Geral

Quando posso utilizar a base legal do Legítimo Interesse?

Saber quando poderá utilizar a base legal do Legítimo Interesse é uma das grandes dúvidas dos profissionais que atuam com proteção de dados, uma vez que é uma base que inspira a adoção de cuidados extras quando da sua escolha para legitimar o tratamento de dados pessoais.

Desse modo, você poderá utilizar a base legal do Legítimo Interesse sempre que o tratamento de dados pessoais objetivar atender aos interesses legítimos do controlador ou de terceiro, entretanto, esses interesses não devem ferir os direitos e liberdades fundamentais do titular de dados.

Vejamos:

“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.

Em situações pontuais, o controlador poderá tratar dados pessoais para a promoção de suas atividades, em razão de seus próprios interesses.

Mas essa base legal não pode ser utilizada pensando somente nos interesses do controlador, como já referi acima, deve haver um balanceamento entre estes interesses e os direitos e liberdades fundamentais do titular de dados.

A fim de verificar a viabilidade do tratamento de dados pessoais amparada por essa base legal, o controlador poderá valer-se do teste de ponderação, que é um teste que possibilitará a verificação acerca da legitimidade da utilização desta base legal.

Este teste se chama LIA (Legitimate Interests Assessment) e abaixo mencionarei as principais características dele. Em nosso Módulo II, disponibilizaremos o Modelo de LIA na íntegra, ou seja, vamos te ensinar como fazer o LIA LGPD.

É muito importante realizar o teste sempre que opção for a base legal do legítimo interesse  e armazená-lo em seu acervo de documentos mesmo que não tenha sido aprovado.

Agora vou dar um exemplo onde talvez essa base legal se enquadrará:

Uma empresa de turismo possui uma ampla base de e-mails de pessoas que já compraram produtos e serviços em sua plataforma de vendas, só que na época em que se cadastraram para compra e disponibilizaram seus e-mails, não havia necessidade de consentir para o recebimento de e-mail marketing posterior.

Agora essa empresa deseja enviar suas promoções de Natal e a LGPD já está vigente.

Perceberam que aqui já existia uma relação prévia entre a empresa e o cliente? Que este cliente possuía uma expectativa de recebimento de informações por parte da empresa?

Isso mesmo!

Se a empresa enviar suas promoções, esse titular não ficará surpreso, pois já comprou em seu site, contudo, naquela oportunidade a finalidade da disponibilização dos seus dados era cadastro para efetivação da compra e não recebimento de e-mails.

No caso narrado, teoricamente seria viável a utilização do e-mail para o envio de publicidade pela empresa, contudo, existe uma relação pré-estabelecida entre os atores o que pode viabilizar a utilização da base legal do legítimo interesse.

Mas para ter certeza da utilização desta base legal, precisamos realizar o teste do legítimo interesse, teste de ponderação ou LIA LGPD, como desejarem nomeá-lo.

Para realizar o teste, o primeiro passo é a descrição da finalidade: aqui deve haver a  descrição da finalidade para qual os dados pessoais serão tratados e, o segundo passo, fazer referência a quais os dados pessoais tratados.

Neste caso, deve-se listar todos os tipos de dados para os quais serão verificados se é adequada a base legal do legítimo interesse.

Além do mais, deve haver atenção às quatro fases que seguem:

Legitimidade do Interesse (Art. 10, caput e Inciso I, da LGPD)

Finalidade Legítima: descrição e verificação sobre qual o real interesse da empresa em tratar os dados, para verificar se este é legítimo, ou seja, lícito, adequado e proporcional.

Situação Concreta: descrição do contexto fidedigno em que se dará o tratamento de dados, não sendo aceitas situações genéricas, nem abstratas e futuras.

Necessidade (10, §1o, da LGPD)

Minimização – Utilização de dados pessoais menos intrusivos, devendo limitar-se ao uso apenas dos dados pessoais estritamente necessários para atingir a finalidade pretendida, de modo a evitar, assim, o uso de dados em excesso, incompatíveis e inadequados ao tratamento.

Verificar a existência de outros tipos de dados menos intrusivos, que estejam disponíveis ao controlador, e que possam ser utilizados para atingir as mesmas finalidades.Existência de outras bases legais – Verificar se alguma outra base legal prevista no Art. 7o, não seria mais adequada para o contexto de tratamento de dados pretendido pela empresa.

Balanceamento (Art. 6o, I, 7o, IX, e art. 10, II, da LGPD)

Legítima Expectativa – Análise da compatibilidade do tratamento realizado com a expectativa do titular. Deve-se verificar: (i) a existência de uma relação pré-estabelecida com o titular do dado de onde se possa concluir uma possível expectativa sua; ou (ii) se o homem médio, no contexto do tratamento dos dados, poderia vislumbrar que seus dados poderiam ser tratados para as finalidades para as quais os dados foram coletados.

