• Nenhum resultado encontrado

O desafio de conceituar o interesse legítimo do controlador em harmonia com o valor existencial humano

O legítimo interesse como base legal para o tratamento de dados pessoais

2. A proteção de dados como liberdade positiva e as bases legais da LGPD

2.1 O desafio de conceituar o interesse legítimo do controlador em harmonia com o valor existencial humano

Admitido o recorte metodológico que este capítulo se propôs, deve-se observar que o art. 7˚ da LGPD, de forma razoavelmente harmônica com o regulamento europeu de proteção de dados, estabelece as hipóteses que legitimam a atividade de tratamento de dados pessoais como sendo: (a) o consentimento pelo titular; (b) o cumprimento de obrigação prevista em Lei ou obrigação regulatória do controlador; (c) para a execução de contrato ou de procedimentos preliminares a ele da qual o titular de dados seja parte e, sempre, a seu próprio pedido; (d) para o exercício do direito de defesa ou de ação em processo judicial, administrativo ou arbitral; (e) para a proteção da vida ou da incolumidade física do titular ou de terceiro;

(f) para a tutela da saúde, apenas e exclusivamente quando em intervenção realizada por profissionais da saúde, serviços de saúde ou autoridade

sanitária; (g) para a realização de estudos por órgão de pesquisa, garantida sempre que possível a anonimização dos dados pessoais; (h) para a proteção do crédito, observada a integração com outras Leis em cada caso concreto; (i) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em Leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; e, finalmente, (j) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados.

Voltando-se para um aprofundamento inicial sobre o conceito de interesse legítimo do controlador, sempre que não conflitar com direitos e liberdades individuais, é preciso observar que cada uma das bases legais acima citadas são independentes e não necessitam, como regra, serem observadas simultaneamente. Daí porque é válido dizer-se que o interesse legítimo do controlador poderá fundamentar a atividade de tratamento de dados mesmo que o titular desses dados não tenha outorgado qualquer tipo de consentimento.

Por esse motivo, naturalmente surge um grande interesse em seu aproveitamento no desenvolvimento de atividades econômicas envolvendo a manipulação de dados pessoais conquanto a obtenção de consentimento individual pode se tornar uma tarefa excessivamente onerosa, dificultosa ou até mesmo inviável diante de uma manifestação positiva do titular de dados que provavelmente tenderá para a negativa.

Se por um lado a base legal do interesse legítimo se apresenta como um facilitador no planejamento de um plano de governança de dados e na fundamentação do tratamento de dados pelo controlador, pelo outro a sua indiscriminada contextualização representa um risco para as liberdades individuais.

Assim, da mesma forma que se nota uma grande janela de oportunidades fundada no interesse legítimo do controlador, esse mesmo cenário se desdobra em um sem-número de hipóteses de violações de

direitos individuais ou do estabelecimento de práticas consideradas abusivas a posteriori, isto é, apenas quando questionadas administrativa ou judicialmente. Daí denotar-se o grande risco regulatório em sua escolha.

E para compreender a extensão desse conceito, nada melhor do que se começar pelas restrições a ele impostas, isto é, a subsunção aos direitos e liberdades fundamentais que reclamem a salvaguarda de dados pessoais.

Nada mais se está a afirmar que o valor existencial humano deve ser preservado como núcleo do sistema jurídico brasileiro se confrontado como interesse econômico existente na exploração de dados pessoais.

SCHREIBER (2014, p.8) inicia sua obra sobre os direitos da personalidade com a seguinte contextualização:

A tarefa não é nada simples. Poucas noções apresentam contornos tão fluídos.

Sua longa trajetória filosófica não é unívoca, mas gravita sempre em torno da mesma ideia: a de que a espécie humana possui uma qualidade própria, que a torna merecedora de uma estima (dignus) única ou diferenciada. A dignidade humana não corresponde, portanto, a algum aspecto específico da condição humana, mas exprime, isto sim, ‘uma qualidade tida como inerente a todo e qualquer ser humano’, sendo frequentemente apresentada como ‘o valor próprio que identifica o ser humano como tal’.

