Apontamentos sobre as Guidelines 01/2024 Comitê Europeu de Proteção de Dados em relação ao legítimo interesse no tratamento de dados pessoais
sexta-feira, 22 de novembro de 2024
Atualizado em 21 de novembro de 2024 14:55
Visando regulamentar com maior precisão o Artigo 6.º, n.º 1, "f", do Regulamento Geral sobre a Proteção de Dados da União Europeia (2016/679(EU), ou RGPD), o Comitê Europeu de Proteção de Dados (European Data Protection Board, EDPB) publicou e passou a adotar, a partir de 8 de outubro de 2024, suas Guidelines 01/20241. O conteúdo do documento diz respeito ao tratamento de dados pessoais com base em interesses legítimos do controlador ou de terceiros.
Anteriormente, o tema era avaliado a partir da Opinion 2014-06, emitida pelo Grupo de Trabalho do Artigo 292, antecessor do Comitê Europeu de Proteção de Dados, que abordou o conceito de "interesses legítimos" do controlador como uma base legal para o processamento de dados pessoais sob a antiga Diretiva 95/46/EC. Essa opinião foi fundamental para definir diretrizes e critérios que, posteriormente, foram refinados e incorporados ao RGPD com o Artigo 6.º, n.º 1, "f", que estabelece o interesse legítimo como uma das possíveis hipóteses de lastro para o tratamento de dados pessoais3.
Já era de amplo conhecimento a posição do Grupo de Trabalho do Artigo 29 no sentido de que o interesse legítimo deve ser interpretado de forma restrita e que o controlador precisa cumprir três requisitos para justificar o tratamento de dados pessoais com base nessa base legal: primeiro, a existência de um interesse legítimo que seja específico, atual e não conflituoso com a lei; segundo, a necessidade de processamento para alcançar esse interesse, sem outras alternativas menos invasivas; e terceiro, o equilíbrio entre o interesse do controlador e os direitos e liberdades dos titulares de dados. Esses requisitos foram denominados "teste de três etapas" e visavam garantir uma análise cuidadosa e fundamentada antes de se optar pelo interesse legítimo como base legal4.
A opinião de 2014 também destacou a importância de controlador documentar o processo de avaliação do interesse legítimo, a fim de cumprir com o princípio da "responsabilização" (accountability) e estar preparado para demonstrar a legalidade do tratamento de dados, se necessário, em fiscalizações, auditorias e até mesmo para o atendimento de ordens judiciais. Além disso, recomendou-se que os controladores fornecessem informações claras e transparentes aos titulares dos dados sobre a base legal de interesse legítimo, promovendo a transparência e fortalecendo a confiança no uso dos dados.
Outro ponto importante abordado foi o contexto e o impacto do tratamento de dados para os titulares. A Opinion 2014-06 reconheceu que o impacto pode variar de acordo com a tipologia dos dados tratados, a natureza da relação entre controlador e titular, e as expectativas razoáveis dos titulares em relação ao tratamento. Situações envolvendo certas categorias de dados pessoais (como os genéticos, biométricos e os relativos à saúde do titular) ou em que os titulares sejam vulneráveis (como crianças) exigem uma análise ainda mais rigorosa e, potencialmente, salvaguardas adicionais para garantir a proteção dos direitos fundamentais dos titulares.
Tratou-se, portanto, de um relevante marco inicial para estabelecer entendimento uniforme sobre o interesse legítimo, promovendo o uso dessa base legal de forma equilibrada e responsável. A partir de agora, entretanto, as Guidelines 01/2024 do EDPB atualizam e expandem os conceitos apresentados na Opinion 06/2014 e incorporam desenvolvimentos normativos e jurisprudenciais ocorridos desde 2014, incluindo decisões recentes do Tribunal de Justiça da União Europeia (TJUE) que influenciam a interpretação do RGPD. Por exemplo, a decisão no caso C-252/21, de 4 de julho de 2023, forneceu esclarecimentos adicionais sobre a aplicação do Artigo 6.º, n.º 1, "f" e foi considerada nas novas orientações.
