No tratamento de dados pessoais, o consentimento é o 'rei'?

Publiquei no Jus Brasil um artigo intitulado Notas sobre recusa de consentimento ao cadastro de dados biométricos, felizmente bem recebido.

Entre os comentários apresentados, um me chamou a atenção:

O texto mais confunde do que explica. A tese de hierarquia entre as hipóteses legais para de tratamento de dados pessoais é no mínimo surpreendente e para a qual não vejo nenhum fundamento ou aplicabilidade. O argumento que os funcionários da linha de frente deveriam saber explicar o destino dos dados coletados contradiz frontalmente o prazo de 15 dias que a lei prevê para o fornecimento detalhado de informações sobre os tratamentos de dados aos titulares que assim o requisitarem. E mesmo a questão da identificação biométrica para se exercer o direito ao voto esta prevista na lei no artigo 11º, inciso ll, letra g.

Agradeci ao comentador pelas observações, mas fiz questão de observar que todas elas estavam equivocadas. O espaço dos comentários não me permitiu apresentar uma resposta mais bem articulada, e terminei aproveitando a oportunidade para escrever um novo artigo explicitando melhor minha posição acerca dos pontos equivocados apresentados pelo comentarista.

1) “A tese de hierarquia entre as hipóteses legais para de tratamento de dados pessoais é no mínimo surpreendente e para a qual não vejo nenhum fundamento ou aplicabilidade.”

Além da hierarquização notória no arrolamento das hipóteses legais do tratamento, em que o consentimento sempre aparece em primeiro lugar, em todas as outras hipóteses onde não há menção explícita a alguma forma de consentimento é porque estão em jogo interesses coletivos e difusos:

1. cumprimento de obrigação legal ou regulatória (LGPD, art. 7º, II);
2. execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congênere (LGPD, art. 7º, III);
3. exercício regular de direitos em processo judicial, administrativo ou arbitral (LGPD, art. 7º, VI);
4. para a proteção da vida ou da incolumidade física do titular ou de terceiro (LGPD, art. 7º, VII);
5. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (LGPD, art. 7º, VIII);
6. para a proteção do crédito (LGPD, art. 7º, X).

O tratamento de dados pessoais para fins de estudos por órgãos de pesquisa exige que seja “garantida, sempre que possível, a anonimização dos dados pessoais” (LGPD, art. 7º, IV). É a única hipótese em que não há menção explícita ao consentimento, mas tem como contrapartida a anonimização sempre que possível. (Só em casos concretos se poderá avaliar se é ou não “possível” a anonimização, dada a natureza da pesquisa, os resultados que se quer alcançar com ela etc.)

O tratamento “necessário para a execução de contrato ou de procedimentos preliminares” traz embutido o consentimento, porque a autorização legal refere-se a “contrato do qual seja parte o titular”, e ainda impõe como condição que tal tratamento seja executado “a pedido do titular dos dados” (LGPD, art. 7º, IV).

O tratamento com base nos “interesses legítimos do controlador ou de terceiro” são, aparentemente, os mais complexos, porque exigem balanceamento entre estes interesses e algum exame, nos casos concretos, da prevalência de “direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais” (LGPD, art. 7º, IX).

Esta é uma situação tão difícil que exige uma argumentação com base no Direito Comparado.

Nos países da União Europeia, onde é o RGPD quem vigora, tornou-se muito comum que agentes de tratamento, especialmente empresas, defendessem o tratamento de dados sem consentimento dos titulares com base no “interesse legítimo do controlador”, também presente em nossa lei (LGPD, art. 7º, IX).

O “interesse legítimo” dos agentes de tratamento de dados é um conceito jurídico indeterminado, determinável apenas contextualmente, em cada caso. É “interesse legítimo”, por exemplo, coletar dados pessoais para enviar spam? É “interesse legítimo”, em outro exemplo, ligar várias vezes durante o dia oferecendo promoções? É “interesse legítimo”, num último exemplo, compartilhar informações de clientes com empresas do mesmo grupo econômico? Essa indeterminação foi uma porta aberta para práticas abusivas.

Ainda no âmbito da RGPD, esse tema foi tratado pela Opinião 06/2014 da Article 29 Data Protection Working Party, que estabeleceu um contrapeso ao legítimo interesse, já incorporado tanto ao RGPD quanto à nossa LGPD: a prevalência de “direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais” (LGPD, art. 7º, IX).

