+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Legítimo Interesse do controlador ou de terceiro, uma hipótese de tratamento que ainda gera insegurança

Conformidade, Proteção e Privacidade de Dados

Interesse Legítimo

Legítimo Interesse do controlador ou de terceiro. Para os que já estudam a LGPD há algum tempo, não há dúvidas de que não há prevalência de uma hipótese de tratamento em detrimento a outra. Tampouco há a necessidade de mais de uma hipótese de tratamento para o mesmo processo. Contudo, o consentimento ganhou bastante terreno, embora a sua adoção acarrete pontos de atenção, nos mais variados modelos de negócios. O Legítimo Interesse do controlador ou de terceiro, previsto no inciso IX, do Art. 7º da LGPD, também traz alguns pontos de atenção, que discorreremos neste artigo, sem a pretensão de exaurir o tema.

A LGPD já é uma realidade, e vem ganhando cada vez mais adeptos, sejam estes profissionais ou oragnizações oferendo soluções, ou organizações internalizando as determinações desta Lei em seus processos. O ceticismo vem dando lugar à realidade mundial sobre o tema privacidade e proteção de dados pessoais, e não é ousadia dizer que é um caminho sem volta.

Um fato relevante é que a Lei nº 13.709/2018, a LGPD, deixou em aberto alguns pontos, o que dá margem para diferentes interpretações a cerca do seu texto e objetivo. O Legítimo Interesse do controlador e do terceiro é um deles. E, neste aspecto, a Autoridade Nacional de Proteção de Dados (ANPD), terá muito trabalho pela frente, vide a sua agenda regulatória, para os próximos dois anos, que foi publicada em 28 de janeiro deste ano.

No Brasil, o consentimento, de fato, sempre foi a hipótese de tratamento preferida, como exemplo, podemos citar o Marco Civil da Internet, Lei nº 12.965/2014. E, na LGPD, o legislador dedicou a está hipótese, um artigo específico, o Art. 8º, que determina diretrizes para a sua adoção.

Já no que se refere ao Interesse Legítimo, o legislador também dedicou a ele um artigo específico, o Art. 10º, que também determina diretrizes para a sua adoção, quando a hipótese de tratamento em questão, é oriunda do inciso IX, do Art. 7º, da LGPD. É importante ressaltarmos neste ponto, que o Legítimo Interesse não é uma hipótese de tratamento “coringa”, e ela precisa estar bem fundamentada, sob o risco de que uma organização que adote-a sem as devidas considerações, poderá ser sancionada pela adoção de hipótese de tratamento equivocada e não justificada.

Ao interpretarmos o Art. 10º, é importante entendermos que os incisos I e II são complementares, ou seja, cumulativos e não alternativos. Colocando em prática as técnicas de hermenêutica jurídica sobre a interpretação do art. 10º da LGPD, será possível estar mais próximo do cerne da LGPD que, via de regra, preza pelos direitos dos titulares. Sendo assim, por mais que o tratamento promova atividades legítimas do controlador, ele não se esquivará de atender às previsões do inciso II, ou seja, o respeito às legítimas expectativas do titular, um de seus requisitos.

O que é a legítima expectativa?

O Legítimo Interesse é integrado pela ideia da legítima expectativa, e se relaciona diretamente com o princípio da boa-fé, na medida em que este princípio está calcado em um dever de lealdade, e não frustração da confiança do titular de dados. Desta maneira, para a melhor adoção do Legítimo Interesse, é fundamental que seja considerada a legítima expectativa do titular, mesmo que ela não venha a prevalecer no resultado do balanceamento dos interesses em questão. De igual importância, é imprescindível destacar que o direito dos titulares previstos no Art. 18, da LGPD podem ser superados pelo interesse do controlador ou de terceiros, em alguns casos.

De certa forma, o conceito jurídico Legítimo Interesse é uma novidade no arcabouço jurídico-regulatório brasileiro. Contudo utilizado naturalmente, por exemplo, na União Europeia. Cabe destacar que a previsão do Legítimo Interesse corresponde a uma tendência europeia presente desde os anos 90 e atende às necessidades legítimas do setor privado. Outro ponto que cabe esclarecimento é que o Legítimo Interesse não é um cheque em branco e, convém que ele seja balizado conforme os interesses e direitos dos titulares dos dados pessoais.

