O tratamento de dados pessoais de praticamente todas as pessoas no mundo é um processo em constante aumento que traz facilidades e benefícios, mas que revela riscos quanto à privacidade dos titulares desses dados, principalmente porque pode limitar a autodeterminação informativa [1]. No âmbito das relações de consumo deve-se assegurar a efetividade dos direitos do consumidor no processo de tratamento de dados.

Antes da entrada em vigor da Lei 13.709 de 2018, a conhecida Lei Geral de Proteção de Dados (LGPD), o Código de Defesa do Consumidor (CDC) já abordava alguns aspectos sobre a proteção de dados, que ganhou sistematização e incrementação com a lei específica. A LGPD é norma que objetiva a proteção dos dados e não propriamente de seus titulares, não tem como foco o sujeito em si, ao contrário da norma consumerista. O CDC instituiu sistema principiológico com o desiderato de tutelar a pessoa que consome. Assim, o diálogo das fontes — expressamente previsto no artigo 64 da Lei 13.709/18 [2] — entre a LGPD e o CDC para a regulação da obtenção, tratamento e proteção de dados nas relações de consumo deve ser, na prática, uma combinação eficaz [3]. 

A LGPD dispõe sobre o tratamento de dados pessoais inclusive nos meios digitais com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural [4], [5]. O tratamento de dados, de acordo com o artigo 7º da referida lei, somente pode ser realizado em dez hipóteses, as chamadas bases ou autorizações legais.

A base legal preponderante do tratamento de dados é o consentimento dos titulares a quem deve ser fornecida a alternativa de consentir sobre a coleta e demais atos englobados na atividade de tratamento. O consentimento pode ser fornecido por escrito ou outro meio, de maneira destacada das demais cláusulas e deve ser específico para as finalidades pretendidas, cabendo ao controlador o ônus da prova sobre a conformidade de sua obtenção, vedado o tratamento mediante vício de consentimento [6].

O consentimento é um ato do titular cujo efeito será autorizar um determinado tratamento e fundamenta-se na possibilidade de autodeterminação em relação aos dados pessoais, da qual ele é instrumento por excelência [7]. Uma das preocupações fundamentais da disciplina da proteção de dados pessoais é que o indivíduo não seja manipulado e tenha o poder de decidir acerca da divulgação e utilização de seus dados [8].

Os demais incisos do artigo 7º da LGPD trazem hipóteses em que o tratamento independe de consentimento em razão de situação de necessidade ou impossibilidade de sua obtenção em tempo hábil em virtude das peculiaridades da situação ou do bem jurídico.

Uma das bases legais que demanda maior esforço hermenêutico e que suscita inúmeras dúvidas e reflexões é a do inciso IX do artigo 7º: o legítimo interesse do controlador ou de terceiro. Ao prever a possibilidade de tratamento de dados quando necessário para atender aos interesses da pessoa natural ou jurídica que tem o poder de decisão, a lei entrega um termo amplo, um conceito jurídico indeterminado.

É uma hipótese flexível cujo conteúdo e limites não são determinados a priori e sua caracterização depende da avaliação de sua conformidade. Seus efeitos jurídicos, entretanto, já estão previstos na lei e o aplicador deve apenas utilizar no fato concreto o elemento semanticamente vago para individualizar a hipótese abstrata. Diferentemente do que ocorre com as cláusulas gerais, que são normas que funcionam como válvulas de segurança, conferindo ao interprete o poder de construir o significado da norma [9].          

A necessidade de conferir-se segurança jurídica aos modelos de negócios baseados na utilização de dados e de fomentar-se o movimento de empreendedorismo e de inovação em casos de atividades empresariais que não se encaixariam nas demais bases legais são frequentemente citadas como justificativas para a opção legislativa de um conceito elástico [10].

Quais seriam, então, as características que concedem ao interesse a qualidade de legítimo? O artigo 10 da LGPD estabelece que o legítimo interesse do controlador somente poderá fundamentar o tratamento de dados para finalidades legítimas consideradas a partir de situações concretas [11]. O dispositivo traz um breve rol exemplificativo que engloba o "apoio e promoção das atividades do controlador e a proteção do exercício regular dos direitos dos titulares ou a prestação de serviços que o beneficiem, respeitadas as legítimas expectativas e direitos fundamentais". É uma sequência de conceitos subjetivos que compõe a base legal do tratamento de dados justificado pelo legítimo interesse do controlador.

A expressão "apoio e promoção das atividades" é ampla e pode abrir margem para a utilização do legítimo interesse para o tratamento de dados com as mais diversas finalidades, inclusive publicitárias. O respeito às legítimas expectativas funciona como óbice para que não seja violada a confiança que o consumidor deposita no fornecedor-controlador de dados e relaciona-se com os motivos da contratação [12].

