Legítimo interesse do controlador ou de terceiro é uma das dez bases legais da LGPD (Lei Geral de Proteção de Dados Pessoais) que autorizam o tratamento de dados pessoais por parte de controladores e operadores.
Previsto no artigo 7º, inciso IX, da LGPD, o legítimo interesse destaca-se por sua flexibilidade e aplicabilidade em diversas situações.
Essa flexibilidade, no entanto, vem acompanhada de uma série de requisitos e cuidados que devem ser observados para garantir a conformidade com a lei.
Neste artigo, exploraremos detalhadamente o conceito de legítimo interesse, a diferença para outras bases legais e as condições específicas estabelecidas pelo art. 10 da LGPD para a sua utilização.
Veremos em detalhes:
- O que é o Legítimo Interesse do Controlador ou de Terceiro?
- Condições para o uso da base legal do Legítimo Interesse
- Teste de Balanceamento ou LIA (Legitimate Interests Assessment)
- Ausência do legítimo interesse como base legal para o tratamento de dados pessoais sensíveis
O objetivo é fornecer um guia compreensivo, abordando desde a definição e aplicação prática do legítimo interesse até os desafios e controvérsias associados a essa base legal.
Para isso, vamos começar entendendo exatamente o que é o legítimo interesse.
O que é o Legítimo Interesse do Controlador ou de Terceiro?
As chamadas bases legais da LGPD são as dez hipóteses em que o art. 7º da Lei 13.709/2018 permite que seja realizado o tratamento de dados pessoais não sensíveis.
Tratamento é toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).
Dados pessoais não sensíveis são qualquer informação relacionada a uma pessoa natural identificada ou identificável.
Logo, as bases legais do art. 7º esclarecem em quais casos os agentes de tratamento (controlador ou operador) podem realizar o tratamento de dados pessoais não sensíveis.
A nona base legal listada no referido artigo dispõe que é possível realizar o tratamento de dados pessoais “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
Assim, legítimo interesse é a base legal que o controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais) pode utilizar para justificar o tratamento que pretende realizar.
Diferentemente de outras bases legais, como o consentimento do titular ou a execução de um contrato, o legítimo interesse não requer um ato específico do titular dos dados.
Em vez disso, exige que o controlador demonstre que suas ações são necessárias para atender a um interesse legítimo dele ou de terceiro e que este interesse não prejudica os direitos dos titulares.
O legítimo interesse é particularmente importante em contextos onde o tratamento de dados é essencial para operações comerciais, de marketing, de prevenção de fraudes e outras atividades que, embora não dependam do consentimento do titular, são cruciais para a eficiência e segurança das operações do controlador.
Esta base legal, entretanto, exige uma análise criteriosa e documentação robusta para justificar seu uso e garantir que os direitos dos titulares sejam devidamente protegidos.
Condições para o uso da base legal do Legítimo Interesse
O art. 10 da LGPD estabelece condições específicas para a utilização do legítimo interesse como base legal para o tratamento de dados pessoais:
“Art. 10. A legítima expectativa do titular deverá ser considerada na avaliação do legítimo interesse do controlador.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente poderá ocorrer para finalidades legítimas, consideradas a partir de situações concretas, que incluam, mas não se limitem a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as expectativas do titular e os direitos e liberdades fundamentais, nos termos desta Lei e da legislação aplicável.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.”
As condições estabelecidas no art. 10 da LGPD para a aplicação do legítimo interesse são cumulativas e aplicam-se tanto ao controlador quanto a terceiros.
Como consequência, há um ônus argumentativo maior para o controlador, especialmente em relação aos princípios da finalidade e da necessidade.
Essas condições, com a devida argumentação, visam garantir que o tratamento realizado com base no legítimo interesse seja transparente, justificado e respeite os direitos dos titulares dos dados.
Expectativa do Titular
A avaliação do legítimo interesse deve considerar a legítima expectativa do titular dos dados em relação ao tratamento realizado.
Isso significa que o titular deve ter uma expectativa razoável de que seus dados serão tratados para aquela finalidade específica.
Por exemplo, um cliente que fornece seu endereço de e-mail para receber atualizações sobre um produto pode ter a expectativa de que essa informação será usada para enviar newsletters e ofertas relacionadas ao produto.
Bruno Bioni leciona que a expectativa do titular pode ser medida por meio do “Teste do Susto”. Caso o titular se assuste ao descobrir para que finalidade algum dado pessoal está sendo utilizado, provavelmente esse tratamento não está de acordo com a expectativa dele.