A Opinião 06/2014 avançou mais: dedicou dez páginas a testar várias hipóteses de balanceamento entre o “interesse legítimo” e a “prevalência de direitos e liberdades fundamentais do titular”, incluindo desde casos de grande impacto até situações banais. Neste balanceamento, a Opinião 06/2014 recomenda levar em conta o exercício de direitos fundamentais pelo titular de dados; o interesse público, ou de uma comunidade mais ampla; outros interesses legítimos como obrigações legais e contratuais, serviço público etc.; por último, o reconhecimento legal e cultural, ou societário, da legitimidade do interesse envolvido.

Prevalece, portanto, no Brasil como em outros países, a posição de garantir ao consentimento, e portanto à autonomia da vontade, prevalência como requisito para o tratamento de dados, sempre que esse consentimento não entrar em conflito com interesses coletivos ou difusos.

2) “O argumento que os funcionários da linha de frente deveriam saber explicar o destino dos dados coletados contradiz frontalmente o prazo de 15 dias que a lei prevê para o fornecimento detalhado de informações sobre os tratamentos de dados aos titulares que assim o requisitarem”

Esse foi, infelizmente, o problema mais evidente que percebi no comentário.

O comentador apresenta, quase literalmente a hipótese da LGPD, art. 19, II:

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: […]

II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

Ao fazê-lo, o comentarista passou reto pelo comando da da Lei13.7099/2018, art.199, I:

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I - em formato simplificado, imediatamente;

O prazo de 15 dias apresentado pelo comentarista, portanto, é para informações detalhadas.

De imediato, as equipes de trabalhadores dos agentes de tratamento que estejam em contato direto com o público estão obrigadas, sim, a dar informações acerca do tratamento de dados, ainda que de modo simplificado.

Não lhes cabe dizer que não sabem, ou que não podem fornecer a informação. Ainda mais quando tal informação pode ser elemento central tanto para o fornecimento do consentimento necessário ao tratamento de dados, quanto para sua recusa.

3) “…a questão da identificação biométrica para se exercer o direito ao voto esta prevista na lei no artigo 11º, inciso ll, letra g”.

O comentador está correto ao afirmar que a identificação biométrica para fins de cadastro eleitoral está abrigada por esta previsão legal, porque se trata de “processos de identificação e autenticação de cadastro em sistemas eletrônicos” (LGPD, art. 11, II, g).

O cadastro biométrico no TSE não envolve controvérsia alguma no que diz respeito ao papel do consentimento como forma de autorização para o tratamento de dados. O cadastro eleitoral biométrico é “obrigação legal” (LGPD, art. 11, II, a), e além disso a votação eletrônica é, por natureza, um sistema que depende essencialmente desses dados biométricos para garantir “prevenção à fraude e à segurança do titular” (LGPD, art. 11, II, g).

Não há controvérsia alguma quanto a este assunto, ainda mais quando eu nem o havia mencionado em meu artigo anterior, que tratou de questões eminentemente privadas.

Para entendê-lo, basta observar os casos que mencionei em meu artigo anterior, em especial o caso do motorista obrigado a fornecer as impressões digitais para finalizar uma compra. O caráter excessivo da coleta de dados é evidente, porque somente aquela rede varejista impunha tal exigência, e o processamento de impressões digitais não é essencial para a consumação do ato de compra e venda. Ainda mais quando o motorista podia, muito simplesmente, apresentar um documento com foto para validação de identidade por qualquer funcionário da loja.

O problema na afirmação do comentador está na possibilidade de interpretá-la como universalmente válida, quando trata de casos específicos. Ainda mais quando ela abre a porta para reintroduzir a justificativa do “interesse legítimo” sem a necessária ponderação, na situação concreta, da prevalência de “direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais” (LGPD, art. 7º, IX).

Defender esta posição o é violar o princípio da necessidade, que é a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados” (LGPD, art. 6º, III).

Não penso que este seja um bom caminho.

4) Conclusão

O comentário que serviu como base a este artigo me permitiu modular minha posição anterior, explicitando as hipóteses em que o consentimento é sobrepujado pelos interesses coletivos e difusos, ou por obrigações legais.

Não é difícil verificar como, no regime de proteção de dados implementado pela LGPD, sempre que não houver interesses coletivos e difusos ou obrigações legais envolvidas, o consentimento é a regra e as demais autorizações para tratamento, em especial o “interesse legítimo do controlador”, são exceção.

Ao escrever meu artigo anterior, em que tratei mais detalhadamente da recusa ao consentimento, tinha em mente sobretudo questões de Direito Privado. O alerta do comentarista, mesmo carregado de equívocos na leitura da LGPD, permitiu-me alargar um pouco a questão, envolvendo algumas questões onde há prevalência de interesses coletivos e difusos, ou de obrigações legais. Em todas as demais hipóteses em que não existam, o consentimento é, sim, o “rei”.