As atividades de tratamento de dados, nos termos do artigo 6º da LGPD, deverão observar a boa-fé e os princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação e da responsabilização e prestação de contas. Os princípios da necessidade, da finalidade e da transparência são expressamente elencados nos parágrafos 1º e 2º do artigo 10 da lei e estabelecem que somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados e que o controlador deverá adotar medidas para garantir a transparência do tratamento baseado em seu legitimo interesse.

São medidas que objetivam proteger o efetivo controle dos dados pelo titular-consumidor e garantir a autodeterminação informativa, principalmente nos casos em que ao titular da informação não foi dado o direito de decidir sobre fornecê-lo ou não ou estabelecer os limites do consentimento. A autodeterminação informativa é direito fundamental autônomo que não se restringe à intimidade ou à vida privada, mas relaciona-se com qualquer violação do uso de informações ou dados do titular [13]. A adequação do tratamento de dados aos princípios norteadores da LGPD, portanto, indica um caminho para o reconhecimento da legitimidade do interesse. Essa via não é a única, porém.

A fiscalização do cumprimento da legislação de proteção de dados será feita pela Autoridade Nacional de Proteção de Dados. Observa-se que muitas das competências da ANPD relacionam-se com temas de defesa do consumidor, objetivando-se a atuação conjunta do órgão de proteção de dados com os Departamentos Estaduais de Proteção e Defesa do Consumidor (Procons), por exemplo [14].

A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados, quando o tratamento tiver como fundamento o legítimo interesse. O artigo 37 da LGPD ratifica a necessidade do controlador e do operador manterem registro das operações de tratamento principalmente quando baseado na hipótese do artigo 7º, inciso IX. Denota-se o caráter excepcional da hipótese, não somente em razão da ausência de consentimento, mas também diante da ausência de determinação objetiva de seus contornos e efeitos práticos. A fiscalização seria mais uma etapa do caminho para a averiguação da legitimidade do interesse.

O interesse em questão não se caracteriza como mera conveniência ou vantagem do controlador de dados. Há necessidade de observação da LGPD, considerando-se os já referidos princípios e os seus fundamentos. Ressalte-se também a necessidade de observância do CDC no caso de controlador-fornecedor que objetive o tratamento de dados com base em seu interesse. Ademais, o ordenamento jurídico como um todo deve ser cumprido, porquanto somente será legítimo o interesse que obviamente for lícito.

Os sistemas principiológicos das duas normas dão ferramentas para a verificação da legitimidade do interesse, servindo como vetor orientativo de aferição e impedindo a banalização da hipótese guarda-chuva, autorizada pela lei, mas com sua utilização condicionada a certos requisitos.

Na Europa, o legítimo interesse é também uma das bases legais para tratamento de dados e já se encontrava na antiga Diretiva 95/45/CE, mas sem critérios de aplicação, o que gerou muitas críticas, em virtude da insegurança que suscita. Para estudar o assunto, foi formado um grupo de trabalho, denominado grupo de trabalho do artigo 29 [15], que elaborou orientações sobre os fundamentos para o tratamento de dados, em especial o legítimo interesse. O resultado foi um parecer que sugere um teste de ponderação com quatro principais fatores para a aplicação do legítimo interesse e que pode servir de inspiração [16].

Resumidamente, pode- se afirmar que o primeiro passo é a avaliação do interesse da pessoa responsável pelo tratamento; o segundo é a verificação do impacto nas pessoas envolvidas; o terceiro, o exame do equilíbrio entre os interesses e o último, a análise de existência de garantias complementares para evitar impactos indevidos [17]. Essa ideia permanece no Regulamento Geral de Proteção de Dados da União Europeia — o GDPR [18], sigla em inglês.

 No GDPR europeu, assim como na lei brasileira, não há conceito expresso de legítimo interesse. Os considerandos 47 [19], 48 e 49 abordam o tema e trazem alguns exemplos, como o legítimo interesse em caso de relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento [20]. Há, na verdade, necessidade de balanceamento dos intereses em jogo e aplicação de regras de ponderação [21].

Importante destacar que o artigo 11 da LGPD autoriza o tratamento de dados pessoais sensíveis com o consentimento do titular ou sem o consentimento em casos específicos, sem menção expressa ao legítimo interesse. O artigo 10, por sua vez, menciona apenas os dados pessoais. Note-se que o dispositivo encerra a Seção I do Capítulo II, iniciando-se a Seção II pelo artigo 11 que trata especificamente dos dados pessoais sensíveis, o que permite a conclusão de que a base legal do legítimo interesse a eles não se aplica. Assim, dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a outra organização, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural não podem ser tratados sem o consentimento do consumidor [22].

