Base legal do legítimo interesse - LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), em seu artigo 7,  estabelece quais são as bases legais que podem ser utilizadas para fundamentar o tratamento de dados pessoais. O legítimo interesse está previsto no inciso IX:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…)

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; (grifos nossos)

Todavia, para que possamos entender o tema, é fundamental conhecermos os termos técnicos que a LGPD trouxe para o direito brasileiro. Vejamos:

1. Termos técnicos da LGPD

1.1 Dados pessoais

São informações de pessoas naturais vivas que, direta ou indiretamente identificam um indivíduo.

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Caso queria aprofundar mais sobre este tema, recomendamos a leitura deste artigo, onde tratamos com mais profundidade o assunto.

1.2 Titular dos dados

O titular dos dados é uma pessoa física que mediante consentimento livre e informado concede seus dados aos agentes de tratamento que os processarão para alguma finalidade.

1.3 Agentes de tratamento de dados

a) Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Por exemplo:

• uma pessoa jurídica (controladora) que vende materiais de construção e – no momento da compra – coleta dados pessoais do consumidor (titular de dados).

Nesse contexto, a controladora (pessoa jurídica) é quem irá processar (tratar) os dados titular de dados (consumidor), com a finalidade de formalizar uma venda de seus produtos.

b) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Além disso, o operador somente poderá processar  dados pessoais de acordo com as instruções fornecidas pelo controlador, ou seja, o controlador é quem estabelece as finalidades e limites do tratamento de dados.

Por exemplo:

• a companhia de varejo (controladora), com objetivo de promover seus produtos, contrata uma agência de marketing (operadora).

Em outras palavras,  a agência de marketing processará dados em nome da controladora – companhia de varejo.

1.4 Tratamento de dados pessoais

O tratamento de dados pessoais é toda operação realizada com informações de pessoas vivas.

Por exemplo:

• armazenamento de dados, compartilhamento, retenção etc.

1.5 Consentimento 

O consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Por exemplo:

•  o titular dos dados – mediante formulário digital ou escrito – permite que uma empresa utilize seus dados  para promover seus produtos via e-mail.

1.6 Outros conceitos

Além desses termos técnicos mencionados, existem outros conceitos igualmente importantes que devemos conhecer, motivo pelo qual recomendamos a leitura deste Guia LGPD. 

2. Do legítimo interesse

O legítimo interesse é uma das bases legais da LGPD que autoriza o controlador a tratar dados pessoais sem o consentimento do titular.

Porém, essa base legal deve ser utilizada com cautela, notadamente pela sua grande possibilidade interpretativa. Vejamos o dispositivo:

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. (grifos nossos)

Como podemos ver, a LGPD não definiu o que é o legítimo interesse, preferiu conceituá-lo de forma ampla e exemplificativa.

Entretanto, o legítimo interesse não pode servir para preencher lacunas de fundamentação legal.

Inclusive, do ponto de vista da segurança jurídica, é sempre recomendável que o controlador primeiro tente obter um novo consentimento do titular antes de efetuar um novo tratamento de dados.

Feito essa ressalva, e não sendo possível ou viável obter um novo consentimento, o controlador que pretende fundamentar o tratamento de dados no legítimo interesse, de forma adequada, deve verificar:

a) Finalidade Legítima

Incialmente, deve verificar se a finalidade do tratamento não fere algum dispositivo legal.

E como é sabido, alguns termos técnicos foram importados do Regulamento Geral sobre a Proteção de Dados (RGPD), motivo pelo qual precisamos do auxílio das interpretações das leis estrangerias para melhor compreendê-los.

Nesse sentido, o Grupo de Trabalho do Artigo 29 (WP29), composto por representantes das autoridades europeias, por meio das diretrizes da  Opinion 03/2013,  definiu que o termo “legítimo” vai além do respeito das leis, pois deve ser observado também o contexto que os dados são processados.

b) Situação Concreta

Para utilizar o legítimo interesse também é necessário que exista uma relação concreta – prévia – entre o controlador e o titular dos dados.

Por exemplo:

•  uma loja virtual (controladora) utiliza o histórico de compras  de um titular (relação concreta) para enviar propaganda com novos produtos via e-mail.

Ainda deve ser analisado:

i) Do ponto de vista do titular de dados, deve existir uma legítima expectativa de que seus dados poderão ser  tratados devido alguma relação prévia que existiu com um controlador.

