Aos que atuam com privacidade na prática, é muito corriqueiro ouvir que “não se deve usar o consentimento, pois dessa forma o titular é empoderado” ou que “o legítimo interesse é uma carta branca para as organizações e pode ser utilizado para facilitar os caminhos”. Sim, caro leitor, se você não estudou privacidade a fundo e não souber utilizar as bases legais estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18, em algum momento essas afirmações podem fazer sentido.
O grande detalhe aqui é: a LGPD, em seu artigo 7º, trata sobre as hipóteses de tratamento que permitem o regular tratamento de dados pessoais e, em seu artigo 11, as bases que justificam o tratamento de dados pessoais sensíveis. Se a lei elenca essas bases, todas elas podem e devem ser utilizadas, a fim de buscar o equilíbrio nas relações entre os titulares e as organizações.
Não faz o menor sentido, como profissionais de privacidade, recomendarmos a não utilização de uma dessas bases, de forma seca e fria. Essa atitude, inclusive, beiraria a arrogância. Quantas vezes, em nosso dia a dia de trabalho, três pessoas diferentes analisam a mesma situação e citam bases legais diferentes?
Desacredita? Basta verificar o nível das discussões sobre a atualização de contratos com relação à LGPD. Encontramos as mais diversas interpretações, diariamente, sobre quem seria Controlador ou Operador, naquela relação, e qual hipótese justificaria o tratamento para cada parte. Sim, essa é a rotina dos profissionais de privacidade, em uma área nova e a ser desbravada dentro do cenário jurídico nacional.
A melhor recomendação é: conheça o contexto, pois cada caso será um caso. Ler a lei e falar sobre a teoria é sempre muito fácil, mas a vida prática tem nos mostrado que as coisas não são tão simples. Hoje, falar em privacidade e proteção de dados no Brasil ainda é novidade, e não temos jurisprudência suficiente para podermos responder todo e qualquer tipo de pergunta. As respostas veem com o trabalho diário, a troca de ideias e conhecimentos, muito estudo e bom senso.
Não podemos simplesmente dizer que a base X ou a base Y é proibida. Devemos analisar caso a caso e compreender qual a melhor saída para que as relações tenham continuidade e equilíbrio. Como estudiosos e profissionais da área de privacidade é nossa obrigação passar as informações lógicas e corretas para todos.
Em alguns momentos, a LGPD é taxativa:
Exemplo no caso de consentimento:
Art. 8º O consentimento previsto no inciso I do art. 7º desta lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
- cumprimento de obrigação legal ou regulatória pelo controlador;
- tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- proteção da vida ou da incolumidade física do titular ou de terceiros;
- tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
- garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Exemplo no caso de legítimo interesse:
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - Apoio e promoção de atividades do controlador; e
II - Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Lembrando, sempre, que a base de legítimo interesse não pode ser utilizada para o tratamento de dados pessoais sensíveis!
Ok, após os exemplos acima citados, agora raciocinemos como titular, que todos somos, ainda que as empresas esqueçam disso, em determinados momentos:
Eu sou o titular dos dados, eu sou o dono dos meus dados, e nada mais justo do que eu escolher como e quando eles podem ser usados. Justíssimo! Se eu opto por não receber mais e-mails de marketing, é um direito meu. Se, em algum momento, eu consenti que usagem minha imagem e minha voz e agora, mudei de ideia, também é um direito meu. Sem contar todos os direitos que posso exercer com base no artigo 18 da lei.
Ah, e o tema mais legal: cookies! Sim, pode-se usar a base legal de consentimento, desde que haja uma gestão. Aos poucos que tem preferência pela base de consentimento, não se permitam esquecer: não há uso de consentimento sem gestão, sem organização e sem evidência. O titular precisa saber como o dado será tratado, dar seu consentimento e a empresa precisa lidar com isso de forma estruturada, caso contrário, o insucesso é garantido.
Aceitem: a privacidade é um direito constitucional, fundamental, e precisa ser preservada a todo custo!
O que muitas pessoas esquecem é o real objetivo da LGPD, já destacado em seu artigo 1º, qual seja: “Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
Como diziam os antigos, não tem choro nem vela, privacidade deve ser respeitada ou haverá consequências. E ponto.
Dessa vez, pensemos como uma organização:
O intuito de toda empresa é lucrar, como bem todos sabemos. E sim, todos gostamos e precisamos de dinheiro, não há como negar. A LGPD não veio para atrapalhar a continuidade dos negócios de nenhuma organização, ela apenas traz regras que pretendem trazer equilíbrio na relação titulares e agentes de tratamento.
Posso utilizar o legítimo interesse? Claro! Sempre? Claro que não! Por isso a lei elenca as regras, a fim de evitar o excesso de discricionariedade.
Posso fazer campanha de marketing, como base no legítimo interesse e usar opt-out? Sim, posso. Posso usar legítimo como base para cookies? Sim, desde que haja transparência com o titular e ele consiga escolher suas preferências. Posso utilizar legítimo interesse como base de processos de realização de backup, formatação de máquinas, utilização de câmeras de segurança, dentre outros? Posso, desde que eu consiga justificar a legitimidade daquele tratamento.
O ponto fundamental é: eu, como empresa, preciso respeitar as legítimas expectativas, os direitos e as liberdades dos titulares.
O que não pode ocorrer: “ah, não tenho base para usar, usarei legítimo interesse e alegarei qualquer motivo”. Não, porque como diz Arnaldo Cézar Coelho, a regra é clara e deve ser cumprida. O descumprimento da LGPD, poderá acarretar sanções financeiras e reputacionais e trazer muito mais prejuízos do que benefícios para a organização.
E como facilitar esse caminho? Fazendo um teste de balanceamento, conhecido como LIA (Legitimate Interests Assessment) e elaborando o famoso RIPD (Relatório de Impacto à Proteção de Dados Pessoais). O LIA é boa prática trazida da União Europeia, já o RIPD, é mencionado na LGPD, em seu artigo 10, § 3º: “A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”.
E percebam que, tanto a ideia é justamente evitar o abuso de direito (de ambas as partes, diga-se de passagem) que o artigo que trata de legítimo interesse menciona os princípios da necessidade e da transparência, do artigo 6º, ou seja, a base de toda lei.
Há empoderamentos para ambos os lados, no entanto, utilizar da transparência, da boa-fé e adotar medidas de segurança são meios que colaboram para o equilíbrio da relação, a manutenção da confiança entre as partes e para a continuidade dos negócios.
Diante desse pequeno relato, é essencial não se esquecer que: temos que usar as bases corretamente, cumprindo o que dispõe a lei, tanto para a regra como para as exceções. Reiteramos que, há 10 hipóteses de tratamento e todas podem ser utilizadas de acordo com o tipo de tratamento a ser realizado.
Pode parecer repetitivo, mas privacidade e proteção de dados, atualmente, ainda é um trecho cinza, com lacunas, que só serão supridas através de muito estudo, debates saudáveis e bom senso.
E, por favor, tenhamos sempre em mente: o que a gente minimiza é o uso de dados pessoais, para evitar prejuízos, e não as possibilidades e hipóteses de tratá-los de forma regular!