Além disso, as Guidelines 1/2024 oferecem uma análise mais detalhada dos critérios que os controladores devem atender para processar dados pessoais com base em interesses legítimos, enfatizando a necessidade de: (i) identificar claramente o interesse legítimo perseguido; (ii) avaliar a necessidade do tratamento para alcançar esse interesse; (iii) realizar um balanceamento entre o interesse do controlador e os direitos dos titulares dos dados.
A propósito, o Capítulo III das Guidelines 01/2024 é inteiramente dedicado à avaliação da relação entre o legítimo interesse e o repertório de direitos do titular de dados na União Europeia. Esses direitos, que vão desde a transparência até a restrição de tratamento, não apenas reafirmam o controle dos indivíduos sobre seus dados, mas impõem ao controlador a obrigação de respeitar e viabilizar seu exercício, mesmo quando o legítimo interesse é invocado como base legal. Neste sentido, a transparência, como um princípio central, garante que os titulares compreendam claramente como seus dados são utilizados, possibilitando uma participação ativa e informada no processo de gestão dos dados que lhes dizem respeito.
A falta de transparência compromete a confiança dos titulares e enfraquece o direito fundamental à proteção de dados, ao passo que a disponibilização de informações detalhadas e acessíveis permite que os titulares exerçam com propriedade os direitos que lhes são atribuídos.
Destacam-se alguns direitos, como o direito de acesso, que permite ao titular requisitar ao controlador informações específicas sobre os dados armazenados e a lógica do processamento, conferindo ao titular não apenas um instrumento de informação, mas também uma ferramenta de verificação do cumprimento da legislação. Na relação desse direito com o legítimo interesse, o controlador deve ir além de uma justificativa genérica e expor claramente o equilíbrio entre seus interesses e os direitos do titular, tornando este direito um pilar da transparência e da accountability no tratamento de dados.
Já o direito de oposição reflete a capacidade do titular de interferir diretamente no tratamento de seus dados, especialmente quando este se baseia no interesse legítimo. Neste caso, cabe ao controlador interromper o tratamento ou, alternativamente, apresentar provas de que razões legítimas superiores justificam a sua continuidade, o que reforça a proteção dos interesses dos titulares.
O direito de apagamento possibilita ao titular solicitar a exclusão de seus dados pessoais em situações nas quais o legítimo interesse deixa de ser aplicável, como ocorre com a retirada do consentimento. Esta prerrogativa representa um limite ao controle do controlador sobre os dados, impondo a ele a obrigação de garantir o respeito ao desejo do titular, salvo em situações excepcionais, como a necessidade de preservação dos dados para defesa em litígios.
Em relação às decisões automatizadas e ao perfilamento, o RGPD reconhece que o uso de algoritmos e processamento automatizado pode impactar significativamente os direitos dos titulares. Por fim, os direitos de retificação e de restrição de tratamento oferecem ao titular o poder de corrigir dados imprecisos e de limitar o processamento em casos de controvérsia.
No Capítulo IV das Guidelines 01/2024 é possível notar uma preocupação com contextos nos quais o legítimo interesse é usualmente invocado, o que contribui eficazmente para a clarificação das nuances relativas a essa base legal em situações práticas. No tratamento de dados de crianças, as Guidelines enfatizam uma abordagem diferenciada e protetiva. Considerando a vulnerabilidade e a menor compreensão que as crianças possuem em relação aos riscos associados ao uso de seus dados, exige-se dos controladores um cuidado especial e a adoção de medidas adicionais. A aplicação do legítimo interesse nesses casos requer que o controlador realize uma avaliação detalhada, que evidencie a supremacia dos direitos da criança e que evite repercussões negativas em seu desenvolvimento e segurança.
