Decifrando a base legal da execução de contrato

Publicado em novembro 18, 2020

Dando continuidade à tarefa de endereçar temas sensíveis, ou mesmo polêmicos, da Lei Geral de Proteção de Dados, a Associação Data Privacy Brasil de Pesquisa organizou, no dia 12 de […]

Dando continuidade à tarefa de endereçar temas sensíveis, ou mesmo polêmicos, da Lei Geral de Proteção de Dados, a Associação Data Privacy Brasil de Pesquisa organizou, no dia 12 de novembro, o terceiro Webinar da série ‘’LGPD em movimento: temas chave de implementação’’, que abordou a base legal da execução do contrato.  

As bases legais para o tratamento de dados pessoais despertam questionamentos que vão além da escolha da hipótese mais adequada em um caso concreto. No segundo Webinar da série, por exemplo, o tema foi a proteção de dados de crianças e adolescentes, e boa parte da discussão concentrou-se nas diferentes possibilidades de interpretação da lei quanto às bases legais aplicáveis para o tratamento de dados de menores.   

Diante da multiplicidade de pontos em aberto sobre uma base legal específica, a de execução do contrato (art. 7º, V), Camila Nagano (Ifood), Luciana Xavier (UFPR), Marcel Leonardi (Leonardi Advogados) e Renato Santa Rita (PROTESTE Brasil) juntaram-se à equipe da Associação para um debate multissetorial, que buscou avançar o entendimento sobre uma questão que, embora muito relevante, é pouco discutida na área.  

A base legal da execução do contrato vale para todos os contratos?

No caso da base legal do execução do contrato, as ponderações iniciam-se pela própria redação ambígua do art. 7º, segundo a qual o tratamento de dados pessoais poderá ser realizado ‘’quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados’’. 

Resultado de um provável descuido na técnica legislativa, o dispositivo abre espaço para duas interpretações: a primeira, alinhada com o Regulamento Geral de Proteção de Dados europeu e com o entendimento firmado pelo European Data Protection Board (EDPB), de que o titular dos dados pessoais tratados com base nessa hipótese deve sempre ser parte na relação jurídica, seja contratual ou pré-contratual. Uma segunda opção, entretanto, é que essa exigência de vinculação valeria apenas para os ‘’procedimentos preliminares relacionados a contrato do qual seja parte o titular’’. Segundo tal entendimento, a base legal em questão poderia ser mobilizada para o tratamento de dados necessários à execução de qualquer contrato, independente de o titular ser parte nele ou não. Tal dúvida é acentuada pelo escolha palavra ‘’ou’’, partícula que denota uma alternativa. 

Para Marcel Leonardi, sócio do Leonardi Advogados, a segunda via interpretativa é a mais condizente com a realidade das empresas e dos negócios no país, sendo a terceirização um bom exemplo de situação que poderia se beneficiar dessa base legal sem a necessidade de o agente de tratamento e o titular serem ambos partes do contrato. Nesse caso, um tomador de serviço poderia tratar, amparado nessa base legal, os dados pessoais de empregados terceirizados, com os quais ele não guarda relação direta, já que o contrato se dá com a intermediação da prestadora. 

No entanto, o advogado observou que não é essa a abordagem que vem sendo adotada pelas grandes empresas, que preferem uma posição mais conservadora, seguindo o entendimento europeu. Camila Nagano, DPO do Ifood, concorda com tal enfoque cauteloso, privilegiando a aplicação de outras bases legais nos casos de dados de terceiros que não são parte do contrato. 

O que significa ser necessário para a execução de um contrato? 

Ainda sobre os requisitos decorrentes da própria redação do art. 7º, V, parte da discussão do Webinar voltou-se para a exigência do caráter ‘’necessário’’ para a execução de um contrato. O primeiro ponto levantado, por Renato Santa Rita, DPO da Proteste Brasil, foi a relação entre o dispositivo e os princípios da LGPD, como finalidade e a própria necessidade, além da boa-fé. O foco, segundo ele, deve estar no titular e na expectativa razoável que ele tem sobre um determinado tratamento dos seus dados ser necessário, ou não. Quanto às empresas, Marcel Leonardi aponta que o requisito ‘’necessário’’ deve se conectar à realidade dos fatos, e não necessariamente à letra do contrato, uma vez que pode haver distorções ou mesmo a inclusão de tratamentos de dados que sejam interessantes, úteis e proveitosos a um modelo de negócio, mas não necessários para a entrega do produto ou serviço em questão. 

