LGPD: as demais hipóteses de tratamento de dados pessoais

LGPD: as demais hipóteses de tratamento de dados pessoais. No artigo anterior de Ana Frazão, que divulgamos aqui no Blog Minuto da Segurança na semana passada, foi explorada a importância do consentimento para o tratamento dos dados pessoais. Neste artigo, nós trazemos um novo texto de Ana Frazão que analisa as demais hipóteses de tratamento de dados pessoais previstas pela LGPD.

Inicialmente, é importante ressaltar que são exceções à regra do consentimento os dados tornados manifestamente públicos pelo titular. Todavia, mesmo nesses casos, o tratamento de tais dados continua sujeito ao respeito aos direitos deste. Com efeito, enquanto o § 3º do art. 7º da LGPD dispõe que “O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização” (grifos da autora), o § 4º do mesmo artigo prevê que “É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.” (grifos da autora)

Não obstante as ressalvas específicas, o § 6º do art. 7º ainda reitera que “A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.” Com isso, fica claro que os casos de dispensa de consentimento não têm qualquer repercussão sobre os demais direitos dos titulares de dados, os quais continuam igualmente exigíveis.

Além dessa hipótese, o art. 7º da LGPD prevê, em seus incisos, diversas outras situações nas quais o tratamento de dados pessoais não dependerá do consentimento, sem prejuízo de se assegurar os demais direitos do titular e a observância dos princípios pertinentes.

O inciso II do art. 7º da LGDP traz a hipótese de cumprimento de obrigação legal ou regulatória pelo controlador. Com efeito, em casos assim, o tratamento de dados é considerado necessário para atender o interesse público que justifica a obrigação legal ou regulatória. Todavia, mesmo nesse caso, os controladores deverão observar os princípios pertinentes, especialmente no que toca (i) à adstrição do tratamento à finalidade específica de cumprimento da determinação legal, (ii) à adoção dos meios adequados e necessários para tal, bem como (iii) à preocupação com todos os direitos do titular, dentre os quais se destaca o direito de ser informado do tratamento de dados (§ 1º, do art. 7º, da LGPD) e o direito de ter os dados disponibilizados nos exatos termos do que for especificado pela autoridade nacional (§ 2º, do art. 7º, da LGPD).

Também se admite o tratamento de dados pessoais independentemente do consentimento para fins considerados de interesse da administração ou fins de pesquisa. É o que prevêem, respectivamente, o art. 7º, III, da LGPD, que trata da hipótese de tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, bem como o art. 7º, IV, ao mencionar “a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.”

Como o inciso III não se dirige à atividade empresarial, não será objeto de maior exame. Entretanto, é importante destacar que, mesmo nessa hipótese, igualmente se destaca especialmente o direito de o titular ser informado do tratamento de dados, nos exatos termos do que já previsto para a hipótese do inciso II.

Já o inciso IV, embora não se dirija diretamente à atividade empresarial, pode ser importante para ela, já que diversos empresários se utilizam de pesquisas científicas e convênios com muitas instituições de pesquisa. Sobre tal hipótese, merece registro que, mesmo diante dos fins nobres relacionados às pesquisas científicas, impõe-se a anonimização sempre que possível¹ A preocupação da LGPD com a anonimização, aliás, poderá auxiliar na interpretação de diversas outras previsões legais, como se verá adiante.

Já o inciso V, do art. 7º, autoriza o tratamento de dados “quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”. A hipótese é muito semelhante àquela do art. 6º, I, b, do RGDP, que diz respeito a quando “o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.” Nesse caso, além do pedido de titular de dados, o acesso é feito para assegurar a própria execução do contrato.

Outra importante hipótese de tratamento de dados é o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI, da LGPD), ressalva fundamental para deixar claro que a proteção aos dados pessoais não compromete o necessário direito que as partes têm de produzir provas umas contra as outras, ainda que estas se refiram a dados pessoais do adversário.

A LGPD também prevê a proteção da vida, incolumidade física e saúde do titular ou de terceiros (art. 7º, VII), bem como a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias (art. 7º, VIII). Trata-se, obviamente, de hipóteses específicas e de altíssimo interesse público, as quais deverão estar devidamente justificadas e comprovadas, assim como todos os meios utilizados deverão obedecer às finalidades específicas que justificaram o tratamento de dados.

