Vinicius Venancio Costa
A Lei nº 13.709/2018, a Lei Geral de Proteção de Dados, representa um novo panorama acerca da relação entre agentes de tratamento, quer sejam controladores ou operadores, e titulares de dados pessoais. A privacidade ganha destaque no debate, notadamente com os princípios e a lógica estabelecida na Lei nº 13.709/2018.
Sempre que se for analisar a atividade de tratamento de dados, deve-se ter por pressuposto (i) a finalidade no âmbito do tratamento, (ii) os princípios orientadores da proteção de dados, estabelecidos no artigo 6º da Lei nº 13.709/2018, e (iii) os fundamentos legais justificadores daquela atividade específica, sendo que para o caso de dados pessoais, os fundamentos estão estabelecidos no artigo 7º da Lei nº 13.709/2018, e para o caso de dados sensíveis, os fundamentos estão no artigo 11.
Dentre os fundamentos legais constantes no artigo 7º da Lei nº 13.709/2018, está no inciso IX o atendimento aos “interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”, já indicando o texto normativo uma ponderação a ser feita no caso prático.
Todavia, diante do conceito jurídico indeterminado inserto no artigo 7º, inciso IX da Lei nº 13.709/2018, quais seriam os parâmetros para o agente de tratamento se valer de sua aplicabilidade?
Devido à influência do Regulamento Geral de Proteção de Dados da União Europeia (em inglês e aqui referido como GDPR) no contexto de elaboração e promulgação da Lei nº 13.709/2018, e o fato de não haver até o momento decisões e orientações oficiais e vinculantes acerca da interpretação da nova lei no Brasil, valemos no presente artigo dos referenciais europeus para aplicação do tema a nível nacional.
Nesse sentido, pretendemos aqui estabelecer algumas diretrizes com base nos principais julgados do Tribunal de Justiça da União Europeia e de seus Estados-membros acerca do tema.
Necessitamos aqui comentar que a temática da proteção de dados na União Europeia já era há muito regulada, antes mesmo do GDPR. A Diretiva 95/46/CE, de 24 de outubro de 1995, tratava sobre proteção de dados até 24 de maio de 2018 e precedeu o GDPR no assunto, fazendo o Tribunal de Justiça diversas referências a essa diretiva.
No caso “C-13/16 Rigas”[1], o Tribunal de Justiça da UE estabeleceu os critérios de ponderação para se analisar o interesse legítimo no caso concreto, sendo um caso paradigma de relevante importância. No caso, de origem na Letônia, houve um acidente em um bonde ocasionado pelo passageiro de um táxi, que era um menor de idade. A empresa que administrava o bonde acidentado solicitou à polícia local para acessar os dados de identificação e contato do passageiro em questão, sob o argumento de que tinha um “interesse legítimo” no assunto – conforme o caso, a lei local reproduzia o artigo 7º da Diretiva 95/46/CE, que dentre os fundamentos legais para o tratamento de dados indicava o “interesse legítimo”.
A polícia forneceu acesso apenas ao nome do passageiro, justificando haver restrições legais para divulgar demais dados pessoais conforme a lei letã. A empresa de bonde contestou a decisão da polícia e venceu em primeira instância. O tribunal de recursos da Letônia solicitou à Autoridade de Proteção de Dados da Letônia uma opinião sobre o assunto.
A Autoridade indicou que as normas que regem o tratamento de casos administrativos representam uma lei especial em contraposição à lei de proteção de dados letã; porém, ainda que se cogitasse da aplicação da lei de proteção de dados local, as regras relativas aos fundamentos legais do tratamento deveriam ser entendidas como uma “permissão” para o tratamento, e não uma “obrigação”, de modo que não estaria a polícia local automaticamente obrigada a divulgar todo dado solicitado. O tribunal de apelação remeteu o caso ao Tribunal de Justiça da UE para esclarecer o que seria o fundamento de “necessário para os interesses legítimos de terceiros”.
O Tribunal, ao decidir a matéria, estabeleceu que ao se analisar o interesse legítimo, deve-se proceder com um teste de ponderação composto por três estágios que se resumem na seguinte ordem:
- Teste de finalidade – existe um justo objetivo para o tratamento do dado?
