Divididas em dez justificativas para o tratamento de dados pessoais e oito no caso dos dados sensíveis, as bases legais são diretrizes de suma importância dentro da LGPD. Compreendê-las e saber aplicá-las corretamente requer atenção redobrada e, muitas vezes, pode ser um grande desafio.
A necessidade de um programa de compliance em proteção de dados pessoais é uma realidade que se impõe a um número cada vez maior de empresas de diferentes segmentos da economia e, não raro, independentemente do seu porte. Muitas startups têm no tratamento de dados pessoais um pilar central do seu modelo de negócios, por isso, será cada vez mais difícil para os agentes do mercado ignorar o dispositivo legal brasileiro para a proteção de dados pessoais (LGPD).
Pesquisa realizada pela PwC Brasil, uma das big 4 do mercado de auditoria e consultoria, com 100 empresas indica que 31% delas afirmaram estar se preparando para adotar as regras previstas na lei; 48% disseram já estar prontas para cumprir a legislação e 52% chegaram a investir em políticas para garantir o tratamento de dados pessoais sensíveis. “As estatísticas mostram que, de fato, há um longo caminho a ser percorrido, mas que o mercado entendeu a relevância da adequação às regras de proteção de dados pessoais”, diz a advogada Paula Rodrigues, do escritório especializado em direito digital Opice Blum.
Pela própria prematuridade da entrada em vigor da lei – por mais que existam processos em andamento e sanções proferidas – muitos profissionais ainda têm dificuldades para compreender alguns dos pontos mais importantes, delicados e que exigem atenção redobrada daqueles que operam com tratamento de dados. Um dos pontos mais relevantes a demandar tal atenção diz respeito ao uso correto das bases legais previstas na Lei e que legitimam a manipulação das informações pessoais de terceiros. São elas que permitem fundamentar de ordem objetiva a necessidade de processar os dados de titulares, sempre vinculadas com os demais princípios de privacidade como finalidade, proporcionalidade e transparência. “Quando uma empresa não sabe adequar corretamente a operação realizada à uma situação legalmente aceita para justificá-la, pode acontecer de todo o tratamento posterior acabar mal feito por falta de enquadramento na hipótese correta”, explica Davis Alves, presidente da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). O termo “base legal” está mais relacionado à legislação europeia, o GDPR. Conforme o texto da legislação brasileira, o termo correto é Hipótese de Tratamento de Dados.
Representante do Brasil na Federação Europeia dos DPO’s (EFDPO) e membro do Conselho Nacional de Proteção de Dados (CNPD), Alves alerta que as empresas brasileiras deveriam prestar atenção no que vem ocorrendo na Europa, cuja legislação local de proteção de dados pessoais, o GDPR, serviu de inspiração para a lei brasileira. E no velho continente, é justamente a falta de uma base legal e a Falta de Princípios de Tratamento (artigos 7 e 6 da GDPR), os motivos que mais têm resultado na aplicação de multas às empresas na Europa. “Só nos dois primeiros anos da GDPR, tivemos 237 multas. Dessas, 104, foram graças a falhas em bases jurídicas previstas nos dois artigos. Então é fundamental que as empresas tenham sim um bom enquadramento na base legal”.
O artigo 7 da LGPD estabelece dez bases legais sob as quais o controlador pode se apoiar e justificar o tratamento dos dados tratados. Ou seja, são as dez situações nas quais a coleta, o processamento ou outras atividades de tratamento de dados pessoais é legalmente aceito. Entretanto, não se trata de um menu a lá carte, no qual se escolhe ali uma base qualquer por parecer mais adequada. A base legal apontada deve ser justificada e se sustentar juridicamente de forma inequívoca como sustentação da finalidade a qual determinado tratamento se destina.
