A Lei Geral de Proteção de Dados (LGPD), lei 13.709 de 2018, determina, no caput de seu art. 7º, que o tratamento de dados pessoais somente poderá ser realizado nas dez hipóteses que elenca1. Trata-se do que se denomina de enquadramento da hipótese de tratamento de dados pessoais em base legal adequada.
A necessidade de fundamentar adequadamente o tratamento dos dados pessoais em base legal é um traço característico do que se poderia denominar de escola de proteção de dados com raízes europeias, a qual se filia a disciplina de proteção de dados existente no Brasil. Daniel Solove chega a afirmar que uma das distinções das leis europeias acerca da temática, quando comparadas com as norte-americanas, é a de que as europeias exigem uma base legal para que o dado pessoal possa ser tratado, enquanto que nos Estados Unidos, como regra geral, o tratamento poderá ser realizado, a menos que determinada lei especificamente proíba a atividade2.
Pela dicção da LGPD, o agente de tratamento de dados pessoais terá o ônus de fundamentar as suas operações de tratamento de dados pessoais num dos incisos do art. 7º. Esses incisos contemplam as variadas autorizações para o tratamento dos dados pessoais: desde o clássico consentimento (inciso I), passando pelo cumprimento de obrigação legal ou regulatória pelo controlador (inciso II), bem como uma das bases legais mais desafiadoras ao controlador, que é o denominado interesse legítimo (inciso IX).
E a pergunta que se coloca é a de se o controlador dos dados pessoais estará obrigado a enquadrar cada operação de tratamento de dados pessoais em apenas uma única base legal ou se haverá a possibilidade de enquadrar em mais de uma. Exemplificando, poderá o controlador fundamentar o tratamento na base legal da execução contratual e ao mesmo tempo se valer do interesse legítimo?
Trata-se de indagação de alto interesse prático, pois a nova legislação brasileira passou a exigir um padrão de atuação dos agentes de tratamento de dados pessoais baseado na atuação preventiva e em boas práticas, dentre as quais se encontra o percurso de um iter concatenado de passos para implementar as diretrizes legais. E, nesse iter, encontram-se as etapas do mapeamento de processos de tratamento de dados pessoais (por exemplo para a admissão de um colaborador em determinada organização), e, num momento posterior, a do mapeamento dos dados pessoais que são tratados (no mesmo exemplo, chega-se á conclusão de que são tratados diversos dados pessoais como nome, endereço, foto da pessoa, CPF, RG entre outros). E, no âmbito do mapeamento dos dados pessoais, o controlador deverá explicitar qual a base legal (ou as bases legais) que fundamenta(m) a operação de tratamento de cada dado ou conjunto de dados pessoais.
Antes de se realizar a análise da LGPD, propõe-se rápido exame do Regulamento Geral de Proteção de Dados Europeu (GDPR). E, neste ponto, faz-se o necessário alerta de que a regra europeia pode servir de base de estudo e reflexão, mas no contexto brasileiro é imperioso que sejam desenvolvidas análises adequadas do direito positivo brasileiro em vigor, tanto da LGPD quanto das regras setoriais, se for o caso, bem como de nosso ordenamento jurídico como um todo, evitando-se a importação de conceitos que tenham disciplinas distintas da legislação europeia, como é o caso, entre outros exemplos, da figura do legítimo interesse.
O dispositivo do GDPR análogo ao art. 7º da LGPD, que dispõe sobre as bases legais, determina, em seu art. 6 (1), que "o tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:". Consoante se depreende da literalidade do texto do GDPR, não haveria maiores dúvidas em apontar que há uma abertura de sua redação para que mais de uma base legal seja eleita pelo controlador, haja vista e emprego da expressão "pelo menos uma". Muito embora seja esse o teor do principal artigo referente a bases legais no GDPR, a leitura dos considerandos3 relativiza o conteúdo do dispositivo mencionado.
Nessa ordem de ideias, o Considerando 40 estabelece "Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento do titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro(...)". Ne mesma linha, o art. 13 (1) (c) prevê que "Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe, quando da recolha desses dados pessoais, as seguintes informações: (...) c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;"4. O emprego, no Considerando 40, das expressões “ou noutro fundamento legítimo” e no art. art. 13 (1) (c): “(...) bem como o fundamento jurídico para o tratamento”, denota a intenção do dispositivo de que apenas uma base legal seja utilizada pelo controlador.
Na doutrina alemã, Jan Phillip Albrecht, nos comentários ao GDPR organizados por Simitis, Hornung e Spiecker, ao se debruçar sobre a questão, indica que apenas uma das bases legais elencadas no art. 6 (1) deve ser apontada pelo controlador5. Peter Gola, por outro lado, defende a interpretação literal do dispositivo, no sentido de que pelo menos uma das bases legais deverá ser eleita pelo controlador6.
