LGPD: como demonstrar o legítimo interesse?

LGPD: como demonstrar o legítimo interesse?

Por Evelyse Araújo Castro, fundadora da Quântica Consultoria.

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) dispõe sobre os tratamentos de dados pessoais com o objetivo de que esses tratamentos sejam realizados adequadamente, preservando os direitos fundamentais de liberdade e de privacidade.

Nesse sentido, fica claro que a lei não tem a ilusão de proibir o tratamento de dados, que é um dos principais ativos da economia, conhecida, inclusive por data driven economy (economia orientada a dados).


Para que o tratamento seja adequado, a LGPD estabelece fundamentos, princípios, bases legais, sanções etc.

Para que haja conformidade com a LGPD é essencial que as bases legais adequadas sejam aplicadas em relação à cada atividade de tratamento.

Assim, a LGPD prevê dez bases legais que justificam o tratamento de dados pessoais e oito para o tratamento de dados pessoais sensíveis.

A maioria das bases legais se repetem para o tratamento de ambos os dados, entretanto o legítimo interesse é uma das bases que se aplica somente aos dados pessoais “normais”.

Ou seja, é proibida a utilização do legítimo interesse para o tratamento de dados pessoais sensíveis.


A LGPD, no artigo 7º, dispõe que o tratamento de dados pessoais pode ser realizado quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

O legítimo interesse é a base legal mais flexível, mas não é por isso que deve ser aplicada em qualquer hipótese.

Ao contrário, ao optar por essa base legal, o controlador deve estar ciente de que assumirá mais responsabilidades.


O artigo 10 detalha o legítimo interesse, explicando suas condições e hipóteses de aplicação.

No entanto, só se refere ao controlador, diferentemente do artigo supramencionado que considera o legítimo interesse de terceiro.

Diante disso, há posicionamentos em 2 sentidos:

  • 1º) o artigo 10 apresenta uma falha por não se referir também ao terceiro, mas devendo ser aplicado a ele também; ou
  • 2º) o artigo 10 não se aplica ao terceiro, deixando de condicionar a sua aplicação.

O meu posicionamento é de que o artigo 10 se aplica ao legítimo interesse tanto do controlador como de terceiro e que a Autoridade Nacional de Proteção de Dados (ANPD) deve trazer uma interpretação ou regulamentação para tornar a aplicação do dispositivo clara.

Ultrapassada essa nebulosidade legislativa, vamos à análise do dispositivo. Quais são as condições para a utilização do legítimo interesse?

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas diante de situações concretas, que incluem:

  • Apoio e promoção de atividades do controlador; e
  • Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.

A finalidade é legítima, se especificada, claramente informada e que faz sentido em relação ao titular de dados.

A situação concreta se refere a uma relação já existente entre titular e controlador.

Esse rol trazido pela Lei é exemplificativo, de modo que as possibilidades de aplicação do legítimo interesse não se limitam a essas hipóteses.

Ressalta-se que os dados pessoais tratados devem ser aqueles estritamente necessários para a finalidade definida, observando os demais princípios da LGPD.


Devido à amplitude que o conceito de legítimo interesse pode alcançar, além das condições trazidas pelo artigo 10, há a previsão de documentos capazes de tornar a aplicação dessa base legal mais objetiva:

  • Relatório de Impacto à Proteção de Dados (RIPD ou DPIA, em inglês) e
  • Avaliação do Legítimo Interesse (em inglês, a sigla LIA).

Importante desde logo ressaltar que são documentos diferentes, podendo haver apenas a Avaliação de Legítimo Interesse sem o Relatório de Impacto. Entretanto, a Avaliação de Legítimo Interesse pode compor o Relatório de Impacto e ambos devem ser elaborados previamente ao tratamento de dados pessoais.

Assim, enquanto o LIA é um documento que, por meio de testes, avalia a aplicação do legítimo interesse como base legal para determinado tratamento de dados, o RIPD é um documento mais abrangente e detalhado, que descreve os “processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.” (artigo 5º, XVII, LGPD).


