Consentimento nem sempre é a melhor opção para o tratamento de dados pessoais
Em aproximadamente um ano, todas as empresas que tratem dados pessoais no território brasileiro, ou cujo tratamento tenha por objetivo o oferecimento de bens ou serviços a indivíduos localizados no Brasil, devem estar adequadas à recém-editada Lei Geral de Proteção de Dados Pessoais (LGPD).
Diferentemente da União Europeia, onde já vigia a Diretiva 95/46/CE, que pode ser entendida como o embrião do regulamento europeu de proteção de dados pessoais (o General Data Protection Regulation – GDPR), no Brasil a proteção de dados era fundada em princípios gerais e em normas setoriais. Parte dessa experiência servirá de parâmetro para a interpretação do novo texto legal, mas a nova lei brasileira também traz mudanças importantes e vai exigir esforço dos seus intérpretes.
Entre as dificuldades iniciais está a opção pelo consentimento como uma das bases legais para o tratamento de dados pessoais. Na Europa, as empresas atingidas pela nova legislação, ao tomarem contato com os direitos dos titulares de dados pessoais, concluíram que o melhor caminho seria pedir o consentimento para o tratamento de seus dados. Às vésperas da entrada em vigor do GDPR, já se observavam os efeitos de um possível açodamento coletivo: as caixas de e-mails dos titulares de dados foram invadidas por uma enxurrada de solicitações.
O Brasil parece seguir a mesma toada, mas o que aparenta ser um caminho fácil à primeira vista, na verdade traz consequências e riscos imprevistos.
O consentimento é apenas uma das bases legais que, de acordo com a LGPD (e também com o GDPR), legitimam o tratamento dos dados pessoais. Outras incluem o cumprimento de obrigação legal ou regulatória; execução de contrato; exercício regular de direitos em processos, tutela da saúde, etc.
Não procede o entendimento de que o consentimento seria uma base legal mais forte do que as demais – a lei não faz qualquer diferenciação nesse sentido. Entretanto, essa base legal tem uma característica que a diferencia das demais: o consentimento pode ser revogado a qualquer momento pelo titular e, nesse caso, o tratamento dos dados deve ser imediatamente encerrado. Esse direito pode ser mitigado se houver interesse público em sentido contrário.
Por conta dessa característica, o consentimento não deve ser a escolha prioritária do controlador (assim chamado aquele que trata os dados), visto que impõe algum grau de incerteza à sua relação com o titular dos dados.
O consentimento também encerra algumas limitações. A primeira é que deve se referir a finalidades determinadas - e a LGPD dispõe que as autorizações genéricas são nulas. Junte-se a essa regra restritiva a aplicação dos princípios gerais de adequação (que exige que o tratamento dos dados seja compatível com as finalidades informadas pelo titular) e de necessidade (limitação do tratamento ao mínimo necessário para a realização da finalidade).
Quando as bases legais objetivas não são adequadas para justificar o tratamento almejado, se torna necessário o recurso à base legal do “legítimo interesse”, que é, de certa forma, subjetiva. O legítimo interesse funciona como uma válvula de escape da lei. Não é por menos que, em pesquisas feitas no âmbito de aplicação do GDPR na Europa, o legítimo interesse aparece como a base legal mais invocada pelos controladores, o que deve também acontecer no Brasil.
A vantagem do tratamento de dados pessoais baseado em outras justificativas permitidas pela lei, que não o consentimento, é o fato de que somente quando tiver ocorrido descumprimento da LGPD pelo controlador o titular dos dados poderá exercer seu direito de oposição.
Mas a verdade é que uma adequada interpretação da nova lei somente poderá ser alcançada com a análise do caso concreto e o conhecimento profundo de sua interação com outras normas jurídicas aplicáveis.