Ainda sob a perspectiva de delimitar conceitualmente os direitos de personalidade, tais quais diretamente referenciados pelo artigo 7˚, inciso IX, da Lei 13.709/18, SÁ (Et. Al., 2017, p.18) destaca que:

Os direitos da personalidade voltam-se para os aspectos extrapatrimoniais da pessoa; aqueles que a definem e garantem a sua dignidade como forma de reduzir os abusos praticados em nome da autonomia da vontade do Estado Liberal. Protege-se, pois, a projeção do indivíduo no mundo; suas características fundamentais.

A contextualização dessa concepção apresentada por SÁ (ibidem), que de um modo geral uniformiza o ponto de convergência da doutrina e da jurisprudência, é ainda mais problemática ao se verificar que a projeção

da personalidade do indivíduo se dá cada vez mais a partir da prática de atos da vida civil através da internet. Isto é, o sujeito é e se percebe como tal também pela forma como se expressa e é visto em suas redes sociais e em sua bolha de convivência social. Daí porque se justifica a extremada preocupação em se estabelecer um direito à proteção de dados que contemple um controle sobre a circulação dos mesmos e não apenas como um mero instrumento para obstaculizar a intromissão alheia em sua vida privada. No momento histórico em que os traços divisórios de espaços públicos e privados são cada vez menos visíveis, principalmente em razão da exposição do indivíduo e de sua personalidade no mundo online, manter um controle efetivo e um instrumento capaz de salvaguardar abusos ao aspecto existencial humano é um imperativo fundamental para o ser do século 21.

DONEDA (2018, p.66-67) também externa o mesmo entendimento ao asseverar que:

O surgimento da rede internet, por exemplo, decididamente alargou as possibilidades de comunicação e fez emergir um grande número de questões ligadas à privacidade. O impacto que a rede proporcionou, porém, já se encontrava de certa forma incubado em tecnologias anteriores, que provocaram fenômenos assemelhados e que, se hoje podem até parecer pálidos, devem ser considerados em relação ao que representaram à sua época (…). Assim, o telégrafo e o telefone, como instrumento de comunicação bidirecional, ou mesmo o rádio e a televisão contribuíram cada um deles para formar a consciência de que representavam um encurtamento de distâncias, do fim de limites antes intransponíveis, e, consequentemente, de uma interação mais frequente entre as pessoas, elementos que estão no âmago das questões relacionadas com a privacidade.

Por este motivo, torna-se claro que não há como conceituar objetivamente e de forma antecipada o conteúdo integral do interesse legítimo do controlador, conquanto cada caso concreto que se apresentar futuramente acabará por analisar necessariamente a violação de direito de personalidade do indivíduo envolvido, isto é, na esfera de sua dignidade como mandamento constitucionalmente protegido.

Todavia, isso não significa que alguns passos não possam ser dados em direção a um burilamento deste direito subjetivo do controlador como forma de otimizar a sua aplicação e favorecer a sua interpretação, ainda que dependente de elementos concretos de um dado caso futuro.

Não há dúvida de que o interesse legítimo do controlador estará sempre relacionado ao seu direito constitucionalmente assegurado de exercer a livre iniciativa, inclusive como um dos princípios fundantes da República, assim reconhecido no art. 1˚ e 170 da Constituição Federal.

Neste sentido, como expressão da atividade econômica desenvolvida pelo controlador, alia-se à sustentação de seu interesse legítimo os princípios constitucionais do desenvolvimento econômico, cultural, tecnológico, da busca por inovação, a livre iniciativa e a livre concorrência.

Tais diretrizes constituem a pedra fundamental sobre a qual o controlador poderá se valer para a interpretação contextualizada de seu direito ao tratamento de dados independentemente de consentimento ou das demais previsões do art. 7˚ da Lei 13.709/18.

Em uma ponderação direta e isoladamente considerada, o sacrifício do valor existencial humano jamais poderá ocorrer se confrontado com os princípios constitucionais acima narrados. Daí porque um sopesamento de tais diretrizes consagradas pela Constituição tenderá a privilegiar, invariavelmente, a dignidade da pessoa humana.

Todavia, existem outros princípios e direitos muito relevantes que devem ser levados em consideração nessa difícil equação Constituem-se elementos informadores da interpretação a ser dada em um determinado caso concreto.