Onde, entretanto, traçar a linha do que pode ser considerado, de fato, uma necessidade contratual? Uma primeira pista levantada por Leonardi é o princípio da finalidade (art. 6º, I), que fala em propósitos ‘’legítimos, específicos, explícitos e informados ao titular’’, mas não menciona uma necessidade estrita. Outra seria o art. 10, §1º, que, ao contrário, afirma que quando a base legal for o legítimo interesse, somente os dados estritamente necessários poderão ser tratados. Tal qualificadora não foi imposta à necessidade da execução do contrato, o que poderia sinalizar para uma interpretação mais flexível dessa exigência. 

Em resposta, Camila Nagano fez referência a um teste prático, do dia-a-dia, utilizado para averiguar a necessidade de um determinado tratamento: ele inclui as perguntas ‘’para quê’’ (finalidade), ‘’por quê’’ (necessidade) e ‘’como’’ (segurança). Ao se referir ao teste da necessidade, a advogada sublinhou se tratar de uma ‘’necessidade real’’, e não de um tratamento que seja meramente conveniente para o negócio. 

A prof. Luciana Xavier, da Universidade Federal do Paraná, trouxe duas abordagens sobre esse ponto: uma acadêmica, que considera ‘’necessário’’ sinônimo de ‘’indispensável’’, ‘’imprescindível’’, ‘’vital’’ e outra mais prática, que parte da existência de ‘’nuances’’ para questionar uma interpretação excessivamente restritiva do dispositivo, ao mesmo tempo em que reconhece que necessário não pode ser sinônimo de ‘’útil’’. O cerne da fala, entretanto, foi a dificuldade imposta pela própria lei para o desenho dessa linha e a sugestão da professora, a exemplo do que fora mencionado pelo representante da Proteste, foi o recurso à boa-fé como ‘’fiel da balança’’. A esse respeito, é importante observar que, em termos topográficos e de técnica legislativa, boa-fé é o ‘’princípios dos princípios’’, em razão de estar no caput do artigo 6º da LGPD.

Execução do contrato e consentimento: qual a diferença?

Partindo para outras questões interpretativas bastante complexas, os participantes do Webinar discutiram as diferenças primordiais entre a base legal de execução do contrato e a base legal do consentimento. Possíveis confusões entre as duas hipóteses autorizativas decorrem do fato de que a assinatura (ou um aceite não-verbal) de um contrato que envolva algum tratamento de dados pessoais pode ser lida como a oferta de consentimento por parte do titular. Nesse sentido, nas palavras de Marcel Leonardi, haveria uma confusão entre a ‘’manifestação de vontade de adesão a um contrato e o fundamento jurídico que autoriza o tratamento de dados derivado deste contrato’’. 

A respeito da diferença entre as bases legais, todos os painelistas concordaram que, a partir da celebração de um contrato, o tratamento dos dados pessoais nele envolvidos pode ter como hipótese autorizativa qualquer uma das listadas na LGPD, inclusive a execução do contrato, quando cabível, ou o consentimento, desde que respeitadas as suas qualificadoras. Trata-se, portanto, de momentos diferentes, com consequências jurídicas distintas. Camila, do Ifood, lembrou, inclusive, que, em negócios digitais, as empresas devem seguir os requisitos do Marco Civil da Internet/MCI, que exige o consentimento destacado das demais cláusulas contratuais. A esse respeito, inclusive, é importante lembrar que o MCI utilizar ‘‘expresso’’ como parte da ampla adjetivação empregada ao consentimento. 

Base legal de execução do contrato no contexto de coleta de dados para publicidade direcionada: pode?

Uma das questões mais relevantes sobre a base legal de execução do contrato é sua aplicação no contexto da publicidade direcionada, especificamente por plataformas e redes sociais. O principal ponto que gera discussões, nesse caso, é o fato de que as plataformas não são remuneradas com o dinheiro dos usuários, mas sim com os seus dados pessoais, que são tratados para uma variedade de finalidades, inclusive para a criação de anúncios personalizados. 

Para Marcel Leonardi e Renato Santa Rita, uma vez considerado que a contraprestação ao serviço fornecido pela plataforma é a coleta e utilização dos dados pessoais do usuário, seria razoável o tratamento para finalidades diversas, desde que respeitados os princípios de proteção de dados, especialmente a transparência junto ao titular. 

