O legítimo interesse na Lei Geral de Proteção de Dados Pessoais

A Lei nº 13.709/2018, que trata da proteção de dados pessoais, em seu artigo nº 7 dispõe de dez bases legais que autorizam um tratamento de dados pessoais [1], devendo estar a mesma estritamente vinculada à finalidade do tratamento a ser realizado.

Na prática, significa dizer que um controlador não poderá processar nenhum tipo de tratamento de dado pessoal, como coleta, transmissão, arquivamento, eliminação e avaliação, entre outros, sem que haja a correspondente hipótese legal que o justifique, não sendo rara a opção pela desistência ou interrupção de um processamento quando for constatada a inexistência de base legal.

A importância da correta atribuição da base jurídica ao tratamento é uma das obrigações de grande importância nas organizações e a não conformidade com essa provisão tem potencial de originar as multas mais elevadas, de acordo com o Regulamento Geral de Proteção de Dados (RGPD), por ofensa ao artigo nº 6 [2].

Entretanto, não raramente nos encontramos diante de dúvidas quanto à escolha da melhor base legal relacionada ao caso concreto. E, sendo a Lei Geral de Proteção de Dados (LGPD) uma lei contextual [3], essa definição só será segura se compreendermos como se dá o tratamento, quais os atores envolvidos e qual o objetivo principal do tratamento.

O legítimo interesse do controlador ou de terceiros está elencado como uma das dez bases legais no artigo nº 7, IX [4], podendo ser utilizada desde que esse interesse não viole os direitos e as liberdades fundamentais do titular.

Tendo em vista a subjetividade da expressão “interesses legítimos”, é compreensível que exista desconfiança em relação à sua utilização. Entretanto, o legítimo interesse deve ser visto como uma alternativa de uso de dados de forma responsável e com o potencial de impulsionar com privacidade o desenvolvimento econômico e a inovação, fundamentos assegurados na lei em seu artigo nº 2, V [5].

Em muitas situações, a base legal do legítimo interesse no tratamento de dados pessoais apresenta-se como a base mais apropriada, apesar de ser evitada por insegurança em seu uso, tendo em vista entendimentos equivocados de que outras bases legais poderiam prover mais segurança, a exemplo do consentimento e execução de contrato.

O legítimo interesse apresenta maior flexibilidade, dinamicidade e exatamente, por isso requer um exercício constante de balanceamento entre os interesses legítimos do controlador, de terceiros e as liberdades individuais do titular. E, nessa esteira, a eleição da base legal do legítimo interesse é precedida de uma análise de riscos, devendo essa análise ser documentada, consoante exige o artigo nº 10, parágrafos 2 e 3, da LGPD [6], podendo a Autoridade de Proteção de Dados (ANPD) solicitar ao controlador o relatório de impacto à proteção de dados baseado nessa hipótese legal.

Importante observar que os interesses legítimos não são aplicáveis somente ao controlador, podendo também ser aplicados à figura do terceiro, autorizando que o controlador, atendidas as exigências legais, possa realizar um tratamento de dados que não seja no seu próprio interesse.

A figura do terceiro deve ser interpretada em amplo aspecto, podendo, a depender do caso concreto, ser representada por um setor, uma comunidade ou a sociedade, a exemplo da utilização da referida base legal para o combate à fraude, eis que, ao mesmo tempo que é interesse do controlador evitar a fraude, também é interesse do sistema bancário e financeiro que a fraude seja coibida.

O Considerando 47 do Regulamento Geral de Proteção de Dados (GDPR [7]) fornece algumas dicas sobre os tipos de casos em que as organizações podem lançar mão da hipótese legal do legítimo interesse, incluindo prevenção à fraude e marketing.

Porém, tendo em vista o dinamismo dos negócios e respeitados os direitos e garantias individuais dos titulares, é necessário que seja conferida maior flexibilidade à base legal do legítimo interesse, devendo ser encorajado o seu uso com responsabilidade, transparência e especial atenção à minimização do uso dos dados, de forma que não represente ônus excessivo às organizações e, sobretudo, não impeça a inovação e o desenvolvimento econômico digital.

Espera-se, portanto, que a Autoridade Nacional de Proteção de Dados regularmente [8] em breve a base jurídica do legítimo interesse, fornecendo subsídios que tornem possível reconhecer de forma mais ampla e segura que a sua utilização, em muitos casos, representa a base legal mais adequada para as crescentes necessidades da sociedade na era digital moderna, estando obviamente condicionada ao uso responsável e transparente dos dados pessoais.

Martha Leal é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD).

[1] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 09 ago. 2021.

[2] UE GENERAL DATA PROTECTION REGULATION. Artigo 6: UE regulamento geral sobre a proteção de dados – “Licitude do tratamento”. Artigo 6. 25 maio 2018. Disponível em: https://www.privacy-regulation.eu/pt/6.htm. Acesso em: 09 ago. 2021.

[3] BRASIL, loc. cit.

[4] BRASIL, loc. cit.

[5] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 09 ago. 2021.

[6] Ibidem.

[7]GENERAL DATA PROTECTION REGULATION – GPDR. Disponível em: https://gdpr-info.eu/. Acesso em: 16 jun. 2021.

[8] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 09 ago. 2021.

LinkedIn
Share
Instagram
WhatsApp