Quando se discute o impacto das leis de proteção de dados pessoais, logo aparece alguém pra dizer, de boca cheia, que “agora, com essa lei, será preciso coletar o consentimento dos titulares dos dados para que o tratamento seja legítimo”.
Por Paulo Vidigal
Parece ter se tornado um senso comum a ideia de que a autorização do titular funcionaria como bala de prata para regularizar toda e qualquer atividade de tratamento. Obteve o consentimento? Então, seus problemas acabaram. Será?
Como é sabido, as mais modernas leis de proteção de dados normalmente preveem outras hipóteses – igualmente válidas – para justificar o tratamento de dados pessoais.
Na LGPD, por exemplo, além do consentimento, o tratamento pode ser realizado nas hipóteses, dentre outras, de cumprimento de obrigação legal ou regulatória, de execução de contrato, de tutela da saúde, de atendimento aos interesses legítimos do controlador ou de terceiro, de proteção do crédito.
Ocorre que, mesmo em situações em que o consentimento é totalmente dispensável, há relativa dificuldade em convencer as empresas de que não se deve buscar qualquer autorização do titular dos dados. “Ah, mas não é melhor, para garantir?” dizem as empresas, incrédulas.
Parece fácil circular um termo de autorização qualquer e aproveitar a ingenuidade/preguiça do titular para obter a pérola salvadora do consentimento e não ter mais de se preocupar. “Funciona, não?”
A melhor resposta para essa pergunta é “όχι”, que – em grego – quer dizer “não”. Foi assim que a Autoridade Helênica de Proteção de Dados se pronunciou, ao punir a PricewaterhouseCoopers, com uma multa de €150.000,00 em julho desse ano.
Fundamentos da decisão
A autoridade grega disponibilizou, em inglês, um sumário executivo da decisão.
Contudo, minha curiosidade me fez ir além e buscar o inteiro teor do julgado. Graças ao Google tradutor, consegui separar alguns tópicos interessantes para comentar:
Consentimento no contexto laboral: a autoridade reprisou a já consolidada noção de que o consentimento do empregado obtido pelo empregador raramente se mostra livre e válido, devido ao desequilíbrio de poder entre as partes. Sobre o tema, vale conferir as Guidelines on Consent under Regulation 2016/679 do antigo órgão consultivo Working Party 29, que expõe (em tradução livre, do inglês): “Dada a relação de dependência existente entre empregador e empregado, é improvável que o titular dos dados seja capaz de negar seu consentimento ao empregador sem sentir medo ou risco real de efeitos prejudiciais em consequência à recusa (…) Portanto, WP29 considera problemática a utilização do consentimento como base legal para tratamento de dados de empregados (…)”.
Relevância da correta eleição da base legal: a autoridade decretou que a escolha da base legal apropriada deve corresponder ao objetivo do tratamento.
No caso, as 3 finalidades para o tratamento descritas pela PwC diziam respeito à execução do contrato de trabalho, ao cumprimento de obrigações legais e ao legítimo interesse; não dependiam, portanto, de qualquer consentimento.
O consentimento como “reforço”: durante a investigação, a PwC chegou a argumentar que a obtenção do consentimento decorreu de “abordagem conservadora” da companhia. Assim, a PwC levantou uma tese de consentimento “subsidiário” ou “suplementar”. Isso, na visão da autoridade, mostrou que a empresa tinha dúvidas acerca da base legal aplicável, o que indica violação ao princípio da responsabilização e prestação de contas; por isso, a alegação foi rejeitada.
A definição da correta base legal como obrigação do agente de tratamento: no raciocínio da autoridade grega, a aplicação do consentimento, no contexto narrado, seria uma tentativa da companhia de transferir o ônus de sua atividade ao elo mais frágil (o titular dos dados). É que, ao eleger a base legal adequada, compete à companhia entender os riscos que cada delas representa. Exemplo: se optar pelo legítimo interesse, deve a companhia mensurar os riscos aos titulares dos dados, executando teste de proporcionalidade ao balancear os interesses corporativos com os direitos e liberdades individuais dos titulares.
Assim, se em caso nítido de interesse legítimo a empresa resolve, por comodidade, aplicar o consentimento, esse fato pode significar uma transferência ilegítima do ônus inerente à atividade ao titular dos dados, o qual quase sempre não se vê em posição de, a partir de sua escolha, afastar os riscos decorrentes do tratamento de seus dados pessoais.
Sobre esse tema, bastante capcioso, não há como deixar de mencionar o genial Bruno Bioni, que em sua obra “Proteção de Dados Pessoais: a função e os limites do consentimento” conta a travessia do protagonismo do consentimento ao longo das gerações de leis de proteção de dados, destacando que – por volta de 1980 – a estratégia regulatória passou a apostar em um “refratário protagonismo” do consentimento. Ou seja, em determinado momento, restou claro que não faria sentido somente depositar sobre os ombros dos titulares o dever de proteger suas informações, mas balancear esse peso criando, para os agentes de tratamento, obrigações que os guiassem à legitimidade do tratamento.
Assim, ao contrário do que muitos podem deduzir, a fuga do consentimento não ofende o titular dos dados, quando as demais bases legais se mostram adequadas ao caso concreto. Por outro lado, a coleta da autorização forçada, no contexto laboral (por exemplo), e desprendida dos compromissos previstos na legislação, de sopesamento de riscos e tomada de medidas voltadas ao equilíbrio, simula uma situação de poder do titular, que ao longo do tempo não se sustenta.
Conclusão
Resta bastante claro que é crítico o correto enquadramento das bases legais durante o projeto de adequação à LGPD, o que justifica a intervenção de profissional qualificado, que detenha o necessário conhecimento regulatório. Nítido, ainda, que o consentimento não deve ser visto como a solução para todo e qualquer problema (varinha mágica para legitimar o tratamento); ao contrário, devem-se considerar as demais bases legalmente previstas em igualdade de peso, bem como apostar no cumprimento das obrigações regulatórias, principalmente com a instauração de um programa de privacidade adequado à realidade das operações, que anteveja e mitigue riscos relacionados.
Deve-se, portanto, afastar o mito do consentimento como bala de prata, recusando o presente de grego que se apresenta às portas e que pode acarretar a destruição dos esforços de conformidade.
*Paulo Vidigal
Advogado do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Graduado em Direito pela Pontifícia Universidade Católica de São Paulo. Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. Pós-graduando em MBA em Direito Eletrônico pela Escola Paulista de Direito. Membro da Comissão de Direito Digital da OAB/SP e do Comitê de Compliance da LEC.
Fonte: LinkedIn