Luiz Felipe Fleury Calaça*
O tratamento de dados pessoais tornou-se essencial em qualquer modelo de negócio no século XXI, impulsionado pela emergência de novas tecnologias. Dentro desse contexto, faz parte do senso comum a ideia de que para tratar dados pessoais o consentimento seria a forma mais adequada, até preferida pela Lei Geral de Proteção de Dados (LGPD).
No entanto, o consentimento pode não ser a forma mais adequada para tratamento de dados pessoais em seu negócio. É essencial questionar a afirmação de que o consentimento resolve todos os problemas relacionados ao tratamento de dados pessoais em uma empresa. A grande dificuldade, portanto, de todo modelo de negócio é definir qual a hipótese de tratamento mais adequada para operações que envolvam dados pessoais em seus processos internos, em respeito à boa-fé e, principalmente, para evitar processos administrativos e judiciais de penalização por práticas indevidas em tratamento de dados.
Repensando o consentimento: quando não é a melhor escolha?
Apesar de muitos considerarem o consentimento como a forma mais adequada e segura para o tratamento de dados pessoais, a LGPD não privilegia essa base legal acima de outras. Assim, a legislação prevê que os dados pessoais ligados a uma pessoa podem ser tratados em hipóteses específicas que justificam esse tratamento. A essas hipóteses dá-se o nome de bases legais.
Existem várias bases legais disponíveis, como o cumprimento de obrigação legal e regulatória, execução de contrato, proteção da vida, entre outras, que podem ser mais apropriadas dependendo da natureza dos dados, sua origem e finalidade de uso. Isso significa que, a depender dessas variáveis, o responsável pelo tratamento de dados pode escolher qualquer uma dessas bases legais, ou melhor, deve escolher aquela que melhor se encaixa ao objetivo do negócio.
Consideremos, por exemplo, uma pequena livraria que utiliza um site para vender livros. Ao se registrar no site, os clientes fornecem dados pessoais para a realização de compras. Aqui, a base legal para o tratamento desses dados pode ser a execução de contrato, pois é necessário tratar dados pessoais para cumprir com a obrigação de entregar os livros comprados. Além disso, a livraria decide enviar newsletters mensais sobre novos lançamentos e promoções, para o qual solicita o consentimento dos clientes de forma clara e inequívoca, exemplificando a aplicação dual de bases legais conforme a finalidade do tratamento dos dados.
A escolha adequada da base legal para tratamento de dados no caso dessa pequena livraria, seja o consentimento seja a necessidade de execução do contrato para venda de livros, é um passo fundamental para dar maior transparência ao negócio, fortalecer as relações com os consumidores e gerar confiança e autoridade nesse mercado.
Importante, porém, uma ressalva. Essas bases legais se referem ao tratamento de dados não sensíveis. Para dados sensíveis, considerados aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, a legislação prevê outras bases legais, que não são objeto de discussão aqui.
O Dilema do Consentimento: Entre a Aceitação e a Coerção
O consentimento, logo, é uma opção, mas possui nuances importantes. Deve ser informado, livre e inequívoco. Em ambientes virtuais, é necessário que seja expresso. Uma boa situação ilustrativa vivenciada diariamente por quem lida com a internet é o caso de aceitação de políticas de cookies. Os cookies são pequenos arquivos de dados geralmente armazenados no computador/browser de um usuário. Toda vez que você voltar a um website que já tenha visitado, os cookies lembrarão suas preferências (tais como sua senha ou idioma).
Talvez uma situação típica do dia a dia que evolve o mau emprego do consentimento é justamente a aceitação dessas políticas. Imaginemos o seguinte cenário, ao visitar um site de compras de passagens aéreas, um usuário busca por voos para o Rio de Janeiro e aceita a política de cookies, que se apresenta como uma condição sem a qual ele não consegue buscar as passagens naquele site. Em seguida, ele nota que as publicidades exibidas em várias páginas da web estão agora personalizadas, oferecendo promoções para o Rio de Janeiro. Este é um exemplo de como o consentimento ao uso de cookies permite a personalização da publicidade online, mas também levanta questões sobre a transparência e a liberdade desse consentimento.
