[especial] O que pode autorizar o tratamento de dados pessoais?

InternetLab Reporta 12.07.2016 por Juliana Ruiz

ILAB_5-EM-5_03_

Como dito ontem, para reforçar a importância da discussão sobre o Projeto de Lei de Proteção de Dados Pessoais e para fomentar consolidação de ambiente propício para inovação e o avanço da efetivação de direitos fundamentais em tempos de Internet, o InternetLab lançou a Semana Especial de Proteção de Dados Pessoais.

Serão 5 temas centrais da lei em 5 dias, com comentários de representantes do setor privado, da academia e da sociedade civil. Hoje, o segundo tema será sobre fatores que podem autorizar o tratamento de dados pessoais. O primeiro pode ser acessado aqui.

 

O que pode autorizar o tratamento de dados pessoais?

Atualmente, parte relevante da economia gira em torno da coleta, tratamento e comercialização de dados pessoais. Não obstante, o Brasil ainda não possui lei geral para regulamentar esse tipo de atividade. Com consultas públicas organizadas pelo Executivo e diferentes projetos de lei propostos no Legislativo, se consolida, nos últimos anos, o consenso de que é importante estabelecer um marco legal, com regras que permitam proteger direitos fundamentais (como a proteção da vida privada, intimidade e sigilo das comunicações e a não discriminação entre elas) e garantir segurança jurídica para os operadores de tratamento de dados pessoais. A tarefa, entretanto, não é simples e demanda muita discussão (como foi mapeado aqui pelo InternetLab).

Uma regra básica a ser pensada é, exatamente, “o que pode autorizar o tratamento de dados pessoais?“. Construído pelo Executivo a partir de consultas públicas na Internet com a participação de setores interessados diversos, o Projeto de Lei de Proteção de Dados (PL 5.276/2016) estabelece um arranjo para responder tal pergunta em seu art. 7o. No primeiro inciso deste artigo, prevê-se que o titular (ou seja, o dono) deve dar seu consentimento para que seus dados sejam processados, de maneira livre, informada e inequívoca. Isso significa que a pessoa autoriza o tratamento de determinados dados após ter recebido informações suficientes para formar sua opinião – quais as condições de tratamento? Há comercialização ou informação de dados para terceiros?

Em 2015, durante o debate público feito na Internet, o Poder Executivo incluiu no projeto de lei uma hipótese adicional que autoriza o tratamento de dados pessoais, o “legítimo interesse” do responsável. O conceito foi incluído no texto para autorizar determinadas situações nas quais o consentimento não precisaria ser emitido. São situações nas quais não é necessário perguntar ao cidadão ou cidadã se aquele tratamento pode ser realizado, pois, segundo o artigo 10 do projeto, ele deve contemplar as suas “legítimas expectativas”. Conceito presente nas regras europeias de proteção de dados, tal hipótese concentrou preocupações de diferentes setores, conforme os comentários abaixo.

 

PERGUNTAS AOS SETORES – Como deve ser a lei nesse ponto?

Dentre as hipóteses que autorizam o tratamento de dados pessoais, o PL 5.276/2016 inclui os interesses legítimos do responsável ou de terceiro. Durante o processo de debate, a inclusão do dispositivo gerou controvérsia na medida em que, para alguns críticos, a exceção abre caminho para abusos. Qual a sua avaliação sobre esse dispositivo? Na sua interpretação, quais circunstâncias poderiam estar abarcadas por essa exceção?

 

Veridiana Alimonti (Intervozes)

Veridiana Alimonti é formada pela Faculdade de Direito da Universidade de São Paulo e mestre em direito econômico pela mesma instituição com projeto voltado ao estudo das políticas de comunicação no Brasil. Foi advogada e pesquisadora do Instituto Brasileiro de Defesa do Consumidor (Idec) com atuação específica na área de telecomunicações e Internet. Até 2015, esteve como uma das representantes o terceiro setor no Comitê Gestor da Internet no Brasil (CGI.br) e faz parte do Comitê de Defesa dos Usuários dos Sereiços de Telecomunicações (CDUST), da Agência Nacional de Telecomunicações (Brasil). Atualmente faz parte da coordenação executiva do Intervozes.

É preciso ter bastante cuidado ao prever como uma exceção à regra geral do consentimento para o tratamento de dados pessoais o “legítimo interesse” do responsável por esse tratamento ou de terceiro. Na prática, isso pode significar uma autorização genérica para todo o tipo de tratamento, com os mais variados fins, sem qualquer controle ou conhecimento do titular dos dados. Por outro lado, não podemos descartar circunstâncias em que o exercício de direitos ou a prevenção de danos dependa desse tratamento sem que seja possível obter o consentimento do titular. Um exemplo é o uso de dados bancários dos clientes, pelas próprias instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem que haja consentimento expresso do titular dos dados. Contudo, de forma geral, as demais exceções previstas no art. 7º do PL de Proteção de Dados já parecem abarcar boa parte do que poderia se enquadrar em tais circunstâncias, o que intensifica o cuidado necessário com mais essa ressalva.

