O artigo 7º da LGPD lista as condições para legitimar um tratamento de dados pessoais, de acordo com o inciso IX, o “interesse legítimo” do controlador ou de terceiro pode legitimar um tratamento de dados. No entanto, não são expressamente definido qual seria esse interesse, deixando assim de forma subjetiva a sua delimitação.
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
[….]
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;”
Pela redação deste inciso, percebe-se a semelhança que a lei nacional (LGPD) possui com a Regulamentação Geral de Proteção de Dados – RGPD, da União Europeia, a RGPD. Fica claro que o legislador brasileiro se inspirou da RGPD. No artigo 7º, alínea (f) da RGPD encontra-se também a possibilidade de tratamento de dados com base no interesse legítimo do responsável pelo tratamento (o controlador) ou de terceiros. Devido, portanto, à semelhança entre as duas legislações, podemos analisar as interpretações de “interesse legítimo” efetuadas na União Europeia, para melhor entender o conteúdo desta base legal na LGPD.
Veja também: Blog Solere: Dados pessoais sensíveis e o consentimento do titular
Conforme Parecer 06/2014 do Grupo de trabalho “Artigo 29” da União Européia, para proteção da dados da RGPD, deve-se primeiramente fazer uma avaliação se o interesse é considerado legítimo ou ilegítimo. O objetivo desta questão é identificar o limiar daquilo que irá constituir interesse legítimo. Após a identificação de legitimidade, será feito um teste de ponderação entre interesse legítimo do responsável pelo tratamento (controlador) e os direitos fundamentais dos titulares dos dados.
Para identificar quando o interesse é legítimo ou ilegítimo deverá observar se é:
1. Lícito (respeita o direito nacional);
2. Definido de forma clara para poder aplicar o teste de ponderação;
3. Real e atual, ou seja, não pode ser especulativo.
Veja também: Blog Solere: A LGPD e o princípio da limitação de finalidade
O Parecer 06/2014 apresenta uma lista não exaustiva de alguns contextos mais comuns nos quais a questão do interesse legítimo na acepção do artigo 7.º, alínea f) do RGPD pode ser suscitada:
∙ Exercício do direito à liberdade de expressão ou de informação, nomeadamente nos meios de comunicação social e nas artes.
∙ Marketing direto convencional e outras formas de marketing ou de publicidade.
∙ Mensagens não comerciais não solicitadas, nomeadamente relativas a campanhas políticas ou a atividades de angariação de fundos para fins de beneficência.
∙ Execução de créditos, incluindo cobrança de dívidas através de processos não judiciais.
∙ Prevenção da fraude, utilização abusiva de serviços ou branqueamento de capitais.
∙ Monitorização da atividade dos trabalhadores para fins de segurança ou de gestão.
∙ Sistemas de denúncia.
∙ Segurança física, tecnologias de informação e segurança das redes.
∙ Tratamento para fins históricos, científicos ou estatísticos.
∙ Tratamento para fins de investigação (nomeadamente pesquisas de mercado).
Veja também: Blog Solere: Guia sobre a LGPD e a proteção de dados de empregados
Uma vez verificado o interesse legítimo para o controlador ou terceiro, é preciso avaliar se o tratamento de dados em questão preserva os direitos e liberdade fundamentais dos titulares dos dados. A avaliação é complexa e toma em conta vários fatores. Alguns critérios básicos para o teste são:
1. Avaliação do interesse legítimo do responsável pelo tratamento;
2. Impacto nos titulares dos dados;
3. Após analisar e ponderar cada um dos lados é possível estabelecer um “equilíbrio provisório”;
4. Caso o resultado da avaliação ainda gere duvidas, o passo seguinte é verificar se tem garantias complementares aplicadas pelo responsável pelo tratamento (controlador) para proporcionar mais proteção às pessoas em causa. Assim alterando o equilíbrio de modo a legitimar o tratamento. Um relatório de impacto à proteção de dados – RIPD pode ser requerido.
Enquanto não houver explicação no Brasil sobre o que envolve a noção de “interesse legítimo” do inciso IX do Artigo 7 da LGPD, o que deverá ser feito pela Autoridade Nacional de Proteção de Dados – ANPD, quando instalada, entendemos que qualquer controlador (organização; empresa) pode invocar os seus interesses legítimos ou de terceiros, para legitimar um tratamento de dados, desde nos limites fixados pelo Grupo 29 da União Européia no Parecer 06/2014.
Em conclusão, este texto procura tratar sobre o conceito de interesse legítimo dentro da LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.