Uma das mais controversas bases legais da LGPD é a prevista no art. 7º, IX, que autoriza o tratamento de dados não sensíveis “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
Não se discute que a referência ao legítimo interesse do controlador tem importante função prática, ao exercer o papel de verdadeira “válvula de escape” para um sistema de proteção de dados que, invertendo a lógica usual do direito privado – segundo a qual tudo que não é proibido é permitido –, só possibilita o tratamento de dados em hipótese expressamente autorizada por lei.
Consequentemente, diante das compreensíveis dificuldades de se prever, de forma antecipada, todas as formas de uso lícito dos dados pessoais, é importante assegurar a possibilidade de que interesses do controlador também justifiquem o tratamento de dados, desde que sejam legítimos, necessários, adequados e proporcionais aos impactos que causarão nos titulares de dados. Não obstante, a vagueza da referida base legal pode levar a indevido e excessivo alargamento das possibilidades de tratamento de dados.
Verdade seja dita que, embora o art. 10 da LGPD tenha tentado densificar o conceito, pouco avançou nesse propósito, pois se limitou a mencionar a finalidade de apoio e promoção de atividades do controlador (inciso I) e a finalidade de proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e o direitos e liberdades fundamentais.
No mais, o art. 10 praticamente reproduz princípios fundamentais exigidos para qualquer tratamento de dados: (i) a finalidade legítima, mencionada no caput do art. 10, já corresponde ao princípio consubstanciado no art. 6º, I; (ii) a necessidade do tratamento, mencionada no § 1º do art. 10, já corresponde ao princípio consubstanciado no art. 6º, III, e (iii) a observância da transparência, mencionada no § 2º do art. 10, já corresponde ao princípio consubstanciado no art. 6º, VI.
Logo, não precisaríamos de dispositivos específicos para chegarmos à conclusão de que o legítimo interesse apenas justificará o tratamento de dados quando atender aos parâmetros de necessidade, finalidade e transparência, porque isso já decorreria claramente da estrutura principiológica da LGPD.
A rigor, a única norma realmente original do art. 10 da LGPD é a prevista no § 3º, do art. 10, segundo a qual “a autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. Entretanto, trata-se de previsão extremamente tímida, já que a obrigatoriedade do relatório de impacto ficou condicionada à iniciativa da autoridade nacional, não sendo consequência obrigatória da utilização da base legal do legítimo interesse.
Diante de tantos impasses e dúvidas, é importante lembrar que a doutrina e a experiência europeias vêm apontando, com razão, para a necessidade de que o legítimo interesse seja avaliado a partir de testes de proporcionalidade, tais como o chamado Legitimate Interest Assessment (LIA). Entretanto, apesar do caráter didático da enunciação do passo-a-passo normalmente atribuído a tais testes, eles não se diferenciam substancialmente dos juízos que devem ser feitos para a constatação de qualquer hipótese de abuso de direito, nos termos do art. 187, do Código Civil.
De fato, também em relação ao abuso do direito, é necessário avaliar o exercício de direito sob uma perspectiva qualitativa, a fim de se verificar se há compatibilidade com a boa-fé e as finalidades sociais e econômicas que justificam a existência do direito, assim como sob uma perspectiva quantitativa, a fim de se verificar se o meio escolhido pelo titular é realmente adequado e proporcional diante dos impactos eventualmente causados a terceiros.
Sob esta perspectiva, os testes de proporcionalidade não se afastariam consideravelmente dos modelos de análise que já são normalmente utilizados para a identificação do abuso de direito, o que não seria suficiente para dar a devida concretude para a referida base legal.
Daí porque a discussão sobre o legítimo interesse do controlador precisa ser conectada às garantias procedimentais respectivas, a fim de se impor ao controlador não apenas a efetiva realização dos testes de proporcionalidade, como também o registro e a disponibilização de como foram realizados e quais as suas conclusões e fundamentos.
Dessa maneira, o legítimo interesse passa a exigir uma legitimação procedimental, de forma que, mesmo diante do § 3º, do art. 10, da LGPD, é fundamental que os controladores encontrem mecanismos idôneos – ainda que mais flexíveis do que os relatórios de impacto – para a realização dos testes de proporcionalidade e para a justificação dos seus resultados, sem o que não estaria atendido nem mesmo o requisito da transparência.