Apesar de se reconhecer a necessidade do tratamento de dados para os avanços tecnológicos da nossa sociedade, é imperioso considerar o valor inestimável da boa-fé e a necessidade de proteção do titular de dados, principalmente na relação de consumo. A lei prevê o legítimo interesse com o objetivo de manter seu caráter casuístico e abarcar as novidades do mundo digital. A utilização exagerada e sem necessidade específica viola sua própria finalidade. Sua interpretação, portanto, não deve ser extensiva e deve sempre levar em consideração a observância dos fundamentos e dos princípios protetivos da LGPD e do CDC.

[1] MIRAGEM, Bruno. Teoria Geral do Direito Civil. Rio de Janeiro: Forense, 2021. p. 217.

[2] artigo 64. Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.

[3] CARDOSO, Oscar Valente. Dia Mundial dos Direitos do Consumidor e Proteção de Dados Pessoais. Disponível em:<https://www.oscarvalentecardoso.com/post/dia-mundial-dos-direitos-do-consumidor-e-prote%C3%A7%C3%A3o-de-dados-pessoais>.Acesso em: 24 set. 2021.

[4] Como afirma Rodotà "é verdade que se torna difícil garantir tutela à privacidade onde falta a cultura do respeito". Veja mais em: RODOTÀ, Stefano. A vida na sociedade da vigilância. Organização, seleção e apresentação de Maria Celina Bodin de Moraes. Tradução de Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.

[5] Artigo 1º da Lei 13.709/18.

[6] Conforme disposição do artigo 8º e seus parágrafos da LGPD.

[7]DONEDA, Danilo. Da privacidade à proteção de dados pessoais:elementos da formação da Lei Geral de Proteção de Dados. São Paulo: Thomson Reuters Brasil, 2019. p. 302.

[8] MENKE, Fabiano. As origens alemãs e o significado da autodeterminação informativa. In: MENKE, Fabiano; DRESCH, Rafael de Freitas Valle (org.). Lei geral de proteção de dados: aspectos relevantes. Indaiatuba, SP: Editora Foco, 2021. p.13-22.

[9] MIRAGEM, Bruno. Teoria Geral do Direito Civil. Rio de Janeiro: Forense, 2021. p. 87.

[10] Veja-se, por exemplo: PIVETO, Lucas Colombra Vaiano. O legitimo interesse na lei geral de proteção de dados. Rio de Janeiro: Lumen Juris, 2020.

[11] O artigo 7 º da LGPD refere o "legítimo interesse do controlador ou de terceiros" e o artigo 10 apenas menciona o "legítimo interesse do controlador". Apesar da lacuna, deve-se entender pela aplicação do artigo 10 aos terceiros seguindo a linha da própria LGPD e do GDPR, que considera o terceiro.

[12] OLIVEIRA, Ricardo; COTS, Márcio. O legítimo interesse e a LGPDP.2 ed. São Paulo: Thomson Reuters Brasil, 2021.

[13] FERREIRA, Rafael Freire. Autodeterminação informativa e a privacidade na sociedade da informação. 2. ed. Rio de Janeiro: Lumen Juris, 2018. p. 118.

[14] MIRAGEM, Bruno. A lei geral de proteção de dados (lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais. São Paulo, Revista dos Tribunais, v. 108, n. 1009, p. 173—222, nov., 2019.

[15] Disponível em:< https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_pt> Acesso em: 26 set. 2021.

[16] Parecer 06/2014 do Grupo de Trabalho do artigo 29. Disponível em: <https://www.gpdp.gov.mo/uploadfile/2015/0803/20150803050042662.pdf>.Acesso em 24 set. 2021.

[17] DILL, Amanda Lemos. A delimitação dogmática do legítimo interesse para tratamento de dados pessoais. In: MENKE, Fabiano; DRESCH, Rafael de Freitas Valle (org.). Lei geral de proteção de dados: aspectos relevantes. Indaiatuba, SP: Editora Foco, 2021. p. 95- 118.

[18] Disponível em: <https://gdpr-info.eu/>. Acesso em: 26 set. 2021.

[19] Os considerandos são notas explicativas sobre temas específicos

[20] Disponível em: <https://gdpr-text.com/pt/read/re cital-47/> 26 set. 2021.

[21] JOELSONS, Marcela. O legítimo interesse do controlador no tratamento de dados pessoais. In: MENKE, Fabiano; DRESCH, Rafael de Freitas Valle (org.). Lei geral de proteção de dados: aspectos relevantes. Indaiatuba, SP: Editora Foco, 2021. p.119-142.

[22] Artigo 5º, II da LGPD.

Fonte: Conjur - Consultor Jurídico - 07/10/2021