O Legítimo Interesse na LGPD

 

A Lei Geral de Proteção de Dados (LGPD) trouxe em seu texto dez hipóteses (também ditas bases legais) nas quais é possível fazer uso regular de dados pessoais, sendo fornecido ao agente de tratamento de dados, pois, um cardápio variado de bases legais que podem ser invocadas para além do consentimento do titular (tratamos com detalhes sobre o consentimento neste texto, não deixe de conferir).

Tratamos neste artigo sobre a hipótese do legítimo interesse.

A rigor, essas hipóteses devem ser observadas por todos aqueles aos quais a LGPD é aplicável, sendo certo que qualquer tratamento de dados pessoais que não se encaixe em uma delas será, necessariamente, um tratamento irregular.

Por exclusão, a LGPD se aplica a tratamentos de dados realizados em todos os contextos, exceto aqueles previstos no artigo 4º da lei:

 

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais; ou

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

 

Ressalte-se que no caso de dados pessoais sensíveis (dados que, a depender do tratamento, podem levar que o titular sofra algum tipo de discriminação) as hipóteses são ainda mais restritas.

A propósito, o interesse legítimo não pode ser utilizado para o tratamento de dados pessoais sensíveis, sendo cabível quando o tratamento de dados pessoais for necessário para atender aos interesses legítimos do controlador ou de terceiro, sem que seja necessária a obtenção do consentimento do titular.

Isso soa a você como um “cheque em branco” dado pela LGPD ao agente de tratamento, uma vez que bastaria afirmar que determinado tratamento de dados é necessário para atender aos interesses legítimos da empresa e – voilá! – o tratamento se tornaria regular perante a LGPD?

De fato, os debates no Congresso Nacional durante o processo de aprovação da LGPD refletiram essa preocupação, principalmente por parte de representantes da sociedade civil[1].

Demonstraremos, aqui, porém, que a LGPD limita a aplicação da base legal do legítimo interesse por meio da previsão de critérios específicos para tal.

Esses limites objetivam, justamente, impedir que a base legal do legítimo interesse seja utilizada como carta branca para a realização de tratamentos de dados pessoais, servindo para balancear o interesse econômico do agente de tratamento e os direitos e liberdades fundamentais do titular.

 

O caminho legislativo do interesse legítimo – a preocupação sobre “o cheque em branco”

 

O primeiro texto do anteprojeto da LGPD submetido a consulta pública pelo Ministério da Justiça foi publicado em dezembro de 2010. Foram quase 8 anos de processo legislativo até a publicação da Lei 13.709/2018. A previsão da base legal do legítimo interesse, contudo, não estava presente na primeira versão do anteprojeto, nem nas versões iniciais dos Projetos de Lei (PL) 4060/2012 e 330/2013.

Com efeito, nos textos iniciais o consentimento figurava como o protagonista das bases legais para o tratamento de dados pessoais, sendo as demais hipóteses tratadas como exceções à regra.

De acordo com a Associação Data Privacy Brasil de Pesquisa em relatório sobre a base legal do legítimo interesse, as movimentações em torno da inserção dessa hipótese no texto da LGPD começaram em razão das consultas públicas a que o anteprojeto do Poder Executivo foi submetido.

O relatório descreve que as contribuições relacionadas ao legítimo interesse surgiram em julho de 2015 por ocasião do primeiro substitutivo apresentado pelo então senador Aloysio Nunes ao PL 330/2013, na Comissão de Ciência e Tecnologia (CCT), do Senado: “foi a primeira vez que as bases legais para o tratamento de dados foram incluídas na forma de incisos paralelos, sem preponderância de uma sobre a outra, e com a presença da hipótese do legítimo interesse[2]”.

A partir de 2016, tanto o projeto do Senado quanto os projetos da Câmara, estes apensados ao citado PL 4060/2012, passaram a tramitar com a hipótese do legítimo interesse, que, então, passou a ser lapidada.