Apesar de negligenciado, por muitos, o texto da LGPD prevê que o Legítimo Interesse pode ser de um terceiro, e a origem deste trecho da LGPD pode ser apontado como a versão do Anteprojeto de lei de proteção de dados encaminhada ao Congresso, que veio a tornar-se o PL 5276/2016. Fato relevante é que a LGPD não traz uma definição de quem seria o terceiro, ao contrário do GDPR, nem quando este se enquadra na figura de recipiente.

O terceiro é definido por especialistas em privacidade e proteção de dados, na norma ABNT NBR ISO/IEC 29100 – Estrutura de Privacidade e pode ser entendido como:

“Parte interessada na privacidade que não o titular de dados pessoais (DP), o controlador de DP e o operador de DP, e as pessoas naturais que são autorizadas a tratar os dados sob direta autoridade do controlador de DP ou do operador de DP.”

ABNT NBR ISO/IEC 29100:2020 – Estrutura de Privacidade

O Legítimo Interesse acarreta um ônus argumentativo maior para os agentes de tratamento que o adotam, principalmente no que se refere ao princípio da finalidade. Para evitar a adoção desta hipótese de tratamento, de forma especulativa, o legislador optou por frisar que sua aplicação é derivável apenas de uma situação concreta. Sendo assim, caberá ao agente de tratamento o ônus da prova, ou seja, cumprirá ao agente de tratamento a função de comprovar os fundamentos que permitiram a adoção de tal hipótese. Desta forma, quanto mais bem delineado e documentado for o seu interesse, e haja assim, uma trilha de auditoria bem fundamentada, mais fácil será a sua ponderação, especialmente para se analisar se a quantidade de dados processados é realmente necessária, assim como quais são as medidas de mitigação de impacto aos direitos e liberdades do titular estão sendo adotadas. Caso contrário, será mais difícil a demonstração de que este agente de tratamento de dados não está abusando da sua posição.

Como atingir o equilíbrio entre os interesses legítimos do controlador (ou de terceiros) e os interesses e direitos fundamentais do titular?

O texto da LGDP não é capaz de fornecer, em detalhes, como se alcançar o equilíbrio entre os interesses legítimos do controlador (ou de terceiros) e os interesses e direitos fundamentais do titular. Sendo assim, há espaço para inúmeras linhas de raciocínio, conclusões e debates. Esta colocação, inclusive, é o que acarreta uma série de dúvidas e ponderações sobre a adoção do Interesse Legítimo como hipótese de tratamento.

O Interesse Legítimo claramente foi criado a fim de atender as necessidades legítimas do setor privado. Por aqui, a LGPD inovou, ao prever no seu texto, critérios para a aplicação de um conceito jurídico indeterminado.

Sobre o ônus argumentativo do controlador e terceiro ao adotar o Legítimo Interesse como hipótese de tratamento, é importante destacarmos alguns princípios, previstos no Art. 6º da LGPD, atrelados a adoção desta hipótese:

  • Finalidade e Adequação: o tratamento de dados com base na hipótese do Interesse Legítimo deve ser realizado de forma adequada à finalidade concreta pretendida;
  • Boa-fé: quando este dispositivo foi incluído no texto da LGPD, o legislador brasileiro encontrou dois conceitos jurídico-indeterminados, o da legítima expectativa e o do Legítimo Interesse, que foram alinhados à tão conhecida boa-fé;

O princípio da boa-fé fornece diretrizes de como as hipóteses legais para tratamento de dados pessoais, e as outras normas contidas na LGPD, devem ser interpretadas. Somado à boa-fé, é importante reiterar a consideração da legítima expectativa do titular de dados pessoais na adoção do Interesse Legítimo onde o texto da LGPD busca harmonizar interesses eventualmente antagônicos, como a proteção dos dados pessoais do titular e a promoção das atividades econômicas dos agentes de tratamento.