Como se vê, até o inciso supramencionado, a LGPD tratou de exceções que, como regra, dizem respeito ao interesse público ou decorrem necessariamente do cumprimento de obrigações contratuais ou exercício regular de direitos. Todavia, no inciso IX do art. 7º, a LGPD prevê uma das mais controversas hipóteses de tratamento de dados: necessidade de atendimento de interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Como se pode observar, a hipótese enseja um duplo desafio: (i) compreender o que pode ser considerado legítimo interesse do controlador ou de terceiro e (ii) avaliar em que medida esse legítimo interesse pode ser alegado diante dos direitos e liberdades fundamentais do titular. É interessante notar que a própria LGPD não resolve aprioristicamente eventuais conflitos, na medida em que não prevê a prevalência prioritária dos direitos dos titulares de dados, mas somente daqueles em relação aos quais a situação concreta exigir a proteção.

Não obstante as dificuldades interpretativas que daí decorrerão, o art. 10 da LGPD determina que “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.”

Se a finalidade da LGPD era resolver controvérsias, certamente que perdeu uma excelente oportunidade de cumprir tal objetivo, ao optar por disciplinar a matéria por meio de conceitos vagos e ambíguos. Em primeiro lugar, mesmo as hipóteses expressamente previstas não são exaustivas, o que exigirá a análise de cada situação concreta, a fim de se verificar se podem ou não ser enquadradas como interesses legítimos do controlador. Em segundo lugar, mesmo os incisos do art. 10 são extremamente vagos e amplos. Com efeito, “apoio e promoção das atividades do controlador” é locução que justifica praticamente tudo, com exceção de atos emulativos ou evidentemente abusivos.

O dispositivo em questão só não é pior porque precisa ser interpretado à luz do próprio inciso IX, do art. 7º da LGPD, que já acena para a prevalência dos direitos dos titulares que exijam a proteção dos dados pessoais, embora não se saiba exatamente que direitos seriam esses diante das situações concretas a serem analisadas.

De toda sorte, apesar da sua ambiguidade, é inequívoco que a própria interpretação do interesse legítimo apenas pode ser feita a partir do respeito aos direitos dos titulares de dados e aos princípios da LGPD, que condicionam todo o tratamento de dados a finalidades legítimas.

Também chamam a atenção os §§ 1º e 2º do art. 10, ao disporem, respectivamente, que “Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados” e “O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.”

Ora, tais requisitos já decorrem necessariamente dos princípios da LGPD descritos no art. 6º e se aplicam a qualquer forma de tratamento de dados. Daí por que a suposta repetição nesta parte da LGPD apenas pode ser interpretada, de modo inteligível, no sentido de que tais obrigações são ainda mais importantes quando o tratamento de dados ocorre nessas circunstâncias.

Também é preocupante que o § 3º limite-se a prever que “A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.” Na verdade, esta deveria ser uma obrigação da autoridade nacional e um dever do controlador, sendo discutível até mesmo se eventuais segredos comercial e industrial poderiam ser opostos à autoridade nacional.

Diante das indefinições previstas na LGPD, é importante verificar como a GDPR tratou do tema. Entretanto, também nele, a hipótese é igualmente nebulosa é semelhante à da lei brasileira, já que diz respeito a quando “O tratamento for necessário para efeito dos interesses legítimos e prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.”

Verdade seja dita que os Considerandos da GDPR ajudam a entender melhor a delimitação do interesse legítimo, definindo-o como “uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está a serviço do responsável pelo tratamento” (Considerando 47). O mesmo considerando adverte que “a existência de um interesse legítimo requer uma avaliação cuidadosa, nomeadamente a questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade.”

Acresce que outros Considerandos mencionam hipóteses de casos de interesses legítimos, como a (i) de responsáveis por tratamento de dados que façam parte de um grupo empresarial ou de uma instituição associada a um organismo central, que poderão ter interesse legítimo em transmitir dados pessoais no âmbito do grupo de empresas para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou funcionários (Considerando 48) ou (ii) de tratamento de dados pessoais para assegurar a segurança da rede e das informações, especialmente para o fim de resistir a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais conservados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou acessíveis através destas redes e sistemas (Considerando 49).

