Opinião & Análise

Lei nº 13.709/2018

Estaria o interesse legítimo presente apenas em dados de acesso público?

Critérios e restrições já foram estabelecidos pelo legislador – seja no âmbito da UE e brasileiro

Crédito: Pixabay

Em nosso último texto aqui publicado, estudamos como o Tribunal de Justiça da União Europeia definiu na jurisprudência, no caso “C-13/16 Rigas”[1], os critérios de ponderação para se analisar o “interesse legítimo” no tratamento de dados pessoais.

Ao decidir se era possível o compartilhamento, pela polícia local à vítima de um acidente viário, das informações de um menor causador do resultado, decidiu o Tribunal que isso não era possível, tendo em vista a proteção do menor face à possibilidade da vítima se valer de outras alternativas para obter as informações do autor do fato, não havendo portanto interesse legítimo na hipótese.

Esse critério da ponderação foi, aliás, indicado pelo Grupo de Trabalho do Artigo 29 (WP29) na UE, quando da elaboração do Parecer 6/2014[2]. Vale aqui mencionar que na UE, ainda à época da Diretiva 95/46/CE, a qual tratava sobre proteção de dados até 24 de maio de 2018 e precedeu o GDPR, foi estabelecido em seu artigo 29 um Grupo de Trabalho independente, o WP29, com caráter consultivo, composto dentre outros, pelas autoridades de proteção de dados dos Estados-Membros da UE, para analisar as questões relativas à proteção de dados àquela época, por meio da emissão de diversos pareceres[3].

Esses pareceres são diretrizes para aplicação da matéria a diversos casos.

No Parecer 6/2014, emitido pelo WP29, em linhas gerais são destacados os critérios a serem considerados para a aplicação do teste de ponderação em três etapas. Conclui o parecer, em essência, que para ser considerado “legítimo”, o interesse deverá (a) estar de acordo com a lei aplicável, (b) ser suficientemente claro e específico a fim de permitir que o teste de ponderação seja realizado com base nos direitos fundamentais do titular dos dados, e (c) representar uma situação real e presente – ou seja, não deve ser especulativo.

Assim, ao se avaliar o impacto sobre os titulares de dados, devem-se considerar (a) as circunstâncias envolvidas (ex.: situações nas quais o tratamento pretendido possa conduzir à exclusão ou à discriminação de pessoas) e a finalidade desejada (ex: qualquer finalidade lícita, como o direcionamento de propaganda, monitoramento de empregados etc.); (b) a natureza dos dados (se públicos ou privados, se de acesso restrito ou irrestrito, etc.); e (c) a forma como os dados são tratados.

Mas, seria possível uma limitação do interesse legítimo, restringindo a hipóteses em que o dado pessoal fosse exclusivamente um dado com acesso público? Foi isso que decidiu o Tribunal de Justiça da UE nos casos “C-468/10” e “C-469/10”[4].

A Espanha, ao internalizar a Diretiva 95/46/CE por meio de sua lei orgânica 15/1999 e o decreto real 1720/2007, passou a exi gir que o tratamento de dados pessoais justificado sob o fundamento do “interesse legítimo” o fosse limitado aos dados disponíveis por meio de acesso e fontes públicas[5]. Vale ressaltar que a Diretiva 95/46/CE (e também o GDPR e, em âmbito brasileiro, a Lei nº 13.709/2018) não estabelecia qualquer outro requisito para a aplicação do “interesse legítimo” que não a prevalência dos direitos e liberdades fundamentais da pessoa em causa

Duas instituições questionaram essa exigência adicional da lei local perante o Supremo Tribunal de Espanha, o órgão máximo de jurisdição espanhola, a  ASNEF (a Associação Nacional de Estabelecimentos Financeiros de Crédito, em tradução livre) e a FECEMD (Federação de Comércio Eletrônico e Marketing Direto, em tradução livre), sendo o caso levado ao Tribunal da UE.

Destaca-se que a importância de análise deste caso reside nos dois questionamentos respondidos pelo Tribunal de Justiça da UE:

  • Podem ser acrescentados novos princípios e regras relativos à legalidade do tratamento de dados pessoais, em vista dos especificados no artigo 7º da Diretiva 95/46/CE?
  • O artigo 7 da Diretiva 95/46/CE tem aplicação direta nas jurisdições dos Estados-Membros?

Com relação ao primeiro aspecto, e de maior relevância quando comparado com aplicação brasileira da Lei nº 13.709/2018, o Tribunal ressaltou ao longo do acórdão o aspecto de harmonização da matéria de proteção de dados na UE. A Diretiva 95/46/CE visa a garantir, de modo equivalente em todos os Estados-Membros, a livre circulação de dados pessoais, garantindo ao mesmo tempo um alto nível de proteção dos direitos e interesses dos titulares de dados.

