Legítimo interesse na LGPD
A privacidade e a proteção de dados pessoais têm ganhado cada vez mais tração no debate jurídico no Brasil, seja na arena do Judiciário (cita-se, por exemplo, o julgamento histórico […]
A privacidade e a proteção de dados pessoais têm ganhado cada vez mais tração no debate jurídico no Brasil, seja na arena do Judiciário (cita-se, por exemplo, o julgamento histórico do caso IBGE, em que se reconheceu a proteção de dados como direito fundamental autônomo), por meio da produção acadêmica, ou, ainda, como um produto da prática jurídica cotidiana de profissionais que buscam aplicar a Lei nº 13.709/18 (Lei Geral de Proteção de Dados) e construir interpretações em torno de pontos que a norma deixou em aberto ou cujo texto dá margem a diferentes leituras.
Seja por comando expresso da LGPD, ou por uma demanda geral de esclarecimentos para uma aplicação mais uniforme da lei, o órgão vocacionado a ‘’aparar as arestas’’ é a Autoridade Nacional de Proteção de Dados (ANPD), que publicou, em 28 de janeiro de 2021, sua agenda regulatória para os próximos dois anos, em que elenca os temas sobre os quais irá se debruçar no biênio, bem como os prazos para dar início ao processo de regulamentação, de acordo com níveis de prioridade. A lista inclui desde o estabelecimento de procedimentos para comunicação de incidentes de segurança até a criação de um guia de boas práticas sobre as hipóteses legais de tratamento de dados pessoais.
O último caso, objeto deste artigo, foi classificado na ‘’fase 3’’ da agenda regulatória (a menos prioritária), o que significa que sua elaboração poderá iniciar em até 2 anos. Até lá, é certo que outros atores, como o judiciário quando acionado, e o próprio mercado, se movimentarão cada vez mais para dirimir eventuais dúvidas que restam sobre a aplicação das bases legais da LGPD (art. 7º), assim como disputar teses jurídicas e é ainda mais provável que dentre as hipóteses autorizativas do tratamento de dados pessoais mais intensamente discutidas esteja a do legítimo interesse.
O legítimo interesse é novidade no ordenamento jurídico brasileiro: até o advento da Lei Geral de Proteção de Dados, as leis setoriais em vigor priorizavam o consentimento como base legal para o tratamento de dados pessoais em segmentos específicos (como a Internet, por meio da Lei nº 12.965/14 – Marco Civil da Internet).
Mesmo durante o processo que culminou na aprovação da nova lei, o legítimo interesse só despontou em 2015, após pelo menos 5 anos de debates de propostas provenientes tanto do Executivo quanto do Legislativo. Além de novo, também é uma base legal que pode abarcar uma amplitude maior de situações, sendo comum o entendimento de que é mais flexível do que as demais, como consentimento, cumprimento de obrigação legal ou regulatória ou execução de contrato.
Outro fator que abre mais espaço para discussões e disputas sobre o legítimo interesse é que, diferente das outras bases legais previstas na lei, o legislador optou por dedicar a ele um artigo específico (art. 10), que dita alguns parâmetros para a sua aplicação. Um pouco do racional por trás dessa decisão pode ser observado no projeto Memória da LGPD, do Observatório da Privacidade e Proteção de Dados, que conta a história da formação da lei e seus dispositivos.
Tal aprofundamento na concepção do legítimo interesse pode ser explicada, justamente, como uma estratégia para evitar que a relativa flexibilidade da base legal se traduza em um ‘’cheque em branco’’ na sua operacionalização prática. Ao mesmo tempo, ela também dá ensejo a questionamentos e interpretações diversas acerca dos referidos parâmetros.
Diante desse quadro, e no espírito de fortalecer o diálogo multissetorial que caracterizou a própria criação da LGPD, a Associação Data Privacy Brasil de Pesquisa produziu um policy paper sobre a base legal do legítimo interesse, na teoria e na prática, com o objetivo de contribuir com o debate permanente que se instalou na comunidade jurídica acerca de diferentes aspectos da LGPD.
O documento trata do histórico dessa hipótese autorizativa e também aborda as questões em aberto consideradas mais relevantes, como legítimo interesse de terceiro, a legítima expectativa do titular de dados, o direito de oposição em face dessa base legal, etc. O lançamento do paper foi acompanhado de um debate em que Paula Pedigoni (Universidade de São Paulo), Mario Viola (Centre for Media Pluralism and Media Freedom do Instituto Universitário Europeu), Giovanna Carloni (Centre for Information Policy Leadership) e Mariana Rielli (Associação Data Privacy Brasil de Pesquisa), mediados por Bruno Bioni, trocaram perspectivas sobre algum dos pontos mais sensíveis desse tema tão complexo.