Vale frisar, ainda, que o titular dos dados pode se opor ao tratamento baseado no legítimo interesse, especialmente se sua confiança for frustrada.
Finalidades Legítimas
O tratamento deve ser realizado para finalidades legítimas que sejam claramente definidas e justificáveis. Essas finalidades devem ser baseadas em situações concretas e, como diz o texto legal, devem incluir, mas não se limitar a:
- Apoio e Promoção de Atividades do Controlador: Como ações de marketing, desenvolvimento de novos produtos e serviços, ou outras atividades que beneficiem diretamente o controlador. Note que a atividade não pode ser algo amplo e genérico como “obter lucro”.
- Proteção de Direitos do Titular: Inclui ações como a prevenção de fraudes, proteção contra ameaças à segurança e garantia do exercício regular dos direitos do titular.
Eis alguns exemplos práticos de uso da base legal do legítimo interesse:
- Relações de Trabalho: Monitoramento de colaboradores, uso de keyloggers, controle de temperatura corporal durante a pandemia de covid-19.
- Verificação de Antecedentes: Monitoramento de antecedentes criminais, análise de redes sociais.
- Recursos Humanos: Concessão de benefícios, fusões e aquisições.
- Publicidade e Marketing: E-mail marketing, perfis de rede, cadastramento para acesso a conteúdos.
- Inteligência Artificial e Logística: Avaliação de desempenho de produtos, gerenciamento de estoque.
Transparência
O controlador deve adotar medidas para garantir a transparência do tratamento de dados baseado no legítimo interesse.
Isso inclui informar claramente os titulares sobre o tratamento de seus dados, as finalidades específicas e os direitos que possuem em relação a esses dados.
Políticas de privacidade detalhadas e comunicações diretas com os titulares são exemplos de instrumentos utilizados para manter a transparência.
Prova de cumprimento das condições
O controlador deve documentar todo o processo de avaliação do legítimo interesse, incluindo a identificação dos interesses legítimos, a necessidade do tratamento e a avaliação dos direitos e liberdades dos titulares.
Esta documentação é crucial para demonstrar conformidade com a LGPD e pode ser exigida em auditorias ou investigações por parte da ANPD (Autoridade Nacional de Proteção de Dados).
O controlador deve, ainda, implementar medidas para mitigar qualquer impacto negativo sobre os titulares dos dados.
Isso pode incluir a minimização da coleta de dados, a anonimização ou pseudonimização de dados, e a implementação de controles de segurança robustos.
Teste de Balanceamento (Legitimate Interests Assessment)
A ANPD publicou um Guia Orientativo do Legítimo Interesse detalhando, entre outros aspectos, o Teste de Balanceamento, também conhecido no mercado como LIA (Legitimate Interests Assessment).
O LIA é um mecanismo essencial para assegurar a conformidade do tratamento de dados pessoais com a LGPD, considerando os interesses do controlador e os direitos e liberdades fundamentais dos titulares.
Este teste deve ser aplicado para cada finalidade específica de tratamento de dados, avaliando a proporcionalidade das ações baseadas no contexto e nas circunstâncias específicas.
O teste de balanceamento deve considerar elementos previstos no art. 10 da LGPD, garantindo que os riscos aos direitos dos titulares sejam minimizados.
O tratamento de dados baseado no legítimo interesse não deve prevalecer caso os direitos e liberdades dos titulares sejam preponderantes.
A própria ANPD recomenda que o “controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares”.
O LIA geralmente é composto de três partes principais: a finalidade, a necessidade e o balanceamento/salvaguardas, cada uma com seus objetivos específicos.
Modelo de Teste de Balanceamento da ANPD
No Anexo II do Guia Orientativo do Legítimo Interesse, a ANPD disponibiliza um Modelo de Teste de Balanceamento, que pode ser seguido por qualquer agente de tratamento que queira se certificar de estar usando a base legal do legítimo interesse de forma adequada.
O modelo proposto pela ANPD segue a estrutura de três partes: finalidade; necessidade; e balanceamento e salvaguardas. Cada parte possui perguntas e orientações específicas para facilitar a análise.
Parte 1: Finalidade
O objetivo da primeira parte é “identificar a natureza dos dados pessoais e a aplicabilidade da hipótese legal do legítimo interesse ao tratamento dos dados pessoais, mediante a avaliação da legitimidade do interesse, ou seja, se este é compatível com o ordenamento jurídico, baseado em uma situação concreta e vinculado a uma finalidade legítima, específica e explícita”.