Apesar disso, deve-se reconhecer que a inclusão da nova hipótese veio acompanhada de balizas fundamentais à sua aplicação, reduzindo o seu risco. Os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais devem prevalecer aos “legítimos interesses” do responsável ou de terceiros. Além disso, tal hipótese só poderá ser utilizada quando necessária e baseada em uma situação concreta, respeitando as finalidades inicialmente autorizadas pelo titular e as suas legítimas expectativas. O responsável pelo banco de dados deverá adotar medidas para garantir a transparência desse tipo de tratamento, fornecendo mecanismos eficazes para que os titulares se oponham a ele. A anonimização desses dados quando compatível com a finalidade do tratamento, nos termos do art. 10, §3º do PL, e a possibilidade de o órgão competente solicitar relatório de impacto à privacidade ao responsável pelo banco de dados completam esse conjunto de balizas. Cada uma delas é crucial para garantir que o sistema de proteção articulado no PL não vire “letra morta” diante de permissão genérica para o tratamento de dados.

 

Marcel Leonardi (Google Brasil)

Marcel Leonardi é Diretor de Políticas Públicas do Google no Brasil. Bacharel, Mestre e Doutor em Direito pela USP, com pós-doutorado pela Berkeley Law. Autor de “Responsabilidade Civil dos Provedores de Serviços de Internet”, “Tutela e Privacidade na Internet”, co-autor de “Responsabilidade Civil na Internet e nos demais meios de comunicação” e da obra coletiva “Marco Civil da Internet”. Professor de pós-graduação da FGV DIREITO-SP.

A inclusão da hipótese de interesses legítimos do titular ou de terceiro no projeto de lei reflete as práticas europeias existentes desde 1995, que serviram de inspiração para o legislador brasileiro e trazem a segurança jurídica necessária para que o tratamento de dados possa ser efetuado de modo seguro e lícito pelos responsáveis, sem onerar os titulares com a necessidade de manifestação de seu consentimento a cada instante, nem inviabilizar inovações e serviços cuja dinâmica não é sempre compatível com a obtenção de consentimento.

Vale lembrar que tanto na Diretiva Europeia 95/46/CE quanto no novo Regulamento Geral de Proteção de Dados (GDPR), o consentimento inequívoco do titular é apenas uma das modalidades que autorizam o tratamento de dados pessoais. Há diversas outras, tais como a execução de um contrato ou diligências prévias à formação de um contrato; o cumprimento de uma obrigação legal; a proteção de interesses vitais do titular e, também, a existência de interesses legítimos do responsável ou de terceiros.

Aliás, atualmente a principal modalidade de tratamento de dados pessoais no sistema europeu é justamente a existência de interesses legítimos do responsável ou de terceiros. Com isso, dados podem ser regularmente tratados, sem a necessidade de obtenção de consentimento, devendo o responsável fazer um balanceamento dos legítimos interesses que ele (ou terceiro) tenha com os interesses, direitos e liberdades fundamentais do titular dos dados.

Ao analisar especificamente a hipótese dos legítimos interesses, o grupo de autoridades de proteção de dados da Europa, conhecido como “Article 29 Working Party”, afirmou que essa modalidade de tratamento de dados estipula que o responsável faça um balanceamento (“balancing test”), entre seus interesses legítimos no tratamento dos dados e os interesses e direitos fundamentais do titular dos dados. O resultado desse balanceamento determina se os dados podem ou não ser licitamente tratados sem o consentimento do titular.

O Article 29 Working Party ressalta que esse balanceamento assegura aos responsáveis a flexibilidade necessária para efetuar o tratamento de dados nos casos em que não haveria impactos indevidos sobre o indivíduo em decorrência desse tratamento de dados. Por exemplo, o Article 29 Working Party considera que algumas atividades de marketing seriam permitidas, considerando esse balanceamento.

A importância do interesse legítimo fica ainda mais evidenciada quando se constata que o conceito tradicional de consentimento não é adequado para lidar com o tratamento de dados em larga escala (“big data”) nem com o cenário de novos dispositivos conectados (Internet das coisas).

Note-se que é ônus do responsável demonstrar que está fazendo uso da hipótese de legítimo interesse de modo adequado e por meio do devido sopesamento entre seus interesses e os direitos dos titulares. Potenciais abusos são rapidamente coibidos pelas autoridades responsáveis por zelar pela proteção de dados.