Questões introdutórias: a história do legítimo interesse
Não há hierarquia entre as bases legais elencadas no art. 7º da LGPD, e a escolha por uma determinada hipótese para lastrear o tratamento de dados pessoais depende, exclusivamente, das circunstâncias concretas e da sua finalidade. No mesmo sentido, para Paula Pedigoni, doutoranda na Universidade de São Paulo e Mário Viola, pesquisador afiliado ao Centre for Media Pluralism and Media Freedom do Instituto Universitário Europeu, não há que se falar em uma base legal mais ou menos intrusiva, a priori, mas apenas em bases legais mais ou menos adequadas a uma determinada situação concreta de tratamento de dados.
Esse entendimento, hoje consolidado, é produto de um longo processo de construção jurídica e integração do legítimo interesse à normativa brasileira. Mariana Rielli, coordenadora de projetos da Associação Data Privacy Brasil de pesquisa, compartilhou com os colegas e o público um pouco dessa história, ao descrever como a hipótese do legítimo interesse apenas foi incluída nos textos que deram origem à LGPD em 2015, depois de pelo menos 5 anos de discussão. Antes disso, as propostas que tramitavam, tanto no Congresso, quanto no âmbito do Ministério da Justiça, não previam o legítimo interesse e tinham o consentimento como base legal ‘’principal’’.
Foi na 2º Consulta Pública do Anteprojeto de Lei de Proteção de Dados, a partir da contribuições de distintos setores, que se discutiu com mais profundidade tanto a inclusão dessa nova base legal (com parâmetros específicos para a sua aplicação) quanto a equalização de todas as hipóteses autorizativas, sem a prevalência de nenhuma sobre as outras.
Ainda como tópico introdutório à discussão, Giovanna Carloni, do Centre for Information Policy Leadership, abordou a relação da base legal do legítimo interesse com os princípios da lei e, especificamente, com o princípio da responsabilização e prestação de contas, ou accountability, também presente no Regulamento Europeu: a advogada afirmou que embora o legítimo interesse seja uma base flexível – ou seja, uma hipótese não atrelada a uma finalidade específica e que serve a um grande número de tratamentos em diferentes setores – isso não significa que ela seja uma ‘’carta em branco’’.
Isso por alguns motivos: em primeiro lugar, a própria lei estabelece uma série de parâmetros de aplicação do legítimo interesse, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular. Em segundo, se é verdade que cabe ao próprio controlador decidir pelo emprego dessa hipótese, também é verdade que ela carrega deveres específicos, como o dever de transparência ‘’qualificada’’. Nesse sentido, Giovanna afirmou que o legítimo interesse pode ser, inclusive, mais protetivo do que outras bases legais.
Decifrando o legítimo interesse: alcance, pressupostos de aplicação e obrigações
As condições descritas no art. 10 aplicam-se apenas ao controlador?
Um ponto considerado ‘’em aberto’’ sobre a base legal do legítimo interesse é se o art. 10 da lei, que descreve os seus pressupostos de aplicação, aplica-se à figura do terceiro ou apenas ao controlador, uma vez que o art. 7º menciona explicitamente o legítimo interesse de terceiro, mas o art. 10 não. Erro legislativo ou não, trata-se de um assunto que merece atenção, pois, a depender da interpretação adotada, pode-se chegar a um regime assimétrico para os diferentes atores que fazem uso dessa base legal nas suas operações de tratamento de dados pessoais.
O pesquisador Mário Viola, ao tratar do assunto, afirmou interpretar que o comando do art. 10 dirige-se apenas ao controlador propositalmente porque, ainda que uma situação concreta possibilite a aplicação da base legal para um terceiro, ainda caberá ao controlador avaliar se esse interesse se sustenta frente aos parâmetros estabelecidos pela lei, bem como fornecer acesso aos dados, no caso em que estiverem sob seu domínio.
Rielli, complementando a discussão sobre o tema, defendeu que, independente de quem venha a realizar a análise sobre o cabimento da base legal, a melhor interpretação do art. 10, em conjunto com o art. 7º, é que, no caso de ser um terceiro o detentor do interesse analisado, também se apliquem as condições do dispositivo, sob pena de se criar uma assimetria que não encontra justificativa finalística ou sistemática na lei.
O famoso ‘’teste do legítimo interesse’’ está na própria lei?