“Conhecer as bases legais e saber aplicá-las ao caso concreto é fundamental para uma boa estruturação de um programa de Compliance em LGPD. Tal qual a legislação penal, as bases legais da LGPD devem se adequar como uma luva ao tratamento de dados pretendido”, explica a advogada Gabriele Oliveira, DPO da Click Cash, fintech que atua no setor financeiro. Para ela não basta ter decorado, na ponta da língua, as dez bases legais. É indispensável ter o conhecimento pleno dos princípios norteadores da legislação, segundo as próprias diretrizes do artigo 6º da LGPD, antes mesmo de determinar as bases legais. “Desta forma, é necessário identificar inicialmente se o tratamento está em consonância com a boa-fé e os princípios. Se a resposta for positiva, então é a hora de adequar a base legal”, explica a DPO.
Algumas dessas bases oferecem um bom espaço de subjetividade. É provável que no decorrer dos próximos anos, se estabeleça uma jurisprudência acerca do que e aceitável para cada uma delas. Mas hoje, esse ainda é um terreno um tanto quanto acidentado. Leandro Augusto, sócio-líder de Cyber Security da KPMG, outra big 4, concorda que talvez existam vários critérios subjetivos nas descrições das Bases legais. Para ele, isso apenas reforça a importância de observá-las com a seriedade que elas requerem. “No momento de definir a base é preciso atenção para os reais motivos que fazem necessário a realização de um tratamento. Apesar dessa subjetividade, existem vários aspectos, como por exemplo, o processo de exclusão das bases legais que menos se adaptam aos fins a que o tratamento se propõe, até chegar aquela com a qual ele melhor se relaciona”, sugere o sócio da KPMG. Para Oliveira, da Click Cash, a escolha correta da base legal começa por excluir as que definitivamente não se encaixam no caso concreto. “Outra dica é ter uma árvore de obrigações a partir de cada base legal possível para o tratamento do dado pretendido”.
A adoção de uma determinada base legal depende não só de uma adequada interpretação jurídica. Mas, como lembra Mihran Kahvedjian Junior, superintendente de Data Analytics & Data Protection Officer/Risk Data Aggregation do Banco Santander, essa escolha também direciona a necessidade de adequar processos e implantar controles. “Uma associação equivocada pode elevar o nível de exposição e não aderência de um tratamento à sua legitimidade”, pontua o executivo do banco espanhol.
Paula Rodrigues, do Opice Blum, lembra que toda atividade realizada com dados pessoais (como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração) precisa estar respaldada. “A ausência de uma base legal atrelada a uma atividade de tratamento de dados pessoais pode ser considerada violação direta à lei e, portanto, ser passível de aplicação de sanções administrativas lá previstas, conforme disposto no art. 52 da LGPD – desde uma advertência, com indicação de prazo para adoção de medidas corretivas (no caso, a indicação de uma base legal adequada), até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, em último caso”, alerta.
Logo, as consequências que a má escolha de uma base legal, sem embasamento e com justificativas frágeis para sustentar a necessidade de determinado tratamento podem ser graves. “O resultado pode ser um processo administrativo movido pela ANPD”, afirma Alessandra Gonsales, sócia do escritório GCAA e Sócia-fundadora da LEC. Para ela, dependendo da relação com o titular do dado, principalmente em se tratando de relação de consumo, no caso de uma má condução do tratamento, a empresa também poderia ser autuada pela lei de defesa do consumidor”, reforça a sócia do GCAA.
Estas seriam algumas das consequências imediatas, já passíveis de sanções. Mas a coisa não acaba aí. Segundo Gonsales, além das sanções administrativas, se o titular dos dados se sentir prejudicado, o episódio pode render ainda uma ação judicial. E, em se tratando de uma questão mais coletiva, o próprio Ministério Público pode dar início a um processo. O prejuízo reputacional pode ser incalculável para uma companhia. Além disso, como alerta Alves, do CNPD, muitas empresas estão preocupadas somente com as sanções que podem resultar em multa para a empresa, sem também levar em conta as obrigações legais com o titular. “A empresa vincular a uma base legal errada certamente levará a uma multa pela ANPD. Mas a utilização de uma hipótese errada pode ferir o artigo 42 da LGPD, que pode também render uma indenização ao titular”, reforça Alves.
