A LGPD e o legítimo interesse

As dimensões procedimentais e probatórias desta importante base legal .Uma das mais controversas bases legais da LGPD é a prevista no art. 7º, IX, que autoriza o tratamento de dados não sensíveis “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.

Não se discute que a referência ao legítimo interesse do controlador tem importante função prática, ao exercer o papel de verdadeira “válvula de escape” para um sistema de proteção de dados que, invertendo a lógica usual do direito privado – segundo a qual tudo que não é proibido é permitido –, só possibilita o tratamento de dados em hipótese expressamente autorizada por lei.

Consequentemente, diante das compreensíveis dificuldades de se prever, de forma antecipada, todas as formas de uso lícito dos dados pessoais, é importante assegurar a possibilidade de que interesses do controlador também justifiquem o tratamento de dados, desde que sejam legítimos, necessários, adequados e proporcionais aos impactos que causarão nos titulares de dados. Não obstante, a vagueza da referida base legal pode levar a indevido e excessivo alargamento das possibilidades de tratamento de dados.

Verdade seja dita que, embora o art. 10 da LGPD tenha tentado densificar o conceito, pouco avançou nesse propósito, pois se limitou a mencionar a finalidade de apoio e promoção de atividades do controlador (inciso I) e a finalidade de proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e o direitos e liberdades fundamentais.

No mais, o art. 10 praticamente reproduz princípios fundamentais exigidos para qualquer tratamento de dados: (i) a finalidade legítima, mencionada no caput do art. 10, já corresponde ao princípio consubstanciado no art. 6º, I; (ii) a necessidade do tratamento, mencionada no § 1º do art. 10, já corresponde ao princípio consubstanciado no art. 6º, III, e (iii) a observância da transparência, mencionada no § 2º do art. 10, já corresponde ao princípio consubstanciado no art. 6º, VI.

Logo, não precisaríamos de dispositivos específicos para chegarmos à conclusão de que o legítimo interesse apenas justificará o tratamento de dados quando atender aos parâmetros de necessidade, finalidade e transparência, porque isso já decorreria claramente da estrutura principiológica da LGPD.

A rigor, a única norma realmente original do art. 10 da LGPD é a prevista no § 3º, do art. 10, segundo a qual “a autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. Entretanto, trata-se de previsão extremamente tímida, já que a obrigatoriedade do relatório de impacto ficou condicionada à iniciativa da autoridade nacional, não sendo consequência obrigatória da utilização da base legal do legítimo interesse.

Diante de tantos impasses e dúvidas, é importante lembrar que a doutrina e a experiência europeias vêm apontando, com razão, para a necessidade de que o legítimo interesse seja avaliado a partir de testes de proporcionalidade, tais como o chamado Legitimate Interest Assessment (LIA). Entretanto, apesar do caráter didático da enunciação do passo-a-passo normalmente atribuído a tais testes, eles não se diferenciam substancialmente dos juízos que devem ser feitos para a constatação de qualquer hipótese de abuso de direito, nos termos do art. 187, do Código Civil.

De fato, também em relação ao abuso do direito, é necessário avaliar o exercício de direito sob uma perspectiva qualitativa, a fim de se verificar se há compatibilidade com a boa-fé e as finalidades sociais e econômicas que justificam a existência do direito, assim como sob uma perspectiva quantitativa, a fim de se verificar se o meio escolhido pelo titular é realmente adequado e proporcional diante dos impactos eventualmente causados a terceiros.

Sob esta perspectiva, os testes de proporcionalidade não se afastariam consideravelmente dos modelos de análise que já são normalmente utilizados para a identificação do abuso de direito, o que não seria suficiente para dar a devida concretude para a referida base legal.
Fonte: JOTA

Daí porque a discussão sobre o legítimo interesse do controlador precisa ser conectada às garantias procedimentais respectivas, a fim de se impor ao controlador não apenas a efetiva realização dos testes de proporcionalidade, como também o registro e a disponibilização de como foram realizados e quais as suas conclusões e fundamentos.

Dessa maneira, o legítimo interesse passa a exigir uma legitimação procedimental, de forma que, mesmo diante do § 3º, do art. 10, da LGPD, é fundamental que os controladores encontrem mecanismos idôneos – ainda que mais flexíveis do que os relatórios de impacto – para a realização dos testes de proporcionalidade e para a justificação dos seus resultados, sem o que não estaria atendido nem mesmo o requisito da transparência.

Mais do que isso, há que se perquirir algumas situações nas quais a gravidade dos riscos aos titulares de dados seria tal que tornaria imprescindível o relatório de impacto, tal como previsto pelo art. 5º, XVII, da LGPD.

Por fim, também é possível concluir que o ônus da prova da licitude do tratamento nesses casos é do controlador, com o que se afasta a regra geral segundo a qual cabe à vítima o ônus da prova do ilícito. Logo, é o controlador que deve comprovar a licitude do tratamento baseado no legítimo interesse, tanto sob a ótica material como sob a ótica procedimental, desonerando-se o titular de dados da comprovação da ilicitude.