Para a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18), dado pessoal é a “informação relacionada a pessoa natural identificada ou identificável” (art. 5º, inc. I), e, em regra geral, para que qualquer empresa realize o tratamento desses dados, é necessário atender aos princípios previstos nos incisos do art. 6º da lei, fundamentá-lo em pelo menos uma das bases legais previstas no art. 7º (ou art. 11 para os chamados “dados pessoais sensíveis”), garantir a existência de uma finalidade certa para a realização do tratamento com propósitos legítimos e observar as demais regras legais, inclusive quanto aos direitos dos titulares dos dados.
Conforme dispõe o art. 5º, inc. X, da lei, as bases legais (previstas nos artigos 7º e 11) se tratam de hipóteses autorizativas de tratamento de dados pessoais, o que engloba inúmeras operações realizadas com eles, incluindo a coleta, classificação, utilização, acesso, processamento, armazenamento, eliminação, transferência, entre outros.
Para dados pessoais em geral (ou seja, os que não são “sensíveis”), a LGPD prevê dez bases legais que permitem que o tratamento de dados pessoais seja regular e esteja dentro da legalidade. Para definir qual é a base legal apropriada para fundamentar o tratamento, indica-se estabelecer uma reflexão a partir das características dos dados pessoais e das finalidades do tratamento. Entre as opções, encontra-se a base legal do legítimo interesse e nesse artigo serão esclarecidos alguns dos seus pontos mais relevantes.
O legítimo interesse encontra previsão no art. 7º, inc. IX, da LGPD, e, à primeira vista, é considerada uma base legal mais flexível que as demais por não depender da expressa autorização do titular de dados pessoais. Porém, o legítimo interesse possui inúmeras peculiaridades, entre elas, ressalta-se que não é aplicável para o tratamento de dados pessoais sensíveis (art. 11 da LGPD), e ainda, a utilização dessa base legal deverá ser precedida por um teste de adequação, enunciado pelo art. 10 da legislação.
Com origem no Regulamento Geral de Proteção de Dados da União Europeia – GDPR, esse teste recebe a nomenclatura de Legitimate Interest Assessment – LIA, e se trata de uma avaliação de risco baseada no contexto e nas circunstâncias do tratamento de dados fundamentados no “legítimo interesse”. O LIA foi popularizado pelo Grupo de Trabalho do artigo 29 (Article 29 Working Party) da União Europeia, após a Corte de Justiça do bloco confirmar essa abordagem no caso Rigas (caso C-13/16, no contexto da Diretiva de Proteção de Dados 95/46/EC, da União Europeia).
Comparativamente, percebe-se que em ambas as normatizações existe um mecanismo para balancear os interesses e os direitos do titular quando se utiliza o legítimo interesse do controlador/terceiro para o tratamento, com o intuito de se verificar a sua legalidade e legitimidade.
A partir da experiência europeia de aplicação do teste de adequação do legítimo interesse, já se discute um teste equivalente à luz da LGPD.
Esse teste, de acordo com as lições europeias, pode/deve ser composto por quatro etapas:
(i) legitimidade do interesse;
(ii) necessidade do tratamento;
(iii) balanceamento; e,
(iv) salvaguardas e garantias adotadas.
As etapas podem ser explicadas da seguinte maneira e, na legislação brasileira, têm fundamento nos seguintes dispositivos:
i) Legitimidade do interesse (art. 10, caput e inc. I, da LGPD): momento em que se verifica se a finalidade pela qual se busca o tratamento é legítima, ou seja, se o interesse da empresa em tratar os dados é lícito, adequado e proporcional, e se a situação do tratamento é concreta, devendo se realizar uma descrição fidedigna do contexto;
ii) Necessidade do tratamento (10, §1º, da LGPD): momento em que se questiona se o tratamento é realmente necessário e se, ao invés do legítimo interesse, não existem outras bases legais que possam ser utilizadas. Nessa fase também deve-se ponderar se outros dados menos intrusivos podem ser utilizados para se atingir a mesma finalidade. Registre-se que um dos princípios que norteiam o tratamento de dados pessoais é o da necessidade, o qual prevê que a coleta e utilização de dados pessoais devem se restringir ao mínimo necessário para a realização das finalidades pretendidas;
iii) Balanceamento entre o tratamento e a legítima expectativa do titular (Art. 6º, inc. I, 7º, inc. IX, e art. 10, inc. II da LGPD): momento em que deve-se analisar se algum direito básico ou liberdade fundamental do titular dos dados não será impactado de forma desproporcional a ponto de prejudicá-lo. Nesse momento, também é importante levar em consideração a legítima expectativa do titular, onde verifica-se a existência de uma relação pré-estabelecida entre empresa e titular dos dados, e também se o homem médio (titular) pode entender que seus dados serão tratados para funções para as quais foram coletados.
iv) Estabelecimento de salvaguardas e garantias (10, §2º e §3º, da LGPD): momento em que se estabelecem medidas e instrumentos para assegurar ao titular a transparência, a mitigação de riscos (ex.: anonimização e controle de acesso aos dados), bem como mecanismos de oposição ao tratamento dos seus dados (ex.: opt-out).
Portanto, conclui-se que o objetivo central do teste de legítimo interesse é sopesar de um lado, os interesses de quem realiza o tratamento o犀利士 u de terceiros beneficiários desse tratamento, e, do outro, os interesses, direitos fundamentais e liberdades do titular desses dados pessoais.
Salienta-se que as quatro fases precisam ser devidamente documentadas para justificar à Autoridade Nacional de Proteção de Dados – ANPD a opção por essa base legal. Portanto, antes de iniciar o tratamento de dados utilizando o legítimo interesse, todas as etapas do teste devem ser satisfeitas, e a reprovação em qualquer dessas fases impossibilita o emprego de tal base legal.
Por fim, diante da inexistência até o momento de regulamentação para estruturação do teste de legítimo interesse, o que se pode notar é que há muito espaço interpretativo e será essencial a articulação de ideias, com formação de critérios e padrões substanciais pela ANPD, a fim de proporcionar maior segurança aos jurisdicionados.
Sobre a autora
Melina Heyse Marchetti – Advogada inscrita na OAB/PR sob o nº 83.500, graduada pela Pontifícia Universidade Católica do Paraná – PUCPR, especialista em Direito Público pela Escola da Magistratura Federal do Paraná – ESMAFE/PR, possui curso de atualização em Compliance pela Fundação Getúlio Vargas – FGV e curso de extensão universitária (intercâmbio) na Alma Mater Studiorum – Università de Bologna – Itália. Atualmente é advogada no escritório Moreno Moro Advogados e realiza diversos trabalhos e estudos relacionados à área de Direito Empresarial, Compliance e LGPD.
E-mail: melina.marchetti@morenomoro.com.br