Em outras palavras, o titular não pode se “assustar” com o novo tratamento de dados.

O exemplo acima deixa claro essa situação, pois, o titular, tem tese, não se assustaria ao receber um e-mail de marketing de loja onde já efetuou uma compra.

ii) Do ponto de vista do controlador, deve o novo tratamento de dados ser compatível com a finalidade que originou a relação entre as partes.

Por exemplo:

• O titular, que fez um cadastro para adquirir produtos no site de um farmácia (controladora), recebe via e-mail cupons de desconto para usar em uma nova compra.

Nesse exemplo, a princípio, podemos dizer que o legítimo interesse foi utilizado de forma adequada.

Porém, como veremos adiante, existente outros fatores que devem ser verificados antes usar o legítimo.

2.1 Respeito aos princípios da LGPD

O controlador que pretende fundamentar o tratamento de dados no legítimo interesse deve observar também, art. 10, §1º e §2º:

§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. (grifos nossos).

O legislador – visando maior proteção ao titular de dados – exige de forma expressa que o controlador ao tratar dados com base no legítimo interesse também respeite os princípios que regem a LGPD.

Como podemos ver, existem vários pontos que devem ser observados antes de utilizar o legítimo interesse.

Nesse sentido, para auxiliar o controlador de dados a descobrir se pode utilizar essa base legal ou se está utilizando-a de forma adequada, é recomendável que ele se faça uma avaliação de legítimo interesse, vejamos:

2.2. Legitimate interests assessment (LIA)

O Legitimate interests assessment (LIA), em português: avaliação de legítimo interesse é muito utilizado nos países internacionais que prezam pela proteção de dados pessoais, notadamente a União Europeia.

No Brasil, ainda não há clareza sobre a obrigação de realizar esse teste.

No entanto, o art. 37 da LGPD, destaca a obrigação do controlador manter registro das operações de tratamento de dados pessoais, em especial, quando baseado no legítimo interesse.

E, como ainda existem muitas dúvidas sobre como a Agência Nacional de Proteção de Dados (ANPD) irá se posicionar sobre o tema, entendemos que executar o LIA é uma excelente forma de demonstrar que o controlador está em conformidade com a LGPD.

Em resumo, o LIA tem como finalidade encontrar um equilíbrio entre o uso do legítimo interesse pelo controlador e o respeito dos direitos e liberdades dos titulares de dados pessoais.

E como não há diretrizes específicas para conduzir uma avaliação de legítimo interesse no Brasil, recomendamos a leitura deste excelente Texto de Discussão 01/2021 – O Legítimo Interesse na LGPD – elaborado pela Associação Data Privacy Brasil de Pesquisa. 

2.3 Uso  do legítimo interesse por terceiro

O artigo 7 da LGPD prevê a possibilidade do uso do legítimo interesse por terceiro.

Contudo, o artigo 10, que trata sobre os requisitos para utilizar essa base legal, não menciona, em momento algum, o uso do legítimo interesse por terceiro.

E tendo em vista que a LGPD já sofreu várias alterações desde sua vigência, caberá mais uma vez a ANPD elaborar diretrizes sobre o uso adequado do legítimo interesse por terceiros.

3. CONCLUSÃO

O legítimo interesse é uma das bases legais da LGPD que irá causar grandes debates, tanto no Brasil quanto no exterior, notadamente pela sua grande possibilidade interpretativa em diferentes contextos. E  também por não exigir o consentimento do titular de dados.

Além disso, a LGPD não definiu o que é o legítimo interesse, preferiu conceituá-lo de forma ampla e exemplificativa.

No entanto, reiteramos que essa base legal não deve servir para preencher lacunas de fundamentação legal.

Nesse sentido, do ponto de vista da segurança jurídica, é recomendável que o controlador – que pretenda fazer um novo tratamento de dados – tente, primeiro, obter um novo consentimento do titular.

E não sendo possível ou inviável obtê-lo, deve o controlador analisar todos os requisitos legais, dentro de um contexto, antes de utilizar o legítimo interesse.

Atualmente, a forma mais adequada para verificar se o controlador está usando (ou pretender usar) o legítimo interesse em conformidade com a LGPD, é por meio do teste conhecido como LIA.

Por último, destacamos que a base legal do legítimo interesse deve ser utilizada com muita cautela, pois ainda pairam muitas dúvidas sobre a sua aplicação prática, motivo pelo qual é fundamental que a ANPD elabore diretrizes específicas sobre o tema.