Perguntas sobre a natureza dos dados pessoais
- Qual a natureza dos dados pessoais?
- Existe tratamento de dados pessoais sensíveis?
Perguntas sobre dados de crianças e adolescentes
- Serão tratados dados de crianças e adolescentes?
- Em caso positivo, o que foi considerado como melhor interesse dos titulares?
- Quais os critérios utilizados para a ponderação entre os interesses do controlador ou de terceiro e os direitos dos titulares?
- O tratamento gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como sujeito de direitos?
- O controlador possui uma relação prévia e direta com os titulares crianças e adolescentes?
- O tratamento visa assegurar a proteção de direitos e interesses dos titulares ou viabilizar a prestação de serviços que os beneficiem?
Perguntas sobre interesse e finalidades legítimas
- Qual benefício ou proveito resulta do tratamento de dados pessoais para o controlador ou terceiro?
- O interesse é compatível com o ordenamento jurídico? Ou seja, o tratamento é compatível com princípios, normas jurídicas e direitos fundamentais?
- Aplicam-se ao caso e não se aplicam às hipóteses legais que vedam ou impeçam a realização do tratamento?
- O tratamento contraria, direta ou indiretamente, disposições legais ou princípios aplicáveis ao caso?
- Qual a finalidade do tratamento? A finalidade é legítima, específica e explícita?
Perguntas sobre a situação concreta
- O interesse é baseado em uma situação clara, concreta e não especulativa?
- Qual é essa situação concreta, de forma detalhada?
- Qual o contexto em que é realizado o tratamento?
Parte 2: Necessidade
O objetivo da segunda parte é ” Identificar se o tratamento baseado no legítimo interesse é necessário para atingir as finalidades do passo anterior, além de ponderar medidas de minimização do uso de dados pessoais”.
Perguntas sobre tratamento e finalidade pretendida
- O tratamento é necessário para atingir os interesses analisados no passo anterior?
- É possível usar outros meios razoáveis para atingir a mesma finalidade de forma menos intrusiva para o titular?
- O tratamento é proporcional e adequado para a finalidade descrita?
Perguntas sobre Minimização
- Estão sendo utilizados apenas os dados estritamente necessários para atingir à finalidade pretendida?
- Existem formas menos intrusivas, menos onerosas ou com menores riscos ao titular que poderiam ser utilizadas para atingir a mesma finalidade?
Parte 3: Balanceamento e Salvaguardas
Por fim, a terceira parte tem como objetivo “avaliar os riscos e os impactos sobre os direitos dos titulares dos dados com base no interesse e finalidades identificados nas fases anteriores, além de balancear esses riscos com as salvaguardas a serem adotadas e com a garantia de acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados”.
Perguntas sobre legítima expectativa
- O tratamento dos dados pessoais para a finalidade pretendida é razoavelmente esperado pelos titulares, considerando o contexto em que é realizado?
- A avaliação quanto à legítima expectativa deve levar em consideração, entre outros, os seguintes fatores relevantes:
- Existe uma relação prévia do controlador com o titular?
- Qual a fonte e a forma por meio das quais os dados foram coletados? Isto é, foram coletados diretamente do titular, de fontes públicas ou foram obtidos por meio de compartilhamento realizado por terceiros?
- Qual o contexto e o período da coleta dos dados pessoais?
- A finalidade original da coleta é compatível com o tratamento baseado no legítimo interesse?
Perguntas sobre riscos e impactos aos direitos e liberdades fundamentais
- De que forma os titulares de dados pessoais serão impactados pelo tratamento?
- Direitos e garantias fundamentais como liberdade de expressão, locomoção, não discriminação, intimidade, integridade física e moral podem ser afetados com o tratamento?
- Quais são os riscos em potencial sobre os titulares?
- Os direitos e liberdades fundamentais dos titulares prevalecem sobre os interesses do controlador ou de terceiro?
Perguntas sobre salvaguardas e mecanismos de opt-out e de oposição
- Quais medidas são adotadas para mitigar os riscos identificados?
- Quais medidas de transparência são adotadas? Serão disponibilizadas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento?
- Será disponibilizado canal de fácil acesso, por meio do qual os titulares podem exercer os direitos previstos na lgpd, em especial os de se descadastrar, de opor ao tratamento e de solicitar o término da operação e a eliminação de seus dados pessoais?
