Portal Contábeis – O legítimo interesse na LGPD
Imagem : Pixabay
Link original
A Lei nº 13.709/2018 1 que trata da proteção de dados pessoais em seu artigo nº 7 dispõe de dez bases legais que autorizam um tratamento de dados pessoais, devendo estar a mesma estritamente vinculada à finalidade do tratamento a ser realizado.
Na prática, significa dizer que um controlador não poderá processar nenhum tipo de tratamento de dado pessoal como coleta, transmissão, arquivamento, eliminação e avaliação, entre outros, sem que haja a correspondente hipótese legal que o justifique, não sendo raro a opção pela desistência ou interrupção de um processamento quando for constatada a inexistência de base legal.
A importância da correta atribuição da base jurídica ao tratamento é uma das obrigações de grande importância nas organizações e a não conformidade com esta provisão tem potencial de originar as multas mais elevadas, de acordo com o Regulamento Geral de Proteção de Dados – RGPD, por ofensa ao artigo nº 6 2.
Entretanto, não raramente, nos encontramos diante de dúvidas quanto a escolha da melhor base legal relacionada ao caso concreto. E, sendo a Lei Geral de Proteção de Dados 3 uma lei contextual, essa definição só será segura se compreendermos como se dá o tratamento, quais os atores envolvidos e qual o objetivo principal do tratamento.
O legítimo interesse do controlador ou de terceiros está elencado como uma das dez bases legais, no art. nº 7, IX 4, podendo ser utilizada desde que este interesse não viole os direitos e liberdades fundamentais do titular.
Tendo em vista a subjetividade da expressão “interesses legítimos” é compreensível que exista desconfiança em relação a sua utilização. Entretanto, o legítimo interesse deve ser visto como uma alternativa de uso de dados de forma responsável e com o potencial de impulsionar com privacidade o desenvolvimento econômico e a inovação, fundamentos assegurados na lei, em seu artigo nº 2, V 5.
Em muitas situações, a base legal do legítimo interesse no tratamento de dados pessoais apresenta-se como a base mais apropriada apesar de ser evitada por insegurança em seu uso, tendo em vista entendimentos equivocados de que outras bases legais poderiam prover mais segurança, a exemplo do consentimento e execução de contrato.
O legítimo interesse apresenta maior flexibilidade, dinamicidade e exatamente por isso requer um exercício constante de balanceamento entre os interesses legítimos do controlador, de terceiros e as liberdades individuais do titular. E, nesta esteira, a eleição da base legal do legítimo interesse é precedida de uma análise de riscos, devendo essa análise ser documentada, consoante exige o art. nº 10, parágrafo 2 e 3 da LGPD 6, podendo a Autoridade de Proteção de Dados (ANPD) solicitar ao controlador o relatório de impacto à proteção de dados baseado nesta hipótese legal.
Importante observar que os interesses legítimos não são aplicáveis somente ao controlador, podendo também ser aplicados à figura do terceiro, autorizando que o controlador, atendidas as exigências legais, possa realizar um tratamento de dados que não seja no seu próprio interesse.
A figura do terceiro deve ser interpretada em amplo aspecto, podendo, a depender do caso concreto, ser representada por um setor, uma comunidade ou a sociedade, a exemplo da utilização da referida base legal para o combate à fraude, eis que, ao mesmo tempo que é interesse do controlador evitar a fraude, também é interesse do sistema bancário e financeiro que a fraude seja coibida.
O Considerando 47 do Regulamento Geral de Proteção de Dados – GDPR7 – fornece algumas dicas sobre os tipos de casos em que as organizações podem lançar mão da hipótese legal do legítimo interesse, incluindo a prevenção à fraude e marketing.
Porém, tendo em vista o dinamismo dos negócios e respeitados os direitos e garantias individuais dos titulares é necessário que seja conferida maior flexibilidade à base legal do legítimo interesse devendo ser encorajada o seu uso com responsabilidade, transparência e especial atenção à minimização do uso dos dados de forma que não represente ônus excessivo às organizações e, sobretudo, não impeçam a inovação e o desenvolvimento econômico digital.
Espera-se, portanto, que a Autoridade Nacional de Proteção de Dados8 regularmente, em breve, a base jurídica do legítimo interesse, fornecendo subsídios que tornem possível reconhecer de forma mais ampla e segura que a sua utilização, em muitos casos, representa a base legal mais adequada para as crescentes necessidades da sociedade na era digital moderna, estando obviamente condicionada ao uso responsável e transparente dos dados pessoais.
*Martha Leal, advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
(1) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 09 ago. 2021.
(2) UE GENERAL DATA PROTECTION REGULATION. Artigo 6: UE regulamento geral sobre a proteção de dados – “Licitude do tratamento”. Artigo 6. 25 maio 2018. Acesso em: 09 ago. 2021.
(3) BRASIL, loc. cit.
(4) BRASIL, loc. cit.
(5) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 09 ago. 2021.
(6) Ibidem.
(7) GENERAL DATA PROTECTION REGULATION – GPDR. Acesso em: 16 jun. 2021.
(8) AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD. Acesso em: 09 ago. 2021.