Em complemento, um outro dispositivo do GDPR indica que efetivamente é permitido ao controlador enquadrar o tratamento de dados pessoais em mais de uma base legal7. Cuida-se do art. 17 (1) (b), que trata das ocorrências em que o titular poder requerer ao controlador o denominado apagamento de seus dados pessoais. Nesse contexto, a norma estabelece que o titular poderá revogar o seu consentimento no qual se baseia o tratamento dos dados pessoais, caso não exista outro fundamento jurídico, leia-se, base legal, para o referido tratamento.
Em síntese, pode haver certa divergência acerca da questão no âmbito do GDPR, mas existem autorizadas interpretações no sentido da possibilidade de que os controladores trabalhem com mais de uma base legal, o que é confirmado pela Autoridade de Proteção de Dados do Reino Unido na última edição de seu manual8.
Quando se volta a análise para a LGPD, e se examina o artigo pertinente, verifica-se que sua literalidade é diferente do GDPR: "Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses". Não há, na literalidade da lei brasileira, comando expresso para que apenas uma base legal seja adotada quando do tratamento de dados pessoais.
Recentemente, no Tratado de Proteção de Dados Pessoais, Mario Viola e Chiara Spadaccini de Teffé9 defenderam que, no âmbito da LGPD, existe a possibilidade de que ocorra "o encaixe do tratamento em pelo menos uma das hipóteses legais para que ele seja considerado legítimo e lícito, sendo possível inclusive cumular as mesmas, assim como no GDPR".
Há que se considerar que, efetivamente, o entendimento mais adequado, de acordo com a redação da LGPD, é o de que é possível ao controlador de dados pessoais fundamentar o tratamento em mais de uma base legal.
Primeiramente, porque não há a restrição no texto da lei. Quisesse o legislador limitar a fundamentação das operações de tratamento a apenas uma base legal, teria de expressar a exigência no caput do art. 7º, a partir do emprego de outra redação, como a seguinte: "Art. 7º O tratamento de dados pessoais somente poderá ser realizado de acordo com uma das seguintes hipóteses".
Em segundo lugar, não parece razoável, a priori, o entendimento de que a opção por mais de uma base legal viole a principiologia e o espírito da LGPD. Neste ponto, não se pode olvidar que a boa-fé (na posição preferencial do caput do art. 6º da LGPD) é o princípio chave para aferir em que hipóteses o controlador elege mais de uma base legal como mera medida de salvaguarda, na ideia de prevenir por prevenir, e sem maiores cuidados, uma eventual contestação por parte da Autoridade Nacional de Proteção de Dados, por outros órgãos de poder ou prejudicados, ou quando existe efetivamente uma insegurança concreta enfrentada pelo controlador quando do enquadramento ou até mesmo a convicção de que a operação em questão efetivamente possa ser compatibilizada com mais de uma base legal.
Tudo dependerá da análise da documentação que respalda a específica operação de tratamento de dados pessoais em que o controlador fundamenta em mais de uma base legal. Recorde-se, quanto a isso, de um dos mais relevantes princípios da LGPD, que é o do art. 6º, X, responsabilização e prestação de contas, sendo o qual é exigida, a "demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas".
A atuação conforme a boa-fé, como se sabe, e como a longa tradição do Direito Civil nos ensinou10, é aquela que se coaduna com um padrão objetivo de conduta pautado por elementos como coerência, lealdade, fidelidade, não surpresa e atendimento das expectativas alheias. No caso, de nada vale o controlador indicar em sua documentação uma segunda base legal a fundamentar o tratamento de determinado dado pessoal, se finalidades não são explicitadas, restam ocultas e vêm a surpreender ou de alguma prejudicar o titular de dados pessoais.
Nesse ponto, a escolha de uma segunda base de tratamento clama pela observância de outro princípio da LGPD que é o princípio da transparência11. É imperioso que o controlador atue indicando os dados efetivamente coletados, as finalidades específicas, se haverá o uso secundário e qual a sua finalidade. No caso de uma das bases legais escolhidas recair sobre o legítimo interesse12, dever-se-á adotar a metodologia adequada, com o emprego do teste de proporcionalidade. Nessa hipótese, o dever prévio de fundamentação é ainda mais reforçado, e, em virtude do previsto no art. 10, § 3º, da LGPD, "A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial".
Em síntese, pode-se concluir que é razoável a interpretação do caput do art. 7º da LGPD, no sentido de que seja permitido o enquadramento da operação de tratamento de dados pessoais em mais de uma base legal. A aferição de se o controlador fará uso adequado de mais de um dos incisos do art. 7º, é esforço a ser empreendido, no caso concreto, na atuação da Autoridade Nacional de Proteção de Dados, de eventuais titulares de dados pessoais que tenham seus direitos violados, e, de um modo geral, dos atores que tenham a função de valorar o comportamento daqueles que realizam o tratamento.