Documentação e finalização do Teste de Balanceamento para justificar o legítimo interesse
O controlador deve documentar todas as etapas do teste de balanceamento, assegurando a transparência do processo e a conformidade com a LGPD. Esta documentação é essencial para demonstrar a responsabilidade e a prestação de contas.
O teste de balanceamento é uma prática recomendada para garantir que o tratamento de dados seja adequado, necessário e proporcional, além de assegurar que os interesses do controlador não sobreponham os direitos dos titulares.
Manter registros claros e detalhados das operações de tratamento é uma forma de garantir a transparência e a conformidade com a legislação.
O teste não é explicitamente obrigatório na LGPD, mas sua realização é altamente recomendada pela ANPD e considerada uma prática exemplar para demonstrar conformidade quando o tratamento de dados pessoais é baseado na base legal de legítimo interesse.
No próprio Guia Orientativo do Legítimo Interesse, a ANPD escreve que “o tratamento de dados com respaldo no legítimo interesse deve ser precedido de um teste de balanceamento que considere, de um lado, os interesses do controlador ou de terceiro e, de outro, os direitos e liberdades fundamentais dos titulares”.
Assim, recomenda-se que os agentes de tratamento realizem o teste de balanceamento, de preferência utilizando o próprio modelo disponibilizado no Anexo II do guia da ANPD.
Ausência do legítimo interesse como base legal para o tratamento de dados pessoais sensíveis
A LGPD estabelece um conjunto de diretrizes para o tratamento de dados pessoais sensíveis, que são aqueles dados que podem revelar origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.
Um aspecto crucial dessa legislação é a ausência do legítimo interesse como base legal para o tratamento desses dados, conforme disposto nos artigos 7º e 11 da LGPD.
Isso significa que, ao contrário dos dados pessoais comuns, os dados sensíveis não podem ser tratados com base no legítimo interesse do controlador ou de terceiros, dada a natureza potencialmente prejudicial e invasiva desses dados.
A razão para essa exclusão está enraizada na necessidade de garantir uma proteção mais robusta aos direitos e liberdades fundamentais dos titulares dos dados sensíveis.
O tratamento de dados sensíveis apresenta riscos significativos de discriminação, estigmatização e outros danos significativos aos titulares.
Por isso, a LGPD exige bases legais mais específicas e estritas, como o consentimento explícito do titular, o cumprimento de obrigação legal ou regulatória, a proteção da vida e da incolumidade física do titular ou de terceiros, a tutela da saúde em procedimentos realizados por profissionais da área, entre outras previstas no artigo 11.
A ausência do legítimo interesse como base legal busca assegurar que o tratamento desses dados ocorra de maneira transparente, segura e com o devido respeito aos direitos dos titulares.
Além disso, ao excluir o legítimo interesse como fundamento legal para o tratamento de dados sensíveis, a LGPD reforça a responsabilidade e a prestação de contas dos controladores e operadores de dados.
Eles são obrigados a adotar medidas adicionais de segurança e a justificar plenamente a necessidade e a legalidade do tratamento dos dados sensíveis, mitigando os riscos associados a possíveis abusos.
Essa abordagem rigorosa é fundamental para manter a confiança dos indivíduos no sistema de proteção de dados e para assegurar que suas informações mais íntimas e potencialmente vulneráveis sejam tratadas com o mais alto padrão de cuidado e responsabilidade.
Conclusão: a base legal do legítimo interesse
O legítimo interesse do controlador ou de terceiros, conforme previsto na LGPD, oferece uma base legal flexível e poderosa para o tratamento de dados pessoais não sensíveis, desde que aplicada com responsabilidade e transparência.
Ao longo deste artigo, exploramos os aspectos essenciais dessa base legal, destacando sua definição, condições de aplicação, e a necessidade de realizar um Teste de Balanceamento cuidadoso para garantir a proteção dos direitos e liberdades fundamentais dos titulares dos dados.
A aplicação do legítimo interesse exige uma avaliação criteriosa, que deve considerar a legitimidade da finalidade, a necessidade do tratamento e a implementação de salvaguardas adequadas para minimizar os riscos aos titulares.
O teste de balanceamento é uma ferramenta indispensável nesse processo, ajudando a assegurar que os interesses do controlador não prevaleçam sobre os direitos dos indivíduos.
Além disso, a transparência e a documentação do processo são fundamentais para demonstrar a conformidade com a LGPD e reforçar a confiança dos titulares nos mecanismos de proteção de dados.
Foto: ATBO