Tal lapidação passou por estabelecer critérios para a utilização da base legal do legítimo interesse de modo a equalizar os argumentos dos dois polos do debate. O autor Bruno Bioni[3] sistematiza as discussões da seguinte forma:

 

“a) de um lado, uma série de atores, principalmente por parte do setor empresarial, sustentou ser necessário transpor tal hipótese do direito comunitário europeu [legítimo interesse] para a futura lei brasileira. O principal argumento seria que tal hipótese seria mais flexível e extremamente pertinente em um cenário de uso intensivo dos dados, já que seria contraproducente e inviável recorrer a todo momento ao consentimento para legitimar tais tratamentos de dados;

b) de outro lado, uma série de atores, principalmente por parte da academia e sociedade civil, puxou um cabo de força para que a inclusão do legítimo interesse viesse acompanhada de requisitos para a sua aplicação. O principal argumento era de que a futura lei brasileira não repetisse o equívoco da diretiva [diretiva 46/95] que, ao prever o legítimo interesse, não detalhava critérios para sua aplicação. Como resultado, ao longo da vigência da diretiva notou-se a ausência de uma aplicação coerente ao redor da União Europeia e o esvaziamento da aplicação das outras bases legais, já que o legítimo interesse era visto como uma base menos restritiva, de modo que fossem asseguradas previsibilidade e segurança jurídica na interpretação desse conceito”. 

 

O resultado desse frutífero debate está, principalmente, na redação do artigo 10 da LGPD, que reflete um verdadeiro teste de legítimo interesse, a balancear os interesses do titular dos dados pessoais e dos agentes de tratamento, reforçando princípios basilares da LGPD como o da necessidade, transparência e da legítima expectativa do titular.

 

O que dá legitimidade a um interesse – o teste de proporcionalidade do legítimo interesse

 

O artigo 10 da LGPD, portanto, prevê as condições para a aplicação do legítimo interesse. Eis a literalidade do referido artigo:

 

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

 

Como resultado das discussões no Congresso Nacional que refletiram uma preocupação com a alta carga de discricionariedade dos atores que viriam a fazer uso da base legal do legítimo interesse para tratar dados pessoais, o artigo 10 também incorpora alguns elementos normativos europeus, já que também na Europa esse debate ocorreu.

O Grupo de Trabalho do Artigo 29[4] desenvolveu um teste composto de quatro fases para a adequada utilização da base legal do legítimo interesse no tratamento de dados pessoais: o Legitimate Interests Assessment (LIA). O LIA, aplicado no contexto da GDPR, possui algumas variações quanto a sua aplicação. Alguns países aplicam o LIA em três fases, por exemplo. O artigo 10 da LGPD reflete a aplicação desse teste em quatro fases.

O objetivo do teste é balancear os direitos e interesses em jogo: do titular, cuja proteção dos dados pessoais é direito fundamental, e dos agentes que fazem uso de tais dados, especialmente para fins econômicos.

Trata-se de um objetivo congruente com o mote geral típico de uma norma de proteção de dados, que visa à garantia da privacidade, da proteção de dados e de outros direitos fundamentais e também visa a fomentar o desenvolvimento econômico. Nos primeiros artigos da LGPD, observa-se que a disciplina da proteção de dados tem o objetivo de proteger direitos fundamentais e o desenvolvimento econômico-tecnológico e da inovação (artigo 2º da LGPD).

Além da previsão dos parâmetros para a adequada utilização do legítimo interesse como base legal para o tratamento de dados pessoais, o artigo 10 reforça a aplicação de alguns princípios da LGPD, tais como o princípio da necessidade, da transparência e, em especial, o da boa-fé. Isso para garantir que, ainda que não haja um consentimento expresso por parte do titular, o tratamento de dados esteja dentro da esfera de controle dele.

E como se dá esse teste, afinal? Quem nos responde é o próprio artigo 10 da LGPD. Vamos por partes!

