LGPD: Consentimento e legítimo interesse: faca de dois gumes

LGPD: Consentimento e legítimo interesse: faca de dois gumes
 
 
O ser humano busca intuitivamente identificar referências salvadoras nos momentos de pressão e tensão, como este que estamos vivendo, em uma contagem regressiva para a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD).
 
Fora as “balas de prata” que oportunamente surgem em praticamente todas as ocasiões (e que a maioria das pessoas gosta de acreditar que existam, explicando a longevidade do snake oil 1 no velho oeste norte-americano), temos testemunhado o fortalecimento de dois argumentos para o tratamento de informações pelos controladores: o consentimento e o legítimo interesse.
 
O consentimento é o mais simples de entender, pois, como o nome diz, permite que o operador cadastre informações do titular de dados e prossiga no atendimento para o qual supomos haver (legítimo) interesse. Um exemplo: quando alguém baixa um app e após a instalação abre-se um texto enorme, com um quadrinho que temos de marcar com um “x”, para poder usar o serviço: o “x” (em tese) é o consentimento.
 
“O consentimento não é um ‘cheque em branco’, que permite ao controlador o uso indiscriminado dos dados de seus clientes ou funcionários. Trata-se mais de um ‘certificado de autenticidade’ de coleta, evidenciando que as informações foram prestadas de boa vontade, pelo seu titular”
Fácil, correto? Aliás, ao consentir no uso de seus dados pelo controlador, o titular estaria, a princípio, assumindo os riscos por eventual mau uso que o controlador realizar, mas vale lembrar que o consentimento pode ser revogado pelo titular! Você sabia disso?
 
O enorme problema decorrente do consentimento é que, a partir deste momento, quem recebeu as informações acaba de se comprometer como fiel depositário, sendo obrigado a guardar, proteger e mantê-las em um ambiente seguro, caso queira continuar prestando seu serviço e evitar penalidades, se esses dados vierem a ser vazados ou expostos.
 
O consentimento não é um “cheque em branco”, que permite ao controlador de dados o uso indiscriminado dos dados de seus clientes ou funcionários. Ao meu ver, trata-se mais de um “certificado de autenticidade” de coleta, evidenciando que as informações foram prestadas de boa vontade, pelo seu titular.
 
E o legítimo interesse? Bom, esse é um conceito vago e generalista, devendo ser a principal justificativa que será adotada pelas empresas para tratamento de dados pessoais no Brasil. Só que, neste caso, o risco é assumido pelo controlador de dados, em vez de pelo titular.
 
De acordo com a LGPD, nem todo interesse do controlador é legítimo. Entretanto, falta clareza na própria lei para definir as referências que devam ser usadas para definir se o legítimo interesse foi corretamente aplicado.
 
Isso deverá ser feito pela Autoridade Nacional de Proteção de Dados (ANDP), que, a propósito, vai ter muito trabalho para cobrir as brechas que diariamente surgem, colocando os controladores em situações duvidosas.
 
 
Lucro é legítimo interesse?
 
Imagine que, ao longo de quase 200 palestras que ministrei desde o fim de 2018, várias pessoas me perguntaram se o objetivo de lucro das empresas não é um “legítimo interesse”. Invariavelmente sempre começo a responder esclarecendo que não sou advogado e que meu objetivo é auxiliar as organizações a implementar os mecanismos de controle que a lei requer, baseado no ajuste de procedimentos operacionais e implementação dos itens de Segurança de Informação cuja maturidade não tenha se mostrado satisfatória.
 
“A princípio, muitas empresas deverão optar pela justificativa do legítimo interesse para tratar os dados de seus clientes. Prevejo uma série de abusos que culminará na definição mais estreita do que será esse legítimo interesse, pela ANPD. Nisso, provavelmente muitas empresas, que não têm nada a ver com esses abusos, terão que rever suas estratégias e atualizar seus conceitos”
E, em seguida, esclareço que tenho minha própria opinião acerca de vários pontos da lei que, apesar de estarem sendo defendidos por alguns advogados “xiitas”, com base na jurisprudência do GDPR (e portanto inaplicável diretamente pelo jurídico brasileiro), poderiam ser facilmente derrubados em uma exposição técnica.
 
Por exemplo: alegar que um IP ou número de celular é um dado privado, porque (de acordo com esses advogados) é possível chegar à identidade de seu titular, é insano. Posso usar um cadastro fake em uma Starbucks e o IP que usei não só impede me identificar como, daqui a algumas horas, estará sendo usado por outra pessoa de qualquer outro lugar daquela região.
 
Na minha família, contratei um plano familiar, onde os quatro números estão em meu nome. Como então poderiam ser dados pessoais dos dois filhos e sua mãe?
 
Os “xiitas” respondem que meus exemplos são “exceções” e que a lei deve estar alinhada à regra. Duvido seriamente disso, especialmente com a quantidade de linhas que pertencem a empresas, nas mãos de funcionários, e das redes wi-fi gratuitas pelo mundo. Sempre digo que, dependendo da profundidade da investigação, qualquer dado é privado, pois permite chegar ao seu titular.
 
Opa, já ia me deixando levar pelo sentimentalismo: e o lucro, ele pode ser usado como legítimo interesse? Fernando Marinho usa e abusa do princípio de Segurança de Informação de que “o que não é proibido é permitido”. Logo, a princípio, muitas empresas deverão optar por essa justificativa para tratar os dados de seus clientes.
 
O que o autor também prevê é uma série de abusos que culminará na revisão, ou melhor, da definição mais estreita do que será esse legítimo interesse, pela ANPD. Nisso, provavelmente muitas empresas, que não têm nada a ver com esses abusos, terão que rever suas estratégias e atualizar seus conceitos.
 
 
 
Fonte: Portal SERPRO
As matérias aqui apresentadas são retiradas da fonte acima citada, cabendo à ela o crédito pela mesma