Foi enfático o Tribunal ao destacar que a Diretiva 95/46/CE em seu décimo “considerando” acrescentava que a aproximação das legislações nacionais aplicáveis na matéria não deveria diminuir a proteção assegurada pela norma, devendo, pelo contrário, ter por objetivo garantir um elevado nível de proteção.

Mas tal elevado nível de proteção deveria estar de acordo com os ditames da Diretiva 95/46/CE. O artigo 7º da Diretiva 95/46/CE, reproduzido na essência no artigo 6º do GDPR (e também no artigo 7º da nossa Lei nº 13.709/2018), estabelece um rol exaustivo e restritivo de casos em que o tratamento de dados pessoais possa ser considerado legal, sendo defeso ao Estado-Membro inovar nesta matéria. Essa aliás é a orientação da norma ao deixar expresso que o tratamento “somente poderá ser realizado se”.

Além da proteção aos titulares, o sistema de proteção de dados deve manter um equilíbrio com a livre circulação de dados pessoais. Qualquer medida nacional que preveja requisitos adicionais que alterem o alcance desta livre circulação deve ser rechaçada.

Ainda, o teste de ponderação a ser feito requer um equilíbrio dos direitos e interesses opostos em questão com base na situação concreta. Não é possível tomar por pressuposto que um dado de acesso público legitime o tratamento e que dados de fontes restritas, não públicas, impliquem necessariamente que as informações relacionadas à vida privada do titular não sejam posteriormente conhecidas.

Deixa de ser uma precisão técnica, na acepção do sistema de proteção de dados, essa prescrição prévia definitiva quanto ao teste de ponderação, que desconsidera as circunstâncias particulares de um determinado caso.

Além disso, com relação ao segundo questionamento, foi claro o Tribunal ao estabelecer que sempre que as disposições de uma diretiva sejam incondicionais e suficientemente precisas, terão eficácia plena. O dispositivo da Diretiva 95/46/CE em questão é suficientemente preciso, uma vez que estabelece uma obrigação incondicional, sendo portanto de eficácia plena.

O que se demonstra dessa decisão do Tribunal de Justiça da União Europeia é que, ao se interpretar normas do sistema de proteção de dados, deve o intérprete considerar não apenas o desenvolvimento tecnológico e/ou a proteção do titular, mas também a livre circulação das informações em vista de um sistema uno e que seja convergente para toda a jurisdição. A legalidade é sobretudo a orientação necessária para o sistema.

Os critérios e restrições já foram estabelecidos pelo legislador – seja no âmbito da UE, seja no âmbito brasileiro, na Lei nº 13.709/2018. Espera-se que, ao propor diretrizes e orientações, a Autoridade Nacional de Proteção de Dados, o faça por meio de esclarecimentos dos princípios já consagrados na proteção de dados, e não pela inovação de restrições e requisitos adicionais aos existentes. De igual formal, espera-se o mesmo do Poder Judiciário.

 

—————————————————————————————————————-

[1] Os documentos podem ser acessados em: http://curia.europa.eu/juris/liste.jsf?oqp=&for=&mat=or&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-13%252F16&page=1&dates=&pcs=Oor&lg=&pro=&nat=or&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&language=en&avg=&cid=4635103 Acessado em 16 de fevereiro de 2020.

[2] Parecer elaborado pelo Grupo de Trabalho instituído pelo artigo 29 da Diretiva 95/46/CE. Tratava-se de um órgão consultivo europeu independente em matéria de proteção de dados e de privacidade. As suas atribuições são descritas no artigo 30 da Diretiva 95/46/CE e no artigo 15 da Diretiva 2002/58/CE.

[3] Após a vigência do GDPR, este Grupo de Trabalho foi substituído pelo “European Data Protection Board”[3], porém seus pareceres elaborados ainda servem de referência no que tange à matéria.

[4] Os documentos podem ser acessados em: http://curia.europa.eu/juris/documents.jsf?oqp=&for=&mat=or&lgrec=en&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-468%252F10&page=1&dates=&pcs=Oor&lg=&pro=&nat=or&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&language=en&avg=&cid=6183606 Acessado em 16 de fevereiro de 2020.

[5] Nos termos do artigo 3°, alínea “j)”, da então Lei orgânica 15/1999 da Espanha, “são consideradas fontes de acesso público, exclusivamente, as cópias das listas eleitorais disponibilizadas para efeitos de consulta pública (censo promocional), as listas telefônicas nos termos previstos pela sua legislação específica e as listas de pessoas pertencentes a grupos profissionais que contenham apenas o nome, título, profissão, atividade, grau acadêmico, morada e indicação da sua pertença ao grupo. Têm também caráter de fontes de acesso público os jornais e jornais oficiais e os meios de comunicação”.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito