Requisitos para utilização da hipótese legal do legítimo interesse do controlador

guia anpd

No dia 02 de fevereiro de 2024, a ANPD (Autoridade Nacional de Proteção de Dados) apresentou recentemente um Guia Orientativo abordando a Hipótese Legal associada ao legítimo interesse do Controlador. No que se refere ao processamento de dados pessoais sob a Base Legal de Legítimo Interesse, é fundamental atentar para diversos fatores:

1. A Natureza dos dados pessoais: a ANPD deixa explícito que essa Base Legal não pode ser aplicada ao tratamento de dados pessoais sensíveis. Contudo, dados pessoais de crianças e adolescentes podem ser tratados com essa mesma base legal, desde que, observada a prevalência do princípio do melhor interesse da criança ou adolescentes, além disso, indicado a realização do teste de balanceamento com os seguintes questionamentos:
(i) o que foi considerado como sendo o melhor interesse da criança ou do adolescente;
(ii) com base em quais critérios os seus direitos foram ponderados em face do interesse legítimo do controlador ou de terceiro;
(iii) que o tratamento não gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como sujeitos de direitos.
Nestes casos, se não identificada medidas de segurança ou mitigações de riscos para essas hipóteses, é indicado a adoção de outra base legal.
Aconselhado sempre possuir uma relação prévia direta do controlador e dos titulares dos dados.

2. Identificação do legítimo interesse do controlador: é necessário identificar e justificar o interesse do controlador em relação ao tratamento dos dados pessoais, contudo, para esse interesse ser legítimo é necessário atender três condições:
(i) compatibilidade com o ordenamento jurídico. Neste caso, é preciso que haja compatibilidade com o ordenamento jurídico, não sendo vedado pela legislação vigente, além disso, deve ser compatível com os princípios, normas e direitos fundamentais.
(ii) lastro em situações concretas. Isso significa, que as situações de tratamento devem ser reais, claras e precisas, o que afasta situações abstratas ou especulativas.
(iii) vinculação a finalidades legítimas, específicas e explícitas. Vincular o tratamento a um propósito específico, de situações concretas, sendo o uso dos dados estritamente necessários para essa finalidade. Levando em consideração sempre a informação ao titular de forma clara e precisa, delimitando o escopo de tratamento desses dados. A finalidade deve ser exclusivamente em relação à promoção das atividades do controlador e a proteção, e em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.

 

3. Verificar se o interesse que fundamenta as operação é do próprio controlador ou de terceiro: neste caso, não tem diferença em relação aos requisitos legais aplicáveis a essas situações, contudo, a diferença está nos riscos entre interesse do controlador e de terceiro, por que, o controlador deve justificar se o interesse de fato é de um terceiro e se esse interesse é capaz de sustentar o uso da base legal, visando sempre os princípios da boa-fé, responsabilização e prestação de contas. Ademais, o controlador é sempre o responsável pela comprovação e atendimento a finalidade legítima, com isso, ele necessita prezar pela proteção e utilização legítima desses dados pessoais. Recomendados a realização do teste de balanceamento.

4. Hipótese legal do legítimo interesse pressupõe a identificação e a mitigação de riscos aos direitos e liberdades fundamentais dos titulares: indicado a realização do teste de balanceamento, para que os controladores possam avaliar se os impactos em caso de incidente são proporcionais e compatíveis com esses direitos e quais medidas podem ser tomadas para que evite essa situação.

Um ponto focal é a autodeterminação informativa, direito que garante ao titular ser coordenador em relação aos seus dados pessoais, obrigando aos controladores a atuação de forma responsável e dando ao titular a participação de forma ativa nas decisões relacionadas aos seus dados pessoais. Sendo assim, é necessário que os controladores deixem um canal de comunicação com os titulares de fácil acesso.

5. Legítima expectativa do titular: para este fator, o controlador deve ser capaz de demonstrar que o tratamento de dados é utilizado para finalidade pretendida e o que é esperado pelo titular nesses casos. A análise pode ser baseada principalmente nesses fatores:
(a) a existência de uma relação prévia do controlador com o titular;
(b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realizada diretamente pelo controlador, se os dados foram compartilhados por terceiros ou coletados de fontes públicas;
(c) o contexto e o período de coleta dos dados;
(d) a finalidade pretendida da coleta dos dados e a sua compatibilidade com o tratamento baseado no legítimo interesse;

5. Embora aplicável a todos os tratamentos de dados pessoais, a LGPD reforçou o dever de observância ao princípio da necessidade, transparência e registro das operações. 

Visando o tratamento entre agentes privados, esses são os fatores que devem ser avaliados em relação ao tratamento dos dados pessoais em relação a utilização da Base Legal do legítimo interesse do controlador. Além dessa análise, a ANPD indica por diversas vezes a realização do teste de balanceamento em relação a esses processos e também o canal de comunicação do controlador com o titular dos dados pessoais.

Legítimo Interesse e o poder público

É indicado que nos casos do tratamento dos dados for realizado pelo setor público, que se evite a utilização da base legal de Legítimo Interesse, pelo fato, de que não há como se realizar uma ponderação entre as expectativas dos titulares e os supostos interesses ou obrigações do Estado, visto que existe à uma assimetria de forças.
Contudo, no caso da utilização dessa base legal, não pode ser vinculada a tratamentos de dados compulsórios, ou ainda, se basear no exercício de prerrogativas estatais típicas, que decorrem do cumprimento de obrigações e atribuições legais. E no caso da utilização, observar os requisitos e princípios já indicados anteriormente.

Teste de balanceamento

O tratamento de dados pessoais respaldados na hipótese de legítimo interesse deve ser acompanhado do teste de balanceamento, que visa observar o interesse do controlador ou terceiro e de outro lado interesse das liberdades fundamentais dos titulares. Os testes devem ser realizados especificamente para cada finalidade pretendida.
Há diversos elementos que devem ser analisados para a utilização da aplicação dessa hipótese legal, a ANPD publicou um modelo de teste para auxiliar os agentes de tratamento para a elaboração desse documento, e nós já disponibilizamos este modelo em nossa Plataforma Digital, por meio de formulário digital de fácil acesso e preenchimento. O modelo leva em consideração três fases: finalidade, necessidade e balanceamento e salvaguardas.

Conclusão

Fiquem atentos a todos esses requisitos até então publicados pela autoridade de proteção de dados, para proteção da sua empresa em relação ao tratamento dos dados pessoais, justificados pela hipótese legal do legítimo interesse.

 

Matéria escrita por:

Quer ler mais matérias sobre:

LGPD
Compliance
Canal da Ética

Certificações:

Somos certificados ISO 27001
Somos certificados ISO 27701

Apoiamos:

Endereço

Matriz SP

Torre Z

  • Av. Dr. Chucri Zaidan, 296 23º andar • São Paulo /SP
  • (11) 3376-6395

Be Lab

Unique Building

  • Rua Celia Polo Monteiro, 250 Vinhedo/SP
  • (19) 4040-4084

Be

Porque a Be ?

Nossas Políticas

Be na Mídia

Plataformas

LGPD

Compliance

Standards

Canal da Ética

Academia

Kits

Blog

Vídeos

Lei Emprega + Mulheres

Contato

Seja um Parceiro

Trabalhe Conosco

Certificados Be

© Be Compliance - Todos os direitos reservados.

Desenvolvido por Agência Sardinha