Com a implementação da Lei Geral de Proteção de Dados (LGPD), determinadas hipóteses, conhecidas como bases legais, foram desenvolvidas com a finalidade de justificar e autorizar as empresas a realizarem certas operações com os dados pessoais que possuem. Entre elas está o legítimo interesse, considerada umas das bases mais flexíveis da LGPD.
Por ser um assunto que se encontra cada vez mais debatido no ordenamento jurídico em relação à privacidade e proteção de dados pessoais, elaboramos este material com as principais informações.
Bases legais da LGPD
Como já foi dito, as bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. Conforme a lei, para que pessoas jurídicas ou físicas consigam realizar operações com um dado pessoal, por exemplo, coletar, transferir, processar, entre outros, elas devem ser pautadas em uma base legal para justificar tais atos. A LGPD prevê dez bases legais, são elas:
● consentimento;
● cumprimento de obrigação legal ou regulatória;
● execução de políticas públicas;
● estudos e pesquisa;
● execução de contrato;
● exercício regular de direitos;
● proteção da vida;
● tutela da saúde;
● legítimo interesse;
● proteção do crédito.
Hipótese de legítimo interesse
O legítimo interesse se trata de uma das bases legais mais genéricas e flexíveis da LGPD. De acordo com a legislação, os dados pessoais podem ser tratados quando necessários para atender aos interesses legítimos do controlador ou de terceiros, desde que tal prática não exceda os direitos e liberdades fundamentais do titular.
No artigo 10, a norma versa de forma mais ampla sobre os limites do legítimo interesse, já que estabelece, por exemplo, que o tratamento deve ser realizado para fins legítimos, considerados com base em casos concretos, como a prestação de serviços que beneficiem o titular.
Uma questão relevante quando o assunto é o legítimo interesse está no aumento das responsabilidades das empresas, que precisam estar preparadas para justificar a qualquer momento a utilização dos dados. Essa hipótese também não pode ser usada para justificar o tratamento de dados pessoais sensíveis.
Sendo assim, a Autoridade Nacional de Proteção de Dados (ANPD) responsável por fiscalizar o cumprimento da norma pode requerer ao controlador o relatório de impacto à proteção de dados pessoais, que é um documento que aponta os tipos de dados coletados, a maneira como eles foram adquiridos, utilizados, entre outras informações.
Aplicação do legítimo interesse
O legítimo interesse da empresa só poderá embasar o tratamento de dados pessoais para objetivos específicos e legítimos, levando em conta determinados tipos de situações, como:
● proteção de direitos do titular dos dados;
● apoio e promoção de suas atividades;
● prestação de serviços que gerem vantagens ao titular dos dados;
● coleta de informações para identificar ou prevenir fraudes;
● oferta de marketing direto;
● processamento de dados pessoais para análise de perfil de consumidores;
● elaboração de pesquisas com colaboradores para criar políticas de bem-estar dentro da organização.
No entanto, para que seja possível aplicar a base legal do legítimo interesse, a LGPD requer a realização de um teste de proporcionalidade. A seguir, mostraremos como ele funciona.
Teste de proporcionalidade
Trata-se de um teste que tem a finalidade de verificar a possibilidade de uso da base legal do legítimo interesse. Ele tem a capacidade de balancear os objetivos da organização e os direitos do titular dos dados pessoais.
O documento leva em conta detalhes de cada situação de uso de dados. Por isso, o mais indicado é contar com ajuda jurídica especializada para averiguar os resultados de cada teste. Nesse caso, a empresa terá legitimidade de interesse quando o uso de dados não se opor a outras diretrizes definidas pela legislação ou aos direitos fundamentais do titular dos dados. Entre exemplos de situações em que a utilização de dados pessoais não se enquadra na hipótese de legítimo interesse, podemos citar:
● compartilhamento de listas de contatos sem prévia autorização;
● compra de lista de contatos;
● oferecimento de empréstimos com juros mais altos para clientes com maiores chances de se tornarem inadimplentes etc.
Exemplos práticos
Entre os exemplos práticos para a aplicação do legítimo interesse estão:
● uso de informações como endereço e telefone, que são adquiridas durante uma compra, para o envio de cupons de descontos para o cliente;
● coleta, uso e armazenamento pelo hospital de dados pessoais do paciente durante a sua internação;
● acesso por parte do banco ao CPF dos clientes no caso da realização de um financiamento imobiliário, entre outras situações.
Apesar da sua flexibilidade, o legítimo interesse deve ser uma das últimas hipóteses a serem aplicadas, tendo em vista a sua capacidade de gerar uma séria de responsabilidades para quem vai utilizá-la, por exemplo, realizar os testes, ter a devida documentação e demais ações que dão muito trabalho para quem vai executá-las.
Como escolher a base legal adequada às atividades exercidas
A Lei Geral de Proteção de Dados traz dez hipóteses para o tratamento de dados, e não apenas o consentimento, tornando esse processo mais burocrático. Dessa forma, o ideal é que cada organização avalie o caso no qual se enquadra antes de optar por uma das bases legais disponíveis.
Ou seja, essa definição vai depender do processo de privacidade de proteção de dados existentes na empresa, podendo variar de cliente para cliente. Por esse motivo, o auxílio de um advogado qualificado é essencial nesse momento.
Mesmo trazendo determinadas dúvidas e responsabilidades adicionais às organizações, a base legal do legítimo interesse pode ser uma aliada interessante no processo de adaptação à LGPD e a todos os procedimentos envolvidos na coleta e tratamento de dados pessoais.
Para garantir uma aplicação do legítimo interesse livre de erros e descumprimento da lei, o melhor é ter uma boa ajuda jurídica como parceira para orientar e direcionar sobre a implementação da legislação, bem como esclarecer dúvidas que eventualmente possam surgir.
O escritório Grebler Advogados pode ajudar bastante nesse processo, seja por meio da elaboração de relatório de avaliação de proteção de dados, relatório de impactos, escolha das melhores hipóteses para tratamento de dados pessoais, mapeamento do ciclo de vida de dado pessoal, treinamento para conscientização da equipe, criação da política de privacidade, entre outros serviços.
Aproveite a leitura deste material para assinar nossa newsletter e receber informações atualizadas sobre outros temas!