A LGPD brasileira, influenciada pelo Regulamento Europeu de Proteção de Dados Pessoais, conhecido por GDPR (General Data Protection Regulation), também inseriu em seu escopo a base legal denominada LEGITIMO INTERESSE, para a qual iremos nos voltar neste artigo.

Considerada pelo mundo corporativo como a mais atraente dentre as 10 bases legais para tratamento de dados pessoais existentes, é também a mais polêmica e mais arriscada para o responsável pelo tratamento de dados pessoais.

Primeiramente é necessário entender o que é o legitimo interesse.

A LGPD prevê a adoção da base legal do legitimo interesse do controlador ou de terceiro para tratamento de dados pessoais, desde que seja para finalidade legítima, ou seja, o legitimo interesse deve ser admissível nos termos da lei, não podendo, portanto, ser genérico ou ilícito.

A nova lei de proteção de dados pessoais brasileira (lei nº 13.709/18) exemplifica duas hipóteses em que o Legitimo interesse poderá ser arguido pelo controlador, e estas são as seguintes:

– para apoio e promoção de atividades do controlador; e

– para a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

Os exemplos mencionados acima não esgotam, porém, as possibilidades que possam ser aceitas à realização de tratamento de dados pessoais com base no legítimo interesse, tanto pela Autoridade Nacional de Proteção de Dados – ANPD quanto pelo o titular de dados.

Os pontos exemplificados pela LGPD, aliados à ausência de enquadramentos bem definidos e o fato de que a nova lei também orienta que a adequação do legitimo interesse do controlador ou de terceiro deverá ser avaliada a partir do caso concreto, contribuem para que se forme uma visão distorcida, na qual o legitimo interesse seria uma espécie de “tábua de salvação em alto mar”, sobretudo para as empresas privadas.

Logicamente que se o legitimo interesse fosse a primeira e principal base legal para a realização de tratamento de dados pessoais tornando qualquer tratamento de dados pessoais passível de ser realizado sem critérios ou limites legais, cairia por terra o próprio sentido da existência da LGPD, que é o de garantir a proteção da privacidade da pessoa natural, o que não se admite.

Observa-se que a própria LGPD ressalva que o legítimo interesse do controlador ou de terceiro não deverá prevalecer sobre os direitos e liberdades fundamentais do titular de dados pessoais, especialmente se o titular for menor de idade.

Em havendo conflito de interesse entre o controlador e o titular quanto ao tratamento de seus dados, caberá à Autoridade Nacional de Proteção de Dados – ANPD a tarefa de avaliar a legitimidade da base legal aplicada, se está adequada e se não fere direitos fundamentais do titular dos dados, isto no âmbito administrativo.

Na seara judicial caberá às cortes a avalição dos elementos apresentados pelo controlador para justificação da aplicabilidade do legitimo interesse, bem como daí surgirão jurisprudências acerca do tema.

O legítimo interesse é uma escolha estratégica do controlador, feita com base na avaliação específica de sua adequação, submetido a padrões que serão melhor definidos pela autoridade fiscalizadora, que necessita ser muito bem avaliada pela organização antes de sua adoção para o tratamento de dados pessoais de seus clientes, parceiros, funcionários e fornecedores.

O princípio da finalidade do tratamento de dados pessoais e o legitimo interesse defendido pelo Controlador devem sempre convergir. Além disso, a coleta e o tratamento devem atender estritamente à finalidade informada pelo controlador, não extrapolando seus limites.

A conveniência da utilização do legitimo interesse para um determinado tratamento de dados pessoais deve ser analisada com atenção, considerando os seguintes aspectos: a superioridade dos direitos fundamentais do titular sobre o interesse do controlador ou de terceiro; a viabilização dos meios mais ágeis e facilitados para que o titular possa exercer o seu direito de oposição; a expectativa do titular de dados em relação a finalidade do tratamento; a elaboração obrigatória do relatório de impacto à proteção de dados pessoais (que permitirá avaliar eventuais riscos à privacidade e a adoção das medidas mitigadoras desses riscos e seu acompanhamento) e, por fim, a reunião de todos os elementos disponíveis que sirvam para demonstrar a transparência e a boa fé do controlador (finalidade legitima para o tratamento, identificação de riscos, medidas de proteção eficientes e eficazes).

De um modo geral não será tarefa fácil para as organizações (pelo menos não inicialmente), reunir e manter as salvaguardas necessárias à sua segurança jurídica em relação ao tratamento dos dados que mantém e sua base, especialmente quando alegado o legitimo interesse.

O que acontecerá, por exemplo, quando o titular fizer oposição ao tratamento de seus dados baseado no legitimo interesse?

A ANPD deverá regulamentar a condução desses casos, contudo importa saber de pronto que a diretiva europeia adota o chamado “teste de ponderação”, realizado através dos critérios de avaliação do interesse legítimo, do impacto do tratamento para o titular, do cumprimento dos requisitos postos e a adoção de medidas adicionais de proteção.

Vale a pena fazer o “dever de casa”, atentando para esses critérios de avaliação antes de optar pela base legal do legitimo interesse.

Recomenda-se que esta não seja a primeira opção de uma empresa para o tratamento de dados pessoais, haja vista que as outras 9 bases legais devem ser consideradas, nem tampouco o legitimo interesse deva ser obrigatoriamente adotado como último recurso para que a organização possa realizar o tratamento de dados pessoais.

Nesse contexto, os ingredientes da boa receita serão cautela, boa fé, transparência e bom senso quando a opção for pela base legal do legitimo interesse para realização de tratamento de dados do titular dentro dos parâmetros da LGPD.