São eles a boa-fé objetiva (art. 113 da Lei 10.406/02) e os seus deveres laterais e a função social do contrato (art. 421 da Lei 10.406/02). Ainda que a Lei 13.874/19, conhecida como a Lei da Liberdade Econômica, tenha modificado a redação de diversos dispositivos do Código Civil para privilegiar a liberdade contratual e a autonomia privada, dele não eliminou o conceito de função social do contrato.

Além disso, ao se falar em liberdade contratual se está necessariamente adentrando o campo do consentimento, elemento este tornado desnecessário pela base legal do interesse legítimo do controlador.

A boa-fé, como elemento informador de conduta, não deve ser expressada apenas em relações contratuais (art. 422 da Lei 10.406/02), mas em todo e qualquer ato praticado na vida cotidiana, seja por pessoa natural ou jurídica (art.113 da Lei 10.406/02). Trata-se de um dever de agir ativamente de acordo com determinados padrões socialmente recomendados. MOTA4 destaca as três características da boa-fé objetiva:

A primeira pressupõe a existência de duas pessoas ligadas por uma determinada relação jurídica, que lhes imponha especiais deveres de conduta, de cada uma delas em relação à outra, ou, pelo menos de uma delas em relação à outra.

No tratamento de dados baseado em interesse legítimo do controlador, há nitidamente uma relação jurídica entre as partes conquanto este esteja a realizar a atividade de tratamento de dados pessoais do titular, ainda que este não tenha outorgado consentimento direto ou específico.

E continua (ibidem):

Esses deveres, a segunda nota característica, são aqueles referentes ao comportamento exigível do bom cidadão, do profissional competente, enfim, de uma pessoa diligente, comportamento este expresso na noção de bonus pater familias.

Deve-se observar também se a situação criada produziu na contraparte um estado de confiança no negócio celebrado, quando então deverá se tutelar essa expectativa. Desde que a contraparte tenha legitimamente confiado na estabilidade e segurança do negócio jurídico que celebrava impõe-se a tutela dessa confiança pelo princípio da boa-fé objetiva.

4 A pós-eficácia das obrigações revisitada. Disponível em: https://www.e-publicacoes.uerj.br/index.php/quaestioiuris/article/view/10194/7970 - Acesso 20 mar. 2020.

O dever impositivo de agir em acordo com o conceito de boa-fé objetiva, portanto, exigirá do controlador uma ênfase cada vez maior nos princípios da transparência, da prestação de contas e accountability. Mas não apenas isso. Finalidade, adequação, necessidade, prevenção e não-discriminação também devem ser potencializados e identificados na interpretação do conceito de interesse legítimo do controlador como reflexos indiretos do agir em boa-fé. Por óbvio, não há que se falar em qualquer intenção de lesar direitos individuais, haja vista a superação do antagonismo conceitual de boa-fé e má-fé. Em qualquer situação concreta analisada, sem a presença dos elementos dolo ou culpa, poder-se-á analisar um ato ilícito gerador de responsabilidade.

Posteriormente, conclui o referido autor (ibidem):

O princípio da boa-fé regula não apenas a interpretação das cláusulas do contrato referida anteriormente, mas ainda o reconhecimento desses deveres secundários (não diretamente pactuados) derivados diretamente do princípio, independentemente da vontade manifestada pelas partes, a serem observados durante a fase de formação e de cumprimento da obrigação e mesmo, em alguns casos, após o adimplemento desta. São deveres que excedem o dever de prestação. Assim são os laterais de esclarecimento (informações sobre o uso do bem alienado, capacitações e limites), de proteção (evitar situações de perigo), de conservação (coisa recebida pela experiência), de lealdade (não exigir o cumprimento de contrato com insuportável perda de equivalência entre as prestações), de cooperação (prática dos atos necessários à realização dos fins plenos visados pela outra parte), etc.

Os então denominados deveres laterais à boa-fé objetiva, eis que não pactuados diretamente pelas partes mas a elas impositivos em decorrência do imperativo do dever de agir em acordo com a boa-fé, constituem elementos a serem levados em consideração na contextualização do interesse legítimo do controlador, devendo ser explicitados por este em suas relações com o titular, com os órgãos reguladores de seu setor e com a própria sociedade, em especial porque se estará a realizar o tratamento de dados sem o consentimento prévio e expresso pelo referido titular,

hipótese que indubitavelmente é capaz de ensejar inúmeras situações de risco de lesão a direitos de personalidade.

