O legítimo interesse não é um cheque em branco para tratar dados pessoais

Em dúvida se o banco pode tratar os seus dados para proteção ao crédito e prevenção a fraudes sem o seu conhecimento? Se a empresa pode levantar o seu histórico profissional ou os seus antecedentes antes de uma contratação?  Ou enviar e-mail marketing sem que você tenha feito o opt-in?

Diz a nossa Lei Geral de Proteção de Dados (a LGPD) que as organizações, públicas ou privadas, só podem tratar dados pessoais se tiverem uma base legal para fazê-lo. Ao todo, a lei estipulou 10 bases legais para o tratamento dos dados triviais, aqueles que não se enquadram na categoria de dados sensíveis (aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético e por aí vai).

Nenhuma dessas bases legais vale mais do que as outras, mas duas são consideradas importantes pilares para todo o arcabouço legal: o consentimento e o interesse legítimo.

Sobre consentimento já tratamos aqui. Sobre o legítimo interesse, também convém derrubar alguns mitos correntes no mercado sobre a sua aplicação.

"Até porque tem muita gente tratando o legítimo interesse como um cheque em branco. Definitivamente, não é", afirma Enrico Roberto, pesquisador do InternetLab.

Muita gente acredita que, por ser a base mais flexível, o legítimo interesse pode ser usado para qualquer finalidade no tratamento dos dados triviais, o que não é verdade. Ele também está longe de ser a base legal de aplicação mais simples. Ao contrário. Quem optar por justificar o tratamento dos dados pessoais através do interesse legítimo da prestação de um serviço, estará assumindo obrigações prévias e responsabilidades extras quanto a considerar e proteger os direitos e os interesses dos donos (no juridiquês, titulares) dos dados.

"O usuário é o rei dos seus dados", diz Marcel Leonardi, consultor na Pinheiro Neto Advogados, lembrando que o legítimo interesse é considerada a base mais flexível por poder ser aplicada para muitas atividades. "Mas é também a mais complexa, com exigências muito maiores, justamente para se evitar o oba-oba na sua aplicação", conclui.

Há consenso de que o legítimo interesse deverá ser a base legal mais aplicada no Brasil, a exemplo do que vem acontecendo na Comunidade Europeia, segundo Renato Leite Monteiro, professor e fundador do Data Privacy Brasil.

"São pouquíssimas as situações em que, se bem fundamentado por teste de proporcionalidade e relatório de impacto, o legítimo interesse não poderá ser utilizado", diz ele. "Entre outras coisas porque ele permite o uso dos dados para novas finalidades sem que haja a necessidade de uma interação prévia com o dono do dado, agilizando o desenvolvimento de negócios. Mas, sim, o legítimo interesse é também a base legal que impõem mais obrigações a quem vai fazer uso dos dados".

"Dos 110 projetos de adequação à LGP que o meu time vem cuidando, diria que 30% a 40% estarão usando o legítimo interesse", afirma Marcelo Crespo, doutor em direito, sócio do PG Advogados. "Mas como estamos falando de grandes empresas, B2B, muitas deles multinacionais, também vamos usar muito as bases de obrigação legal, execução de contratos, proteção ao crédito. O consentimento a gente tem evitado, por que é traiçoeiro, muito fácil de ser revogado".

Renato Leite concorda e ressalta que as organizações que queiram usar o legítimo interesse como justificativa para o tratamento de dados pessoais têm muito trabalho pela frente, começando por avaliar se é realmente a melhor opção.

"Com poucas exceções, como no caso do poder público e do tratamento dos dados sensíveis, a lei não vai apontar qual base legal a organização precisará usar para tratar dados pessoais. Em algumas situações, pode ser até que mais de uma base legal possa ser aplicada. E isso é muito comum acontecer com o consentimento e com o legítimo interesse. Mas é preciso escolher por uma delas", comenta Renato.

Há vantagens e desvantagens em cada uma delas. No consentimento, em sua forma tradicional, o que acontece é que quem precisa dos dados para operar (no juridiquês, o controlador) transfere o risco para o dono do dado (no juridiquês, o titular). Significa que no momento em que concordamos com o uso dos nossos dados passamos a assumir os riscos das consequências daqueles usos para os quais demos nossa anuência.

"Ao optar pelo legítimo interesse, quem assume todos os riscos é justamente o controlador dos dados, aquele que vai fazer uso deles", explica Renato. "Por isso o controlador vai ter que fazer o exercício de ponderação, fundamentar a decisão de se valer da base legal do legítimo interesse, implementar uma série de salvaguardas para garantir o uso adequado dos dados e implementar todas as medidas para mitigar os possíveis riscos aos direitos fundamentais dos donos do dados. Inclusive o de ter errado no exercício de proporcionalidade", completa.