Já o princípio da necessidade contribui significativamente para a decisão de um agente de tratamento sobre a adoção ou não da hipótese de tratamento do Legítimo Interesse. Caso esta seja adotada, o agente de tratamento deverá tratar a menor quantidade possível de dados pessoais, ou seja, tratar estritamente o suficiente para atender à finalidade pretendida.

O princípio da minimização, tem seu principal objetivo girando em torno da menor intrusividade nos processos de tratamento de dados pessoais, e ele pode ser dividido em:

  • Sentido estrito: o tratamento deve ser realizado com a menor quantidade possível de dados pessoais, para uma determinada finalidade;
  • Sentido lato: adoção de medidas de salvaguarda que mitiguem os riscos relacionados aos direitos e liberdades fundamentais dos titulares.

O princípio da transparência também é fundamento imprescindível para a adoção da hipótese de tratamento Legítimo Interesse. Ressalta-se §2º, do art. 10, da LGPD é claro ao determinar que o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu Interesse Legítimo.

É considerada uma boa prática, no que se refere à transparência e ao possível escrutínio público a adoção do Legitimate Interest Assessment (LIA), ou em tradução livre, Teste do Interesse Legítimo, que pode auxiliar os agentes de tratamento no que se refere ao princípio da transparência. Ao adotar este princípio, como medida de salvaguarda, para a aplicação do Interesse Legítimo, acarreta além do controle individual, também o social, sobre os processos de tratamento de dados naquela organização.

Sobre o princípio de responsabilização e prestação de contas (accountability), ele também é observado no Interesse Legítimo de forma evidente quando o LIA é aplicado, com destaque para a verificação da legitimidade do interesse do controlador. O art. 37, determina que os agentes de tratamento de dados pessoais devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no Interesse Legítimo.

Direitos e deveres associados ao Interesse Legítimo

O Interesse Legítimo pode ser dividido em:

  • Interesse Legítimo enquanto direito para o controlador: hipótese de tratamento de dados que permite que um controlador trate dados pessoais respeitando as determinações da LGPD;
  • Interesse Legítimo enquanto direito para terceiros: o controlador pode realizar um tratamento de dados que não seja com base no seu próprio interesse (ou exclusivamente no seu próprio interesse), mas no de terceiros ou da sociedade como um todo;

Sobre a finalidade e o interesse, estes não são sinônimos e cabe fazermos aqui a distinção entre estes termos, com base no parecer do Article 29 Working Party:

  • Finalidade: é o propósito específico do tratamento de dados pessoais;
  • Interesse: é o valor mais amplo que um tratamento de dados pessoais representa para o seu controlador (ou terceiros, ou a sociedade como um todo).

Os titulares de dados pessoais têm direito à oposição, e este direito deve ser sempre observado quando a hipótese de tratamento for o Legítimo Interesse do controlador ou terceiro. Contudo, é de extrema importância ressaltarmos que ele não é um direito absoluto, e não precisará ser atendido em qualquer circunstância. Ou seja, mesmo que o titular manifeste a sua discordância a algum aspecto do tratamento, isso não deflagrará, imediatamente, a exigibilidade do encerramento do tratamento dos seus dados. Embora, o titular possa se opor ao tratamento de um controlador, sempre será necessária uma análise contextual que considere todos os interesses em questão.

 

Sobre o Legitimate Interest Assessment (LIA) e o Relatório de Impacto

A fim de mitigar a discricionariedade dos agentes de tratamento que adotam o Interesse Legítimo como hipótese de tratamento, os legisladores levaram em consideração:

  • Previsão de parâmetros de aplicação no próprio texto da LGPD, dedicando um dispositivo inteiro que detalha qual deve ser o exame de qualificação para que um interesse seja legítimo;
  • Reforço da aplicação de alguns dos princípios, como por exemplo, o Interesse Legítimo, a legítima expectativa e o dever de proteção quanto aos impactos aos direitos e liberdades fundamentais dos titulares.

