Flat Preloader Icon

Guia Orientativo da ANPD sobre Legítimo Interesse

No dia 02 de fevereiro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o “Guia Orientativo das Hipóteses Legais de Tratamento de Dados – Legítimo Interesse”.

Com a publicação do Guia, busca-se afastar interpretações arbitrárias da base legal Legítimo Interesse, prevista nos artigos 7º, inc. IX, e 10 da LGPD, fornecendo critérios para interpretação e aplicação prática dessa hipótese legal no tratamento de dados pessoais. Para tanto, o referido Guia da ANPD esclarece pontos relevantes, que conferem maior previsibilidade e segurança jurídica. Vejamos:

O que é legítimo interesse?

Trata-se de base legal que justifica o tratamento de dados pessoais para atender a interesses legítimos do controlador ou de terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular no caso concreto.

Como saber se há “interesse legítimo” da minha empresa para utilizar essa base legal?

Para que o interesse legítimo seja válido, é necessário atender aos requisitos do seguinte trinômio:

  1. Compatibilidade com o ordenamento jurídico: o tratamento de dados pessoais não pode ser vedado por lei e não pode contrariar disposições legais.
  2. Lastro em situações concretas: não deve se basear em situações abstratas ou meramente especulativas.
  3. Vinculação a finalidades legítimas: o tratamento deve ter sua finalidade legítima, específica e explícita, de acordo com a expectativa do titular e sempre em seu benefício.

O que seria a legítima expectativa do titular?

O controlador deve demonstrar que o tratamento não seria, de alguma maneira, uma “surpresa” para o titular. Para avaliar se há, de fato, legítima expectativa do titular, a ANPD enumera alguns fatores que podem ser considerados:

  1. Se existe uma relação prévia do controlador com o titular, como um cliente ativo da empresa em seu cadastro de clientes.
  2. Preferencialmente, os dados não devem ter sido compartilhados por terceiros ou coletados de fontes públicas, já que a coleta direta do titular pode pressupor uma maior expectativa pelo titular.
  3. A situação e o período de coleta dos dados podem servir para corroborar a expectativa do titular.
  4. A finalidade da coleta dos dados deve ser compatível com o tratamento baseado no legítimo interesse para que não se frustre a expectativa do titular.

O legítimo interesse pode ser usado para tratar dados sensíveis?

Não. O legislador optou por não elencar o legítimo interesse como uma das hipóteses válidas para o tratamento de dados sensíveis e esse entendimento foi reforçado através do Guia orientativo.

É possível aplicar o legítimo interesse para o tratamento de dados de crianças e adolescentes?

Sim. O tema já foi tratado no Enunciado CD/ANPD Nº 1 de 2023, que autoriza o tratamento de dados de crianças e adolescentes por outra hipótese além do consentimento. Neste sentido, há reforço no Guia que o tratamento de dados pessoais de crianças e adolescentes baseado no legítimo interesse deve ter sempre como norte o melhor interesse da criança e do adolescente. Objetivamente, a ANPD recomenda que o controlador elabore um teste de balanceamento que demonstre:

  1. O que foi considerado como sendo o melhor interesse da criança ou do adolescente.
  2. Com base em quais critérios os direitos dos menores foram ponderados em face do interesse legítimo do controlador ou de terceiros.
  3. Que o tratamento não gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como sujeitos de direitos.

Como saber se o legítimo interesse de terceiro no tratamento dos dados é considerado válido?

  1. O tratamento de dados pessoais pode ser realizado para atender aos interesses legítimos de terceiros, tais como pessoas físicas, jurídicas ou coletividades (como a sociedade, por exemplo).
  2. O controlador deve cumprir os mesmos requisitos que seriam aplicáveis se o legítimo interesse fosse exclusivamente o dele, e não do terceiro também, incluindo a obrigação de elaborar um teste de balanceamento.
  3. Se após o teste for constatado que os interesses são legítimos, havendo a proporcionalidade entre os interesses do terceiro e os direitos e liberdades fundamentais do titular, o tratamento poderá ser realizado.

Entendo que o legítimo interesse é aplicável ao tratamento. E agora, o que devo fazer?

Caso entenda que o legítimo interesse é a base legal mais adequada ao tratamento de dados pessoais, o controlador deverá proceder da seguinte forma:

  1. Tratar somente os dados pessoais estritamente necessários para a finalidade pretendida, refletindo sempre se o tratamento é proporcional e adequado para o atingimento dessa finalidade.
  2. Assegurar aos titulares acesso facilitado às informações sobre o tratamento de seus dados, disponibilizando-as de forma clara, adequada e ostensiva, nos termos do artigo 9º da LGPD.
  3. Manter registros das operações de tratamento, em especial o teste de balanceamento e o relatório de impacto à proteção de dados.

Sobre quais outros assuntos o Guia orientou?

  1. Prevenção à fraude e à segurança (base legal para tratamento de dados sensíveis, art. 11, II, g) da LGPD) – considerando que a utilização dessa base legal também é vedada quando “prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”, também será aplicável a recomendação de realizar um teste de balanceamento, da mesma forma que é feito para utilização da base legal do legítimo interesse.
  2. Legítimo interesse e Poder Público – o legítimo interesse deve ser evitado pelo Poder Público quando o tratamento de dados pessoais for realizado de forma compulsória ou quando for necessário para o cumprimento de obrigações ou atribuições legais do Poder Público, sendo necessária a análise da situação concreta para tal utilização, de forma excepcional.

O GCAA é composto por profissionais com especialização em consultoria em privacidade e proteção de dados e está à disposição para apoiá-los na revisão de processos baseados no legítimo interesse, de acordo com as premissas da LGPD e de boas práticas internacionais. Para mais informações, contate-nos: contato@gcaa.com.br.

#LGPD

#ANPD

#gcaa

#gonsalesechoadvogadosassociados

Tae Young Cho

Pedro Guerra Costa Aragão de Carvalho

Rafaela dos Santos Oliveira

Vinícius Moraes Lopes