E é aí que as dificuldades começam a aparecer

À luz da LGPD, nem todo interesse do controlador é legítimo. Por isso, aplicar o legítimo interesse não é fácil. Falta objetividade à lei para calibrar os parâmetros que serão usados para definir que o legítimo interesse foi corretamente aplicado. Tarefa que deve ser assumida pela Autoridade Nacional de Proteção de dados (ANDP).  "Caberá a ela dar as diretrizes de como aplicar o legítimo interesse, especialmente por ser uma cláusula mais ampla", pondera Marcelo Crespo.

"A LGPD fala em apoio e promoção das atividades do controlador. Algo amplo e genérico. Qualquer empresa, de uma telecom a um supermercado, vai ter que tratar questões de marketing, análise de mercado… Situações que muitas vezes podem acabar sendo violadoras da privacidade. Dizer pura e simplesmente que o legítimo interesse funciona para tudo no marketing, por exemplo, pode ser um tiro no pé", pondera Marcelo Crespo.

Lá na Europa, a Consideranda 47 do GDPR (uma espécie de exposição de motivos) afirma ser possível usar o legítimo interesse para marketing direcionado, direto e indireto. "Especialmente se já houver uma relação prévia do controlador com o titular dos dados", diz Crespo.  Ou seja se eu tenho um carro de uma determinada marca, e a montadora fabricante do carro lança um novo modelo, é legítimo que ela queira me informar sobre isso.

Mas também  é possível usar o legítimo interesse para a prospecção de novos clientes, com os quais o controlador ainda não tenha nenhum relacionamento, desde que seja dado ao futuro cliente a possibilidade de se recusar a ser contactado novamente, lembra Marcel.

"A gente não tem outra opção na LGPD a não ser enquadrar a prospecção de clientes no legítimo interesse com a opção de opt-out. Na Europa, os reguladores também estão admitindo essa possibilidade de primeiro contato", afirma Marcel.

Se o titular do dado usar o opt-out, significa que ele tem uma expectativa negativa em relação às mensagens do controlador. Portanto, só desse ponto em diante o uso do legítimo interesse fica inviabilizado.

"Nosso problema é que ainda não temos uma exposição de motivos da LGPD que nos ajude a interpretar a lei", comenta Crespo.

Outra situação exemplar, em relação a essa zona cinzenta de interpretação da lei para aplicação do legítimo interesse é a do background check, ou seja, a realização de uma verificação de antecedentes.

"Embora a gente entenda ser possível fundamentar o background check na LGPD como legítimo interesse, há um fator limitador que vem da interpretação mais restrita da Justiça do Trabalho de que essa prática não pode ser aplicada a toda e qualquer função, só para aquelas de confiança", diz Crespo.

Nesse, assim como em vários outros casos, será necessário ir além da LGPD e considerar outras legislações para balizar a atividade de tratamento dos dados.

O teste de proporcionalidade é a chave

Por outro lado, é possível extrair da LGPD um teste de proporcionalidade de quatro fases (legitimidade, necessidade, balanceamento e salvaguardas), que serve para justificar a escolha do legítimo interesse como a base legal adotada.

Para entender melhor, vamos pegar o caso clássico de tratamento de dados pessoais para a prevenção de fraude.

Prevenir fraudes no Brasil é algo lícito. Portanto, esse tratamento de dados é legítimo. Também é algo concreto, que precisa acontecer, porque a empresa tem que proteger o seu negócio e seus cliente e parceiros. Primeira fase atendida, comenta Renato.

Ah! Os interesses legítimos podem ser seus próprios interesses ou de terceiros. Eles podem incluir interesses comerciais, interesses individuais ou benefícios sociais mais amplos.

Além disso, é preciso verificar o princípio da necessidade, que determina que só podem ser tratados aqueles dados pessoais estritamente necessários para aquela finalidade.

"E aí é preciso pontuar que existe uma diferença muito grande entre dados úteis e dados necessários. O controlador precisa fazer um exercício interno para identificar quais dados são realmente necessários. E, em algumas situações, se a coleta pode ser considerada intrusiva", alerta Renato. "Por exemplo, o controlador pode querer colocar chip em todo mundo e câmeras de vigilância em todos os ambientes e isso ser considerado intrusivo por existirem outras formas de fazer a prevenção à fraude", completa. Se conseguir razoavelmente o mesmo resultado de outra maneira menos intrusiva, o interesses legítimo não se aplica.

