A Autoridade Nacional de Proteção de Dados (ANPD) publicou um estudo preliminar sobre a base legal do legítimo interesse, prevista no art.7º, IX da Lei Geral de Proteção de Dados (LGPD), com o propósito de trazer orientações e mais segurança jurídica aos agentes de tratamento de dados pessoais. O texto publicado apresenta definições dos institutos, parâmetros de interpretação e ainda traz um modelo de teste de balanceamento para o registro da conformidade.
O texto publicado menciona ainda que as orientações apresentadas pela ANPD, incluindo o teste de balanceamento, também são aplicáveis à hipótese legal para a “garantia da prevenção à fraude e à segurança do titular”, prevista no art. 11, II, g, da LGPD, pois embora limitada a uma finalidade específica, esta hipótese legal segue a sistemática similar à do legítimo interesse, visto que autoriza o tratamento de dados pessoais, desde que no caso concreto, não prevaleçam direitos e liberdades fundamentais do titular.
Apresentamos 10 pontos de destaque trazidos na análise preliminar da ANPD para a correto uso do legítimo interesse como a base legal apta a legitimar o tratamento de dados pessoais:
- O legítimo interesse não se aplica aos dados pessoais sensíveis.
- O legítimo interesse poderá ser a base legal para o tratamento de dados pessoais de crianças e adolescentes. Sendo necessário demonstrar: (i) o que foi considerado como sendo o melhor interesse da criança ou do adolescente; (ii) com base em quais critérios os seus direitos foram ponderados em face do interesse legítimo do controlador ou de terceiros; e (iii) que o tratamento não gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente.
- Necessidade de identificar o interesse que justifica o tratamento e a avaliação de sua legitimidade. O interesse será considerado legítimo quando atender a três condições: (i) compatibilidade com o ordenamento jurídico; (ii) lastro em situações concretas; e (iii) vinculação a finalidades legítimas, específicas e explícitas.
- O legítimo interesse poderá ser do próprio controlador ou de terceiro que poderá ser aquele associado a qualquer pessoa, natural ou jurídica, ou grupo de pessoas, diferente do controlador, incluindo ainda os interesses da coletividade, abrangendo, inclusive, interesses de toda a sociedade, os quais também podem ser utilizados como fundamento para a adoção da hipótese legal do legítimo interesse.
- O legítimo interesse não pode ser avaliado isoladamente, pois, nos termos da LGPD, deverá ser aplicado tão somente se não prevalecerem direitos e liberdades fundamentais do titular, os quais atuam como um limite à liberdade do controlador.
- A ANPD interpreta o conceito da legítima expectativa na medida do que é razoavelmente esperado pelos titulares dos dados pessoais em determinado contexto de avaliação. A análise não precisa ser direcionada a um titular específico, mas, deve considerar a situação concreta do tratamento. Essa análise da legítima expectativa pode se basear em diversos fatores, entre os quais podem ser destacados: a) a existência de uma relação prévia do controlador com o titular; b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realizada diretamente pelo controlador, se os dados foram compartilhados por terceiros ou coletados de fontes públicas; c) o contexto e o período de coleta dos dados; e d) a finalidade original da coleta dos dados e a sua compatibilidade com o tratamento baseado no legítimo interesse.
- Como forma de garantir o efetivo respeito às legítimas expectativas dos titulares e resguardar a sua confiança para o fornecimento dos seus dados pessoais, é importante que o controlador utilize uma linguagem acessível e disponibilize mecanismos para o exercício de seus direitos, atendendo principalmente aos princípios da transparência e boa-fé.
- As informações sobre o tratamento dos dados com base na hipótese legal do legítimo interesse devem ser disponibilizadas de forma clara, adequada e ostensiva, abrangendo, entre outros aspectos previstos no art. 9º da LGPD, como a forma, a duração e a finalidade específica do tratamento; a identificação e as informações de contato do controlador, incluindo os canais disponíveis para o seu exercício.
- O texto da ANPD reforça o dever de manutenção dos registros das operações de tratamento, previsto expressamente no art. 37 da LGPD, especialmente quando este for baseado no legítimo interesse. A documentação referente ao tratamento de dados com essa base legal deve conter a análise efetuada pelo controlador, em especial, o teste de balanceamento do legítimo interesse, incluindo a indicação sobre a natureza dos dados pessoais tratados, a demonstração da legitimidade do interesse do controlador ou de terceiros, a sua ponderação com os direitos dos titulares e a compatibilidade com as suas legítimas expectativas, e se tratando de dados pessoais de criança ou adolescentes, as evidências da observância e prevalência do seu melhor interesse. Caso o tratamento envolva alto risco para os direitos dos titulares, o relatório de impacto à proteção de dados pessoais (RIPD) será necessário e poderá incorporar o teste de balanceamento.
- O teste de balanceamento é dividido nas seguintes fases: i) finalidade; ii) necessidade; e; iii) balanceamento e salvaguardas. Esse registro é uma forma de atender ao princípio da responsabilização e prestação de contas e garantir a transparência do tratamento de dados pessoais, permitindo que a ANPD possa avaliar a conformidade do tratamento com as normas aplicáveis. O modelo de teste de balanceamento proposto pela ANPD não é vinculante, sendo necessário que cada organização faça uma avaliação, seguindo a metodologia que se adeque à sua realidade organizacional, recursos e particularidades de cada atividade de tratamento desenvolvida.
Comentários e sugestões sobre o texto publicado pela ANPD podem ser enviados até o dia 30 de setembro por meio da Plataforma Participa Mais Brasil, clicando aqui.