Se você atua diretamente na área ou tem interesse em privacidade e proteção de dados pessoais, já sabe que toda operação de tratamento de dados pessoais deve ter fundamento em uma das hipóteses legais dispostas na Lei Geral de Proteção de Dados Pessoais (LGPD), a Lei 13.709/18, nos artigos 7º ou 11.
Entre as hipóteses legais dispostas na LGPD, o legítimo interesse, previsto no inciso IX do artigo 7º, autoriza o tratamento de dados pessoais “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Contudo, a lei não traz definição clara em relação ao conceito de interesse legitimo ou sua aplicação prática.
A referida hipótese legal encontra alguns parâmetros para sua aplicação no artigo 10 da LGPD, que versa que o legítimo interesse deve ser facultado a finalidades legítimas, consideradas a partir de situações concretas, incluindo, mas não se limitando ao apoio e promoção de atividades do controlador, e a proteção, em relação ao titular de dados pessoais, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas do titular e os direitos e liberdades fundamentais.
Nesse sentido, apesar de se tratar de hipótese legal com conceito e aplicação de forma abstrata, requer atenção e uma análise criteriosa em sua aplicação, uma vez que é necessário, conforme mencionado acima, respeitar as legítimas expectativas do titular de dados pessoais e os direitos e liberdades fundamentais e análise contextual do caso em questão.
Fato é, que em que pese a utilização pelo mercado de ferramentas inspiradas em modelos internacionais, como o teste do legítimo interesse ou o teste do balanceamento, a utilização da mencionada base legal sempre gerou muitas dúvidas em relação a sua real aplicabilidade.
Dessa forma, em 2 de fevereiro de 2024, visando trazer luz ao tema, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) se manifestou oficialmente sobre o tema e publicou o Guia Orientativo “Hipóteses legais de tratamento de dados pessoais”[1], abordando, nesta edição, a base legal do legítimo interesse. Destacamos, de forma resumida, os principais pontos.
De acordo com o guia, para correta utilização da hipótese legal do legítimo interesse, alguns parâmetros de interpretação devem ser analisados, sendo eles:
Natureza dos dados pessoais: é essencial que o controlador avalie a natureza dos dados pessoais a serem tratados, uma vez que a hipótese legal do legítimo interesse não se aplica ao tratamento de dados pessoais sensíveis[2].
Dados pessoais de crianças e adolescentes: o tratamento de dados pessoais de crianças e adolescentes com base no legítimo interesse deve considerar o melhor interesse da criança ou adolescente[3] de forma primária, garantindo que a interpretação escolhida atenda a esse princípio de maneira eficaz. Nesse contexto, se torna imperativo o teste de balanceamento, que abordaremos com mais detalhes abaixo, para justificar o tratamento e demonstrando como o interesse da criança foi considerado em relação aos interesses legítimos do controlador ou de terceiros, e garantindo que não haja riscos desproporcionais.
Identificação do Interesse legítimo: é necessário identificar o interesse que justifica o tratamento e realizar avaliação de sua legitimidade, para tanto, o processo de identificação e avaliação do interesse legítimo pelo controlador envolve o atendimento a três condições: a compatibilidade com o ordenamento jurídico, o lastro em situações concretas e a vinculação a finalidades legítimas, específicas e explícitas.
Interesse do controlador ou de terceiro: outro parâmetro a ser analisado, é se o interesse que motiva a operação é do próprio controlador ou de terceiros. O interesse de terceiro pode ser aquele associado a qualquer pessoa, natural ou jurídica, ou grupo de pessoas, diferente do controlador. Os mesmos requisitos legais aplicáveis ao resguardo dos interesses do controlador se aplicam quando se trata de proteger os interesses de terceiros, conforme estabelecido pelo artigo 10 da LGPD. No entanto, o ônus argumentativo do legítimo interesse se intensifica quando se trata dos interesses de terceiros, exigindo uma justificativa mais robusta para demonstrar a legitimidade e proporcionalidade do tratamento.
Direitos e liberdades fundamentais: o tratamento com fundamento na hipótese do legítimo interesse, como regra geral, já pressupõe a identificação e a mitigação de riscos aos direitos e liberdades fundamentais dos titulares. O Guia ressalta a preponderância dos direitos e liberdades fundamentais do titular como condição ao legítimo interesse, destacando a importância da autodeterminação informativa e da disponibilização e canais para o exercício dos direitos dos titulares. Sendo essencial equilibrar os interesses dos titulares com os do controlador, garantindo o respeito aos direitos fundamentais.
Legítima expectativa do titular: a legitima expectativa do titular se apresenta na ponderação entre o tratamento dos dados pessoais a ser realizado e as expectativas razoáveis dos titulares de terem seus dados tratados para determinada finalidade. A legítima expectativa pode ser analisada por fatores como: existência de relação prévia com o controlador; fonte e forma de coleta dos dados pessoais; contexto e período de coleta; finalidade pretendida da coleta dos dados e a sua compatibilidade com o tratamento baseado no legítimo interesse.
Necessidade, transparência e registro das operações: o princípio da necessidade[4] se aplica à todas as operações de tratamento de dados pessoais, e é reforçado quando a hipótese legal a ser utilizada é o legítimo interesse, exigindo que apenas os dados estritamente necessários sejam tratados e que as informações sobre o tratamento sejam disponibilizadas de forma clara e acessível aos titulares. O controlador deve fortalecer a transparência do tratamento e manter registros detalhados das operações, incluindo o teste de balanceamento e, se necessário, o Relatório de Impacto à Proteção de Dados, especialmente em casos de alto risco.
É essencial mencionar que no guia, a ANPD determina que qualquer tratamento de dados pessoais que utilize como base o legítimo interesse requer a realização de um teste de balanceamento, que é uma avaliação que pondera os interesses do controlador ou de terceiro com os direitos e liberdades fundamentais dos titulares.
O modelo sugerido pela ANPD para o teste de balanceamento está presente no Anexo II do guia, e é composto por três fases que analisam: (i) a finalidade; (ii) necessidade; e (iii) balanceamento e salvaguardas, embasado na LGPD e nas interpretações apresentadas no guia.
Assim, ao esclarecer pontos relevantes por meio de orientações detalhadas, a ANPD confere maior segurança jurídica aos agentes de tratamento, o que facilita não só a conformidade com a lei, mas também a identificação e mitigação de riscos, evitando possíveis infrações e sanções, uma vez que os agentes de tratamento poderão compreender melhor as exigências legais e as melhores práticas relacionadas ao tratamento de dados pessoais com base na hipótese legal do legítimo interesse.
[1] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_legitimo_interesse.pdf. Acesso em 2/2/20214.
[2] LGPD – Art. 5º Para os fins desta Lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[3] Vale mencionar que o conceito de melhor interesse da criança ou adolescente é detalhado no Guia, com base na Convenção Internacional dos Direitos da Criança e o Comentário Geral nº 14 do Comitê dos Direitos da Criança da ONU.
[4] LGPD – Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (…) III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; (…) VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;