Partindo daí, o dirigente da associação acredita que uma das questões que precisa ser levantada diz respeito à leitura rasa que muitos ainda têm feito da legislação brasileira de proteção de dados pessoais e que muitas empresas não estão conseguindo diferenciar as bases legais dos princípios gerais da LGPD, sendo que um não exclui a necessidade da outra. “Quais são os princípios da LGPD? Finalidade, necessidade, adequação, responsabilização, transparência, etc. Dentre todos os princípios da LGPD, acho que podemos dizer que o principal é o da finalidade. A empresa tem a obrigação de informar ao titular que ela está coletando seus dados. Logo ela não pode fazer nada com estes dados que vá além da finalidade informada no momento dessa coleta. E somente baseando-se no que ficou explícito no documento de autorização desse consentimento é que o tratador vai escolher a base que melhor se enquadra no tipo de tratamento proposto”, acredita o conselheiro do CNPD.
Sendo assim, não é demais alertar que a escolha acertada de uma base legal para justificar uma operação demanda atenção redobrada em relação à sua finalidade, necessidade e adequação. Cada uma delas possui características e distinções muito particulares, cujo tratamento desatento pode ocasionar em resultados desastrosos. É o caso da base legal da tutela da saúde, que só pode ser utilizada por profissionais e instituições ligadas ao segmento da saúde; ou a base legal de tutela da vida, condicionada a situações de emergência em que o risco de morte se faz presente.
A armadilha do consentimento
Quando da aprovação da LGPD, era comum ouvir de profissionais ligados à área de tratamento de dados a preocupação de que, a partir daquele momento, seria necessário pedir o consentimento dos titulares dos dados para tudo. Esse receio inicial, em muitos casos, fruto da falta de uma compreensão mais depurada sobre o assunto, talvez explique porque muitos se apeguem tanto à base legal do consentimento. Muitas vezes, esquecendo que a Lei prevê outras nove situações que legitimem sua operação. Além do mais, basear-se quase que exclusivamente no consentimento como premissa básica para um tratamento de dados pessoais pode muito bem conduzir o operador a uma armadilha. “Desde que a LGPD entrou em vigor, tenho visto muita gente tentando legitimar seu tratamento de dados baseando-se no pedido de consentimento para tudo. E não é o caso”, pontua Alessandra Gonsales, que é da opinião de que o melhor caminho deveria ser o de evitar o consentimento. A permissão do titular não é um cheque em branco para a empresa e está atrelada às comprovações legítimas quanto às condições em que se deu o consentimento. “Quando se fala de gestão do consentimento, é preciso ter a prova de que a pessoa consentiu. E como se faz essa prova? Se é de um aplicativo, é preciso ter a rastreabilidade, assim como no site. Se for por meio de contato telefônico, vai ser preciso manter a gravação do áudio desse contato. Ou seja, é preciso gerir o consentimento das pessoas e são poucas as empresas que estão se dando conta disso. Além disso, da mesma forma que o titular tem total liberdade para dar o consentimento também pode retirá-lo a qualquer momento”.
O fato de uma informação ser de conhecimento público, por exemplo, também não significa que ela possa ser utilizada para qualquer fim. Usando as redes sociais como exemplo, não é porque os dados de um indivíduo estão publicados em seu perfil no Facebook, portando abertos ao conhecimento público, que eles podem ser tratados sem a permissão devidamente comprovada de seu titular. Conforme o texto deixa claro, os dados são de propriedade exclusiva do titular e somente a ele cabe autorizar para que finalidade, por quanto tempo e até que ponto estão disponíveis. Para isso, é preciso que o documento que o autoriza deve deixar isso de maneira clara e simplificada, assim como a possibilidade de que o titular o desautorize quando e como bem entender. Não bastando um simples ícone na página da empresa dizendo “autorizo”. “Desde o primeiro momento e antes mesmo da coleta de dados pessoais, é imperativo que o titular precisa ser devidamente informado sobre o fim que será dado às suas informações”, diz Paula Rodrigues.