Explorando Alternativas ao Consentimento: Outras Bases Legais
A dificuldade em somar esses adjetivos (livre, inequívoco e informado), logo, pode fazer com que o uso do consentimento dificulte, para determinados modelos de negócio, o tratamento de dados pessoais. Não bastassem os adjetivos, deve ainda o responsável pelo tratamento de dados garantir ao titular o direito à revogação do consentimento, oportunidade em que os dados pessoais não poderão mais ser tratados, e o direito à eliminação desses dados. Em operações de tratamento de dados cujo exercício desses direitos dificulte a operação ou aumente seus custos, o consentimento se torna uma base legal pouco indicada.
Imagine, como exemplo, uma plataforma de streaming de vídeo que oferece conteúdo personalizado com base nas preferências dos usuários, as quais são determinadas pelo histórico de visualizações e avaliações de filmes e séries. Se um número significativo de usuários decidisse revogar seu consentimento para o tratamento de seus dados pessoais, a plataforma enfrentaria desafios consideráveis. Sem acesso aos dados de visualização, a capacidade da empresa de oferecer recomendações personalizadas seria severamente limitada, diminuindo a experiência do usuário e, potencialmente, afetando a retenção de clientes. Esse cenário ilustra como a revogação do consentimento pode complicar as operações e o modelo de negócio de empresas que dependem fortemente da personalização baseada em dados.
Dentro desse cenário, é provável que, para essa plataforma de streaming, a base legal mais indicada para tratamento de dados pessoais, de forma a preservar o seu modelo de negócio, não seja o consentimento, mas sim a execução do contrato de prestação do serviço de streaming. Afinal, a finalidade de personalização da plataforma faz parte do contrato firmado com os consumidores e de suas expectativas. Essa base legal, ademais, não admite o exercício do direito de revogação, apenas sendo viável o não tratamento dos dados necessários em caso de rescisão do contrato.
Uma outra base legal que pode ser relevante para o desenvolvimento das atividades de determinada empresa a partir do tratamento de dados pessoais é o legítimo interesse. O legítimo interesse pode fundamentar o tratamento de dados por interesse do controlador, aquele que toma decisões sobre o que fazer com os dados pessoais não sensíveis, inclusive para apoio e promoção de suas atividades.
A seguinte situação ilustra bem o que é a base legal do legítimo interesse. Uma plataforma de distribuição de videogames utiliza dados de desempenho não sensíveis, como velocidade de conexão, tipo de dispositivo utilizado e informações de erro, dos usuários durante as sessões de jogo. Este tratamento tem como objetivo diagnosticar, solucionar e corrigir problemas que possam afetar a experiência de jogo, como latência elevada ou interrupções no serviço. A base legal para essa atividade pode ser o legítimo interesse da plataforma em assegurar a qualidade e a estabilidade do serviço oferecido. Em busca de manter um equilíbrio entre seus interesses operacionais e os direitos dos usuários, a plataforma se compromete com a transparência na gestão dos dados.
Conclusão: Navegando Pelas Bases Legais com Segurança
É fundamental, portanto, que os profissionais de proteção de dados identifiquem a base legal mais apropriada para cada situação, considerando a origem, o tipo e a finalidade do tratamento dos dados pessoais. Esse processo envolve uma análise cuidadosa que, quando bem conduzida, assegura a conformidade com a LGPD e protege tanto os negócios quanto os titulares dos dados.
Em conclusão, a complexidade do tratamento de dados pessoais no contexto atual exige uma compreensão detalhada das bases legais disponíveis, cada uma adequada a diferentes necessidades e contextos de negócios. A LGPD estabelece um arcabouço legal robusto, promovendo a proteção dos dados pessoais enquanto permite a inovação e o desenvolvimento empresarial. No entanto, a escolha da base legal mais apropriada – seja consentimento, execução de contrato, legítimo interesse, ou outras – deve ser feita com cuidado, considerando não apenas a legalidade, mas também a ética, a transparência no tratamento de dados pessoais e a realidade financeira da operação, de modo a otimizar e possibilitar a alternativa que ofereça menor impacto. Esta responsabilidade não apenas assegura a conformidade legal, mas também fortalece a confiança entre empresas e usuários, talvez o principal ativo de uma economia em permanente modificação.
*Luiz Felipe Fleury Calaça é advogado e professor. Sócio do GMPR Advogados. Mestre em direito constitucional pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP). Pós-graduado em direito público pelo Instituto Goiano de Direito (IGD). Bacharel em direito pela Universidade Federal de Goiás (UFG).
