De acordo com a Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD), em especial seu artigo 7º, o tratamento de dados pessoais somente poderá ser realizado para uma finalidade específica de tratamento e se esta finalidade estiver apoiada em uma das 10 Bases Legais.
Dentre as Bases Legais elencadas na LGPD destacamos a Base Legal do Legítimo Interesse – que nada mais é do que a possibilidade do tratamento de dados pessoais para atender aos interesses legítimos do Controlador ou de terceiros para finalidades legítimas:
- de apoio e promoção de suas atividades;
- proteção do titular, do exercício regular dos seus direitos ou prestação de serviços que beneficiem o titular dos dados, respeitadas suas legítimas expectativas e seus direitos e liberdades fundamentais.
A utilização desta Base Legal do Legítimo Interesse deve ser cuidadosamente analisada pelo Controlador dos dados na sua situação concreta, balanceando os interesses do Controlador com os direitos e liberdades fundamentais do titular dos dados.
Ela não é uma Base Legal Coringa!!! Ela não pode substituir qualquer outra Base Legal ou ser utilizada indiscriminadamente em qualquer situação ou em qualquer finalidade de tratamento dos dados.
A LGPD não dispõe a fundo sobre as diretrizes que devem ser adotadas pelas empresas para utilização desta Base Legal e muito do que temos visto está baseado na experiência da Europa. O Information Commissioner’s Office (ICO), uma autoridade independente do Reino Unido, recomenda a elaboração de um Teste do Legítimo Interesse (Legitimate Interests Assessment- LIA) para balancear, de um lado, os interesses do Controlador e, de outro lado, os Direitos e Liberdades Fundamentais do Titular dos Dados.
Assim, para que a Base Legal do Legítimo Interesse seja utilizada pela empresa de maneira consistente o Teste do Legítimo Interesse deverá ser aplicado a cada uma das finalidades de tratamento dos dados.
No que consiste este Teste do Legítimo Interesse? Este teste é feito em quatro fases:
Primeira fase do Teste – Legitimidade do Interesse – consiste na verificação se o interesse do Controlador de fato é legítimo e se existe alguma legislação que proíba o tratamento (artigo 10º – caput da LGPD).
Exemplo: Analisar que não existe legislação que proíba a realização de propaganda pela Concessionária através de email marketing para o titular de dados (consumidor) que já adquiriu veículos na Concessionária ou já manifestou interesse em adquirir veículos.
Segunda fase do Teste – Necessidade – Verificação, pelo Controlador, da necessidade de utilização do dado pessoal para aquela finalidade do tratamento do dado (artigo 10º, parágrafo 1º da LGPD).
Exemplo: para enviar o email marketing preciso utilizar o email do titular do dado? Sim, para enviar o email marketing é necessária a utilização do email do titular.
Terceira fase do Teste – Balanceamento – Consiste no balanceamento e verificação da legítima expectativa do titular dos dados e os interesses do Controlador. A empresa não deverá ferir nenhum dos direitos do titular, mas ao mesmo tempo deve prestar atenção às suas atividades e interesses (artigo 10º, II da LGPD).
Exemplo: O Controlador deve analisar se o titular do dado, ao receber o email marketing da Concessionária, achará aquele recebimento estranho ou não, ou seja, se o titular do dado alguma vez fez contato com a Concessionária ele não estranhará ao receber referida propaganda, ele tem uma expectativa do recebimento já que a empresa não lhe é estranha, pois em outra oportunidade seus dados já foram entregues para a Concessionária.
Quarta fase do Teste – Salvaguardas – Esta fase do Teste do Legítimo Interesse deverá ser utilizada para a empresa verificar internamente se os titulares dos dados podem exercer seus direitos (“optout”, oposição, etc.) e que a empresa verifique também que serão adotadas medidas para garantir a transparência do tratamento dos dados (artigo 10º, parágrafos 1º e 2º da LGPD).
Exemplo: no caso analisado podemos colocar que o controlador deverá garantir medidas que possibilitem ao titular dos dados solicitar seu “optout” parando de receber o email marketing.
A experiência europeia demonstra que feito o Teste do Legítimo Interesse e passando em todas as etapas, a empresa poderá utilizar a base legal do Legítimo Interesse. Vale colocar que o Teste deverá ficar armazenado na empresa, independentemente de o resultado ser positivo ou negativo para utilização da referida base.
Outro aspecto importante sobre o Legítimo Interesse é que, de acordo com a LGPD, a Autoridade Nacional de Proteção de Dados poderá solicitar ao Controlador Relatório de Impacto à Proteção de Dados Pessoais, quando o tratamento estiver fundamento no Legítimo Interesse, observados os segredos comercial e industrial (artigo 10º, parágrafo 3º da LGPD).
O Relatório de Impacto à Proteção de Dados Pessoais – também conhecido como Data Protection Impact Assessment (DPIA), conforme disposto na LGPD deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta dos dados e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. (parágrafo único do artigo 38 da LGPD)
Por fim, apesar das empresas utilizarem o direcionamento vindo da Europa sobre a utilização da Base Legal do Legítimo Interesse, nos próximos meses a Autoridade Nacional de Proteção de Dados – ANPD – deverá se posicionar quanto à utilização desta Base Legal de forma que tenhamos um direcionamento mais claro e dirigido às atividades das empresas no Brasil.