Sob a vigência da Lei Geral de Proteção de Dados, organizações públicas e privadas, independente do seu porte ou ramo de atividade, só podem tratar dados pessoais se tiverem uma base legal para fazê-lo, ou seja, o tratamento deve ser baseado em uma das hipóteses previstas na LGPD. E isso não significa que basta pedir o consentimento e tudo bem. Ou alegar legítimo interesse e está resolvido. Embora sejam considerados importantes pilares da proteção de dados, há muitos mitos sobre a aplicação deles como justificativa para o tratamento.
Nem sempre o consentimento é o melhor escudo protetor para dados pessoais. E ele jamais deve ser assumido como uma válvula de escape geral, a partir da qual qualquer tratamento passa a ser autorizado. Até porque, se não for usado da forma adequada, pode inclusive se transformar em uma armadilha traiçoeira, tanto para quem concede quanto para quem pede para legitimar o tratamento dos dados. É preciso saber quando e como pedir e dar consentimento.
Há, sim, casos nos quais o consentimento pode ser obrigatório ou indispensável quando for possível a sua obtenção. A maioria deles se aplica aos dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético e por aí vai). Mas em muitos outros casos, talvez seja possível usar outra base legal.
Além disso, vale lembrar que, segundo a lei, o consentimento deve ser livre; informado; inequívoco; e atrelado a uma finalidade específica.
Significa que, ao pedir o consentimento é preciso não só informar a(s) finalidade(s) de tratamento(s), como também deixar bem clara a opção de a pessoa poder negá-lo. Por exemplo, ao fornecer um aplicativo gratuito, a empresa responsável por ele deve alertar ao usuário que a forma de remuneração será a publicidade segmentada, que seus dados serão usados para traçar seus interesses, suas preferências, seus hábitos, e que ele é livre para expressar seu consentimento de acordo com a sua livre vontade.
Além disso, consentimento “livre” significa que o titular não pode ser obrigado a consentir com o tratamento de dados, e que a manifestação do consentimento não pode ser efetuada de forma automática.
Ou seja, o consentimento pode ser considerado nulo se for obtido com base em informações enganosas, abusivas ou não transparentes.
As condições de validade do consentimento, atreladas à possibilidade de sua revogação a qualquer momento, deixam clara a dificuldade que é a sua gestão e até mesmo as fragilidades dessa hipótese em determinadas situações.
Além destas exigências mínimas de qualidade para a coleta do consentimento, a Lei também dá ao titular o direito de revogar seu consentimento a qualquer momento, por procedimento gratuito e facilitado.
Sim, há casos nos quais não podemos nos opor ao fornecimento de dados. Em todos eles, o consentimento não se aplica. Pense na maioria dos dados fornecidos ao RH, por exemplo. Ou a órgãos públicos como a Receita Federal.
Portanto, se você precisa coletar e tratar dados pessoais, siga o conselho dos especialistas. Olhe além da velha lógica da necessidade de obtenção do consentimento para todo e qualquer fim e busque entender a melhor forma de justificar cada uma das atividades de tratamento realizadas pela empresa. Regra válida também para o poder público.
Da mesma forma, o legítimo interesse está longe de poder ser aplicado a qualquer finalidade no tratamento dos dados triviais – aqueles que não se enquadram na categoria de dados sensíveis. Também está longe de ser a base legal de aplicação mais simples. Ao contrário. Quem opta por ele assume obrigações prévias e responsabilidades extras quanto a considerar e proteger os direitos e os interesses dos donos (ou titulares) dos dados.
Há consenso de que o legítimo interesse deverá ser a base legal mais aplicada no Brasil, a exemplo do que vem acontecendo na Comunidade Europeia, segundo Renato Leite Monteiro, professor e fundador do Data Privacy Brasil.
“São pouquíssimas as situações em que, se bem fundamentado por teste de proporcionalidade e relatório de impacto, o legítimo interesse não poderá ser utilizado”, diz ele. “Entre outras coisas porque ele permite o uso dos dados para novas finalidades sem que haja a necessidade de uma interação prévia com o dono do dado, agilizando o desenvolvimento de negócios. Mas, sim, o legítimo interesse é também a base legal que impõe mais obrigações a quem vai fazer uso dos dados.”
“Com poucas exceções, como no caso do poder público e do tratamento dos dados sensíveis, a lei não vai apontar qual base legal a organização precisará usar para tratar dados pessoais. Em algumas situações, pode ser até que mais de uma base legal possa ser aplicada. E isso é muito comum acontecer com o consentimento e com o legítimo interesse. Mas é preciso escolher por uma delas, a que seja mais adequada, levando em consideração o contexto do tratamento e os riscos para os direitos dos titulares e para a organização”, comenta Renato.
Há vantagens e desvantagens em cada uma delas. No consentimento, em sua forma tradicional, o que acontece é que quem precisa dos dados para operar (o controlador, segundo a lei) transfere o risco para o dono do dado (o titular). Significa que no momento em que concordamos com o uso dos nossos dados, passamos a assumir os riscos das consequências daqueles usos para os quais demos nossa anuência.
“Ao optar pelo legítimo interesse, quem assume todos os riscos é justamente o controlador dos dados, aquele que vai fazer uso deles”, explica Renato. “Por isso o controlador vai ter que fazer o exercício de ponderação, fundamentar a decisão de se valer da base legal do legítimo interesse, implementar uma série de salvaguardas para garantir o uso adequado dos dados e implementar todas as medidas para mitigar os possíveis riscos aos direitos fundamentais dos donos do dados. Inclusive o de ter errado no exercício de proporcionalidade”, completa.
