Série LGPD em movimento: Legítimo interesse
No quarto Webinar da série ‘’LGPD em movimento: temas chave de implementação’’, realizado no dia 29 de janeiro como parte do 2º Summit Data Privacy Brasil, a Associação Data Privacy […]
No quarto Webinar da série ‘’LGPD em movimento: temas chave de implementação’’, realizado no dia 29 de janeiro como parte do 2º Summit Data Privacy Brasil, a Associação Data Privacy Brasil de Pesquisa promoveu um debate sobre a base legal do legítimo interesse. Na esteira de discussões anteriores sobre as hipóteses autorizativas do tratamento de dados pessoais, como execução de contrato e consentimento, Paula Pedigoni (Universidade de São Paulo), Mario Viola (Centre for Media Pluralism and Media Freedom do Instituto Universitário Europeu), Giovanna Carloni (Centre for Information Policy Leadership) e Mariana Rielli (Associação Data Privacy Brasil de Pesquisa) foram recebidas por Bruno Bioni e trocaram perspectivas sobre algum dos pontos mais sensíveis desse tema tão complexo.
Na mesma ocasião, a Associação lançou o policy paper ‘’O Legítimo Interesse na LGPD: quadro geral e exemplos de aplicação’’, documento que reúne achados, recomendações normativas e casos concretos que buscam elucidar e propor interpretações para os aspectos da base legal do legítimo interesse que têm gerado maiores dúvidas e discussões.
Questões introdutórias: a história do legítimo interesse, hierarquia entre bases legais e accountability
Não há hierarquia entre as bases legais elencadas no art. 7º da LGPD, e a escolha por uma determinada hipótese para lastrear o tratamento de dados pessoais depende, exclusivamente, das circunstâncias concretas e da sua finalidade. No mesmo sentido, para Paula Pedigoni, doutoranda na Universidade de São Paulo e Mário Viola, pesquisador afiliado ao Centre for Media Pluralism and Media Freedom do Instituto Universitário Europeu, não há que se falar em uma base legal mais ou menos intrusiva, a priori, mas apenas em bases legais mais ou menos adequadas a uma determinada situação concreta de tratamento de dados.
Esse entendimento, hoje consolidado, é produto de um longo processo de construção jurídica e integração do legítimo interesse à normativa brasileira. Mariana Rielli, coordenadora de projetos da Associação Data Privacy Brasil de pesquisa, compartilhou com os colegas e o público um pouco dessa história, ao descrever como a hipótese do legítimo interesse apenas foi incluída nos textos que deram origem à LGPD em 2015, depois de pelo menos 5 anos de discussão. Antes disso, as propostas que tramitavam, tanto no Congresso, quanto no âmbito do Ministério da Justiça, não previam o legítimo interesse e tinham o consentimento como base legal ‘’principal’’. Foi na 2º Consulta Pública do Anteprojeto de Lei de Proteção de Dados, a partir da contribuições de distintos setores, que se discutiu com mais profundidade tanto a inclusão dessa nova base legal (com parâmetros específicos para a sua aplicação) quanto a equalização de todas as hipóteses autorizativas, sem a prevalência de nenhuma sobre as outras.
Ainda como tópico introdutório à discussão, Giovanna Carloni, do Centre for Information Policy Leadership, abordou a relação da base legal do legítimo interesse com os princípios da lei e, especificamente, com o princípio da responsabilização e prestação de contas, ou accountability, também presente no Regulamento Europeu: a advogada afirmou que embora o legítimo interesse seja uma base flexível – ou seja, uma hipótese não atrelada a uma finalidade específica e que serve a um grande número de tratamentos em diferentes setores – isso não significa que ela seja uma ‘’carta em branco’’. Isso por alguns motivos: em primeiro lugar, a própria lei estabelece uma série de parâmetros de aplicação do legítimo interesse, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular. Em segundo, se é verdade que cabe ao próprio controlador decidir pelo emprego dessa hipótese, também é verdade que ela carrega deveres específicos, como o dever de transparência ‘’qualificada’’. Nesse sentido, Giovanna afirmou que o legítimo interesse pode ser, inclusive, mais protetivo do que outras bases legais.
Decifrando o legítimo interesse: alcance, pressupostos de aplicação e obrigações
As condições descritas no art. 10 aplicam-se apenas ao controlador ou também a terceiros?
Um ponto considerado ‘’em aberto’’ sobre a base legal do legítimo interesse é se o art. 10 da lei, que descreve os seus pressupostos de aplicação, aplica-se à figura do terceiro ou apenas ao controlador, uma vez que o art. 7º menciona explicitamente o legítimo interesse de terceiro, mas o art. 10 não. Erro legislativo ou não, trata-se de um assunto que merece atenção, pois, a depender da interpretação adotada, pode-se chegar a um regime assimétrico para os diferentes atores que fazem uso dessa base legal nas suas operações de tratamento de dados pessoais.
O pesquisador Mário Viola, ao tratar do assunto, afirmou interpretar que o comando do art. 10 dirige-se apenas ao controlador propositalmente porque, ainda que uma situação concreta possibilite a aplicação da base legal para um terceiro, ainda caberá ao controlador avaliar se esse interesse se sustenta frente aos parâmetros estabelecidos pela lei, bem como fornecer acesso aos dados, no caso em que estiverem sob seu domínio. Rielli, complementando a discussão sobre o tema, defendeu que, independente de quem venha a realizar a análise sobre o cabimento da base legal, a melhor interpretação do art. 10, em conjunto com o art. 7º, é que, no caso de ser um terceiro o detentor do interesse analisado, também se apliquem as condições do dispositivo, sob pena de se criar uma assimetria que não encontra justificativa finalística ou sistemática na lei.