Os parâmetros de aferição de se a escolha da base legal é adequada podem ser extraídos do conjunto das regras da LGPD, com especial atenção aos princípios, valendo citar a boa-fé, a finalidade, a adequação, a transparência e a responsabilização e prestação de contas.
Fabiano Menke é advogado e consultor jurídico em Porto Alegre, professor associado de Direito Civil da Faculdade de Direito e do programa de pós-graduação em Direito da Universidade Federal do Rio Grande do Sul – UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS. Membro Fundador do Instituto Avançado de Proteção de Dados – IAPD . Instagram: menkefabiano.
__________
1 São as seguintes as bases legais do Art. 7º da LGPD: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
2 SOLOVE, Daniel J. "Introduction: Privacy Self-Management and the Consent Dilemma." Harvard Law Review, vol. 126, nº 7, Maio 2013, p. 1880-1903. HeinOnline.
3 Como se sabe, e consoante a técnica legislativa dos textos legais editados no âmbito da União Europeia, o GDPR contempla uma lista de cento e setenta e três considerandos sobre o conteúdo de suas regras, com a função de auxiliar o intérprete. Os considerandos não têm função vinculativa, como a pesquisa de Carlos Affonso Souza, Christian Perrone e Eduardo Magrani aponta, devendo ser dado destaque à decisão referida pelos autores do Tribunal de Justiça da União Europeia, Caso 215/88 Casa Fleischhandels, 1989. ECR 2789, parágrafo 31. SOUZA, Carlos Affonso; PERRONE, Christian; MAGRANI, Eduardo. O Direito à explicação entre a experiência europeia e a sua positivação na LGPD. In: Tratado de Proteção de Dados Pessoais. BIONI, Bruno Ricardo; DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JR, Otavio Luiz. (Org.), São Paulo: Editora Forense, 2021, p. 243-270.
4 Na versão em inglês do GDPR é empregada a expressão "as well as the legal basis for the processing".
5 ALBRECHT, Jan Philipp. Comentário Art. 6 DSGV. In: SIMITIS, Spiros; HORNUNG, Gerrit; SPIECKER, Indra. (Org.): Datenschutzrecht: DSGVO mit BDSG. Nomos: Baden-Baden, 2019, p. 401.
6 GOLA, Peter. Datenschutz-Grundverordnung VO (EU) 2016/679 - Kommentar. Beck: Munique, 2017, p. 199.
7 Quem nos chamou a atenção para o dispositivo específico no âmbito do GDPR foi o Professor Gerrit Hornung, da Universidade de Kassel, no âmbito de troca de impressões acerca da temática com o subscritor do presente artigo.
8 Conferir o Guia, a partir da p. 49. Como se sabe, depois do Brexit, o GDPR foi incorporado ao direito de proteção de dados inglês, e, na prática, há pouca diferença entre as regras de proteção de dados inglesas, quando comparadas às da União Europeia.
9 VIOLA, Mario; TEFFÉ, Chiara Spadaccini de. Tratamento de Dados Pessoais na LGPD: estudo sobre as bases legais dos artigos 7º e 11. In: BIONI, Bruno Ricardo; DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JR, Otavio Luiz. (Org.). Tratado de Proteção de Dados. 1ed.São Paulo: Editora Forense, 2021, p. 117-148.
10 E, no ponto, remetemos o leitor tanto aos trabalhos de Clóvis do Couto e Silva, quanto aos de Judith Martins-Costa e Claudia Lima Marques, juristas que, como poucos, souberam traduzir em palavras o conteúdo e a metodologia adequada para operar a boa-fé objetiva. COUTO E SILVA, Clóvis do. O princípio da boa-fé no Direito brasileiro e português. In: FRADERA, Vera Maria Jacob. O Direito Privado brasileiro na visão de Clóvis do Couto e Silva. Porto Alegre: Livraria do Advogado, 1997, p. 33-58; MARTINS-COSTA, Judith. A boa-fé no direito privado: sistema e tópica no processo obrigacional. São Paulo: Revista dos Tribunais, 1999, e, da mesma autora, A boa-fé no direito privado: critérios para a sua aplicação. São Paulo: Marcial Pons, 2015. MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor. 9. ed. rev. e atual. São Paulo: Revista dos Tribunais, 2019.
11 VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
12 JOELSONS, Marcela. O legítimo interesse do controlador no tratamento de dados pessoais e o teste de proporcionalidade. Revista de Direito e as Novas Tecnologias, v. 8/2020, Jul-Set, p. 11430.