Privacidade: proibição de divulgação de restrições creditícias de motoristas profissionais
O tratamento de dados conduzido pela gestora de riscos não estaria em conformidade com a LGPD na medida em que os dados não poderiam ser considerados como dados tornados manifestamente públicos pelo titular, motivo pelo que não se enquadrariam na dispensa do consentimento.
segunda-feira, 28 de março de 2022
Atualizado às 14:16
Desde a entrada em vigor da lei 13.709/18, a Lei Geral de Proteção de Dados Pessoais ("LGPD"), empresas de todos os setores têm sido obrigadas a adaptar seus processos e atividades afim de garantir a sua conformidade com as regras trazidas por tal ordenamento.
Recentemente, a Subseção I Especializada em Dissídios Individuais do Tribunal Superior do Trabalho se deparou com uma questão afetada diretamente por fundamentos da LGPD, em Ação Civil Pública em que se discute a possibilidade de uma empresa de gerenciamento de riscos incluir em seu banco de dados informações sobre restrições creditícias de motoristas profissionais afim de permitir que potenciais empregadores tenham acesso a tais informações previamente à contratação do profissional para realizar uma avaliação do potencial impacto nas relações de seguro de cargas.
Em decisão publicada no dia 25 de fevereiro de 2022, o órgão determinou a abstenção de utilização de bancos de dados para prestação ou busca de informações sobre restrições creditícias impostas sobre motoristas de cargas. Esta decisão levou em consideração, inicialmente, a previsão do art. 13 da lei 11.442/07, que determina a vedação da utilização de informações de bancos de dados de proteção ao crédito como mecanismo de vedação de contrato com o transportador autônomo de cargas ou empresa de transporte rodoviário de cargas devidamente regulares para o exercício de suas atividades. Nesse sentido, entendeu-se que esta atividade de verificação prévia de crédito para contratação de profissionais seria discriminatória, e que, portanto, não encontraria respaldo no ordenamento jurídico.
Quanto à utilização de dados pessoais neste contexto, o julgador entendeu que o cadastro, público ou não, de informações de restrição de crédito destinam-se exclusivamente à proteção de crédito por bancos, particulares e associações comerciais, e que, portanto, não poderiam ser utilizadas para a finalidade de auferimento e gestão de riscos, considerando-se, assim, a finalidade do tratamento dos dados pessoais como discriminatória, situação expressamente contrária ao princípio da não discriminação previsto no inciso IX do art. 6º da LGPD.
A decisão se respalda, ainda, no parágrafo 3º do art. 7º da LGPD, que determina que: "o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização", entendendo-se que a utilização do cadastro para qualquer outro fim que não a proteção ao fornecimento de crédito, salvo autorizado por Lei, seria ilegal.
Muito embora os dispositivos mencionados sejam, efetivamente, aplicáveis ao caso em tela, é importante distinguir os diferentes papéis assumidos pelos agentes de tratamento de dados pessoais envolvidos nesta atividade em cada etapa do tratamento de dados pessoais. Considerando que os dados são coletados de forma autônoma e independente pela gestora de riscos, que, posteriormente, compartilha com seus clientes para utilização para suas próprias finalidades internas, fica claro que as partes atuam como controladoras independentes de dados pessoais, havendo entre elas independência de suas respectivas responsabilidades no tocante ao tratamento conduzido por cada uma.
Em havendo separação das responsabilidades e autonomia na determinação do tratamento de dados, não é possível afirmar que a gestora de riscos, em suas atividades de coleta, compilação e processamento dos dados comete qualquer ato discriminatório, na medida em que não utiliza tais dados para a tomada de decisões, ação esta de potencial discriminatório que fica a cargo dos clientes da gestora de riscos.