Para além desse ponto inicial, o debate suscitado por tais modelos de negócio é o seguinte: o tratamento de dados para fins de publicidade direcionada pode ser considerado necessário à execução do contrato entre a plataforma e o usuário (titular) e, portanto, basear-se na hipótese autorizativa do art. 7º, V? Sobre isso, foram expostas visões antagônicas: de um lado, aquela defendida, por exemplo, pelo European Data Protection Board, de que o uso dos dados para a realização de anúncios personalizados não seria inerente ao contrato celebrado com o titular para a utilização do serviço, de forma que o recurso a outra base legal seria necessário nesse caso. De outro, a visão defendida pelas próprias empresas, de que esse é o núcleo que sustenta o seu modelo de negócio, sem o qual elas não poderiam funcionar. 

Extinção do contrato e ciclo de vida de dados: qual a relação?

Outra questão levantada e debatida no Webinar diz respeito ao fim do contrato, seja qual for o motivo ou modalidade. Sobre esse ponto, questionou-se se imediatamente a base legal da execução do contrato deixa de ser adequada e, em segundo lugar, se é possível ‘’trocar’’ de base legal para eventualmente se continuar o tratamento dos dados em questão. 

Nesse caso, Camila Nagano considerou que sim, tal ‘’troca’’ seria possível, desde que tomados os devidos cuidados (se a troca for para o legítimo interesse, por exemplo, seria necessária a documentação e realização de um LIA). Os outros painelistas, na sequência, elaboraram que, nesse caso, não necessariamente se trata de uma troca de base legal, mas sim de uma troca de finalidade, seguida da eleição de uma nova hipótese autorizativa para o tratamento de dados pessoais. 

Assim, findo o contrato, criaria-se uma nova atividade de tratamento, com uma nova finalidade específica, que pode ser, por exemplo, resguardar-se na eventualidade de ações judiciais futuras (no âmbito trabalhista e consumerista, por exemplo) – art. 7º, inciso VI – ou responder a uma obrigação legal ou regulatória (art. 7º, inciso I). 

A esse respeito, a experiência cotidiana dos painelistas foi útil para ilustrar, na prática, a operacionalização de um ciclo de vida de dados pessoais: Camila Nagano e Marcel Leonardi mencionaram não apenas a eliminação dos dados pessoais após o cumprimento da finalidade, mas, no caso de haver um novo tratamento, a segmentação de bases de dados para garantir a limitação do uso e a segurança de tais informações. 

Para além da LGPD 

Em diversos momentos do evento, os painelistas ressaltaram a importância de se aliar a interpretação dos dispositivos da LGPD ao ordenamento jurídico em que ela está inserida, que conta com leis setoriais sobre proteção de dados, além de normas como o Código Civil e o Código de Defesa do Consumidor, que regem as relações contratuais. 

Assim, diante de questionamentos sobre a possibilidade de existência de cláusulas contratuais que descrevam finalidades diversas, inicialmente Luciana Xavier levantou a possibilidade de se recorrer a dispositivos como o CDC para verificação de eventual abusividade no caso concreto. Camila Nagano, por outro lado, lembrou que, a depender da situação, é aceitável a inclusão de cláusulas com finalidade distinta daquela que é o objeto principal do contrato, e, nesses casos, a baliza deve ser o risco que tal tratamento imporá ao titular, o que também deve ser analisado casuisticamente. 

Por fim, Marcel Leonardi lembrou que, no caso de haver cláusulas abusivas ou ilegais em um contrato, ‘’não há base legal na LGPD que justifique’’. Por outro lado, em casos em que isso não ocorra, o advogado considera que tanto é possível como é extremamente comum que haja uma série de tratamentos e finalidades díspares no mesmo contrato, desde que cada uma conte com uma base legal justificada.

Em resumo, a LGPD apresenta um rol extremamente amplo de bases legais. Tão desafiador quanto entender em quais hipóteses a base legal de execução do contrato será aplicável, é compreender como combiná-la com outras ao longo de todo o ciclo de vida de um dado pessoal. 

O Webinar pode ser conferido na íntegra no link. 

Por Bruno Bioni & Mariana Rielli

Compartilhar:

Deixe um comentário

O seu endereço de e-mail não será publicado.