A obtenção do consentimento do titular de dados é obrigatória em quais hipóteses? O que é Legítimo Interesse e como justificá-lo adequadamente?
Neste texto, exploramos a complexidade do consentimento e do legítimo interesse segundo a LGPD.
O Mito do Consentimento
Fornecemos uma enormidade de dados pessoais sobre nós mesmos, voluntariamente, todos os dias. Nos engajamos em várias redes sociais, postamos fotos de nossas viagens, leituras, casas, amigos, refeições, etc. Realizamos inúmeras comunicações de áudio, vídeo e texto gerando um volume gigantesco de dados sobre nossas vidas. Esses dados são concedidos livremente por nós e não raro, sem muita reflexão a respeito.
Toda essa entrega de dados pessoais nas redes, usualmente, conta com o consentimento de seus titulares. Entretanto, esse “aceite”, muitas vezes, está longe de constituir uma “manifestação livre e esclarecida” de vontade, tendo substancial impacto na privacidade de consumidores, ainda que não estejam muito conscienciosos disso.
É neste ponto, precisamente, que devemos nos perguntar como tornar o consentimento uma hipótese de coleta de dados pessoais que preserve a privacidade dos indivíduos. Ocorre que, essa “base legal” ou “hipótese de tratamento” enfrenta uma série de desafios e riscos. Há quem defenda que ela deve ser evitada sempre que possível, a fim de resguardar tanto os negócios dos agentes de tratamento quanto os próprios titulares.
Conforme define a LGPD, o consentimento deve consistir em uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. (grifos nossos). A lei não conceitua o que seja uma manifestação “livre, informada e inequívoca”, de modo que esses termos abstratos deverão ser construídos dentro de cada caso concreto.
Adicionalmente, como a matéria é de evidente novidade, ainda não existem parâmetros claros inscritos em precedentes judiciais. Contudo, é possível falar sobre vários entraves e dificuldades para a obtenção do consentimento livre e esclarecido do titular, vistos com alguma frequência nas situações abaixo:
1. Ausência de compreensão da política/aviso de privacidade pelo consumidor, induzimento do consumidor ao erro, ausência de transparência na redação e aplicação da política por parte do agente de tratamento de dados;
2. Complexidade das políticas/avisos de privacidade que é ignorada pela vasta maioria dos consumidores. Além disso, o tamanho dos avisos de privacidade faz qualquer “cidadão médio” desistir da leitura e clicar em “aceito”, sem maiores questionamentos. Para se ter uma ideia, em 2012, o aviso de privacidade do Pay Pal possuía 9.200 palavras sendo mais extenso que Hamlet de Shakespeare;
3. Inacessibilidade das políticas/avisos de privacidade que, usualmente, contam com linguagem e formato incompreensível ao público leigo, podendo ser interpretados apenas por advogados especializados. Sabemos que essas políticas de privacidade são consentidas em larga escala por consumidores sem o conhecimento que se requer de suas cláusulas;
4. Coercitividade do consentimento em situações nas quais o consumidor não possui alternativa a não ser consentir, pois para utilizar o produto ou serviço ele deve manifestar sua aceitação ou ser impedido da utilização. Essa situação ficou evidenciada na polêmica política de privacidade do Whatsapp divulgada em 06.01.2021, a qual prevê o compartilhamento de dados com o Facebook. Como a seara da proteção de dados ainda é bastante recente no Brasil e não há entendimento judicial no sentido de fazer com que a empresa proporcione uma versão alternativa do produto aos consumidores neste caso, não há nada a fazer exceto consentir coercitivamente para usar o aplicativo;
5. Aspectos comportamentais que levam os consumidores a transferirem seus dados livremente como moeda de troca, a fim de utilizar um serviço ou produto gratuitamente.
Utilizando o Consentimento como Base Legal
A coleta de dados de titulares com base no consentimento é realmente um desafio devido às situações que envolve, conforme demonstramos. Atualmente, a LGPD conta com 10 bases ou hipóteses legais para a coleta de dados pessoais triviais, sendo: (i) consentimento do titular; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) estudos por órgãos de pesquisa; (v) execução de contrato; (vi) processo judicial, administrativo ou arbitral; (vii) proteção da vida; (viii) tutela da saúde; (ix) legítimo interesse e (x) proteção do crédito.
Assim, do ponto de vista da empresa ou organização que coleta dados pessoais não é necessário sempre obter o consentimento do consumidor, uma vez que poderão ser utilizadas outras bases legais de tratamento acima descritas. Logo, o consentimento é uma das possibilidades para o tratamento de dados e, na maioria das vezes, a menos adequada e a que implica em maiores riscos para a empresa que trata os dados.