Com base em todo exposto, embora não haja indicação formal no texto da LGPD especificamente obrigando a adoção do LIA, é uma boa prática adotá-lo, e isto pode ser uma grande área cinzenta no meio dos especialistas, organizações e sociedade brasileira, como um todo. Sendo assim, convém olharmos como o LIA é conduzido na União Europeia, o que nos remete ao Grupo de Trabalho do Artigo 29, ao Reino Unido e a sua autoridade nacional de proteção de dados, o Information Commissioner Office (ICO). Alguns atores dividem o LIA em três partes, outros em quatro partes. Esta última, é a tendência que tem sido mais amplamente adotada no Brasil. Sendo assim cabe discorrermos sobre estas fases, a saber:

  • Legitimidade: juízo de valor do controlador ou terceiro;
  • Necessidade: requisitos constitutivos do Interesse Legítimo pelo controlador ou terceiro;
  • Balanceamento: requisitos constitutivos do Interesse Legítimo pelo controlador ou terceiro; e
  • Salvaguardas: garantias necessárias quando da aplicação da hipótese e contraditório pelo titular ou entidades representativas dos seus interesses.

Quando revisitamos o Art. 10, da LGPD, o seu último parágrafo explicita que a ANPD poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como hipótese o Interesse Legítimo, observados os segredos comercial e industrial. Contudo, este relatório não é obrigatório sob a ótica da Lei, apenas uma indiscutível boa prática. A sua necessidade vem para auxiliar as organizações que desejam mitigar seus riscos, a fim de evitarem danos das mais variadas ordens a sua marca, colaboradores, clientes e demais partes interessadas.

De maneira resumida, podemos consolidar o entendimento desses instrumentos da seguinte forma:

  • Legitimate Interest Assessment (LIA): é aplicado, a fim de avaliar a adequação à hipótese de tratamento, Interesse Legítimo;
  • Relatório de Impacto: é elaborado, a fim auxiliar as organizações que desejam mitigar seus riscos no que se refere ao tratamento de dados pessoais em um prisma mais abrangente.

A norma brasileira ABNT NBR ISO/IEC 29134 – Tecnologia da informação — Técnicas de segurança — Avaliação de impacto de privacidade pode auxiliar significativamente profissionais que atuam na área de privacidade e proteção de dados e as organizações, de maneira geral, já que ela fornece diretrizes para:

  • processos de avaliação de impacto de privacidade; e
  • estrutura e conteúdo de relatório de PIA.

Uma avaliação de impacto de privacidade, também conhecida como privacy impact assessment (PIA) é um instrumento para avaliar os potenciais impactos na privacidade de um processo, sistema de informação, programa, módulo de software, dispositivo ou outra iniciativa que trate dados pessoais (DP) e, em consulta às partes interessadas, para tomar ações necessárias para tratar risco privacidade. Um relatório de PIA pode incluir documentação sobre medidas tomadas para tratamento de risco.

É importante ressaltar que esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo organizações públicas, privadas, e sem fins lucrativos. Ela é pertinente para os envolvidos em conceber ou implementar projetos, incluindo as partes que operam sistemas de tratamento de dados e serviços que tratam DP.

Você se lembra da NBR 29100 – Estrutura de Privacidade que tanto falamos dela por aqui? Pois bem, ela é referência normativa da NBR 29134. Importante, não confunda a NBR 29134 com a NBR 29184!

Referências Bibliográficas

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29134 – Tecnologia da Informação – Técnicas de segurança – Avaliação de impacto de privacidade – Diretrizes. Rio de Janeiro: ABNT, 2020.

BIONI, Bruno; RIELLI, Mariana; KITAYAMA, Marina. O Legítimo Interesse na LGPD: Quadro geral e exemplos de aplicação. Disponível em: https://d335luupugsy2.cloudfront.net/cms%2Ffiles%2F108127%2F1611922495O_Legitimo_Interesse_na_LGPD_-_Quadro_geral_e_exemplos_de_aplicacao_.pdf. Acesso em: 12 nov. 2021.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 1 dez. 2021.

ICO. How do we apply legitimate interest in practice? Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice. Acesso em 1 dez. 2021.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Precisa de ajuda?
Olá 👋
Como podemos te ajudar?