Em se tratando de autoridades públicas, as Guidelines claramente limitam a aplicabilidade do legítimo interesse. Para as autoridades, que geralmente dispõem de bases legais específicas, o interesse legítimo não se aplica de maneira automática, a menos que estejam agindo fora de suas funções públicas regulares. A prevenção de fraudes, por sua vez, emerge como um contexto no qual o interesse legítimo é amplamente reconhecido. Esse tipo de tratamento de dados representa um exemplo claro de benefício mútuo: ao proteger o controlador e os titulares dos dados de atividades ilícitas, como fraudes, garante-se a integridade das operações e a segurança dos dados pessoais.
Outro ponto relevante é o marketing direto, no qual o interesse legítimo pode ser invocado, desde que respeitados os limites impostos pela legislação específica, que em certos casos exige o consentimento prévio do titular. No âmbito corporativo, o compartilhamento de dados para fins administrativos internos dentro de grupos empresariais é uma situação em que o legítimo interesse pode ser reconhecido, pois otimiza processos internos e fortalece a integração entre subsidiárias e filiais, exige que os controladores adotem transparência e clareza, especialmente no que se refere às expectativas dos titulares.
No campo da segurança de redes e informações, o interesse legítimo é interpretado com amplitude, uma vez que a proteção contra ataques cibernéticos e acessos não autorizados reveste-se de alta importância. A natureza desse tratamento transcende o benefício individual da organização e visa a proteção coletiva, garantindo a confiabilidade e segurança de sistemas que processam dados pessoais. Esse contexto, assim, justifica a relevância do interesse legítimo como meio de garantir a estabilidade e resiliência dos sistemas de informação.
Finalmente, a transmissão de dados para autoridades competentes em situações que envolvem crimes ou ameaças à segurança pública é abordada como uma necessidade legítima. Todavia, mesmo nesses casos, o documento enfatiza a necessidade de uma avaliação criteriosa que considere a proporcionalidade e a adequação do tratamento. O compartilhamento de dados pessoais deve ser conduzido com responsabilidade e em conformidade com as leis de proteção de dados aplicáveis, assegurando que o interesse legítimo não se sobreponha aos direitos e liberdades fundamentais sem justificativa adequada.
Em conclusão, as Guidelines 01/2024 representam um avanço significativo em relação à Opinion 2014-06, ao atualizarem o entendimento sobre o interesse legítimo no tratamento de dados pessoais no contexto do RGPD. Com uma metodologia de avaliação mais detalhada e uma análise contextual de cada cenário de tratamento, o EDPB busca garantir que o uso do interesse legítimo seja alinhado aos princípios de transparência, necessidade e proporcionalidade.
Esse avanço europeu é de suma importância para o Brasil, pois oferece uma referência robusta para o desenvolvimento e a aplicação prática da Lei Geral de Proteção de Dados Pessoais (LGPD). É preciso elogiar o labor da Autoridade Nacional de Proteção de Dados (ANPD) brasileira, que lançou recentemente o seu Guia Orientativo sobre a Base Legal do Legítimo Interesse5, que visa orientar a aplicação responsável dessa base legal, de modo a equilibrar os interesses dos agentes de tratamento com os direitos fundamentais dos titulares, mas o acompanhamento detido das diretrizes europeias pode viabilizar aperfeiçoamento ainda maior de suas práticas e fortalecer a segurança jurídica no tratamento de dados para criar uma cultura de proteção de dados alinhada aos melhores padrões globais.
__________
1 EUROPEAN DATA PROTECTION BOARD. Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR. Bruxelas: EDPB, 2024. Disponível aqui. Acesso em: 14 nov. 2024.
2 ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. Bruxelas: European Commission, 2014. Disponível aqui. Acesso em: 14 nov. 2024.
3 GOMES, Rodrigo Dias de Pinho. Legítimos interesses na LGPD: trajetória, consolidação e critérios de aplicação. Indaiatuba: Foco, 2024, p. 88-91.
4 PIVETO, Lucas Colombera Vaiano. Art. 10. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.) Comentários à Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018). 2. ed. Indaiatuba: Foco, 2024, p. 117-118.
5 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo sobre a Base Legal de Legítimo Interesse. Brasília: ANPD, 2024. Disponível aqui. Acesso em: 14 nov. 2024.