Mesmo porque não é possível ao titular prever quais e para que fins serão utilizadas as informações confiadas quando do preenchimento de um cadastro ou ficha de adesão. Logo, é do controlador a responsabilidade de indagar até que ponto os dados utilizados para determinada operação são realmente necessários e até que ponto é preciso mantê-los. “É obrigatório levar em conta que, além de um mecanismo de fácil acesso e compreensão para a gestão do consentimento, assim também deve ser para o exercício do direito de revogação do titular”, esclarece Gabriele Oliveira, DPO da Click Cash. “Quem não estuda a fundo a LGPD acha que ela se resume a um termo de consentimento, colocar um aviso de cookie no site da empresa pedindo autorização para a coleta dos dados e isso basta. Está totalmente errado e é aí que muita gente está errando”, continua Davis Alves.
Assim como Alessandra Gonsales, o conselheiro do CNPD também vê no consentimento uma das piores bases a ser utilizada. Além do mais, se a lei elenca dez bases legais (a GDPR elenca apenas seis), nada justifica os controladores estarem se limitando a duas ou três hipóteses, que talvez sejam as piores. “Uma base que só existe aqui no Brasil é a de Proteção ao Crédito. Se uma empresa está coletando dados e cliente comprou e não pagou, ela pode compartilhar os dados, sem a necessidade do consentimento”, explica.
A finalidade legitima o interesse?
Outra base legal muito utilizada diz respeito ao conceito de Legítimo Interesse. Trata-se de uma das mais genéricas e flexíveis dentre as previstas na LGPD, por ter como objeto atender aos interesses do controlador que justifiquem o manuseio daquelas informações. Por outro lado, ao lançar mão desse artifício, é bom ter em mente que o tratamento sob a alegação de legítimo interesse está submetido aos limites que possam exceder os direitos e as liberdades fundamentais do titular. Além de não poder ser utilizada em casos de dados sensíveis, o legítimo interesse exige expressamente a realização de um Teste de Proporcionalidade e um relatório de impacto, que justifique sua adequação.
“Para muitas pessoas o legítimo interesse pode até parecer um Coringa, uma opção para seu usada de forma indiscriminada. Mas o uso dessa base legal é claro. Ela só pode ser convocada quando houver equilíbrio entre os interesses do controlador e do próprio titular. E não pode ser usado sem uma análise de risco ou de proporcionalidade para que seja avaliado esse impacto e confirmado esse equilíbrio”, explica Leandro Augusto, da KPMG.
Exposição desnecessária
A ANPD ainda precisa regular alguns aspectos da legislação, que além disso é muito nova, o que justifica o pouco volume de casos de decisões da ANPD contra as empresas. Mas essa é uma situação momentânea. Em breve, o mercado deve começar a ter enforcements com alguma frequência. “Se a empresa tiver uma denúncia por não estar fazendo corretamente o tratamento, ou uma situação de vazamento de dados, ou mesmo durante uma fiscalização, a ANPD vai querer saber como está seu programa de Compliance em proteção de dados e, através disso, descobrir que a empresa não está usando a base adequada”, alerta Gonsales.
Numa situação assim, a fiscalização pode concluir que a empresa não está fazendo a gestão da base adequada e, a partir daí, exigir uma série de informações. “Eles vão querer saber os motivos da escolha dessa base, se os direitos dos titulares estão sendo respeitados e, inevitavelmente, no caso de legítimo interesse, a agência vai exigir ver o relatório de Impacto”, reforça a sócia do GCAA, lembrando que esse é um ponto importante, ainda mais porque muitas empresas estão se baseando na base do legítimo interesse, sem cumprir com todo o processo que o uso dessa base exige, como a obrigatoriedade do relatório de impacto e da realização do teste de legítimo interesse, conhecido como “LIA”.
