Proteção de dados e gestão de listas negras de clientes no setor de aluguer de automóveis

Publicações10 de dezembro de 2025
A Agência Espanhola de Proteção de Dados reforça os seus critérios restritivos sobre interesse legítimo, decisões automatizadas e exclusão comercial.

1. Principais fundamentos da resolução

O processo PS/00215/2024 foi iniciado na sequência de uma reclamação de um cliente cuja reserva de veículo foi recusada pela GOLDCAR SPAIN, S.L. em 2021, com base numa nota interna classificada como «incidente grave».


Esta nota teve origem num incidente ocorrido três anos antes (2018), quando o veículo alugado pelo reclamante foi dado como roubado. Embora o carro tenha sido posteriormente recuperado e não tenha sido provada qualquer negligência ou violação do contrato por parte do cliente, a empresa manteve uma marca de risco no seu sistema interno («Sigger System») que, sem ter sido revista ou cancelada, foi utilizada como fundamento para recusar o aluguer de um novo carro anos mais tarde.


Após analisar a documentação fornecida, a AEPD determinou que esta prática constitui um tratamento autónomo e independente de dados pessoais, sem relação com a finalidade inicial de gestão do contrato de aluguer. Consequentemente, deve ter uma base jurídica específica e informação adequada para o titular dos dados, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (a seguir designado «RGPD»)..


Com base no processo preliminar, a Agência considera provados os seguintes pontos, cuja avaliação jurídica é decisiva:


a) Falta de avaliação ponderada ou justificação documental

A GOLDCAR não apresentou qualquer documento que comprovasse ter realizado uma avaliação ponderada ou uma análise prévia de proporcionalidade no que diz respeito à utilização dos dados dos clientes para prevenir possíveis fraudes. Embora seja verdade que a GOLDCAR apresentou um documento ponderando esses interesses, a AEPD considera que, uma vez que não está datado, não foi realizado antes do tratamento dos dados e, por conseguinte, não é aplicável a este caso específico.


Este requisito de atualidade, embora não esteja formalmente enumerado no RGPD, deriva da responsabilidade proativa estabelecida no artigo 5.º, n.º 2, e constitui a concretização do princípio da «responsabilidade». Assim, qualquer tratamento abrangido pelo interesse legítimo (artigo 6.º, n.º 1, alínea f)) requer documentação interna que demonstre:

  • A existência de um interesse real e específico por parte do responsável pelo tratamento.
  • A necessidade do tratamento para alcançar esse interesse.
  • O equilíbrio desse interesse em relação aos direitos e liberdades do titular dos dados.


Na ausência dessa documentação, o tratamento não pode ser considerado legítimo, uma vez que o equilíbrio de interesses não pode ser presumido, mas deve ser comprovado.


A Agência considera esta omissão particularmente grave, uma vez que parece indicar, de acordo com a sua interpretação, que o tratamento foi realizado sem uma análise prévia do risco para os direitos do titular dos dados.


b) Falta de informação prévia ao titular dos dados

A investigação da AEPD confirmou que o queixoso não foi informado de que os dados pessoais fornecidos durante o aluguer do primeiro carro poderiam ser armazenados e reutilizados para uma finalidade diferente — a prevenção de riscos ou a exclusão de clientes do aluguer — nem foi informado, em momento algum, da existência de sistemas internos de alerta ou bloqueio para incidentes semelhantes ao presente caso.


A este respeito, a AEPD salienta na sua decisão que o cumprimento das obrigações de informação e legitimidade é avaliado no momento do tratamento, e não retroativamente. Por conseguinte, a política de privacidade atualizada em 2024 — fornecida pela GOLDCAR para justificar o tratamento — não era aplicável aos factos analisados, uma vez que o tratamento ocorreu entre 2018 e 2021.


Assim, embora as versões posteriores da política tenham introduzido referências à «prevenção de fraudes» ou à «proteção da frota», esta informação ex post facto não é suficiente para remediar uma falta de base jurídica pré-existente.


Este raciocínio baseia-se no facto de um responsável pelo tratamento não poder corrigir retroativamente uma falha na informação ou na legitimidade, uma vez que o tratamento já teve um efeito sobre os direitos do titular dos dados, como a recusa de aluguer de um automóvel.


c) Ausência de risco objetivo ou real de fraude

Outro elemento fundamental da resolução é a conclusão de que não havia risco objetivo ou comprovado de fraude que justificasse a inclusão do reclamante num registo interno de exclusão. Assim, a entrada no «Sistema Sigger» baseou-se numa suspeita inicial não confirmada, baseada num incidente objetivo, e não numa conduta maliciosa ou negligente comprovada por parte do reclamante.


A AEPD considera que esta utilização preventiva de dados pessoais não satisfaz o princípio da necessidade e da proporcionalidade, nem pode ser automaticamente justificada com base no interesse legítimo, como poderia ser o caso das «listas negras» que têm a sua origem em autorizações legais diretamente derivadas da lei. A este respeito, a referência da AEPD a um relatório do seu Departamento Jurídico (0201/2010) é particularmente importante:


«Como este relatório indica claramente, um exemplo claro destas listas são os sistemas de informação de crédito, cuja regulamentação estabelece expressamente as circunstâncias factuais objetivas que determinam o registo de dados pessoais nesses sistemas, bem como a necessidade, como requisito determinante para a legalidade do tratamento de dados, de notificar previamente a possibilidade de registo dos dados se as circunstâncias factuais que determinam o registo existirem objetivamente.»


