O TESTE DE PROPORCIONALIDADE DO LEGÍTIMO INTERESSE
Por Heitor Magagnin Brincas
Introdução
No último artigo[1], abordamos que, de acordo com a Lei 13.709/2019 (LGPD), o legítimo interesse é a base legal de tratamento de dados mais adequada na condução das investigações internas (art. 7°, IX).
Neste artigo, veremos como o art. 10 da LGPD traz orientações para a aplicação do legítimo interesse como base legal ao tratamento de dados pessoais.
A fim de cumprir com essa previsão legal, é recomendável que a utilização do legítimo interesse seja precedida por um Teste de Proporcionalidade ou adequação.
Caro leitor, o teste de proporcionalidade é uma forma de trazer segurança jurídica ao aplicar a base legal do legítimo interesse no tratamento de dados pessoais, logo, este artigo não pretende esgotar a presente temática, apenas elucidar, de forma simplificada, no que consiste tal teste.
Desenvolvimento
Neste artigo, utilizaremos o seguinte exemplo para esboçar o teste de proporcionalidade: vamos imaginar que um colaborador (denunciante), da organização X (controladora de dados), venha denunciar, pelos canais de denúncia desta organização, a prática de assédio moral por parte de seu gestor imediato (denunciado). Feito isso, a organização entendeu que a denúncia possui indícios de veracidade e, assim, iniciou o processo de apuração da denúncia.
O legítimo interesse do controlador somente poderá fundamentar o tratamento de dados pessoais na mencionada investigação interna de Compliance se seguir quatro fases do teste de proporcionalidade: (i) legitimidade do interesse; (ii) adequação; (iii) necessidade; (iv) balanceamento (v) Salvaguardas: transparência e minimização dos riscos ao titular dos dados[2].
Com o objetivo de explorar cada uma destas etapas, a presente seção do artigo será dividida nessas mesmas quatro partes.
- a) Verificação da legitimidade do interesse (art. 10, caput e I, da LGPD)
Antes de tudo é necessário verificar se o interesse do controlador é legítimo e se não contraria alguma legislação. Deste modo, o interesse pode ser considerado legítimo se: (i) não for ilegal; (ii) o interesse deve estar, de forma clara, previamente definido (BIONI, 2019)[3].
No nosso exemplo, o interesse está articulado à uma situação concreta[4], podendo ser exemplificado da seguinte maneira: a organização utiliza da investigação para prevenir, detectar e apurar qualquer atividade ou processo que não esteja de acordo com as suas políticas internas e determinações legais, combatendo, assim, fraudes, corrupção ou até mesmo condutas antiéticas e de sua equipe.
- b) Adequação (art. 6º, caput e II, LGPD)
A análise da adequação no caso do tratamento de dados pessoais busca compreender se os dados pessoais tratados guardam relação com o propósito analisado.
De maneira mais objetiva, o que se analisa quando falamos de adequação é se o conjunto de dados coletados apresentam pertinência com a finalidade de tratamento almejada.
No nosso exemplo, consideramos que a finalidade da coleta de dados seria utilizar os dados pessoais estritamente necessários para a apuração da denúncia – de forma a confirmar ou não o reporte realizado pelo denunciante -, portanto, não parece adequado que a organização trate dados que não corroborem com a apuração/investigação da denúncia, como por exemplo dados relativos à vida sexual ou orientação sexual dos titulares de dados pessoais envolvidos.
Como este interesse não é adequado para o fim pretendido na investigação, esta coleta de dados, portanto, não seria aprovada no teste de adequação do legítimo interesse.
- c) Necessidade: minimização e outras bases legais (art. 10º, § 1º, da LGPD)
Após identificado o interesse do controlador, no caso, a organização, é preciso analisar se os dados coletados são realmente necessários para atingir a finalidade pretendida.
Em resumo, é necessário refletir se não seria possível atingir o mesmo objetivo com a coleta de uma quantidade menor de dados pessoais do titular, de forma menos intrusiva e com menor impacto para ao titular de dados pessoais.
Essa análise dialoga com os princípios da necessidade e minimização, enunciados pelo art. 6°, III da LGPD, os quais estabelecem que o tratamento de dados pessoais deverá ser limitado ao mínimo necessário para a realização de suas finalidades. O mesmo artigo legal afirma que o conjunto de dados pessoais tratados deverá ter abrangência “pertinente, proporcional e não “excessiva” em relação às finalidades de tratamento[5].
Retornando ao nosso exemplo, deve-se analisar a coleta dos dados à luz da necessidade. Assim, mensagens de texto e voz dos titulares de dados pessoais participantes podem ser considerados necessários para o escorreito andamento da investigação sobre assédio moral. Por sua vez, Dados de redes sociais poderiam auxiliar na investigação, mas não seriam estritamente necessários, já que, no exemplo, as mensagens de texto e voz já bastavam para confirmar ou não o fato denunciado.
Por fim, vale destacar que, no contexto brasileiro, Bruno Bioni propõe que a análise da necessidade também englobe a verificação se não há base legal de tratamento de dados diversa disponível para o tratamento (BIONI, 2019)[6].
- d) Balanceamento: impactos sobre o titular dos dados e suas legítimas expectativas (art. 10, II, da LGPD)
A última etapa do teste é o balanceamento – circunstância na qual os interesses do controlador e do titular de dados pessoais serão colocados na “balança”.
De um lado da “balança”, teremos o interesse legítimo do controlador, comentados no item a); de outro lado, teremos a forma como o tratamento de dados pessoais afeta os direitos e liberdades fundamentais do titular de dados pessoais e sua legítima expectativa. Desta forma, é preciso considerar o impacto nos direitos e liberdades dos titulares de dados e avaliar se isso substitui os interesses legítimos da organização.
Visto isso, a expectativa do titular de dados está relacionada com o princípio da boa-fé, já que o titular tem a expectativa de que seus dados serão tratados com base na relação prévia que existia entre ele e o agente de tratamento, ou seja, o tratamento de dados não pode “surpreender” o titular.
Por exemplo, o denunciante possui como legítima expectativa que seus dados sejam tratados para apuração da denúncia e, qualquer uso de seus dados para objetivos diversos deve ser analisado cautelosamente pelo agente de tratamento de modo a verificar se tal uso secundário seria esperado pelo titular de dados pessoais (BIONI, 2019)[7].
Na questão dos direitos e liberdades do titular, a investigação interna não gera repercussão negativa ao titular de dados, considerando que, de forma alguma a investigação interna impactará nas liberdades e nos direitos fundamentais do denunciante, se esta for tomada de forma escorreita.
- e) Salvaguardas: transparência e minimização dos riscos ao titular dos dados (art. 10, § 2º e 3º, da LGPD)
Por fim, essa fase reforça o dever de transparência do agente de tratamento e a mitigação de riscos ao titular dos dados.
Em resumo, o titular de dados pessoais poderia ter poder de tomada de decisão para se opor a atividade de tratamento de dados alegando que o tratamento está incompatível com as suas legítimas expectativas. No entanto, no nosso exemplo (investigação interna de compliance), não é necessário seguir essa lógica, já que pode haver um benefício para outras pessoas e até mesmo para a sociedade. Nesse contexto, Bruno Ricardo Bioni, elucida[8]:
No entanto, esse também seria um caso em que poderia não existir um beneficio para outros titulares de dados. Caso este seja um fraudador, o tratamento dos seus dados pode implicar no cerceamento dos seus direitos e liberdades fundamentais. Nessa situação, percebe-se que nem sempre haverá um real beneficiamento em prol do titular ao se aplicar o legítimo interesse de terceiro, mas porque, especificamente, há um beneficio até mesmo difuso e coletivo de outros indivíduos.
Na questão da mitigação dos riscos, é necessário que o agente de tratamento adote ações que mitiguem possíveis riscos ao titular de dados, como por exemplo a anonimização de dados pessoais sempre que possível.
Conclusão
Este artigo procurou esclarecer como funciona o teste de proporcionalidade ou adequação do legítimo interesse. Se, em primeira vista, o legítimo interesse pode ser entendido como um “coringa” das bases legais para o tratamento de dados pessoais, uma análise sistêmica da LGPD nos faz descartar essa interpretação[9]. Além do mais, segundo o parecer de aprovação do Projeto de Lei da LGPD na Câmara, do Relator Orlando Silva, “o legítimo interesse não deve ser lido como um cheque em branco”[10] (Brasil, 2018, p. 34), mas sim, aplicado quando presentes a legitimidade do interesse, adequação, necessidade, balanceamento e salvaguardas.
[1] BRINCAS, Heitor. O TRATAMENTO DE DADOS PESSOAIS NA CONDUÇÃO DE INVESTIGAÇÕES INTERNAS SOB À LUZ DA LGPD. Eticca Compliance, 2022. Disponível em: http://eticca.com.br/en/o-tratamento-de-dados-pessoais-na-conducao-de-investigacoes-internas-sob-a-luz-da-lgpd/
[2] Na General Data Protection Regulation (GDPR), o teste recebeu a nomenclatura de legitimate interest assessment (LIA).
[3] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p.264.
[4] No caso em tela, o interesse está previamente definido na apuração da denúncia de assédio moral.
[5] MATTIUZZO, Marcela; PONCE, Paula. O legítimo interesse e o teste da proporcionalidade: uma proposta interpretativa. Internet&sociedade, 2020. Disponível em: https://revista.internetlab.org.br/o-legitimo-interesse-e-o-teste-da-proporcionalidade-uma-proposta-interpretativa/
[6] BIONI, 2019, p.265.
[7] BIONI, 2019, p.264.
[8] BIONI, 2019, p.257.
[9] SANTOS, Fernanda. O Legítimo Interesse na LGPD. Lage e Portilho Jardim Advocacia e Consultoria, 2021. Disponível em: https://lageportilhojardim.com.br/blog/legitimo-interesse-lgpd/#_ftn4
[10] Brasil, C. dos D. (2018). Parecer da Comissão Especial destinada a proferir parecer ao Projeto de Lei n 4060, de 2016. https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename=SBT+1+PL406012+%3D%3E+PL+4060/2012.