 

Vanessa Butalla (Serasa Experian)

Vanessa Butalla é Gerente Jurídica da Serasa Experian em São Paulo, onde é responsável pela área de regulamentação. Vanessa é Bacharela em Direito pela Universidade Presbiteriana Mackenzie e possui mais de 12 anos de experiência com temas relacionados a privacidade de dados e proteção de crédito, tendo participado de vários seminários e conferências no Brasil e no exterior.

A inclusão do legítimo interesse dentre as hipóteses que autorizam o tratamento de dados pessoais representou um grande avanço para o projeto de lei, alinhando-o à experiência internacional e estabelecendo o necessário equilíbrio entre proteção à  privacidade e à intimidade e o desenvolvimento econômico e inovação. É importante que uma nova lei assegure direitos efetivos aos titulares como medida de progresso, cuidando para que os potenciais prejuízos colaterais não sejam superiores aos benefícios que pretende gerar, e isso será possível a partir da inclusão do legítimo interesse no  rol de hipóteses que autorizam o tratamento de dados pessoais.

Portanto, a meu ver, essa exceção não abre caminho para abusos, mas sim para a sustentabilidade do sistema de proteção de dados pessoais tal como proposto no Brasil.

Para citar uma situação que entendo que estaria inserida na hipótese de legítimo interesse, vale indicar o tratamento das informações de clientes por uma empresa que lhes fornece serviços, mesmo que por terceiro por ela contratado, para promover melhorias em suas ofertas ao mercado. Há, inegavelmente, um legítimo  interesse desta empresa na constante melhoria de seus serviços a partir da experiência de seus clientes, sem que, com isso, possa causar-lhes qualquer  prejuízo.

 

Laura Schertel Mendes (Instituto Brasiliense de Direito Público – IDP)

É doutora summa cum laude em direito privado pela Universidade Humboldt de Berlim, mestre em “Direito, Estado e Constituição” pela Universidade de Brasília (UnB) e graduada em direito pela UnB. É diretora da Associação Luso-Alemã de Juristas (DLJV-Berlin) e membro do Grupo de Trabalho Consumo e Sociedade da Informação da Secretaria Nacional de Consumidor (SENACON) do Ministério da Justiça. Tem experiência nas áreas de direito civil, direito do consumidor e direito da concorrência, atuando principalmente nos seguintes temas: direitos da personalidade, proteção de dados pessoais, direito e internet, interface entre direito constitucional e direito civil, bem como políticas públicas na Sociedade da Informação. Gestora Governamental em exercício no Conselho Administrativo de Defesa Econômica – CADE.

A hipótese de tratamento de dados pessoais baseada nos interesses legítimos do responsável ou de terceiro é relevante, ao reconhecer que outras partes – além do próprio titular – podem ter interesses protegidos juridicamente no processamento, uso ou circulação de determinadas informações, como é o caso, por exemplo, do tratamento de dados pessoais realizado pelo empregador para o controle dos seus empregados.

Ocorre que tal cláusula não deve ser lida como uma válvula de escape geral, a partir da qual qualquer tratamento de dados pessoais passa a ser autorizada. Para que não se incorra nesse erro, dois aspectos devem ser considerados. Em primeiro lugar, o art. 7º, IX, impõe a realização pelo responsável – ou da autoridade competente, se for o caso – de uma ponderação de interesses e de direitos, a partir da qual se decidirá se há ou não interesse legítimo do responsável. Vejamos a redação da parte final dispositivo: “quando necessário para atender aos interesses legítimos do responsável ou de terceiro, exceto no caso de prevalecerem interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais” (grifo nosso). Fica claro, portanto, a necessidade de um balanceamento de interesses; na hipótese de prevalecerem os direitos do titular, o tratamento de dados baseado nesse dispositivo não está autorizado. O segundo aspecto consiste na norma prevista no art. 10 do PL, que prevê inúmeros requisitos para o tratamento baseado nos interesses legítimos: i) a adoção de medidas para garantir a transparência do tratamento baseado nessa hipótese e a possibilidade de o titular manifestar oposição ao tratamento; ii) a estrita necessidade como critério de legitimidade do tratamento de dados baseado nesse requisito e a necessidade de anonimização quando possível; iii) possibilidade da autoridade requisitar impacto de privacidade. Esse dispositivo é fundamental para a adequada aplicação da cláusula do legítimo interesse. Uma eventual interpretação por demais ampla da cláusula do legítimo interesse acabaria por descreditar a própria regra, além de pôr em xeque a sua constitucionalidade, por violação ao direito fundamental à intimidade e vida privada.

 

Equipe responsável pelo conteúdo: Dennys Antonialli, Francisco Brito Cruz, Beatriz Kira, Juliana Pacetta Ruiz e Fabiane Midori Nakagawa.

compartilhe