A elaboração desses documentos, LIA e RIPD, além possibilitarem um respaldo objetivo para aplicação do legítimo interesse, demonstram a adoção de medidas eficazes para estar em conformidade com a Lei, respectivamente.

O LIA é composto de 3 testes:

  1. Finalidade: identificar se existe qual é a finalidade para tratar os dados pessoais e se existe um legítimo interesse nesse sentido.
  2. Necessidade: verificar se o tratamento é realmente necessário e proporcional ao fim proposto, não havendo outro modo menos invasivo de alcançar o mesmo resultado;
  3. Equilíbrio: considerar os interesses, direitos e liberdades dos titulares e os prováveis impactos, balanceando com os interesses do controlador. Se os titulares não tiverem uma razoável expectativa da ocorrência desse tratamento ou se isso puder causar um dano injustificável, os interesses dos titulares se sobrepõem aos do controlador. De acordo com a Information Commissioner’s Office (ICO), mesmo que o tratamento possa causar impacto nos titulares, o legítimo interessa ainda poderá utilizado, desde que seja possível demonstrar um benefício ainda maior para os titulares e o impacto for justificado.

É necessário responder as questões pertinentes a cada um dos testes, avaliar e documentar os resultados para que seja possível demonstrar que o legítimo interesse é a base adequada.

Não há um formato ou tamanho padrão para esse documento, porque é específico para cada contexto de tratamento de dados pessoais, podendo ser mais enxuto ou mais detalhado.


O LIA fomenta que o controlador faça as perguntas corretas em relação aos tratamentos de dados pessoais que serão realizados e considere objetivamente as expectativas razoáveis dos titulares e os respectivos impactos. Ter essa avaliação documentada é um meio de provar que está em conformidade (compliance) com a lei, cumprindo com o princípio da responsabilização e prestação de contas (accountability).
Lembrando que deve ser feita uma Avaliação para cada atividade de tratamento que se pretende utilizar o legítimo interesse como base legal. Após finalizada a Avaliação estabeleça um período de revisão periódica para mantê-la atualizada e, consequentemente, o seu tratamento de dados pessoais adequado. Por outro lado, se a sua avaliação concluir que o impacto nos direitos e liberdades dos titulares se sobrepõe ao seu legítimo interesse, então, essa não é a base legal que deve ser utilizada.


A partir do LIA e de análises de risco é possível elaborar o RIPD. Assim, o LIA, apesar de não ser um documento expresso na LGPD, é um documento necessário para verificar se o legítimo interesse é a base adequada para o tratamento e pode compor o Relatório de Impacto, sendo prévio a ele.


O Relatório supramencionado pode ser solicitado pela ANPD, quando o tratamento de dados pessoais tiver como base legal o legítimo interesse e em outras hipóteses a serem regulamentadas, inclusive em relação aos dados pessoais sensíveis.

O Relatório de Impacto, assim como a Avaliação, deve ser revisado periodicamente.

Além disso, havendo alteração de riscos nas atividades de tratamento, deve ser atualizado.

Assim, esses documentos, em conjunto, devem ser capazes de demonstrar o legítimo interesse como base legal para o tratamento de dados pessoais e os respectivos impactos.

Onde encontrar as fontes bibliográficas deste artigo

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/.

LIMA, C. C. C. Dos requisitos para o tratamento de dados pessoais. In: MALDONADO, V. N.; OPICE BLUM, R. (Coord.). LGPD – Lei Geral de Proteção de Dados Comentada. São Paulo: Revista dos Tribunais, 2019, p. 179 – 196.

MAIA, F. S.; YUN. R. Base legal “Legítimo Interesse” e seus desdobramentos. In: PALHARES, Felipe (Coord.). Temas atuais de Proteção de Dados. São Paulo: Revista dos Tribunais, 2020, p.197-216.

Este artigo é fruto da parceria entre a Quântica Consultoria Digital e Juddi.

Quântica

Deixe uma resposta

%d blogueiros gostam disto: