A utilização de cláusulas gerais em legislações permite que, a longo prazo, determinada norma possa resistir ao tempo, revitalizando-se conforme absorve as mudanças sociais. Porém, não indicar possíveis critérios interpretativos ou deixar a cargo das concepções subjetivas, pode levá-la a ser empregada de maneira arbitrária e não técnica.1
A LGPD, a fim de se mostrar mais principiológica e transversal a uma variedade de segmentos, adotou essa postura mais aberta. Isso repercutiu em uma das possibilidades de tratamento, qual seja, o legítimo interesse. Sua disposição engloba o art.7º, inciso IX e o art.10. Trata-se de uma base legal que ainda será palco de debates, justamente por sua definição propositalmente abrangente.1
Mas antes de analisar esse conjunto, é necessário observar o contexto europeu de onde nossa lei se inspirou. Inicialmente destaca-se a Diretiva 95/46 de 1996 da União Europeia, legislação a qual viria a ser substituída pelo Regulamento Geral de Proteção de Dados Europeu, atualmente em vigor. Em seu artigo 7º, alínea “f” dispõe que o responsável pelo tratamento poderá utilizar o legítimo interesse dele propriamente “ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do nº 1 do artigo 1º” Esse conceito foi mais tarde submetido ao Grupo de Trabalho do art.29, órgão consultivo independente, o qual apresentou suas recomendações sobre a interpretação desse artigo.
Vários pontos importantes foram elencados, dentre eles a intrínseca relação entre os interesses legítimos e o princípio da finalidade,3 presente na Diretiva,4 bem como possíveis parâmetros para que os responsáveis pelo tratamento pudessem filtrar seus interesses e sopesá-los com os dos titulares. É aqui apresentado o teste da ponderação,5 importante instrumento quando essa base for aplicada.
O responsável pelo tratamento deve primeiramente: analisar, dentre os interesses, quais deles são insignificantes, parcialmente importantes e aqueles preponderantes. O interesse escolhido deve ser qualificado como lícito, bem delineado e atual (não especulativo). Uma das recomendações do Grupo de Trabalho nesse ponto é também identificar se esse interesse visa garantir o exercício de um direito fundamental, ou atende à comunidade geral ou se há legislação não vinculante que favoreça esse tratamento.
O segundo passo requer a análise dos interesses “das pessoas em causa”, bem como possíveis impactos que o tratamento pode causar a elas. Assim serão elencados a natureza dos dados, a forma como serão tratados, as expectativas razoáveis das pessoas possuem e sua assimetria perante o responsável.
O terceiro passo será então balancear os resultados obtidos e verificar se o tratamento pode ser realizado, chegando ao que o Grupo de Trabalho chama de “equilíbrio provisório”. Mas, caso reste ainda dúvidas sobre a proteção desses dados e possíveis riscos, deve ser adicionada mais uma etapa, a fim de implementar garantias complementares que busquem reestabelecer esse equilíbrio a um patamar satisfatório de segurança, como fazer uso de encriptação, anonimização de dados e atribuição de funções específicas a determinados funcionários.
Esse teste foi importante para o Regulamento europeu, o qual em seu Considerando 47 destaca as expectativas razoáveis do titular como um parâmetro para o legítimo interesse.6 Hoje essa avaliação já é internalizada por algumas autoridades de proteção de dados na União Europeia, dentre elas a ICO, autoridade britânica, a qual adaptou o teste da ponderação, denominando-o legitimate interest assessment (LIA),7 que também pode ser interessante aos agentes de tratamento no Brasil, ajudando-os na interpretação dessa base legal. Na doutrina brasileira há recomendação de, quando se busca o legítimo interesse, identificar se está diante de uma situação de viés eminentemente econômico, pendendo em favor do agente, ou de um interesse existencial, ligado aos direitos de personalidade, fazendo prevalecer a vontade do titular.8
A LGPD apresenta não só a base legal, art.7º, IX, mas também destaca, no art.10, que o tratamento deve ser para finalidades legítimas em situações concretas, as quais levem em conta “apoio e promoção das atividades do controlador” e “proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”.9 Um ponto também a ser destacado é a disposição do art.37 em obrigar os agentes de tratamento a “manter registro das operações de tratamento de dados pessoais que realizarem, especialmente, quando baseado no legítimo interesse”.
Assim como a legislação europeia, a LGPD não autoriza que os dados pessoais sensíveis venham a ser utilizados para essa base legal, valendo-se apenas daqueles não considerados nessa categoria.
A ANPD, autoridade brasileira de proteção de dados, já possui alguma recomendação, mas apenas quanto a sua aplicação pelo poder público. No guia orientativo,10 ela explana que a ponderação entre interesses por vezes já se encontra em lei com as atribuições estatais, assim essa base legal nem sempre seria a melhor saída para o tratamento de dados pelo poder público, pois já possuiria outras justificativas para a coleta de dados.
Apesar de ser uma base legal ainda muito genérica, é necessário apresentar meios de concretizá-la e torná-la menos abstrata. Ao mesmo tempo é importante apontar que seu caráter deve ser casuístico,11 pois, ao banalizá-la, corremos riscos de ir contra a própria lei.
____________________
Referências
________________________________________
1. A cláusula geral de responsabilidade objetiva no Brasil (art.927, p.único do CC/2002), a título de exemplo, vem sendo utilizada ora de maneira acertada, ora de maneira desarrazoada e pouco criteriosa em casos que demandam outros regimes de responsabilidade civil. Para tanto confira-se: SALLES, Raquel Bellini, O aspecto multifacetário da responsabilidade objetiva e as oscilações jurisprudenciais na aplicação do parágrafo único do artigo 927 do Código Civil, in ROSENVALD, Nelson et al., Responsabilidade civil – Novas tendências, Foco, 2018.
2. Sobre o entendimento do legítimo interesse como cláusula aberta: MAIA, Roberta Mauro Medina. O legítimo interesse do controlador e o término do tratamento de dados pessoais. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020. p. 100-101.
3. Grupo de Trabalho do Artigo 29. Parecer 06/2014 sobre o conceito de interesse legítimos do responsável pelo tratamento de dados na acepção do art.7º da Diretiva 95/46/CE. Adotado em 9 de abril de 2014. Disponível em: https://bit.ly/3EN583D. p.37-38. Acesso em: 20 abril 2022.
4. “1. Os Estados-membros devem estabelecer que os dados pessoais serão: a) Recolhidos para finalidades determinadas, explícitas e legitimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas”
5. Grupo de Trabalho do Artigo 29. Parecer 06/2014 sobre o conceito de interesse legítimos do responsável pelo tratamento de dados na acepção do art.7º da Diretiva 95/46/CE. Adotado em 9 de abril de 2014. Disponível em: https://bit.ly/3rTaMvN. p.37-75. Acesso em: 20 abril 2022
6. Em determinado trecho do Considerando 47 lê-se: “Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável.”
7. GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3DI2j1A. Acesso em: 20 abril 2022.
8. Tratamento de dados pessoais por “legítimo interesse do controlador”: primeiras questões e apontamentos. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019, p.476-481
9. “Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”
10. Guia Orientativo Tratamento de Dados pelo Poder Público. Autoridade Nacional de Proteção de Dados, Brasília. Janeiro 2022. p. 8-9. Disponível em: https://bit.ly/3vk9dJB. Acesso em: 24 abril 2022.
11. KRETZAMNN, Renata Pozzi. O legítimo interesse no tratamento de dados pessoais do consumidor. Consultor Jurídico. 6 out. 2021. Disponível em: https://bit.ly/3OExlhG. Acesso em: 24 abril 2022.