Mais do que isso, há que se perquirir algumas situações nas quais a gravidade dos riscos aos titulares de dados seria tal que tornaria imprescindível o relatório de impacto, tal como previsto pelo art. 5º, XVII, da LGPD.
Por fim, também é possível concluir que o ônus da prova da licitude do tratamento nesses casos é do controlador, com o que se afasta a regra geral segundo a qual cabe à vítima o ônus da prova do ilícito. Logo, é o controlador que deve comprovar a licitude do tratamento baseado no legítimo interesse, tanto sob a ótica material como sob a ótica procedimental, desonerando-se o titular de dados da comprovação da ilicitude.
No recém lançado Curso de Proteção de Dados Pessoais – Fundamentos da LGPD, que escrevi em coautoria com Angelo Prata de Carvalho e Giovanna Milanez, procuramos destacar alguns desses aspectos ao analisar a experiência europeia sobre o assunto[1]:
“Portanto, o Legitimate Interest Assessment (LIA) ou Teste de Proporcionalidade, em que o controlador ou o terceiro provem seu legítimo interesse no caso concreto e demonstrem a proporcionalidade entre tal interesse e os direitos e liberdades fundamentais do titular dos dados.
Evidentemente que o teste traz consigo considerável medida de subjetividade, a demonstrar que, longe de oferecer critério preciso e objetivo para a avaliação da regularidade do tratamento de dados, na verdade, oferece a oportunidade de que se sustente fundamentadamente a viabilidade do tratamento em questão, apresentando-se como verdadeira cláusula geral para a autorização do tratamento.
De toda sorte, é inequívoco que pelo menos o ônus da prova da proporcionalidade – tanto no aspecto procedimental, no sentido de que o controlador cumpriu as etapas necessárias para avaliar a proporcionalidade, como no aspecto material, no sentido de que o controlador tem fundamentos consistentes para justificar o tratamento de dados – cabe ao controlador, razão pela qual se espera que esse seja um importante incentivo para que a margem de subjetividade seja utilizada com prudência e moderação”.
Considerando a delicadeza do tema e a importância de se observarem os direitos dos titulares, a necessidade de accountability e prestação de contas é ainda maior. Aliás, não seria exagero dizer que, em se tratando do legítimo interesse, todos os princípios do art. 6º da LGPD devem ser aplicados com maior rigor.
Ainda há que se perquirir algumas hipóteses em que se deveria afastar aprioristicamente a utilização do legítimo interesse, tal como nos tratamentos de dados pelo Poder Público, o que é inclusive vedado expressamente pelo RGPD. Não é sem razão que, na mencionada obra que escrevi com Angelo Prata de Carvalho e Giovanna Milanez[2], assim tratamos da questão:
“A interpretação principiológica e sistemática da LGPD também recomenda a utilização excepcional de tal base legal para tratamentos de dados do Poder Público, gerando para a autoridade pública um rigoroso ônus de fundamentação, assim como a observância de todas as salvaguardas procedimentais, como a elaboração do LIA – Legitimate Interests Assessment –, a ser comentado no Capítulo XI.
Em nenhuma hipótese, é dado às autoridades públicas realizar processos de tratamento de dados simplesmente por serem autoridades públicas ou se utilizar de invocações genéricas de interesse público para realizar tratamentos de dados pessoais.
Ao abordar o tema, o Guia Orientativo de Tratamento de Dados Pessoais pelo Poder Público da ANPD, em posição convergente com a tomada pela autoridade em relação ao consentimento, considera que a aplicação do legítimo interesse é limitada no setor público, deixando claro que “a sua utilização não é apropriada quando o tratamento de dados pessoais é realizado de forma compulsória ou quando for necessário para o cumprimento de obrigações e atribuições legais do Poder Público”.
Como se pode observar, tais questões são ora trazidas para mostrar que, se quisermos assegurar a necessária concretude à base legal do legítimo interesse, os testes de proporcionalidade precisam ser compreendidos igualmente diante de suas dimensões procedimentais e probatórias, assim como diante do esforço em se mapear as hipóteses em que a referida base legal deveria ser afastada aprioristicamente ou deveria exigir ao menos o correspondente relatório de impacto.
Fonte: JOTA. Leia matéria completa.