 

As quatro fases do teste de proporcionalidade do legítimo interesse

 

• Fase 1: Legitimidade – artigo 10, caput, LGPD – “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: (…) ”

 

A primeira fase do teste de proporcionalidade do legítimo interesse é um juízo de valor do próprio agente de tratamento e deve conter a análise sobre dois aspectos: a finalidade legítima e uma situação concreta.

1. Finalidade legítima: deve-se verificar se a finalidade do tratamento de dados pessoais não contraria algum dispositivo legal. Somente propósitos legítimos são aptos a justificar o fundamento do tratamento no legítimo interesse. O artigo 6, I, da LGPD também prevê a questão da finalidade legítima, exigindo que os propósitos para o tratamento, além de serem legítimos, também sejam específicos, explícitos e informados ao titular.

2. Situação concreta: a situação na qual será realizado o tratamento de dados pessoais deve estar bem definida e articulada. Não é possível, por exemplo, sustentar a utilização da base legal do interesse legítimo para tratar dados pessoais sob a justificativa de “melhoria da experiência do usuário”. Sob essa justificativa, há diversas situações que podem ser desenvolvidas, sobre as quais deve o titular ter ciência e, se for o caso, exercer seu direito de oposição ao tratamento[5].

 

• Fase 2: Necessidade – artigo 10, § 1º, LGPD – Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

 

A segunda fase faz clara referência e reforça a observância ao princípio da necessidade, que limita o tratamento de dados pessoais ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Dessa forma, uma vez identificada a finalidade legítima para uma situação concreta, deve o agente de tratamento ater-se à coleta mínima necessária para atingir tal finalidade. Há de existir uma reflexão sobre se não seria possível atingir o mesmo objetivo com a coleta de uma quantidade menor de dados pessoais do titular, de forma menos intrusiva e com menor impacto para o indivíduo.

 

• Fase 3: Balanceamento – artigo 10, I e II, LGPD
  •  I – apoio e promoção de atividades do controlador, e;
  • II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

 

Definida a situação concreta, cujo tratamento possui finalidade legítima e é realizado mediante a coleta da quantidade mínima de dados pessoais do titular, deverá o agente de tratamento observar e analisar os impactos sobre o titular e as legítimas expectativas em relação ao tratamento, balanceando seus direitos e liberdades fundamentais.

A expectativa do titular está relacionada com o princípio da boa-fé; o titular tem a expectativa de que seus dados serão tratados com base na relação prévia que existia entre ele e o agente. Ou seja, o tratamento de dados não pode surpreender o titular.

É relevante destacar que a Fase 3 refere-se a balanceamento porque o legítimo interesse só poderá ser aplicado quando presentes (e balanceados) os dois requisitos trazidos nos incisos I e II. Assim, por mais que a situação concreta promova atividades legítimas do agente de tratamento, ainda é dever deste atender às legítimas expectativas do titular.

Nesse sentido, destaca o autor Bruno Bioni que “trata-se de leitura coerente com a ideia de que é pelo princípio da boa-fé que a interpretação das bases legais, e das outras normas contidas na LGPD, deve se orientar. A consideração da legítima expectativa do titular de dados pessoais na aplicação do legítimo interesse nada mais é do que o equilíbrio, buscado a todo momento pela lei, entre interesses eventualmente conflitantes, mas que devem ser harmonizados e promovidos conjuntamente: a proteção dos dados pessoais do titular e a promoção das atividades econômicas dos agentes de tratamento. Sem tal garantia, a proteção conferida pela boa-fé é desnaturada e cria-se uma situação de flagrante desproporcionalidade[6]. ”

 

• Fase 4: Salvaguardas – artigo 10, §§ 2º e 3º – § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

 

Essa fase é fundamental para garantir o equilíbrio entre os interesses do agente de tratamento e o titular de dados pessoais. Como a base legal do legítimo interesse não exige a concordância expressa do titular para que o tratamento seja sustentado, a fase 4 visa a garantir ao titular sua participação no processo.