Direitos e Liberdades Fundamentais – Analisar se algum direito básico do titular do dado, como direito de acesso, retificação, cancelamento e oposição podem ser mitigados, além da verificação de liberdades fundamentais, como liberdade de expressão, locomoção, associação e outras previstas no ordenamento, não serão impactadas de forma desproporcional ao ponto de prejudicar o indivíduo de forma não autorizada ou inapropriada.

Salvaguardas (10, §2o e §3o da LGPD)

Quais as medidas e instrumentos empregados para garantir o cumprimento dos direitos dos titulares dos dados, de modo a evitar que seus dados sejam eventualmente utilizados de forma indevida?Transparência.

Há transparência quando do tratamento dos dados do titular?

Deve haver uma explicação sobre quais dados são coletados, como eles são utilizados e permitir ao titular acesso a uma cópia dos seus dados pessoais sempre que este requisitar e de forma gratuita.

Mecanismos de oposição (opt-out). É o meio pelo qual o titular dos dados pode ser opor ao tratamento dos seus dados, caso ele não concorde com o tratamento realizado ou caso este estiver em desconformidade com a legislação. Mitigação dos Riscos – Aqui é necessária a análise da adoção das possíveis medidas para mitigar os riscos. Ex: anonimização, pseudoanonimização, controle de acesso aos dados?

Por fim, da análise das disposições acima haverá a conclusão pela aprovação ou reprovação no teste. A reprovação em qualquer das fases do teste, inviabiliza a utilização da base legal do Legítimo Interesse.

É muito importante que sempre que  haja a opção do controlador pela utilização da base legal do legítimo interesse este faça essa análise, esse sopesamento entre os interesses que considera legítimos em relação ao desenvolvimento de suas atividades e os direitos e liberdades fundamentais dos titulares de dados, e isso ocorrerá somente por meio da realização do teste acima referido.

Outro ponto importante é que a ANPD poderá solicitar ao controlador o Relatório de Impacto à Proteção de Dados Pessoais sempre que ele utilizar a base legal do legítimo interesse.

Nesse caso, além do LIA o controlador precisará do DPIA (Data Protection Impact Assessment) ou Relatório de Impacto.

Assim como o LIA, também disponibilizaremos o modelo para elaboração do Relatório de Impacto aos inscritos em nosso Módulo II.

Essa base legal possui algumas peculiaridades que devem ser observadas pelos profissionais que estiverem trabalhando com adequação à LGPD.

A primeira observação que trago é sobre o tratamento de dados pessoais sensíveis.

Sempre que o controlador estiver tratando dados pessoais sensíveis, ele não poderá valer-se da base legal do legítimo interesse para justificar o tratamento realizado.

Nesse caso, prioritariamente, o controlador deverá utilizar a base legal do consentimento, contudo, não é uma regra absoluta.

Como já vimos, existem situações determinadas pelo cumprimento de uma obrigação legal ou regulatória que autorizam o tratamento de dados pessoais, mesmo os da categoria “sensíveis” sem a necessidade do consentimento.

Outra consideração que também cabe aqui é que quando tratamos de dados pessoais sensíveis, precisamos incluir a disposição contida no art. 11, II, “g”da LGPD, onde para: “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.

Isso quer dizer que, por exemplo, dados biométricos do titular de dados – que são considerados dados pessoais sensíveis, poderão ser utilizados sem o seu consentimento e esse tratamento é amparado pelo artigo acima referido.

Como estamos falando das hipóteses em que a base legal do legítimo interesse não poderá ser aplicada, de igual forma, o tratamento de dados pessoais de crianças e adolescentes não poderá ser legitimado por meio desta base legal.

Quando dados pessoais de crianças e adolescentes precisarem ser tratados, deverá haver o consentimento específico por um dos pais ou responsáveis, conforme previsão do Art. 14, § 1º da LGPD: “O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.

A lei prevê, contudo, uma exceção em seu § 3º: “Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo”.

Mas é preciso atenção, pois embora seja permitido o tratamento nesta hipótese, é vedado o armazenamento desses dados, bem como o seu compartilhamento.

Por fim, outra vedação quanto à utilização da base legal do legítimo interesse ocorre em relação ao Poder Público.

Ou seja, esta base é destinada somente pelas Pessoas Jurídicas de Direito Privado e por pessoas naturais que tratem dados para fins econômicos e não pode, em nenhuma hipótese, ser utilizada pelo Poder Público.

Espero ter contribuído com a sua compreensão acerca do tema!

Um abraço.

Jerusa Bohrer

Write A Comment