O famoso ‘’teste do legítimo interesse’’ está na própria lei? Como operacionalizá-lo?
Partindo para o próprio conteúdo do art. 10, a doutoranda em direito Paula Pedigoni afirmou, assertivamente, que ‘’o art. 10 coloca uma série de elementos que devem ser, necessariamente, considerados para a decisão sobre a utilização do legítimo interesse’’ e que ‘’o teste do legítimo interesse deve ser um referencial metodológico para a aplicação desses elementos, é como se fosse uma organização para quem quer fazer isso na prática’’. Com base em um artigo escrito com Marcela Mattiuzzo, ela sugere o recurso ao teste de proporcionalidade, da tradição constitucional, como uma das formas de operacionalizar essa avaliação. Alguns motivos para esse ‘’empréstimo’’ seriam a familiaridade dos Tribunais com o teste e a possibilidade de se ponderar direitos fundamentais. A proposta difere sutilmente do teste organizado por Bioni e descrito no policy paper da Associação, bem como de versões sugeridas por autoridades europeias, como o ICO ou o antigo Working Party 29: ele propõe uma etapa de avaliação da legitimidade do interesse, seguida de uma análise de adequação e uma avaliação da necessidade e, por fim, um balanceamento dos interesses do controlador ou terceiros com a legítima expectativa e os direitos e liberdades do titular. A última etapa, nesse caso, absorveria a análise sobre as salvaguardas do tratamento.
Para Giovanna Carloni, existem modelos já consolidados, como o do ICO, mas não há uma ‘’receita’’ pronta de teste de legítimo interesse para todos os casos, o que importa é que os elementos do art. 10 sejam contemplados na análise prévia à adoção da base legal. Assim, cada empresa ou órgão público deverá realizar essa avaliação seguindo uma metodologia que se adeque às suas capacidades, recursos e às particularidades do negócio ou atividade e do próprio tratamento de dados pessoais almejado. Algumas possibilidades citadas pela advogada são o emprego de perguntas e respostas ou de sistemas automatizados.
A legítima expectativa do titular é parte estruturante da análise de cabimento do legítimo interesse e deve ser considerada em todos os casos?
Viola, ao tratar da legítima expectativa do titular de dados pessoais, recorreu a uma diferenciação entre tratamentos que integram uma relação de consumo, em que a consideração da expectativa do titular deve ser reforçada, e outros tipos de tratamentos (por exemplo, em situações humanitárias ou de inovação por meio da inteligência artificial), em que pode não ser possível, ou mesmo desejável, dimensionar a legítima expectativa, pela própria natureza de um tratamento em que a relação com o titular seja mais abstrata.
Carloni complementou essa abordagem ao afirmar que, principalmente no segundo caso, é importante lembrar do aspecto da análise de risco que permeia toda aplicação do legítimo interesse: deve-se considerar, sempre, os riscos que um tratamento de dados pessoais pode implicar para um indivíduo ou para a sociedade e diante deles, avaliar quais medidas podem ser tomadas para mitigar esses riscos (ex: anonimização, transparência e opt-out, este último mencionado por Viola). Ainda que não haja uma obrigação legal específica, é comum que empresas empreguem essas salvaguardas como uma medida de accountability.
Para Rielli, ainda que, de fato, a relação consumerista seja mais próxima e direta, o que permite uma mensuração mais concreta de legítimas expectativas, esse elemento não deve ser desconsiderado em nenhuma análise de aplicação do legítimo interesse. O que pode ocorrer, na prática, é que o somatório de fatores levados em conta nessa avaliação resulte em uma certa flexibilização da expectativa do titular em favor do interesse em jogo (como a inovação ou a ação humanitária), desde que, evidentemente, não haja prejuízo desproporcional aos direitos e liberdades do indivíduo afetado. Nesse sentido, a pesquisadora ressaltou a necessidade de interpretar os dois incisos do art. 10 da LGPD como, justamente, os dois lados dessa balança.
O teste do legítimo interesse deve ser documentado?
A análise dos elementos do art. 10, que embasa uma decisão sobre o cabimento do legítimo interesse no caso concreto, é obrigatória, embora a sua forma possa variar, conforme concordaram os participantes do debate. Mas, uma dúvida recorrente é se essa análise, ou esse teste, deve ser documentada, e como. Para Paula, a documentação é ‘’altamente recomendada’’, especialmente em razão do art. 37 da lei. Ela ressalta que embora a documentação exigida neste dispositivo seja primordialmente descritiva e a documentação do teste do legítimo interesse envolva um importante aspecto valorativo, analítico, ela seria uma das diferentes formas de cumprir com a exigência do artigo, além de uma boa prática. Quanto ao relatório de impacto à proteção de dados, a pesquisadora opinou que sua realização não é obrigatória, e que isso é coerente com a própria natureza do relatório, deflagrado por situações que envolvam riscos mais elevados aos direitos e titulares de dados pessoais e que ‘’não devem ser banalizadas’’.
Giovanna Carloni apontou a importância de, mais do que necessariamente documentar o teste em alguns casos, estar pronto para justificar, diante de uma eventual requisição de autoridade, o processo de análise que culminou na decisão de aplicar o legítimo interesse. Em casos ‘’mais complexos’’, afirmou que é recomendável que o teste seja documentado e, ainda, em casos que envolvam riscos (ou potenciais riscos) maiores, é recomendável a realização de um relatório de impacto. Alertou, por outro lado, para a necessidade de cautela com uma possível ‘’burocratização excessiva’’ que poderia, inclusive, gerar efeitos contrários aos desejados, como foco excessivo na demonstração formal de conformidade em detrimento de aspectos que exigem, de fato, maior atenção no manuseio da base legal.
O Webinar pode ser conferido na íntegra no link.
Por Bruno Bioni e Mariana Rielli