É importante lembrar que, nessa fase, entra também a verificação da existência de alguma outra legislação que seja mais adequada, bem como a análise das outras bases legais. "No nosso exemplo de prevenção à fraude, não se aplica o consentimento, a execução de contrato ou qualquer uma das outras bases legais. Então o legítimo interesse possa ser a base legal mais adequada", explica Renato.  Portanto, tudo ok na segunda fase também.

A terceira fase é a do exercício do balanceamento, que conta com dois elementos muito importantes: o teste de expectativa e o exercício de mitigação de violação de direitos. É preciso equilibrar os interesses do controlador dos dados com os do indivíduo titular do dado. Se ele não espera razoavelmente o processamento, ou se o tratamento dos dados ferir alguns de seus direitos e liberdades fundamentais, é provável que os interesses do titular se sobreponham aos interesses legítimos do controlador.

"Vamos supor que você tenha feito uma viagem, tenha esquecido de avisar à administradora do seu cartão e ele tenha sido bloqueado. Com isso, você tenha tido alguns dos seus direitos restringidos, como a liberdade de fazer uma compra. A operadora de cartão tem a obrigação de oferecer meios de desbloqueio imediato, após a comprovação de que é você mesmo que está fazendo uso do cartão. Que não se trata de uma fraude", explica Renato.

Para cada direito e liberdade fundamental do titular que o controlador identificar que possa ser impactado, ele tem obrigação de propor alguma solução para mitigar esse impacto.

'Essa, a meu ver, é a fase mais importante", comenta Renato. "Se o controlador conseguir impedir que haja violações ou impactos aos direitos e liberdades fundamentais dos titulares dos dados, são pouquíssimas as situações em que ele não conseguirá aplicar o legítimo interesse", reafirma ele. "No meu entender, mais forte que o exercício da expectativa é o de evitar que direitos e liberdade dos titulares sejam impactados ou limitados de maneira desproporcional".

A última fase é a das salvaguardas, no qual o controlador precisa provar para a autoridade, quando requisitado, que está resguardando todos os direitos dos titulares previstos na LGPD. Aqui entra a transparência. O controlador precisa garantir que o titular dos dados tenha acesso aos dados dele, se ele quiser.  Receba uma explicação convincente quando quiser saber como os seus dados estão sendo tratados. E possa se opor ao tratamento que está sendo feito dos seus dados. Portanto, precisa implantar procedimentos que deem possibilidade dos titulares exercerem seus direitos.

"Também será preciso garantir que os titulares tenham direito a portabilidade e a apagar seus dados se eles assim desejarem", lembra Enrico. "O coração da lei é dar aos titulares poder sobre os seus dados. Não é o legítimo interesse que vai afastar isso".

São poucas as situações nas quais os titulares dos dados não vão poder se opor ao tratamento de seus dados. Essas exceções, segundo Renato, estão relacionadas aos chamados interesses prevalecentes (ou seja, aqueles nos quais o interesse do controlador ou o da sociedade vão prevalecer sobre os dos titulares em se opor aquele tratamento, como no caso da prevenção à fraude).

"Além disso será necessário implementar salvaguardas de segurança da informação, para evitar riscos de acesso não autorizado de terceiros aos dados sob a sua guarda e, sempre que possível, implementar técnicas de anonimização.

Por fim, essas quatro fases precisam ser documentadas, em um teste de legítimo interesse, que serve para justificar a opção por essa base legal para a ANPD.

"Já existem ferramentas no mercado que ajudam a realizar esse teste de proporcionalidade para cada atividade de tratamento de dados. Nós, la no Data Privacy Brasil, desenvolvemos uma metodologia para isso também e temos ensinado a aplicá-la", diz Renato.

Portanto, tenha em mente que se você for um controlador de dados pessoais e tiver decidido usar o legítimo interesse para justificar o tratamento desses dados, você deverá que estar preparado a prestar contas ao titular do dado e ao órgão regulador. Mantenha um registro da sua avaliação de interesses legítimos para ajudá-lo a demonstrar conformidade, se necessário.

A LGPD diz claramente que a ANPD pode requisitar ao controlador de dados um relatório de impacto ao verificar os impactos sobre o tratamento de dados pessoais quando a base legal for o legítimo interesse. "Então o controlador ainda terá que definir como será esse relatório de impacto, se ele será feito previamente ou a posteriori, só no momento da requisição", diz Renato.

"E esse é um ponto de atenção. Ao contrário do GDPR, a lei brasileira chamou tudo de relatório de impacto. Ele é algo muito mais completo que o teste de proporcionalidade. E muito detalhado, no sentido de que é preciso saber quais mecanismos administrativo, técnicos e operacionais foram implementados para mitigar riscos", comenta Marcel Leonardi. "Na Europa você não precisa desse relatório específico. Basta o LIA, Legitimate Interests Assessment", diz ele.