Por outras palavras, a conclusão que se pode retirar da interpretação da AEPD é que a GOLDCAR, neste caso, não teria, de facto, legitimidade suficiente para manter estas listas negras. No entanto, esta interpretação, no caso de uma instituição financeira ou de uma entidade sujeita, entre outros, a regulamentos contra a lavagem de dinheiro, poderia variar, uma vez que existe um quadro jurídico que permite este tipo de tratamento, reforçando a legitimidade para o fazer.


Na situação atual, de acordo com a AEPD, o tratamento baseou-se numa avaliação subjetiva do risco, sem fundamentação suficiente e, além disso, prolongou-se por mais de três anos. A este respeito, a Agência salienta que a prevenção genérica da fraude não é suficiente para legitimar o tratamento: o responsável pelo tratamento deve demonstrar que o tratamento é estritamente necessário para prevenir um risco certo, atual e relevante, e não uma mera possibilidade abstrata.


Caso contrário, de acordo com a AEPD, o interesse legítimo torna-se um conceito vazio que distorce o equilíbrio que o RGPD procura garantir entre a proteção de dados e os interesses comerciais.


2. É possível utilizar o interesse legítimo para a criação de «listas negras»?

A Resolução PS/00215/2024 não estabelece uma proibição expressa ou geral da utilização do interesse legítimo como base jurídica para a criação ou manutenção de listas internas de exclusão comercial. No entanto, propõe uma interpretação restritiva dos requisitos necessários para que esta base seja válida em contextos em que o tratamento de dados pessoais possa ter efeitos adversos sobre os direitos do titular dos dados.


a) Requisitos aplicáveis

O artigo 6.º, n.º 1, alínea f), do RGPD permite o tratamento de dados quando «for necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros», desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos dados.

Da mesma forma, o Comité Europeu para a Proteção de Dados (CEPD) desenvolveu um quadro metodológico sob a forma de um teste em três partes que exige a verificação de:

  • A existência de um interesse legítimo (lícito, específico e real).
  • A necessidade do tratamento para o alcançar.
  • Que os direitos e liberdades do titular dos dados não se sobreponham a esse interesse (equilíbrio de interesses).

b) A posição da AEPD 

De uma abordagem prática e preventiva, vale a pena destacar os aspetos-chave apontados por esta Agência no que diz respeito à utilização desta base para a legitimidade:

Especificamente, a Agência exige:

  • Uma avaliação prévia e devidamente documentada do equilíbrio de interesses, que não pode ser realizada após o tratamento. O interesse legítimo deve ser justificado num relatório de equilíbrio de interesses que antecipe o impacto sobre os direitos do titular dos dados e documente as medidas de mitigação.
  • Informação clara e específica ao titular dos dados, no momento da recolha dos dados, sobre a possibilidade de os seus dados serem tratados para fins de exclusão comercial.
  • A revisão do tratamento. Além disso, qualquer anotação de risco deve ter um período de retenção definido, vinculado à finalidade que lhe deu origem, e estar sujeita a revisão.
  • Prova de um risco objetivo, atual e suficientemente fundamentado, excluindo que uma mera suspeita ou antecedente não imputável ao titular dos dados possa justificar a sua inclusão numa lista restritiva.
  • Responsabilidade proativa efetiva: a conformidade deve ser demonstrada com provas documentais. A ausência de registos de avaliação, políticas aplicáveis no momento do tratamento ou rastreabilidade das decisões pode implicar o risco de as entidades enfrentarem sanções pesadas.

Estas condições, embora alinhadas com os princípios do RGPD, podem ser interpretadas como elevando o padrão legal para além do exigido pelo próprio RGPD, especialmente no que diz respeito à necessidade de demonstrar antecipadamente e de forma exaustiva a proporcionalidade do tratamento em cenários em que, por definição, o risco é incerto ou preventivo.


3. Conclusões 

A Resolução PS/00215/2024 da AEPD parece fornecer um critério interpretativo particularmente exigente em relação ao uso do interesse legítimo como base jurídica para sistemas internos de exclusão comercial, consolidando uma doutrina restritiva sobre o tratamento de dados pessoais com efeitos jurídicos adversos para os titulares dos dados.


Ao estabelecer um padrão de conformidade tão elevado — próximo do do tratamento baseado em autorização legal expressa —, a Agência poderia ter um efeito inibidor nas práticas comerciais de gestão de risco contratual, particularmente em setores como o analisado, onde não existem regulamentos setoriais específicos para este tipo de tratamento.


Em suma, embora a AEPD forneça orientações na sua Resolução sobre o nível de diligência exigido para o tratamento com base no interesse legítimo, também revela uma certa ambiguidade interpretativa, na medida em que não nega a legalidade geral deste tipo de tratamento (criação de listas negras), mas parece condicioná-la à existência de uma regulamentação habilitante, requisito não contemplado na regulamentação em matéria de proteção de dados e cuja aplicabilidade é discutível, desde que a existência de um interesse legítimo superior possa ser devidamente comprovada.


Nota informativa elaborada pelo Departamento de Proteção de Dados da ECIJA Madrid.

Un grupo de aves vuela sobre un paisaje natural en blanco y negro.

Sócios relacionados

ATUALIDADE #ECIJA