Nessa fase, exige-se que o agente de tratamento seja transparente com o titular. A despeito de a transparência ser um princípio que deve ser observado em todo e qualquer tratamento de dados pessoais, quando a base que sustenta esse tratamento é o legítimo interesse, o texto da LGPD faz questão de reforçar ainda mais sua necessidade, tudo em busca do equilíbrio.

A preocupação do legislador ao reforçar a necessidade de transparência no tratamento de dados baseado no legítimo interesse objetiva assegurar a possibilidade de que o titular tome a decisão de, se assim o desejar, exercer seu direito de oposição a tal atividade de tratamento, podendo optar por não participar de atividades que considere estarem fora de suas expectativas. A transparência, desse modo, objetiva dar certo controle ao titular, mesmo na situação na qual não houve o consentimento para o tratamento de dados pessoais.

Além disso, a fase 4 exige que o agente de tratamento adote medidas de segurança que mitiguem os riscos do titular. É por isso que o §4º faz referência direta à possibilidade de solicitação do relatório de impacto à privacidade (DPIA – Data Protection Impact Assessment) pela Autoridade Nacional de Proteção de Dados. Esse documento contempla a descrição dos processos de tratamento de dados que podem gerar riscos aos titulares e identifica o que pode ser feito para a mitigação desses riscos – para mais informações sobre o DPIA acesse o nosso artigo dedicado, clicando aqui.

 

Conclusão

 

Se, à primeira vista, o legítimo interesse pode ser entendido como um “coringa” das bases legais para o tratamento de dados pessoais, uma análise sistêmica do texto da LGPD nos faz descartar essa interpretação.

Ao analisarmos os requisitos para a atualização dessa base legal, refletidos nas quatro fases do teste de proporcionalidade do legítimo interesse, fica claro que eles criam um entrave significativo ao uso deliberado e descompromissado de tal hipótese.

A exigência de observância de alguns princípios da LGPD, tais como finalidade, necessidade, transparência e boa-fé, é reforçada pela lei quando o tratamento é sustentado pelo legítimo interesse, tudo em nome do equilíbrio entre aquilo que pretende o agente de tratamento de dados e os direitos e liberdades fundamentais do titular.

Gostou do conteúdo? Inscreva-se em nossa newsletter e continue acompanhando as publicações sobre proteção de dados pessoais!

Você também pode nos avaliar no Google, o seu feedback é muito importante para nós!

---

[1] A Associação Data Privacy Brasil, por meio do projeto Observatório da Privacidade e Proteção de Dados, produziu material detalhado sobre a trajetória da LGPD no Congresso Nacional. O material pode ser acessado no site do Observatório da Privacidade e Proteção de Dados: https://www.observatorioprivacidade.com.br/

[2] BIONI, Bruno; KITAYAMA, Marina; RIELLI, Mariana. O Legítimo Interesse na LGPD: quadro geral e exemplos de aplicação. São Paulo: Associação Data Privacy Brasil de Pesquisa. 2021.

[3] BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Ed. Forense. 3ª ed. Rio de Janeiro. 2021.

[4] O Grupo de Trabalho do Artigo 29 (“Art. 29 WP”), cujo nome completo é “Grupo de Trabalho para a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais”, era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da União Europeia, da Autoridade Europeia para a Proteção de Dados e da Comissão Europeia. O nome “Grupo de Trabalho do Artigo 29“ decorre do fato de sua composição e objetivo terem sido estabelecidos no Artigo 29 da Diretiva de Proteção de Dados (Diretiva 95/46 / CE) O Grupo foi substituído pelo Conselho Europeu de Proteção de Dados (European Data Protection Board).

[5] Art. 18, § 2º, LGPD. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

[6] BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Ed. Forense. 3ª ed. Rio de Janeiro. 2021.