Isso porque, a LGPD traz uma série de salvaguardas ao titular de dados quando se trata de coleta realizada com base em seu consentimento. Para esta situação, a LGPD impõe a necessidade de que o agente de tratamento obtenha o consentimento sempre por escrito, de forma transparente e destacada das demais cláusulas contratuais.
Importante salientar que o consentimento também pode ser utilizado como base legal para a coleta de dados pessoais sensíveis na LGPD. Segundo a definição de seu artigo 5º, II, é considerado dado pessoal sensível aquele: “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Entretanto, a tomada de ainda maiores cuidados é requerida do agente de tratamento quando a coleta de dados sensíveis é feita com base no consentimento. Nesta hipótese, é imprescindível que a Política de Privacidade do produto ou serviço em questão informe, destacadamente, a coleta de dados sensíveis e quaisquer outras operações que imponham maiores riscos a essa coleta, como por exemplo, uma eventual transferência desses dados. Ressalta-se que o consentimento do titular deve ser coletado, sempre, de forma específica e “granulada”, a fim de que não se possa argumentar que o consentimento dado foi “viciado” e seria nulo.
Assim, seja na coleta de dados pessoais sensíveis ou triviais com base no consentimento, a empresa que trata os dados deverá realizar a chamada “gestão do consentimento do usuário”, isto é, deverá conferir meios para que o titular compreenda a natureza dos dados coletados, informando, de maneira clara e acessível, qualquer mudança substancial no tratamento dos mesmos.
O que é Legítimo Interesse afinal?
Nem sempre será possível para a empresa utilizar-se do consentimento do titular como base legal. Além disso, outras bases legais previstas na LGPD poderão se demonstrar inadequadas. Neste caso, temos a seguinte saída: a utilização do legítimo interesse como base legal de tratamento.
Existem dados que as empresas necessitam para agir na defesa de seus interesses, os quais não podem estar à mercê da vontade do titular, ou seja, do fato de que o titular poderá ou não fornecer o seu consentimento. Além disso, em diversas outras situações, o agente de tratamento de dados necessita promover os seus interesses negociais no mercado, impulsionando seu produto ou serviço.
Um exemplo dessa situação consiste no envio de marketing para uma lista de clientes cadastrados. É necessário solicitar o consentimento do titular a cada envio? Há entendimento consolidado no sentido de que apenas o “opt-out” seja exigido nestes casos, uma vez que existe relação já estabelecida entre o consumidor e a empresa, sinalizando o interesse do consumidor em receber a publicidade em questão e o direito de que a empresa promova seus serviços.
Em síntese, o legítimo interesse é uma hipótese legal de tratamento de dados na qual a empresa não se utiliza do consentimento do titular ou das outras bases contratuais, legais e regulatórias disponíveis na LGPD: ela se utiliza da necessidade de proteger e promover seus próprios interesses empresariais. Este é o cerne da base legal do legítimo interesse prevista no artigo 7º, IX da LGPD.
Assim como o consentimento, o legítimo interesse também é um conceito jurídico abstrato e indeterminado. Por isso, a legislação impõe a necessidade de que os agentes de tratamento demonstrem que existe um equilíbrio entre os interesses da empresa e a expectativa de privacidade do titular.
Esse equilíbrio é demonstrado por meio de um “teste de proporcionalidade” que pondera entre os objetivos negociais da empresa e as medidas tomadas para a salvaguarda dos direitos do titular. Essa avaliação da empresa é registrada em um documento intitulado “Legitimate Interest Assessment (LIA)” ou “Avaliação de Legítimo Interesse”.
Note-se que o ônus argumentativo de que o interesse é legítimo pertence sempre a empresa. Logo, é ela quem deverá demonstrar, por meio do teste de ponderação, que existe real legitimidade de seu interesse para a coleta de dados.
Neste sentido, é importante que as empresas que se utilizem da base legal do legítimo interesse demonstrem três pilares fundamentais:
(i) que a hipótese se enquadra no artigo 7º, IX da LGPD;
(ii) que os pressupostos do artigo 10º e os princípios do artigo 6º da lei são atendidos e,
(iii) que as operações de tratamento de dados são justificadas por meio do LIA, nos termos do artigo 37 da LGPD.
