O “interesse legítimo” do controlador e o Judiciário ameaçam a LGPD?

Ok, antes que nos julguem, já que esta é a regra do mundo digital e seus hooligans dos teclados, leia o texto abaixo com (a mínima) atenção, para compreender exatamente o contexto no qual estamos colocando a questão.

Como todos que estão perdendo alguns minutos por aqui sabem, ou deveriam saber, o Brasil entrou de vez na “onda” dos países com legislação específica de proteção de dados pessoais, ainda que considerável atraso, com a edição da Lei 13.709/2018, já popularmente apelidada de LGPD (ainda que alguns – impressionante como tem gente que se apega a questões tão marginais – a estejam chamando de LPDP), mais inspirada no GDPR – General Data Protection Regulation do que as roupas da Zara e congêneres de fast fashion em relação ao que há de novo em termos de moda.

A LGPD traz, em linhas gerais, 10 (dez) hipóteses nas quais poderá ser realizado o tratamento de dados pessoais, não se limitando ao consentimento do titular que, aliás, deve ser tratado de modo subsidiário, e assim buscado quando não aplicável nenhuma das outras hipóteses previstas nos incisos do art. 7°.

O perigo referido no título do presente reside no disposto no inciso IX do mencionado art. 7°, segundo o qual o tratamento poderia ser realizado “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.

Surge então a questão: o que seriam “interesses legítimos”, a justificar o tratamento de dados? O sabidão dirá que não li o texto de lei com (a mínima) atenção, e que a definição de “legítimo interesse” está lá, estampada no art. 10, cujo caput dispõe: “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:”.

Pois bem, foi lido, e é possível dizer que a redação é um primor… de vagueza e intenção.

Todos sabem (afinal, ninguém é assim tão ingênuo) que a hipótese de “legítimo interesse” do controlador está inserta na LGPD como uma espécie de boia jogada em alto mar, a tentar legitimar tratamentos que são feitos sem enquadramento em nenhuma das demais hipóteses legais, aí incluído o consentimento do titular, ou mesmo em hipóteses, digamos, onde o enquadramento não seja tão claro. Não estamos aqui para julgar, mas não podemos ignorar.

Note que, em um mísero parágrafo, disposto como caput do art. 10, podem ser encontradas diversas alternativas, tais quais “finalidades legítimas”, “situações concretas”, “mas não se limitam a”, tornando esta a mais aberta das hipóteses de tratamento de dados pessoais. Se o próprio dispositivo afirma que o legítimo interesse depende de “finalidade legítima”, sendo esta aferível no “caso concreto”, parece cristalino que controladores de dados possam discutir, caso a caso, tratamentos fundamentados em seu alegado legítimo interesse.

E é exatamente nesse aspecto que surge o risco.

Se a própria lei dispõe que a finalidade do tratamento baseado no interesse legítimo do controlador deve ser aferida “a partir de situações concretas”, quer nos parecer que a matéria já é, sem ainda o ser, uma das “favoritas” à judicialização. E, não sejamos ingênuos ou hipócritas, a judicialização massiva dessas questões será altamente nociva a todo o sistema de proteção de dados que se intenciona construir, e o será por diversas razões, aqui resumidas em: 1. Ausência de especialização temática da maioria dos membros do judiciário; 2. Por não oferecer nenhuma segurança aos players, e aqui nos referimos tanto ao titular dos dados, como também àqueles que pretendem trata-lo em seu “legítimo interesse”. Em um sistema onde precedentes demoram muito a serem criados, e muitos dos quais, ainda que vinculantes, são desrespeitados com fundamento (quando não mero argumento) semântico, o enquadramento do tal “legítimo interesse” parece mesmo ser tarefa não adequada.

Se assim já o é, ainda sem o ser, ideal é que se pensem mecanismos para que não o seja, ao menos em sua inteireza. Logicamente, não estamos pregando aqui que questões não possam ser submetidas ao Judiciário, até porque isso seria inconstitucional, e não precisa ser nenhum Celso de Mello para se afirmar isso. Desse modo, é imperioso que a ANPD – Autoridade Nacional de Proteção de Dados atue de modo eficiente a enquadrar ou desenquadrar práticas como sendo de “legítimo interesse”, seja a partir de relatórios, seja na avaliação de casos concretos, em procedimentos e/ou processos que tenham sido instaurados, ou mesmo em análise, por seu Conselho, de situações tornadas públicas ou remetidas ao órgão para análise. Não há qualquer grande novidade nesse sentido, nos moldes do que já observamos em relação ao elenco de cláusulas abusivas do Código de Defesa do Consumidor, neste dispostas em rol não exaustivo, em seu art. 51, periodicamente preenchido por portarias do Ministério da Justiça (anteriormente por meio da SDE, atualmente por meio da Senacon).

Todos sabem, entretanto, que houve veto presidencial aos dispositivos da LGPD que criavam a ANPD, sob fundamento de inconstitucionalidade formal, com o qual, com todo respeito aos que dele divergiram, concordamos, afinal é melhor vetar agora, direcionando-se a criação para lei específica, do que ter de discutir a constitucionalidade mais adiante, em casos concretos.

Nesse sentido, é fundamental que a ANPD seja rapidamente criada, e, mais do que isso, seja criada com a missão não apenas de apurar, processar (administrativamente) e punir, mas essencialmente de educar e orientar, assumindo para si o papel de agente centralizador da efetiva criação de um sistema nacional de proteção de dados pessoais, até como único modo de se preservarem os “legítimos interesses” de todos.

Artigo originariamente publicado em: https://www.linkedin.com/pulse/o-interesse-leg%C3%ADtimo-do-controlador-e-judici%C3%A1rio-lgpd-ruy-coppola-jr/