E é aí que as dificuldades começam a aparecer. À luz da LGPD, nem todo interesse do controlador é legítimo. Por isso, aplicar o legítimo interesse não é fácil. Falta objetividade à lei para calibrar os parâmetros que serão usados para definir que o legítimo interesse foi corretamente aplicado. Tarefa que deve ser assumida pela Autoridade Nacional de Proteção de Dados (ANPD). Caberá a ela dar as diretrizes de como aplicar o legítimo interesse, especialmente por ser uma cláusula mais ampla e segura.
Por outro lado, já é possível extrair da LGPD um teste de proporcionalidade de quatro fases (legitimidade, necessidade, balanceamento e salvaguardas), que serve para justificar a escolha do legítimo interesse como a base legal adotada.
Para entender melhor, vamos pegar o caso clássico de tratamento de dados pessoais para a prevenção de fraude. Prevenir fraudes no Brasil é algo lícito. Portanto, esse tratamento de dados é legítimo. Também é algo concreto, que precisa acontecer, porque a empresa tem que proteger o seu negócio e seus clientes e parceiros.
Além disso, é preciso verificar o princípio da necessidade, que determina que só podem ser tratados aqueles dados pessoais estritamente necessários para a finalidade alegada.
“E aí é preciso pontuar que existe uma diferença muito grande entre dados úteis e dados necessários. O controlador precisa fazer um exercício interno para identificar quais dados são realmente necessários. E, em algumas situações, se a coleta pode ser considerada intrusiva”, alerta Renato.
“Por exemplo, o controlador pode querer colocar chip em todo mundo e câmeras de vigilância em todos os ambientes e isso ser considerado intrusivo por existirem outras formas de fazer a prevenção à fraude”, completa. Se conseguir razoavelmente o mesmo resultado de outra maneira, menos intrusiva, o interesse legítimo não se aplica.
A terceira fase é a do exercício do balanceamento, que conta com dois elementos muito importantes: o teste de expectativa e o exercício de mitigação de violação de direitos.
É preciso equilibrar os interesses do controlador dos dados com os do indivíduo, dono dos dados. Se ele não espera razoavelmente o processamento, ou se o tratamento dos dados fere alguns de seus direitos e liberdades fundamentais, é provável que os interesses do titular se sobreponham aos interesses legítimos do controlador.
“Vamos supor que você tenha feito uma viagem, tenha esquecido de avisar à administradora do seu cartão e ele tenha sido bloqueado. Com isso, você tenha tido alguns dos seus direitos restringidos, como a liberdade de fazer uma compra. A operadora de cartão tem a obrigação de oferecer meios de desbloqueio imediato, após a comprovação de que é você mesmo que está fazendo uso do cartão. Que não se trata de uma fraude”, explica Renato.
“O marketing digital tem usado muito a hipótese do legítimo interesse para justificar o uso dos dados pessoais. Mas ele só se aplica se o titular do dado tiver a legítima expectativa daquele uso. Ou seja, se ele esperar por aquele uso. Caso não seja possível inferir essa expectativa, é possível criá-la por meio de práticas de transparência ativa, por exemplo.
A expectativa é a de que o legítimo interesse seja a hipótese de autorização de processamento mais utilizada no Brasil (vale lembrar que ela já existia no GDPR). Até porque, se o controlador conseguir impedir que haja violações dos direitos e liberdades fundamentais dos titulares dos dados, serão pouquíssimas as situações em que não se conseguirá aplicá-lo.
As outras bases legais
Há ainda outras 8 hipóteses previstas na lei que autorizam o tratamento de dados pessoais. Todas dispensam o consentimento dos donos dos dados. São elas:
1. Cumprimento de obrigação legal ou regulatória pelo controlador: não é necessário consentimento para que sejam cumpridas obrigações determinadas por lei;
2. Execução de políticas públicas: a administração pública pode usar dados para a criação de políticas públicas que visem o bem-estar da população, tais como saúde, habitação, etc.;
3. Estudos conduzidos por órgãos de pesquisa: pesquisas de caráter científico, estatístico ou histórico podem fazer uso de dados pessoais, desde que realizada a anonimização dos titulares, se possível;
4. Execução de contrato: dados pessoais podem ser usados para dar seguimento aos procedimentos relacionados a um contrato, ou seja, para que seja possível cumprir com obrigações oriundas de um contrato. Essa deve ser outra base legal bastante utilizada;
5. Exercício regular de direito: dados pessoais podem ser utilizados para defender direitos em processos judiciais, administrativos ou arbitrais;
6. Proteção da vida e da incolumidade física: o tratamento de dados pessoais pode ser feito sem consentimento prévio se for voltado para a proteção da vida do titular ou de terceiros;
7. Tutela da saúde: o tratamento de dados é permitido em procedimentos realizados por profissionais da saúde e autoridades sanitárias, sempre visando a preservação da saúde e sem finalidade econômica.
8. Proteção de crédito: a última hipótese segue os parâmetros definidos pelo Código de Defesa do Consumidor e outras normas do ecossistema consumerista. Ela permite a utilização de dados para situações como análise de crédito, focando em informações como adimplência ou inadimplência, dívidas, etc.
Veja também:
- Atender à legislação é um desafio e uma oportunidade
- Para 2021 a privacidade se torna um imperativo
- Próximos passos no Brasil: a atuação da ANPD e a LGPD Penal
- A Lei Geral de Proteção de Dados já pegou