Partindo para o próprio conteúdo do art. 10, a doutoranda em direito Paula Pedigoni afirmou, assertivamente, que ‘’o art. 10 coloca uma série de elementos que devem ser, necessariamente, considerados para a decisão sobre a utilização do legítimo interesse’’ e que ‘’o teste do legítimo interesse deve ser um referencial metodológico para a aplicação desses elementos, é como se fosse uma organização para quem quer fazer isso na prática’’.
Com base em um artigo escrito com Marcela Mattiuzzo, ela sugere o recurso ao teste de proporcionalidade, da tradição constitucional, como uma das formas de operacionalizar essa avaliação. Alguns motivos para esse ‘’empréstimo’’ seriam a familiaridade dos Tribunais com o teste e a possibilidade de se ponderar direitos fundamentais.
A proposta difere sutilmente do teste organizado por Bioni e descrito no policy paper da Associação, bem como de versões sugeridas por autoridades europeias, como o ICO ou o antigo Working Party 29: ele propõe uma etapa de avaliação da legitimidade do interesse, seguida de uma análise de adequação e uma avaliação da necessidade e, por fim, um balanceamento dos interesses do controlador ou terceiros com a legítima expectativa e os direitos e liberdades do titular. A última etapa, nesse caso, absorveria a análise sobre as salvaguardas do tratamento.
Para Giovanna Carloni, existem modelos já consolidados, como o do ICO, mas não há uma ‘’receita’’ pronta de teste de legítimo interesse para todos os casos, o que importa é que os elementos do art. 10 sejam contemplados na análise prévia à adoção da base legal. Assim, cada empresa ou órgão público deverá realizar essa avaliação seguindo uma metodologia que se adeque às suas capacidades, recursos e às particularidades do negócio ou atividade e do próprio tratamento de dados pessoais almejado. Algumas possibilidades citadas pela advogada são o emprego de perguntas e respostas ou de sistemas automatizados.
A legítima expectativa do titular é parte estruturante da análise de cabimento do legítimo interesse e deve ser considerada em todos os casos?
Viola, ao tratar da legítima expectativa do titular de dados pessoais, recorreu a uma diferenciação entre tratamentos que integram uma relação de consumo, em que a consideração da expectativa do titular deve ser reforçada, e outros tipos de tratamentos (por exemplo, em situações humanitárias ou de inovação por meio da inteligência artificial), em que pode não ser possível, ou mesmo desejável, dimensionar a legítima expectativa, pela própria natureza de um tratamento em que a relação com o titular seja mais abstrata.
Carloni complementou essa abordagem ao afirmar que, principalmente no segundo caso, é importante lembrar do aspecto da análise de risco que permeia toda aplicação do legítimo interesse: deve-se considerar, sempre, os riscos que um tratamento de dados pessoais pode implicar para um indivíduo ou para a sociedade e diante deles, avaliar quais medidas podem ser tomadas para mitigar esses riscos (ex: anonimização, transparência e opt-out, este último mencionado por Viola). Ainda que não haja uma obrigação legal específica, é comum que empresas empreguem essas salvaguardas como uma medida de accountability.
Para Rielli, ainda que, de fato, a relação consumerista seja mais próxima e direta, o que permite uma mensuração mais concreta de legítimas expectativas, esse elemento não deve ser desconsiderado em nenhuma análise de aplicação do legítimo interesse. O que pode ocorrer, na prática, é que o somatório de fatores levados em conta nessa avaliação resulte em uma certa flexibilização da expectativa do titular em favor do interesse em jogo (como a inovação ou a ação humanitária), desde que, evidentemente, não haja prejuízo desproporcional aos direitos e liberdades do indivíduo afetado. Nesse sentido, a pesquisadora ressaltou a necessidade de interpretar os dois incisos do art. 10 da LGPD como, justamente, os dois lados dessa balança.
O teste do legítimo interesse deve ser documentado?
A análise dos elementos do art. 10, que embasa uma decisão sobre o cabimento do legítimo interesse no caso concreto, é obrigatória, embora a sua forma possa variar, conforme concordaram os participantes do debate. Mas, uma dúvida recorrente é se essa análise, ou esse teste, deve ser documentada, e como.
Para Paula, a documentação é ‘’altamente recomendada’’, especialmente em razão do art. 37 da lei. Ela ressalta que embora a documentação exigida neste dispositivo seja primordialmente descritiva e a documentação do teste do legítimo interesse envolva um importante aspecto valorativo, analítico, ela seria uma das diferentes formas de cumprir com a exigência do artigo, além de uma boa prática. Quanto ao relatório de impacto à proteção de dados, a pesquisadora opinou que sua realização não é obrigatória, e que isso é coerente com a própria natureza do relatório, deflagrado por situações que envolvam riscos mais elevados aos direitos e titulares de dados pessoais e que ‘’não devem ser banalizadas’’.
