Martha Leal*
Um dos desafios no cenário prático da proteção de dados tem sido identificar os limites do uso lícito dos chamados dados públicos sob a ótica da Lei Geral de Proteção de Dados – LGPD.
De um lado, temos na economia um vultuoso número de negócios que dependem do uso de dados públicos e, de outro, o direito à proteção dos dados pessoais, já recepcionado, inclusive, pela Constituição Federal em seu Art. 5º, VXXII e devidamente regrado pela Lei 13.709 de 2018 (LGPD).
Para a devida contextualização do tema ora proposto, é importante, inicialmente, nos atermos ao disposto na norma legal acerca do tratamento de dados públicos.
Tipos de dados públicos e o que diz a legislação
A Lei, em seu Artigo 7º, ao dispor sobre as hipóteses que autorizam um tratamento de dados pessoais, refere-se em dois momentos sobre os dados de acesso público e os dados tornados públicos pelo próprio titular.
Dados de acesso público
Especificamente, em relação aos de acesso público, em seu parágrafo terceiro do Art. 7º, o legislador cuidou por estabelecer que a observância à finalidade, à boa fé e ao interesse público no uso destes dados são os elementos que sinalizam positiva ou negativamente à disponibilização das informações.
Dados tornados públicos
Já, em seu parágrafo quarto, refere-se que, tratando-se de dados tornados públicos pelo titular é dispensado o consentimento, sendo resguardados os seus direitos e os princípios previstos na norma legal.
No parágrafo sexto, é ressaltada a necessidade de os agentes de tratamento observarem as demais obrigações legais e especialmente os princípios gerais e os direitos dos titulares na eventual dispensa do consentimento, ou seja, quando versarem sobre processamento de dados tornados públicos pelo indivíduo.
O primeiro aspecto a ser destacado é a constatação de que se aplica integralmente a Lei Geral de Proteção de Dados aos dados públicos. Tanto é verdade que a única flexibilização trazida pela lei se relaciona à dispensa do consentimento como base legal justificadora, condicionando-se a licitude aos demais requisitos legais.
Por fim, o parágrafo sétimo do referido dispositivo legal é cristalino ao dispor que o tratamento posterior dos dados tornados públicos pelo titular e os de acesso público poderá ser realizado para novas finalidades desde que sejam observados os propósitos legítimos e específicos para o novo tratamento, os direitos do titular e fundamentos legais.
Tratamento de dados públicos: lícito ou ilícito?
Assim, para fins de diagnosticarmos se estamos diante de um tratamento lícito envolvendo dados públicos, há que analisar o contexto em que os dados foram originalmente disponibilizados, a finalidade e as expectativas do titular frente ao novo tratamento.
Olhando para o ambiente europeu, o Regulamento Geral de Proteção de Dados – RGPD, ao tratar dos princípios que conferem licitude a um tratamento, dispõe em seu parágrafo quarto a obrigatoriedade do responsável pela atividade que envolve os dados pessoais em verificar se a utilização para outros fins é compatível com o contexto em que eles foram inicialmente recolhidos.
Portanto, mais uma vez, estaremos vinculados à finalidade original da disponibilização à posterior, a qual se dará a reutilização.
Obviamente, a natureza dos dados pessoais, eventuais consequências do tratamento posterior e a existência ou não de salvaguardas adequadas devem ser valoradas pelo responsável pelo tratamento.
Exemplo do Background Check
A título ilustrativo podemos nos reportar ao Background Check, conhecido como uma forma de recolha de dados em rede aberta, ou seja, aqueles tornados públicos pelo próprio titular e que são utilizados nesta modalidade para fins de investigação e verificação de seus antecedentes.
As informações que decorrem deste processo, seja na esfera criminal, financeira e profissional, entre outras, são processadas para diferentes finalidades, tais como processo seletivo para contratação de funcionários, avaliação de parceiros comerciais e verificação e validação de documentação para coibir fraudes.
Olhando para a União Europeia, sobre a utilização de dados públicos, encontramos algumas orientações no Parecer 2-2017 adotado pelo Grupo de Trabalho de Proteção de Dados do art. 29º, o qual ressalta os limites na utilização dos dados públicos para determinadas atividades no âmbito laboral, devendo estar vinculado para fins de conformidade com a lei, à necessidade e ao interesse do empregador no recebimento das informações, bem como a expectativa do titular no tratamento dos seus dados.
Interesse do agente de tratamento e dever de compliance
O interesse do agente de tratamento, no caso ora ilustrado, pode ser variável a depender do contexto do caso concreto e o qual deve sempre ser cuidadosamente observado e sopesado.
Pois, convém lembrar que existem situações na atividade do background check que envolvem processamento de dados para investigações corporativas internas e para o cumprimento de obrigação legal ou regulatória do controlador em detectar e interromper condutas ilegais, como também um dever de compliance.
Considerando a notável influência do Regulamento Europeu sobre a Lei Geral de Proteção de Dados, é oportuno buscarmos subsídios no Considerando 47, o qual dispõe expressamente que o processamento de dados pessoais para fins de prevenção e controle de fraude constitui um interesse legítimo do responsável pelo seu tratamento, desde que sejam estes estritamente necessários.
Assim, não resta dúvida de que os dados publicizados pelo próprio titular e os de acesso público podem ser objetos de tratamento de forma lícita. Entretanto, a sua licitude será determinada de acordo com a observância dos princípios da necessidade, transparência, prevenção, segurança e a existência de uma finalidade legítima. O não atendimento dos requisitos legais tem potencial de violar os fundamentos do Art. 2º da norma legal, com especial ênfase ao respeito à privacidade, à dignidade e ao livre desenvolvimento da personalidade.
Referências
ARTICLE 29 DATA PROTECTION WORKING PARTY. In: European Parliament and of the Council, 07 jun. 2012. Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf. Acesso em: 22 out. 2022.
BRASIL. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 24 out. 2022.
LEAL, Martha; MADALENA, Juliano. Os desafios do background check frente à LGPD. Consultor Jurídico, 29 set. 2021. Disponível em: https://www.conjur.com.br/2021-set-29/opiniao-desafios-background-check-frente-lgpd. Acesso em: 20 out. 2022.
REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS – RGPD. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 20 out. 2022.
Leia outros artigos da autora:
O desafio no uso da biometria frente à LGPD
O valor do legítimo interesse como base legal
Martha Leal: Advogada especialista em proteção de dados. Pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul. Mestranda em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlântico e pela Universidad UNINI México. Pós-graduanda em Direito Digital pela Universidade de Brasília -IDP. Data Protection Officer ECPB pela Maastricht University. Certificada como Data Protection Officer pela EXIN. Certificada como Data Protection Officer pela Fundação Getúlio Vargas do Rio de Janeiro- FGV. Fellow pelo Instituto Nacional de Proteção de Dados – INPD.
