*Por Wagner Barcelos
Legítimo interesse certamente é a base legal que mais gera discussão em relação à Lei Geral de Proteção de Dados. Portanto, venho contribuir no entendimento desta base legal e nortear a utilização deste recurso.
O que diz a LGPD sobre a base legal legítimo interesse?
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – Apoio e promoção de atividades do controlador; e
II – Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Quando utilizar o Legítimo interesse?
A LGPD aborda determinados limites para utilização do legítimo interesse, em princípio esta base legal deve ser utilizada de maneira auxiliar às demais bases específicas.
Para avaliar a utilização do legítimo interesse é recomendado a aplicação de um teste de proporcionalidade (teste do interesse legítimo), com o intuito de balancear os direitos dos titulares garantidos pela lei em detrimento de um interesse legítimo do controlador ou de terceiro.
Teste do interesse legítimo
Bioni (2019) descreve que o teste do interesse legítimo busca balancear os direitos dos titulares garantidos pela ordem jurídica em detrimento de um interesse legítimo do controlador.
Tal teste, é composto de quatro etapas e deve ser necessariamente documentado:
1. Finalidades legítimas
2. Necessidade
3. Balanceamento
4. Salvaguardas
Para ajudar na execução e análise deste teste, cito abaixo algumas perguntas que podem nortear a aplicabilidade da base legal legítimo interesse.
1. Finalidades legítimas
*A Finalidade/propósito é lícito, adequado e proporcional?
*A situação é concreta?
Tentando exemplificar, as questões norteiam para que a análise leve em consideração interesses atuais e conhecidos, evitando o tratamento dos dados pessoais que se deseja realizar em situações futuras e hipotéticas. Além disto, a finalidade/propósito do tratamento deve ser lícito, moral e admissível, nos termos das leis vigentes.
2. Necessidade
*Apenas os dados estritamente necessários para atingir a finalidade pretendida estão sendo tratados?
*Existe outra base legal mais adequada? Neste item sugiro uma avaliação das demais bases legais previstas em lei.
Cito alguns exemplos:
Execução de contrato: Caso exista um contrato entre o titular e o controlador, o tratamento de dados pessoais deve estar previsto neste vínculo jurídico.
Obrigação legal ou regulatória: o propósito do tratamento é somente atender alguma obrigação que conste na legislação ou regulação? Se sim, esta é a base legal que deve ser utilizada.
Proteção de crédito: o propósito do tratamento é somente realizar analise de risco do crédito do titular? Se sim, esta á a base mais apropriada.
3. Balanceamento
* O uso dos dados está dentro da legítima expectativa do titular?
*Qual a relação do titular e do controlador (cliente com relacionamento anterior, cliente em prospecção, funcionário em processo seletivo ou já empregado, etc.);
*Qual o impacto no titular em comparação com o benefício esperado do tratamento?
*Direitos e liberdades fundamentais do titular estão sendo observados?
4. Salvaguardas
O titular possui meios de exercer seus direitos?
Lembrando, os direitos do titular previstos na LGPD são: Acesso aos dados, correção dos dados, confirmação da existência do tratamento, anonimização ou bloqueio dos dados, eliminação dos dados, portabilidade dos dados, revogação do consentimento, informação sobre uso compartilhado e possiblidade de não consentir.
*Existe transparência para o titular sobre como os dados serão tratados?
*Existem medidas técnicas que mitigam os riscos de exposição do titular?
Inventário de tratamentos de dados pessoais
É muito importante que exista um processo de inclusão e atualização do inventário de tratamento de dados pessoais, o artigo 37 da lei enfatiza o dever de controladores e operadores de manter o registro de operação de tratamento de dados pessoais que realizarem, especialmente se o tratamento for baseado no legítimo interesse.
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Espero que tenha colaborado no esclarecimento sobre a base legal legítimo interesse e sua respectiva aplicabilidade. Além disto, fico à disposição para eventuais dúvidas ou para troca de experiência relacionada ao assunto.
REFERÊNCIAS BIBLIOGRÁFICAS:
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível no site da presidência. Acesso em: 24 jun. 2020.
*Wagner Barcelos é especialista de Proteção de Dados da Lojas Renner