Por conta disso, alguns setores que tinham se animado com o legítimo interesse, como o financeiro, já estão reavaliando essa opção e olhando para outras saídas.

"No setor financeiro hoje o oba-oba está na proteção ao crédito. Algo que eu considero um perigo, porque ainda ninguém sabe muito bem como funciona. Não é uma base legal que exista no GDPR que a gente consiga ter uma referência. Mas o pessoal está optando por ela porque no legítimo interesse tem um muitos de obrigações", afirma Marcel Leonardi.

E o Marketing Digital?
Aqui também há o problema recorrente de confundir a LGPD com o GDPR. Nossa lei é mais flexível que a europeia em relação a essa atividade, segundo os quatro.

"Quando a gente fala de Marketing Digital na Europa a gente não está falando só do GDPR. Está falando também da ePrivacy Directive, da EU Cookie Directive, da Directive on privacy and electronic communications, que aportam regras específicas para o tratamento de dados para fim de publicidade. Elas dizem que são pouquíssimas as situações nas quais a empresa pode usar outra base legal que não o consentimento", comenta Renato.

Vamos precisar do consentimento para o marketing direcionado? Na LGPD provavelmente em um menor número de situações que no GDPR.  "Aqui, a legislação mais próxima das diretivas europeias mencionadas é o Marco Civil da Internet", lembra Renato.

Provavelmente vamos ter um rol maior de atividades  de marketing digital enquadradas no legítimo interesse do que na Europa.  Mas tudo vai depender da ANPD . Caso elas opte por diretrizes e recomendações mais restritivas, o cenário pode ser outro.

"Se a autoridade não viabilizar o enquadramento da prospecção no legítimo interesse, o marketing digital vai ficar prejudicado", diz Marcel.

Ao visitarmos qualquer página com publicidade na internet hoje, ela está contribuindo para construção do nosso perfil. Cada portal da Internet hoje tem de diversas empresas  rastreando a nossa navegação. Muitas nunca nem ouvimos falar. Será necessário consentir em cada ponto da cadeia da mídia programática?

"Não tem condições, muito provavelmente a justificativa será mesmo o legítimo interesse. O problema aí será outro. Em que medida está sendo dada transparência para essas atividades?", argumenta Marcel. "O pessoal se esquece que o princípio de qualquer lei de proteção de dados é a transparência. Mesmo que o controlador não precise da permissão do titular, será preciso dar transparência para todo o processo. Avisar em algum lugar o que está acontecendo. E é aí que começa o debate sobre se o tipo de aviso que está sendo dado é bom o ruim", completa.

Alguns informam o que fazem nas próprias políticas de privacidade, outros nos termos de uso… "O que eu tenho gostado de ver como boa prática é a explicação do legítimo interesse e dos motivos de terem optado por ele", diz Marcel, citando a Refinitiv e o Spotify como referência. De certa maneira, essas duas empresas fizeram questão de deixar públicas as suas práticas, respeitando o princípio de clareza e previsibilidade para o titular dos dados.

Isso vale também para todos os sistemas automatizados, de Inteligência Artificial e Machine Learning que se alimentam de dados pessoais.

"O titular tem sempre o direito de entender quais são os ingredientes que o controlador está usando para tratar seus dados, ainda que ele não enxergue a fórmula", conclui Marcel. "Ele quer saber os critérios, o que está sendo levado em consideração… me lembro muito dos tempos do Google, sobre os resultados de busca. Posso dizer o que estou considerando, mas não como a máquina decidiu por apresentar esse e não aquele resultado. Encontrar essa sintonia é importante. Até por isso alguns pesquisadores começam a falar em direito de inferências justas".

Na opinião de Enrico tem outra questão importante também. "Têm que existir também formas de o titular solicitar a suspensão de uso e a exclusão de seus dados em toda a cadeia, e isso ainda não está rolando na prática".

Problemas vão existir. Vai ter gente fazendo mau uso dos dados? Vai. Vai ter gente recebendo dados secundários que não deveria receber e acabar responsabilizado por isso? Vai.

"O legítimo interesse em uso secundário vai ser um problemão", alerta Marcel. "É fácil o titular dizer que tem o legítimo interesse para a atividade principal. Mas e para a atividade secundária? Como ele vai justificar isso? O usuário sabe que seus dados estão sendo usados para montar um perfil de publicidade, mas aí alguém dentro da empresa resolve usar os mesmos dados para outras finalidades, sem informar… Os desafios são imensos", explica Marcel.

De fato…

E faltam só 11 meses para a LGPD entrar em vigor!