sexta-feira, 15 de dezembro de 2023

GERAL

Após 5 anos de LGPD, você sabe o que é legítimo interesse?



Hipótese não pode ser considerada de forma indiscriminada. Enquadramento exige visão correta de processos e dados

Lucélia Bastos Gonçalves Marcondes

A Lei Geral de Proteção de Dados Pessoais (LGPD) completou cinco anos em 2023 com grandes avanços, mas ainda provoca algumas dúvidas. É o caso da expressão “legítimo interesse” para justificar o tratamento de dados pessoais por agentes, pessoas físicas ou jurídicas, de direito público ou privado.

Do que se trata?

A categoria de dados que são objeto de regulamentação é determinada pela lei como dados pessoais e dados pessoais sensíveis, deixando de fora dados empresariais, uma vez que o cerne da norma está na pessoa natural.

Ao determinar como os dados pessoais devem der tratados, a LGPD dispõe de requisitos, denominados hipóteses de tratamento, que devem ser atribuídos a cada atividade do agente controlador, sob a possibilidade de sanção por infração grave quando não observada essa determinação. Para o processamento de dados atendidos como comuns, dedicam-se dez hipóteses que estão previstas no artigo 7º da norma. Para os dados sensíveis, atribuem-se outras oito, presentes no artigo 10º.

Entre as hipóteses do artigo 7º, encontra-se o legítimo interesse, base exclusiva ao tratamento de dados comuns que, não apresentando definição pelo legislador, é capaz de amparar uma grande possibilidade de processamentos e carregar elevado grau de subjetividade, levantando dúvidas a respeito da sua aplicação e da manutenção da garantida aos direitos fundamentais dos titulares.

A abertura e a flexibilidade atribuída à hipótese do legítimo interesse permitem ao controlador amoldar as mais diversas situações que possam existir em sua realidade. Isso não significa que a base legal possa ser usada de forma indiscriminada, pois preza pelo equilíbrio entre o interesse do controlador e a garantia de proteção em relação ao titular

Para esclarecer pontos relevantes ao tema, a ANPD lançou uma consulta pública, recebendo 61 contribuições entre 16 de agosto e 30 de setembro de 2023. O objetivo é elaborar um guia sobre a aplicação da hipótese legal do legítimo interesse.

Como o guia ainda não foi lançado, recorre-se a tratativas de órgãos estrangeiros, como a Information Commissioner’s Office – ICO, autoridade pública do Reino Unido, responsável pela aplicação das leis de proteção de dados naquele país.

Para a autoridade britânica, a legitimidade presente no interesse do controlador será validada a partir da análise de ponderação, também denominada Legitimate Interests Assessnent – LIA, ou, simplesmente avaliação de legítimo interesse.

A realização do LIA demonstrará que o tratamento é necessário e que existe equilíbrio entre o interesse do controlador e os direitos e liberdades do titular. Nas palavras do professor Matheus Passos, “a utilização do legítimo interesse, portanto, requer uma avaliação de risco baseada no contexto e nas circunstâncias específicas para demonstrar que o tratamento é apropriado”.

A avaliação engloba os testes de finalidade, necessidade e balanceamento que compreendem várias questões a serem respondidas de acordo com cada caso concreto. Além disso, todo o procedimento deve ser documentado, para evidenciar a atuação do agente controlador de processamento de dados que, a partir do LIA, terá mais segurança na indicação da base legal do legítimo interesse. Para esta hipótese, será necessário elaborar o relatório de impacto à proteção de dados, como dispõe o parágrafo 3ª do artigo 10 da Lei Geral de Proteção de Dados Pessoais que, por sua vez, se refere à “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

O legítimo interesse não pode ser considerado de forma indiscriminada e seu enquadramento correto exige um adequado mapeamento dos processos e dos dados. Para isso, é importante a participação de um profissional competente, capaz de conhecer a organização, seu ramo de atuação, bem como os setores e procedimentos internos, de modo a contribuir efetivamente para que o agente de tratamento garanta os direitos fundamentais dos titulares de dados, tanto nesta hipótese de tratamento, como em qualquer outra e, assim, não corra o risco de ser sancionado pela autoridade administrativa ou judicial.

*Lucélia Bastos Gonçalves Marcondes é advogada no Rücker Curi Advocacia, consultora jurídica