Comentários à Lei Geral de Proteção de Dados (Lei 13.709/2018): o legítimo interesse do controlador
A Lei Geral de Proteção de Dados, popularizada como “LGPD”, foi aprovada em 2018 e entrou em vigor na data de 18 de setembro de 2020, com a finalidade de proteger os direitos à liberdade e à privacidade, através da regulamentação dos dados pessoais – que são conceituados, pela legislação, como informações relacionadas a pessoa natural identificada ou identificável.
Tal regulamentação se dá, em linhas gerais, através da limitação do âmbito de manejo dos dados pessoais, seja por pessoa física ou jurídica. É nesse sentido que o artigo 7° da referida Lei restringe o tratamento dos dados pessoais aos casos em que houver consentimento expresso do titular; ou quando a utilização desses dados for estritamente necessária para dar cumprimento à obrigação legal ou regulatória do controlador, executar política pública, realizar estudo por órgão de pesquisa, dentre outras possibilidades taxativamente elencadas pelo dispositivo legal.
Dentre as hipóteses listadas pelo artigo 7°, chama atenção a redação do inciso “IX”, que admite o tratamento dos dados pessoais “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Adiante, no artigo 10º da LGPD, o legislador reitera que o legítimo interesse do controlador só poderá ser utilizado para fundamentar o tratamento de dados pessoais quando a finalidade desse manejo for efetivamente legítima; para ilustrar a mencionada “legitimidade”, são elencadas em rol exemplificativo as hipóteses de “apoio e promoção das atividades do controlador” e “proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais”.
O que causa estranheza nessa previsão – ao menos à primeira vista – é o fato de o texto legal não apresentar previsão específica acerca do conceito de “interesse legítimo”. Ao contrário, prevê a lei, quase redundantemente, que o controlador agirá por interesse legítimo quando suas finalidades forem legítimas. Assim, a amplitude interpretativa fornecida pela mencionada norma legal, acompanhada de um rol meramente exemplificativo de atividades que podem se valer da noção de legitimidade, nos permite antecipar o surgimento de litígios sobre a correta aplicação da regra.
Uma primeira controvérsia que pode ser antecipada, além da incerteza acerca do que se considera interesse legítimo, diz respeito à identificação daqueles casos em que o tratamento dos dados pessoais será justificado pelo interesse do controlador e, de outro lado, dos casos em que a proteção dos direitos e liberdades fundamentais do titular prevalecerá sobre o apoio e promoção das atividades do controlador desses dados. A dúvida surge, justamente, porque não há na Lei previsão acerca de quem realizará esse exame, o que nos permite concluir que será realizado teste de proporcionalidade unilateral pelo controlador dos dados. Nessa lacuna legal, portanto, reside a grande margem para judicialização dessa situação, em especial nos casos de insatisfação por parte do titular com o tratamento dos seus dados pessoais.
Há, contudo, esperança de um tratamento mais preciso sobre o tema: caberá à Autoridade Nacional de Proteção de Dados (ANPD), enquanto órgão da Presidência da República, regulamentar a LGPD e fiscalizar sua aplicação, tendo competência, inclusive, para aplicar sanções administrativas nas hipóteses de descumprimento dos preceitos da lei, bem como editar diretrizes sobre seu escopo de aplicação. Resta, portanto, aguardar o início dos trabalhos do órgão presidencial, cuja estrutura regimental foi aprovada pelo Decreto 10.474/2020, para conferir se futuras diretrizes a serem editadas poderão oferecer solução às problemáticas acima apontadas.