Uma vez afastado o entendimento de que o tratamento de dados pessoais pela gestora de riscos tem caráter discriminatório, é necessário avaliar se tal tratamento é conduzido em observância às demais regras impostas pela LGPD, em especial, em relação à previsão do parágrafo 3º do art. 7º, ou seja, a adequação do tratamento às finalidades legítimas, a boa-fé e interesse público, ou ainda, a previsão do artigo 6º, que abrange os princípios que devem ser observados pelos agentes de tratamento, tal como a necessidade e adequação do tratamento com as finalidades informadas ao titular. Sob este aspecto, é necessário, novamente, distinguir o tratamento de dados conduzido pela gestora de riscos e por seus clientes, na medida em que a gestora somente poderia ser responsabilizada pelas atividades por si conduzidas, ou seja, o acesso aos dados pessoais de acesso público e seu processamento.
Enquanto empresa cuja atividade se baseia, essencialmente, na pesquisa e organização de dados, a gestora de riscos presta serviço de grande relevância ao mercado, desempenhando seu papel na garantia da segurança das relações comerciais, e consequentemente, do crédito, que, em sentido amplo, se refere à instituição geral que afeta à população como um todo, de forma que a sua garantia opera benefícios à favor do interesse público, e, em sendo uma atividade lícita com finalidade legítima que não infringe, por si só, quaisquer dispositivos legais, não pode ser considerada como uma afronta ao princípio da boa-fé.
Há ainda, dentre a argumentação formulada na decisão, a indicação de que os dados pessoais referentes a informações de restrição de crédito seriam considerados como dados pessoais sensíveis, na medida em que tais dados tem potencial caráter discriminatório, de forma que estariam sujeitos à maior rigor legal no tocante ao seu tratamento. Este argumento não encontra respaldo jurídico, na medida em que a LGPD, através do inciso II de seu art. 5º, apresenta um rol taxativo (e não exemplificativo) de dados que devem ser considerados como dados pessoais sensíveis, ou seja, o fato de um dado ter potencial caráter discriminatório não é suficiente para o enquadramento de tal dado nesta categoria de dados sensíveis, especialmente considerando-se que, do contrário, caso o critério para referido enquadramento fosse o mero potencial discriminatório, haveria grande insegurança jurídica aos agentes de tratamento de dados pessoais nas atividades de tratamento de quaisquer dados pessoais, pois, na medida em que lhes é conferido o status de dado sensível, tais dados passam a requerer maior cautela e especial atenção para garantia do cumprimento dos requisitos legais de seu tratamento.
Outro argumento apresentado pela decisão ora comentada é de que o tratamento de dados conduzido pela gestora de riscos não estaria em conformidade com a LGPD na medida em que os dados não poderiam ser considerados como dados tornados manifestamente públicos pelo titular, motivo pelo que não se enquadrariam na dispensa do consentimento prevista no parágrafo 4º do art. 7º da LGPD. Embora os dados pessoais tratados neste contexto possam não ser, efetivamente, enquadrados na dispensa do referido artigo, a LGPD apresenta, ainda, nove outras bases legais que legitimam o tratamento de dados pessoais aplicáveis nos casos em que não há consentimento do titular, tal como o legítimo interesse (art. 7º, inciso IX) ou a proteção do crédito (art. 7º, inciso X), de forma que a simples ausência do consentimento do titular para o tratamento dos dados pessoais não implica, automaticamente, na ilegalidade do tratamento de dados pessoais, sendo possível, ainda, o enquadramento da atividade de tratamento em alguma das outras bases legais previstas.
Por todo o exposto, fica claro que, não obstante à necessidade de garantia do direito à privacidade e adequação às previsões legais sobre o tratamento de dados pessoais, não é razoável determinar a proibição da execução de uma atividade comercial legítima, em descumprimento à livre iniciativa garantida pelo artigo 170 da Constituição Federal, com fundamento no resguardo da privacidade dos titulares de dados pessoais sem que sejam avaliados, especificamente em relação a cada agente de tratamento de dados pessoais: (i) a adequação do tratamento de dados pessoais aos princípios legais da LGPD; (ii) o enquadramento do tratamento de dados realizado pelo próprio agente de tratamento em uma das bases legais previstas; e (iii) a garantia dos direitos do titular previstos pela LGPD; pois do contrário, a aplicação da LGPD poderia, desnecessariamente, se tornar um entrave para o exercício legítimo de atividades comerciais lícitas em favor da tutela altamente protetiva ao direito de privacidade.