A partir dessa visão da LGPD como elemento necessariamente inserido nas relações com outros diplomas legais, princípios e deveres assim considerados como padrões de conduta a serem necessariamente observados, torna-se bastante relevante a referência ao Opinion 06/2014 do Grupo de Trabalho do Artigo 29 do Regulamento Europeu de Proteção de Dados5, no qual se propõe um “teste" de interesse legítimo para ratificar a possibilidade de utilização dessa base legal.

A primeira etapa, considerada como a “avaliação dos interesses legítimos”, envolve a identificação dos dados que serão tratados pelo controlador com base na conceituação de interesse legítimo. Ainda aqui, deve-se legitimar a atividade de tratamento de dados não apenas com base na inexistência de proibição legal, mas de forma consentânea com o princípio da boa-fé objetiva e com os princípios anteriormente destacados.

A segunda etapa, “impacto sobre o titular do dado pessoal”, diz respeito à definição de quais dados serão coletados (e tratados, de um modo geral) sob a ótica do princípio da necessidade. Aqui, é fundamental a referência à previsão do artigo 10, §1˚, da Lei 13.709/18 no sentido de que apenas os dados “estritamente necessário para a finalidade pretendida poderão ser tratados”. A adoção do filtro da estrita necessidade tenderá a afastar situações de lesão a direitos individuais, de abuso de direito e de afronta à boa-fé objetiva.

A terceira etapa, por sua vez, o “equilíbrio entre os interesses legítimos do controlador e o impacto sobre o titular”, novamente diz respeito à necessidade de balanceamento e equalização dos interesses do controlador e do titular, salvaguardando-se não apenas o padrão de conduta esperado das partes em acordância com a boa-fé e seus deveres laterais, mas com foco principal no agir com lealdade para não frustrar uma expectativa razoável do titular de que seus dados não seriam

5 Disponível em https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf - Acesso 20 mar. 2020.

utilizados fora do contexto para o qual foram coletados ou cedidos. Este é um dos elementos casuísticos mais rigorosos no contexto analisado que denotam a total importância de se preencher o conteúdo conceitual de interesse legítimo de forma ampla apenas a partir de casos concretos.

A quarta e última etapa diz respeito às “salvaguardas desenvolvidas para proteger o titular de dados e evitar qualquer impacto indesejado”.

Nesse momento, incidem novamente com muita ênfase os princípios previstos no artigo 6˚ da Lei 13.709/18, devendo cada qual ser explicitado e evidenciado no agir do controlador em consonância com a boa-fé objetiva, não apenas como medidas de ordem técnica ou tecnológica, mas também com deveres de transparência, fluidez, prestação de contas, transparência e informação fácil e ostensivamente acessível.

Nessa perspectiva, o Opinion 06/2014 do Grupo de Trabalho do Artigo 29 do regulamento europeu enumerou algumas situações que, sob a sua particular ótica, poderiam representar eventual conflito entre o interesse legítimo do controlador e os direitos individuais do titular de dados, os quais são referenciados aqui a título ilustrativo: (a) exercício do direito à liberdade de expressão ou informação, inclusive na mídia e nas artes; (b) marketing direto convencional e outras formas de marketing e propaganda; (c) mensagens não comerciais não solicitadas, inclusive para campanhas políticas ou instituições de caridade; (d) execução de ações judiciais, incluindo cobrança de dívidas por meio de procedimentos extrajudiciais.; (e) prevenção de fraude no uso indevido de serviços ou lavagem de dinheiro; (f) monitoramento de funcionários para fins de segurança ou gerenciamento; (g) esquemas de denúncia; (h) segurança física, segurança da informação e de redes; (i) processamento de dados para fins históricos, científicos ou estatísticos; (j) processamento de dados para fins de pesquisas, incluindo pesquisas de marketing.

Todas essas hipóteses são exemplos claros da necessidade de um delicado equacionamento entre o interesse legítimo do controlador em desenvolver suas atividades de forma mais eficiente, lucrativa e ostensiva e o direito à privacidade do indivíduo. Ainda segundo a Opinion 06/2014,

seria importante levar em consideração a natureza e a origem do interesse legítimo desse controlador e também o impacto da ação a ser praticada na esfera individual do titular dos dados.