Em síntese, os pressupostos de aplicação do legítimo interesse previstos no artigo 10º da LGPD combinados com os princípios do artigo 6º exigem:
1. Finalidade clara dentro de um contexto específico para a legitimidade do tratamento de dados;
2. Minimização dos dados coletados na promoção dos interesses negociais do agente de tratamento;
3. Observância da boa-fé do agente de tratamento preservando a expectativa de privacidade do titular;
4. Medidas que garantam a transparência da coleta com interação entre o agente de tratamento e o titular;
5. Accountability/prestação de contas por parte da empresa que realiza o tratamento dos dados, incluindo a necessidade de documentar as operações de tratamento e,
6. Efetivação dos direitos do titular, por meio de salvaguardas, como por exemplo, o “opt-out”.
Por conseguinte, assim como na utilização da base legal do consentimento, o legítimo interesse também exige medidas adicionais de transparência a serem adotadas pela empresa demonstrando sua boa-fé e o equilíbrio da relação estabelecida com o titular.
Contudo, diferentemente do que ocorre com a base legal do consentimento, o legítimo interesse não se aplica para o tratamento de dados pessoais sensíveis, de modo que, não é possível ao agente de tratamento realizar a coleta de dados relativos a saúde, opção sexual, etc, com base na promoção de seus interesses negociais. Neste caso, outra base legal prevista no artigo 11 da LGPD deverá ser utilizada.
“LIA” E “RIPD”
De qualquer modo, os cuidados adicionais previstos para a utilização do legítimo interesse não param por aí: é necessário se atentar para a regularidade documental das operações de tratamento.
Em que pese não exista menção específica ao documento intitulado “Legitimate Interest Assessment (LIA)” na LGPD, trata-se de uma boa prática internacional que materializa os princípios da prestação de contas e da transparência já previstos na legislação. Assim, é altamente recomendável que os agentes de tratamento elaborem esse documento em conjunto com o registro de suas operações de tratamento.
O LIA consiste no registro formal do “teste de ponderação ou de balanceamento” entre os interesses comerciais da empresa e a expectativa de privacidade do titular. No documento, a empresa deverá justificar (i) se há finalidade lícita e específica para a coleta de dados, (ii) se a coleta é realizada apenas em relação aos dados necessários para a promoção de seus interesses negociais, (iii) se existe alguma relação ou contexto no qual se possa inferir que a coleta não afronta a expectativa do titular e, (iv) se a empresa adota medidas de salvaguarda para a proteção da privacidade como o “opt-out”, eventual anonimização ou outras medidas de mitigação de riscos.
Caso se conclua no processo de avaliação que a empresa cumpre com todas essas etapas, a realização da coleta de dados com base no legítimo interesse é recomendada e segura juridicamente. Cumpridos esses passos, o legítimo interesse pode ser utilizado para cobrir uma gama de situações relativas, por exemplo, ao envio de marketing/publicidade, a coleta de dados pessoais em relações comerciais e de trabalho, bem como para a melhoria de aplicações de inteligência artificial.
No contexto específico das aplicações de inteligência artificial que coletam dados pessoais, é importante destacar que há necessidade adicional de elaboração do Relatório de Impacto à Proteção de Dados (RIPD).
Leia também:
Inteligência Artificial e Proteção de Dados: seria este o maior desafio à LGPD?
Conforme exploramos em nosso texto anterior sobre Inteligência Artificial e Proteção de Dados, o RIPD consiste em uma análise abrangente do impacto causado pela operação de tratamento sobre os direitos e liberdades fundamentais dos titulares. Assim, se o tratamento de dados é feito com base em decisões automatizadas e/ou a hipótese legal do legítimo interesse é utilizada, temos risco significativo de impacto aos direitos dos titulares. Neste caso, o RIPD deverá ser elaborado demonstrando os contextos nos quais violações podem ocorrer e as medidas mitigatórias a serem aplicadas.
Todos esses detalhes e exigências da LGPD para a utilização do consentimento e do legítimo interesse reforçam o argumento de que essas são as bases legais mais complexas da lei. Essa complexidade é oriunda não somente da falta de definição legal dos conceitos que apresentam, mas, também dos riscos de violação dos direitos e liberdades de titulares por agentes de tratamento.
Em consequência, é recomendável avaliar, primeiramente, se outras bases legais seriam possíveis e mais adequadas do que o consentimento e o legítimo interesse – sempre lembrando que a LGPD conta com 10 hipóteses de tratamento de maneira que nenhuma tem precedência sobre as demais.
Caso as bases legais mais adequadas realmente sejam o consentimento ou o legítimo interesse, a empresa deverá seguir com a coleta de dados tomando todas as precauções recomendáveis resguardando seus interesses comerciais e também a privacidade de seus clientes. Destaque-se que a palavra de ordem neste contexto é o “equilíbrio” da relação entre a empresa e o titular atendendo aos pressupostos previstos na LGPD.
