Interesses legítimos: quando os dados pessoais são tratados sem consentimento do usuário

No próximo dia 25 de maio entrará em vigor na União Europeia o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR) o qual substituirá a atual Diretiva Europeia 95/46/CE para atualizar e uniformizar as regras sobre a proteção de dados pessoais a serem observadas por todos os países-membros da União Europeia.

Um dos pontos polêmicos do GDPR refere-se à previsão de autorização para tratamento de dados pessoais quando necessário para atender aos interesses legítimos do responsável pelo tratamento ou terceiro.

Esta previsão já existia na Diretiva Europeia e também é amplamente discutido no âmbito dos projetos de lei brasileiros sobre o tema, razão pela qual se faz de suma importância para o Brasil a observação dos desdobramentos da experiência europeia neste assunto, a fim de definir uma melhor formatação da matéria no futuro marco regulatório brasileiro.  

Antes de avançar no tema, importante ressaltar que não há no GDPR nenhuma definição do que vem a ser “interesses legítimos”. Este hiato conceitual é proposital e visa manter essa fundamentação jurídica com significação ampla, flexível e de aplicação concreta. O intuito desta previsão legal é, justamente, manter seu caráter casuístico e maleável para que possa abarcar situações infindáveis que não poderiam ser previstas uma a uma na lei.

Com o desenfreado desenvolvimento tecnológico, o fundamento dos interesses legítimos acaba por alcançar uma ampla gama de atividades de processamento de dados que podem surgir ao longo do tempo, por força dos avanços de inovação que estão em constante ascensão.

Situações nas quais o tratamento de dados se faz indispensável, mas não possui previsão autorizadora correspondente no GDPR, fazem com que o responsável pelo tratamento tenha de recorrer ao consentimento do usuário para poder tornar lícito o tratamento de seus dados.

Ocorre que, em alguns cenários, é desarrazoado e importunador exigir do titular dos dados constantes e infinitos registros de consentimento e, do lado do responsável pelo tratamento, esta dinâmica pode dificultar ou mesmo inviabilizar o desenvolvimento de novos modelos de negócio. Neste contexto, o ideal é que o responsável pelo tratamento invoque e comprove a necessidade de aplicação do interesse legítimo para justificar o tratamento de dados pessoais, o que, ao contrário do que se possa imaginar, é uma tarefa bastante árdua.

Como exemplo prático de tratamento de dados baseado nos interesses legítimos é possível citar a personalização de ofertas com base na análise de dados de clientes. Outro exemplo é a transferência bancária. Um correntista do banco A destinatário de transferência bancária de correntista do banco B, embora não tenha autorizado o tratamento de seus dados, tem suas informações como nome, CPF, agência e conta armazenados no arquivo de dados do banco B para sua própria segurança. A ausência de um fundamento jurídico para tratar esses dados poderia obstaculizar a dinâmica do negócio, o qual é benéfico para ambas as partes e torna sustentável o sistema de proteção de dados criado pelo GDPR.

Embora útil e necessário, apoiar o tratamento de dados pessoais com base no argumento de interesses legítimos é extremamente desafiador. Isso porque esta hipótese não pode ser tida como um “cheque em branco” ou uma brecha legislativa para justificar todo e qualquer tratamento de dados que não possua outra base legal autorizadora. Esta fundamentação não pode ser considerada uma autorização genérica. Muito pelo contrário. Sua aplicação deve ser rígida e muito bem justificada e balizada sob pena de cometer abusos, invadir a privacidade dos titulares e tornar inócuas as disposições do Regulamento.

Em que pese o GDPR não traga em seu bojo detalhes sobre como se dá a análise da correta aplicação dos interesses legítimos em casos concretos, o Article 29 Working Party, grupo de trabalho que se dedica à elaboração de pareceres que visam nortear a aplicação de disposições legais, elaborou um estudo, compilado no documento intitulado como Parecer 06/2014[1], o qual traça diretrizes e orientações para aplicação dos interesses legítimos como fundamento para tratamento de dados pessoais.

Em suma, o Parecer 06/2014 propõe que, antes de mais nada, seja verificado se existem, de fato, interesses legítimos em jogo. Esses interesses devem ser reais e atuais, não sendo admitidos interesses demasiados vagos e especulativos. Convencidos de que se está diante de interesses legítimos, passa-se à aplicação do chamado “balancing test” ou “teste de ponderação” entre os interesses legítimos do responsável pelo tratamento (ou terceiro) e os interesses ou direitos e liberdades fundamentais do titular dos dados.

Para efetivar este balanceamento, deve-se verificar se além do interesse privado do responsável, existem interesses coletivos que reforçam a necessidade do tratamento de dados, além de se certificar se nenhuma das outras hipóteses de tratamento previstas poderia melhor se encaixar ao caso concreto. Deve-se ter em conta, também, as expectativas razoáveis do titular, a natureza dos dados e a forma de tratamento, além de ser indispensável a elaboração de relatório de impacto à privacidade do titular. Também devem ser adotadas medidas para garantir a transparência do processo, fornecendo mecanismos eficazes para que o usuário possa se opor ao tratamento.

Como visto, é nítida a complexidade na aplicação dos interesses legítimos como fundamento legal para tratamento de dados pessoais. 

As empresas que processam dados com base nesta hipótese devem adotar o máximo de cautela para mitigar o risco de ilicitude no tratamento eis que os critérios utilizados para validar a aplicação são deveras subjetivos e passíveis de verificação pelo órgão regulamentador competente. Apesar disso, a manutenção dos interesses legítimos como hipótese autorizadora do tratamento de dados pessoais é medida indispensável para trazer segurança jurídica e equilíbrio entre a proteção à privacidade e a intimidade e o desenvolvimento econômico e inovação.

[1] Apesar deste parecer ter sido elaborado para nortear a aplicação da hipótese de interesses legítimos prevista na Diretiva Europeia 95/46/CE, seu estudo também se aproveita para a previsão de “interesses legítimos” no GDPR.

Data da conclusão/última revisão: 1/5/2018