Giovanna Carloni apontou a importância de, mais do que necessariamente documentar o teste em alguns casos, estar pronto para justificar, diante de uma eventual requisição de autoridade, o processo de análise que culminou na decisão de aplicar o legítimo interesse. Em casos ‘’mais complexos’’, afirmou que é recomendável que o teste seja documentado e, ainda, em casos que envolvam riscos (ou potenciais riscos) maiores, é recomendável a realização de um relatório de impacto. Alertou, por outro lado, para a necessidade de cautela com uma possível ‘’burocratização excessiva’’ que poderia, inclusive, gerar efeitos contrários aos desejados, como foco excessivo na demonstração formal de conformidade em detrimento de aspectos que exigem, de fato, maior atenção no manuseio da base legal.
Como funciona o direito de oposição em relação à base legal do legítimo interesse? Ele é absoluto?
No caso de aplicação de bases legais que não sejam o consentimento, a LGPD franqueia ao titular o chamado ‘’direito de oposição’’, também conhecido como opt-out (art. 18, §2º). Assim como na tradição europeia, aqui também ele suscita questionamentos, tanto sobre seu cabimento, quanto sua aplicação prática (recentemente, inclusive, aumentaram as discussões sobre o direito de oposição em razão da mudança da Política de Privacidade do Whatsapp). Talvez o principal deles seja se o titular pode exercê-lo em qualquer situação. A própria redação do artigo sugere que não, já que condiciona sua aplicação ao ‘’descumprimento ao disposto nesta Lei’’. Concretamente, então, como parametrizar o direito de oposição?
Em resposta a essa pergunta complexa, Mário Viola situa a questão em termos de interesse público ou coletivo em um determinado tratamento de dados: quanto menor for essa dimensão, mais importante é a concessão do opt-out, inclusive como salvaguarda ao tratamento de dados pessoais com base em uma análise mais ampla de risco. Menciona, nesse sentido, algumas estratégias de marketing, que, na medida em que não representam mais do que um interesse puramente comercial e atrelado apenas ao controlador ao terceiro, geram, como contrapartida, uma espécie de prerrogativa forte para o titular do dado se opor à sua utilização, embora não se trate de um direito absoluto.
Especificamente sobre a exigência de um ‘’descumprimento ao disposto nesta Lei’’, o paper produzido pela Associação sustenta o argumento de que o próprio desequilíbrio entre o interesse do controlador ou terceiro e a legítima expectativa do titular, ou mesmo a sua desconsideração na análise feita pelo agente de tratamento, pode ser lido como um descumprimento da Lei, na medida em que ela preza justamente por esse balanceamento. Não significa dizer, nesse caso, que o direito se torna absoluto, mas sim que ele poderia ser desengatilhado pelo argumento, por parte do titular, de que sua confiança foi frustrada, o que será analisado contextualmente, tendo como baliza também os outros interesses em jogo
Este breve artigo buscou pincelar alguns dos temas, atualmente em evidência, sobre a base legal do legítimo interesse, uma das dez hipóteses autorizativas para o tratamento de dados pessoais da Lei Geral de Proteção de Dados (LGPD). O legítimo interesse apresenta uma importante janela de oportunidade para diversas modalidades de tratamento de dados, inclusive comerciais, na medida em que não se limita a uma finalidade ou um contexto previamente estabelecido.
Esse ‘’bônus’’ ofertado pela lei vem acompanhado de um ‘’ônus’’, que é o esforço, por parte do agente que utilizará os dados pessoais nas suas atividades, de adequar-se aos parâmetros estabelecidos no art. 10, bem como se atentar a outros deveres, como a documentação. A calibração exata desses dispositivos ainda é objeto de debate e certamente será abordada tanto pelo judiciário, quanto pela Autoridade Nacional de Proteção de Dados, que já indicou que produzirá no futuro conteúdo específico sobre as hipóteses de tratamento.
De qualquer forma, é importante que fique claro que as exigências referentes ao legítimo interesse não devem representar um empecilho à sua aplicação; elas são, na realidade, uma das formas que a norma encontrou de promover o equilíbrio entre o incentivo ao desenvolvimento econômico e a proteção dos direitos e interesses do titular dos dados pessoais.
Por Bruno Bioni & Mariana Rielli