe sobre os demais direitos nacionais. Relevante observar que essa hierarquia convive harmonicamente com o direito fundamental à proteção de dados pessoais.
Proteção de dados como direito fundamental
A Carta de Direitos Fundamentais, que entrou em vigor em 2009, com o Tratado de Lisboa, alçou o direito a proteção de dados à condição de direito fundamental, coexistindo em perfeita sintonia com o Regulamento Geral de Proteção de Dados e que vem a ser um instrumento de materialização da garantia do direito à proteção de dados.
Portanto, raciocínio idêntico deve ser aplicado à convivência da base legal do legítimo interesse após a promulgação da Emenda Constitucional 115 por inexistência de qualquer confronto na aplicação do legítimo interesse com os direitos dos titulares.
Aliás, em nenhum momento, o legítimo interesse deve ser interpretado como uma permissão para o controlador tratar dados sem a integral observância da norma legal.
Equivocada é a narrativa de que o legítimo interesse está associado a ilicitude, pois compete a empresa, na qualidade de controlador, a definição do seu próprio legítimo interesse e pressupõe aspectos de necessidade e consideração da vontade dos titulares, bem como a avaliação das três etapas de necessidade, finalidade e direitos dos titulares.
Portanto, inconteste que a base legal em questão exige uma série de cuidados e medidas especiais por parte do agente de tratamento.
Princípio da “accountability”
Buscando subsídios no Grupo de estudos do Artigo 29 (DATA PROTECTION WORKING PARTY – DPWP, 2017), entidade criada com o objetivo de unificar a interpretação em torno das normas europeias de proteção de dados pessoais, o legítimo interesse encontra-se alicerçado no princípio da “accountability”.
E transpondo novamente ao nosso cenário nacional imperiosa a conclusão de que o legítimo interesse para sua licitude exige a aplicação dos princípios da transparência, responsabilização e prestação de contas, previstos no art. 6, incisos VI e X da LGPD.
Leia outro artigo da autora: O desafio no uso da biometria frente à LGPD
Martha Leal: Advogada especialista em proteção de dados. Pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul. Mestranda em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlántico e pela Universidad UNINI México. Pós-graduanda em Direito Digital pela Universidade de Brasília -IDP. Data Protection Officer ECPB pela Maastricht University. Certificada como Data Protection Officer pela EXIN. Certificada como Data Protection Officer pela Fundação Getúlio Vargas do Rio de Janeiro- FGV. Fellow pelo Instituto Nacional de Proteção de Dados – INPD.