- Teste de necessidade – o dado é necessário para esse fim?
- Teste de adequação – os direitos e direitos e liberdades fundamentais do titular dos dados têm precedência sobre o interesse a ser considerado?
Ao proceder com o teste o Tribunal de Justiça da UE verificou que:
- Teste de finalidade – “não há dúvida de que o interesse de um terceiro em obter uma informação de ordem pessoal sobre uma pessoa que danificou os seus bens para instaurar uma ação contra essa pessoa constitui um interesse legítimo”, havendo portanto a finalidade;
- Teste de necessidade – “as derrogações e as restrições ao princípio da proteção dos dados pessoais devem ocorrer na estrita medida do necessário […]. A este respeito, há que constatar que, segundo as indicações dadas pelo órgão jurisdicional de reenvio, a comunicação meramente do nome e sobrenome da pessoa que é autora do dano não permite identificá-la com precisão suficiente”, havendo portanto a necessidade;
- Teste de adequação – “é possível tomar em consideração o fato de a gravidade da violação dos direitos fundamentais da pessoa em causa pelo referido tratamento poder variar em função da possibilidade de acessar aos dados em causa em fontes acessíveis ao público”, não havendo de se falar, portanto, numa adequação entre o direito ao dado e a proteção do titular, visto que a o direito do titular, por ser menor, tem prevalência na situação.
O Tribunal, assim, constatou que o pedido da empresa de bonde satisfazia os dois primeiros estágios do teste, mas não o último. Afirmou o Tribunal que as circunstâncias de um caso devem ser analisadas e avaliadas em seu contexto e que fatores como a idade do titular dos dados e se os dados em questão estavam disponíveis ao público devem ser consideradas na adequação com “direitos e liberdades fundamentais” do titular dos dados.
Assim, como o passageiro do táxi em questão, causador do acidente, era menor de idade, o Tribunal não considerou a divulgação de seus dados abarcadas sob o fundamento do “interesse legítimo”.
Ao se olhar para os Estados-Membros da União Europeia, parâmetros também podem ser destacados. O Tribunal Federal do Trabalho da Alemanha estabeleceu que não constitui “interesse legítimo” dos empregadores alemães o monitoramento de seus empregados por meio de um sistema de registro do teclado utilizado e de capturas de forma regular de imagens de tela do computador utilizado, se não houver suspeita de uma ação criminosa (Bundesarbeitsgericht, 27 de julho de 2017 – caso 2 AZR 681/16[2]).
No caso, uma empresa instalou um software no computador de seus funcionários que permitia o monitoramento de seus teclados e produzia capturas de imagens de suas telas regularmente. Um dos funcionários em questão foi demitido e então ajuizou uma ação em face de sua antiga empregadora.
Na decisão, o Tribunal Federal do Trabalho da Alemanha constatou que essa técnica de monitoramento é intrusiva para ser justificada pelo “interesse legítimo” da empresa. Segundo o Tribunal, a coleta de dados por meio do registro do teclado interfere de forma desarrazoada com o direito da pessoa à autodeterminação informacional.
Os dados obtidos dessa maneira permitem à empresa criar um perfil quase abrangente e completo do titular dos dados, além de se ter acesso a categorias especiais de dados pessoais e até dados altamente sensíveis, sem qualquer referência aos propósitos de trabalho. Assim, não há interesse legítimo na situação.
Procurou-se assim, indicar breves contornos ao estabelecimento do “interesse legítimo” enquanto hipótese fundamentadora de tratamento de dados pessoais no Brasil. Espera-se que o delineamento a ser dado pela autoridade nacional brasileira esteja conforme o padrão adotado em demais sistemas cuja privacidade e proteção de dados tiveram seus debates mais desenvolvidos na jurisprudência.
[1] Os documentos podem ser acessados em: http://curia.europa.eu/juris/liste.jsf?oqp=&for=&mat=or&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-13%252F16&page=1&dates=&pcs=Oor&lg=&pro=&nat=or&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&language=en&avg=&cid=4635103 Acessado em 5 de fevereiro de 2020.
[2] Disponível em https://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=en&sid=c6f5371028bf4ed846412a68d7fce399&nr=19516&pos=0&anz=1 Acessado em 5 de fevereiro de 2020.