Kahvedjian Junior sugere que uma forma de interpretar o legítimo interesse e verificar sua aplicabilidade é confirmando a existência do equilíbrio de expectativas e interesses entre as partes envolvidas – titular e controlador. “Um exemplo prático: ainda que não exista explicitamente (como por meio de um opt-out), o interesse no recebimento de contato para oferta de produtos de um varejista, por exemplo, existe um equilíbrio de interesses quando se trata de um contato para confirmação de uma compra – para que se evite prejuízos ao negócio por uma compra fraudulenta de um lado, para que não exista nenhum tipo de ônus potencial ao titular no outro”. O superintendente do Santander alerta, no entanto, que existem diversas outras situações mais complexas a se analisar e certificar que o legítimo interesse é a base legal mais adequada; mas avaliar que o interesse ou benefício não pode estar em uma ponta da relação apenas é fundamental.
A má interpretação da base legal do legítimo interesse é o que vem levando muitos operadores a confundir dados públicos com dados disponíveis. O que pode acarretar um erro gravíssimo. O uso da justificativa de legítimo interesse, por exemplo, na verificação de antecedentes criminais e dados creditícios, por exemplo, para cumprir operações de background check. Mas a Justiça do Trabalho, recentemente, sancionou uma transportadora de São Paulo, com base na LGPD, pelo uso de verificação das condições de crédito, antes da contratação de motoristas. São casos que revelam o quão importante pode ser o teste de proporcionalidade para o uso do legítimo interesse como base legal.
Para Davis Alves, ao lado do Consentimento, legítimo interesse deveria ser uma das últimas hipóteses de tratamento a ser considerada, embora venha sendo vista como justificativa para quase tudo. “O legítimo interesse e o consentimento representam as duas piores bases legais. Deveriam ser as duas últimas a se levar em consideração”.
De acordo com o presidente da Esloveno, um dos primeiros problemas na escolha pelo legítimo interesse é que o seu uso pode ser facilmente questionado, uma vez que ela exige claramente uma paridade entre interesses e ganhos tanto da empresa quanto do cliente. “Se o tratamento resulta em ganho apenas para a empresa e nenhuma vantagem, quando não em prejuízo ao titular, a base do legítimo interesse cai por terra”, lembra Alves, que entende existir outras bases legais que podem ser mais úteis para muitos dos casos que vem sendo baseados no Legítimo Interesse, caso da do cumprimento legal, que permite coletar os dados sem demandar que o titular seja informado a respeito disso, apoiando-se em outras leis que obriguem o operador a coletar esses dados.
Dados sensíveis
No que diz respeito aos dados sensíveis, à atenção à escolha da base legal correta é ainda mais necessária. Tanto que a lei prevê oito bases legais dedicadas especificamente a estes casos, todos expostos no artigo 11 da LGPD. É importante que nesses casos, o tratamento se dê de forma mais diligente, frente às limitações de enquadramento que dados dessa natureza requerem. Aqui, por exemplo, fundamentalmente, não pode ser utilizada a base do legítimo interesse. Há também restrições com relação à prestação de serviços e contratos. Leandro Augusto, da KPMG, diz que há menos opções de tratamento e isso não é sem razão. “Os dados sensíveis representam mais risco para as companhias e, portanto, é preciso ainda mais atenção e diligência por parte dos profissionais ao tratamento deles”, aponta o sócio da KPMG.
Mihran Kahvedjian Junior reforça a importância de avaliar e conhecer de forma profunda quais dados serão objeto de cada tratamento, e o detalhe de cada processo existente na organização é peça fundamental. “Mais do que identificar a eventual existência de dados sensíveis, que por si só já limitam as bases legais passíveis de associação, é importante lembrar que dentro de um mesmo processo, diferentes tratamentos (coleta, compartilhamento, retenção etc.) podem ter aspectos diferentes, e por consequência bases legais diferentes – reforçando sempre a resultante de aplicação de controles específicos para cada situação estar aderente aos princípios da LGPD. Um olhar profundo sobre a base de dados de um determinado tratamento possibilita a avaliação de proporcionalidade, quão sensível aquele tratamento é, e uma fundamentação mais sólida”, finaliza.
Artigo publicado originalmente na edição 34 da Revista LEC com o título “Bases de sustentação”.
Imagem: unDraw