Veja também:

• CPO e CSO: Unidos pelas novas regulamentações!
• Proteção de dados e a tutela da saúde na LGPD
• Cyber Security, Cloud e LGPD
• Visão estratégica das Dimensões de Segurança na LGDP
• Fórum discutiu implementação da Regulamentação 4658 do Bacen
• Presidente Temer sanciona Lei de Proteção de Dados Pessoais
• Quase um terço das organizações ainda não está preparado para o GDPR

Os critérios e os exemplos dos Considerandos da GDPR condicionam, pois, a existência do legítimo interesse do controlador a critérios de relevância e de adequação, bem como às expectativas razoáveis dos titulares de dados de que estes poderiam ser usados para tais finalidades.

Dessa forma, consegue-se, com tais parâmetros, atribuir maior densidade ao conceito de interesse legítimo do controlador em face das necessárias preocupações com os direitos dos titulares de dados. Todavia, subsiste considerável margem interpretativa para a aplicação de tais normas, assim como permanecem nebulosas as hipóteses em que se poderia cogitar de interesses legítimos de terceiros que justificariam o tratamento de dados mesmo sem o consentimento do titular.

Pelo menos na GDPR, que as hipóteses de interesse legítimo do responsável pelo tratamento estão sujeitas a maiores preocupações no que diz respeito ao dever de informar (art. 13, 1, d e 14, 2, b) e à avaliação de impacto sobre a proteção de dados (art. 35, 7, d). A ideia geral é de que cabe ao responsável pelo tratamento sempre informar os interesses legítimos do controlador ou de terceiro que justificam o tratamento, bem como de que tais interesses sejam considerados igualmente na avaliação das medidas preventivas para fazer face aos riscos.

Outro artigo que reflete a preocupação da GDPR com a melhor delimitação do interesse legítimo é o 40, que, ao tratar dos códigos de conduta, entende que um dos pontos a serem explicitados por tais instrumentos é a especificação do que pode ser considerado legítimo interesse dos responsáveis pelo tratamento em contextos específicos (art. 40, 2, b).

Na LGPD, o único artigo que parece demonstrar uma preocupação diferenciada em relação à questão do interesse específico parece ser o 37, quando afirma que “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.” Todavia, como tal dever não diz respeito a nenhuma especificidade das situações decorrentes de interesses legítimos de controladores ou terceiros – já que o dever de manter registro das operações é extensivo a toda forma de tratamento de dados, qualquer que seja a finalidade -, acaba não trazendo nenhuma novidade.

Como se pode observar, a questão do interesse legítimo dos controladores é um dos pontos mais delicados da LGPD pois, a depender da amplitude da sua compreensão, pode-se mitigar, por completo, aquela que deveria ser a regra no tratamento de dados, ou seja, o consentimento do titular.

Contudo, interpretada a regra em conformidade com os princípios previstos na LGDP, entende-se que, especialmente em face do princípio da finalidade², a legitimidade do interesse do controlador ou de terceiros não pode ser realizada sem a avaliação não apenas da sua necessidade, como também dos impactos dos seus efeitos sobre os direitos dos titulares de dados.

Por fim, ainda resta mencionar o inciso X, do art. 7º, da LGPD, que prevê a legitimidade do tratamento de dados para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Trata-se de dispositivo que, reconhecendo as peculiaridades da proteção do crédito, ressalta a necessidade de observância das regras específicas do assunto, embora a questão já viesse dando margem a muitas controvérsias e discussões sob a luz das normas específicas e consumeristas³.

Baixe aqui o texto completo da LGPD e o texto do Diário da União.

LEI No 13709 14-08-2018 – Diário Oficial da União – Lei Proteção de Dados

Diario da União – Lei de Privacidade 14-08-2018

————————————–

Por: Ana Frazão – Sócia do Gustavo Tepedino Advogados. Professora de Direito Civil e Comercial da UnB. Ex-Conselheira do CADE.

Fonte: Jota.info