Transferência internacional e cláusulas-padrão contratuais - b/luz contribui à Consulta Pública da ANPD

13/11/2018 Leitura de 7’’

Legítimo Interesse e as Implicações para Startups

13/11/2018
  • 7’’
  • / Escrito por:

    PAMELA MICHELENA DE MARCHI GHERINI

Impactos que a Base Legal do Legítimo Interesse da Lei Geral de Proteção de Dados pode ter nas atividades das startups no Brasil.

Conforme mencionamos em nosso artigo “Startups no Contexto da Lei Geral de Proteção de Dados Brasileira” este ano foi aprovada a Lei Geral de Proteção de Dados (“LGPD”) como forma de centralizar a regulamentação sobre uso e proteção de dados pessoais no Brasil que antes ocorria somente via leis setoriais. Se a sua startup coleta e/ou utiliza qualquer tipo de dados de pessoas físicas como clientes, colaboradores, fornecedores e assim por diante é preciso ter em mente que esta lei se aplica à sua empresa também. A boa notícia é que ela só entra em vigor em fevereiro de 2020 (dando bastante tempo para se adequar), mas a má notícia é que as sanções previstas são bem graves podendo incluir, inclusive, multas milionárias.

Para a lei, dado pessoal é a “informação relacionada a pessoa natural identificada ou identificável”, sendo alguns desses dados considerados sensíveis por se referirem à identidade daquele indivíduo podendo colocá-lo em perigo ou submetê-lo a discriminação a depender da forma que forem usados. Atos como coleta, armazenamento, classificação, utilização, acesso, reprodução, processamento (entre outros) são entendidos como atividades de tratamento de dados. Para que alguém possa tratar dados é preciso atender aos princípios previstos nos incisos do artigo 6°, possuir pelo menos uma das bases legais previstas no artigo 7º da LGPD e uma finalidade para esse tratamento.

A LGPD prevê 10 bases legais, e elas funcionam como requisitos para que o tratamento de dados possa ser legítimo. Tratar dados pessoais sem ter ao menos uma base legal como requisito é compreendido como um ilícito. Por esta razão, se a sua startup coleta e armazena dados pessoais (por exemplo), nem que seja apenas para uso interno é preciso refletir se eles estão de acordo com pelo menos uma das bases legais.

Como cada uma das 10 bases legais possuem suas próprias particularidade, este artigo se deterá a esclarecer rapidamente a respeito da base do legítimo interesse, presente no inciso IX do artigo 7°.

Assim como a maioria das outras bases legais (dentre outros aspectos da LGPD), o legítimo interesse teve origem na General Data Protection Regulation (“GDPR”) da União Europeia. Tanto na LGPD como na GDPR existe um mecanismo de balancear os interesses e os direitos envolvidos em casos que se utiliza do legítimo interesse do controlador[1] ou terceiro[2] para tratamento, a fim de verificar a legalidade no uso dos dados. Isso é chamado de teste de balanceamento ou teste de proporcionalidade.

O objetivo é sopesar de um lado os interesses do controlador ou terceiro interessado e do outro os interesses ou direitos fundamentais e liberdades do sujeito que tem seus dados tratados. Tal prática permite identificar se o embasamento do legítimo interesse não fere de maneira significativa direitos e liberdades do outro.

Portanto, conforme estabelece o caput e inciso IX do artigo 7° da LGPD:

“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…)

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;” (grifos nossos)

Além disso, o artigo 10 da LGPD estabelece que o controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas. Elas incluem, mas não se limitam a:

“I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.”

O § 1º do artigo 10 da LGPD 1º estabelece que quando o tratamento de dados tiver como base legal o legítimo interesse do controlador, este só poderá utilizar dados pessoais estritamente necessários para a finalidade pretendida. O § 2º determina que controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse e o § 3º esclarece que a autoridade nacional poderá solicitar ao controlador um relatório de impacto à proteção de dados pessoais, nos casos em que o tratamento tiver como fundamento seu interesse legítimo (observados os segredos comercial e industrial).

Vale ressaltar que no legítimo interesse não há uma ação afirmativa do titular dos dados (como necessidade de consentimento, por exemplo). Só é importante informar e dar ciência ao titular dos dados pessoais antes de coletá-los para que este possa se valer dos direitos de oposição ao tratamento dos dados, conforme estabelece o artigo 18 da LGPD.

Por fim, o artigo 37 da mesma lei estabelece que “o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”, o que significa que o tratamento nesse caso necessitará de ainda mais diligência por parte do controlador e operador que precisam manter registros.

Um exemplo fácil sobre a utilização adequada da base legal de legítimo interesse é no caso de uso de dados por uma empresa para fazer ofertas mais adequadas e personalizadas para os seus clientes, usando apenas os dados estritamente necessários para tal.

No entanto, isso não significa que os controladores poderiam monitorar indevidamente as atividades online ou offline de seus clientes, combinar grandes quantidades de dados sobre eles de diferentes fontes que foram inicialmente coletadas em outros contextos e para diferentes propósitos, fazer perfis complexos para análise de comportamentos e assim por diante. Isso, provavelmente será entendido como uma invasão significativa da privacidade do cliente o que demonstrará que o interesse do controlador não é legítimo por impactar de maneira exacerbada nos direitos e liberdades do cliente (detentor dos dados).[3] Este exemplo foi utilizado pela Working Party 29, que era um órgão consultivo constituído por representantes das autoridades de proteção de dados de cada Estado-Membro da União Europeia tendo sido substituído pela European Data Protection Board em maio de 2018.

Os dados pessoais coletados precisam ter uma finalidade específica, se eles forem utilizados para outras finalidades que o titular desconhece ou que não eram inicialmente previstas, isso é um desvio de finalidade, e o tratamento por isso não vai ser lícito. Portanto, se o dado é coletado para fins de legítimo interesse para publicidade e depois é utilizado para outras finalidades, como venda de produtos por terceiros, ele desviou a finalidade e o tratamento que era pautado em legítimo interesse não vai ser mais lícito.

Portanto, levando em conta que ainda há tempo para se adequar é muito importante avaliar as atividades exercidas e compreender se configuram como tratamento de dados, conforme definido pela LGPD. Deixar para a última hora o processo de conformidade pode ser um risco que não vale a pena correr. Assim, recomenda-se a consulta com um advogado(a) especialista em proteção de dados até a entrada em vigor da lei, pois serão analisadas as atividades exercidas pela empresa e verificando se existem bases legais que legitimem o tratamento de dados realizado. Lembrando que a não conformidade com a LGPD pode resultar em severas sanções, conforme previsto no artigo 52.

Quer saber mais?

Entre em contato com os autores ou visite a página da área de Artigos

Mais lidas:

Mais recentes:

Assine nossa newsletter

Inscreva-se para receber informações relevantes sobre o universo jurídico e tomar decisões informadas que vão impactar seus negócios.

Nós respeitamos a sua privacidade e protegemos seus dados pessoais de acordo com a nossa Política de Privacidade.

Baptista Luz