• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

Artigo

Consentimento e legítimo interesse: faca de dois gumes

Fernando Marinho, da ABNT e consultor em gestão de riscos, aborda os conceitos acima que, segundo ele, precisam ser compreendidos nesta contagem regressiva para vigência da LGPD

Ilustração com um homem segurando uma faca e "cortando" um relógio

 

9/10/2019

O ser humano busca intuitivamente identificar referências salvadoras nos momentos de pressão e tensão, como este que estamos vivendo, em uma contagem regressiva para a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD).

Fora as "balas de prata" que oportunamente surgem em praticamente todas as ocasiões (e que a maioria das pessoas gosta de acreditar que existam, explicando a longevidade do snake oil 1 no velho oeste norte-americano), temos testemunhado o fortalecimento de dois argumentos para o tratamento de informações pelos controladores: o consentimento e o legítimo interesse.

O consentimento é o mais simples de entender, pois, como o nome diz, permite que o operador cadastre informações do titular de dados e prossiga no atendimento para o qual supomos haver (legítimo) interesse. Um exemplo: quando alguém baixa um app e após a instalação abre-se um texto enorme, com um quadrinho que temos de marcar com um "x", para poder usar o serviço: o "x" (em tese) é o consentimento.

"O consentimento não é um 'cheque em branco', que permite ao controlador o uso indiscriminado dos dados de seus clientes ou funcionários. Trata-se mais de um 'certificado de autenticidade' de coleta, evidenciando que as informações foram prestadas de boa vontade, pelo seu titular"

Fácil, correto? Aliás, ao consentir no uso de seus dados pelo controlador, o titular estaria, a princípio, assumindo os riscos por eventual mau uso que o controlador realizar, mas vale lembrar que o consentimento pode ser revogado pelo titular! Você sabia disso?

O enorme problema decorrente do consentimento é que, a partir deste momento, quem recebeu as informações acaba de se comprometer como fiel depositário, sendo obrigado a guardar, proteger e mantê-las em um ambiente seguro, caso queira continuar prestando seu serviço e evitar penalidades, se esses dados vierem a ser vazados ou expostos.

O consentimento não é um "cheque em branco", que permite ao controlador de dados o uso indiscriminado dos dados de seus clientes ou funcionários. Ao meu ver, trata-se mais de um "certificado de autenticidade" de coleta, evidenciando que as informações foram prestadas de boa vontade, pelo seu titular.

E o legítimo interesse? Bom, esse é um conceito vago e generalista, devendo ser a principal justificativa que será adotada pelas empresas para tratamento de dados pessoais no Brasil. Só que, neste caso, o risco é assumido pelo controlador de dados, em vez de pelo titular.

De acordo com a LGPD, nem todo interesse do controlador é legítimo. Entretanto, falta clareza na própria lei para definir as referências que devam ser usadas para definir se o legítimo interesse foi corretamente aplicado.

Isso deverá ser feito pela Autoridade Nacional de Proteção de Dados (ANDP), que, a propósito, vai ter muito trabalho para cobrir as brechas que diariamente surgem, colocando os controladores em situações duvidosas.

Lucro é legítimo interesse?

Imagine que, ao longo de quase 200 palestras que ministrei desde o fim de 2018, várias pessoas me perguntaram se o objetivo de lucro das empresas não é um "legítimo interesse". Invariavelmente sempre começo a responder esclarecendo que não sou advogado e que meu objetivo é auxiliar as organizações a implementar os mecanismos de controle que a lei requer, baseado no ajuste de procedimentos operacionais e implementação dos itens de Segurança de Informação cuja maturidade não tenha se mostrado satisfatória.

"A  princípio,  muitas  empresas  deverão  optar  pela  justificativa  do  legítimo  interesse  para  tratar  os  dados  de  seus  clientes.  Prevejo  uma  série  de  abusos  que  culminará  na  definição  mais estreita  do  que  será  esse  legítimo  interesse,  pela  ANPD.  Nisso,  provavelmente  muitas  empresas,  que  não  têm  nada  a  ver  com  esses  abusos,  terão  que  rever  suas  estratégias  e  atualizar  seus  conceitos"

E, em seguida, esclareço que tenho minha própria opinião acerca de vários pontos da lei que, apesar de estarem sendo defendidos por alguns advogados "xiitas", com base na jurisprudência do GDPR (e portanto inaplicável diretamente pelo jurídico brasileiro), poderiam ser facilmente derrubados em uma exposição técnica.

Por exemplo: alegar que um IP ou número de celular é um dado privado, porque (de acordo com esses advogados) é possível chegar à identidade de seu titular, é insano. Posso usar um cadastro fake em uma Starbucks e o IP que usei não só impede me identificar como, daqui a algumas horas, estará sendo usado por outra pessoa de qualquer outro lugar daquela região.

Na minha família, contratei um plano familiar, onde os quatro números estão em meu nome. Como então poderiam ser dados pessoais dos dois filhos e sua mãe?

Os "xiitas" respondem que meus exemplos são "exceções" e que a lei deve estar alinhada à regra. Duvido seriamente disso, especialmente com a quantidade de linhas que pertencem a empresas, nas mãos de funcionários, e das redes wi-fi gratuitas pelo mundo. Sempre digo que, dependendo da profundidade da investigação, qualquer dado é privado, pois permite chegar ao seu titular.

Opa, já ia me deixando levar pelo sentimentalismo: e o lucro, ele pode ser usado como legítimo interesse? Fernando Marinho usa e abusa do princípio de Segurança de Informação de que "o que não é proibido é permitido". Logo, a princípio, muitas empresas deverão optar por essa justificativa para tratar os dados de seus clientes.

O que o autor também prevê é uma série de abusos que culminará na revisão, ou melhor, da definição mais estreita do que será esse legítimo interesse, pela ANPD. Nisso, provavelmente muitas empresas, que não têm nada a ver com esses abusos, terão que rever suas estratégias e atualizar seus conceitos.


Referência
1  O termo, bem conhecido na cultura dos EUA, começou a ser usado no velho oeste quando falsos médicos viajavam pelas cidades do país vendendo um elixir (o snake oil) que curaria qualquer tipo de doença.

É formado em Economia e com pós-graduação em Segurança de Dados e Sistemas, pela Universidade Estácio de Sá. É professor de pós-fraduação na UFRJ, Unirio, Escola de Guerra da Marinha e outras,sou consultor de empresas especialista em Continuidade de Negócios, Privacidade & SI, Gestão de Riscos e de Crises. além de participar de três grupos de trabalho na ABNT (Riscos, Continuidade de Negócios e Segurança). E já publicou três livros sobre o que ele faz.

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal