LGPD: como usar a base legal do legítimo interesse?

Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, muitos Encarregados de Dados têm colocado ênfase no uso da base legal do consentimento do titular de dados pessoais para legitimar o tratamento de dados (Art. 7º, inciso I da LGPD), não dando a importância devida ao uso da base legal do legítimo interesse para os operadores e controladores de dados.

Um Encarregado de Dados (DPO) experiente, contudo, deve estar consciente de que a base legal do consentimento, embora traga em si um ônus argumentativo menor, pois ser fácil de comprovar a legitimidade do tratamento de dados que se dá em razão de consentimento expresso do titular, não é sempre a mais apta a dinamizar a atividade da organização.

Neste sentido, a base legal do legítimo interesse (Art. 7º, inciso IX da LGPD) deve ser mais explorada pelas organizações como hipótese legal de legitimidade do tratamento de dados pessoais.

Contudo, é preciso que a organização tome alguns cuidados. Recomenda-se que sejam elaborados documentos de Legitimate Interest Assess (LIA), também denominado “Teste de Legítimo Interesse”, para que sejam analisados e balanceados os interesses envolvidos, dos titulares de dados e da organização.

A justificativa legal para o LIA, o qual é um documento que fora importado da legislação europeia de proteção de dados pelas consultorias nacionais, é encontrada no caput do Artigo 10 da LGPD, norma que impõe o que segue:

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Logo, a base legal do legítimo interesse, de acordo com a nossa legislação nacional de proteção de dados pessoais, traz consigo um ônus argumentativo que demanda que o tratamento seja fundamentado em finalidades legítimas, a partir de situações concretas que serão objeto de teste de legítimo interesse.  Necessário destacar que o legítimo interesse não apenas ampara direitos e interesses da organização Controladora de Dados (Art. 10, inciso I), mas também, protege direitos e interesses do titular (Art. 10, inciso II).

O importante é que, quando baseado no legítimo interesse do Controlador, o tratamento seja restrito aos dados pessoais necessários para o atingimento da finalidade pretendida (Art. 10, §1º), e que o Controlador adote medidas para garantir a transparência do tratamento de dados. 

De tal modo, um documento de Teste de Legítimo Interesse (LIA) elaborado por uma boa consultoria é capaz de cumprir com os propósitos legais pelos quais o legítimo interesse foi adotado pela LGPD como base legal de tratamento de dados, e deve ser sempre visto como fundamental para uma boa adequação às melhores práticas de proteção de dados pessoais.