No dia 02/02/2024 a ANPD publicou o seu mais novo guia orientativo denominado “Hipóteses legais de tratamento de dados pessoais – legítimo interesse”, com o objetivo de esclarecer pontos relevantes para a aplicação da hipótese legal do legítimo interesse de controladores ou de terceiros, inclusive no âmbito do poder público.
De forma geral, o documento traz orientações sobre como as organizações devem interpretar e aplicar a hipótese legal em questão nas operações internas de tratamento de dados, além de trazer um “modelo padrão” de teste de balanceamento, dividido nas seguintes fases: i) finalidade; ii) necessidade; e iii) balanceamento e salvaguardas, que servirá como um “norte” para as organizações.
Mas do que se trata o legítimo interesse e como esse assunto pode impactar a sua organização?
O legítimo interesse é a hipótese legal prevista no art. 7º, inciso IX da LGPD e que autoriza o tratamento de dados pessoais, quando necessário, para atender aos interesses legítimos do controlador ou de terceiro, desde que tais interesses e finalidades não violem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Assim, com exceção dos dados pessoais sensíveis, como de saúde, por exemplo, o litígio interesse poderá ser aplicado ao tratamento de dados de idosos, crianças e adolescentes, descrito pela ANPD como “ação de alto risco”.
Conforme o guia aborda, o interesse será considerado legítimo quando atender a três condições:
(i) compatibilidade com o ordenamento jurídico: O que pressupõe que o interesse seja compatível com princípios, normas jurídicas e direitos fundamentais;
(ii) lastro em situações concretas: Isto é, situações reais, claras e precisas, que objetivem interesses específicos, ainda que em futuro próximo, o que afasta interesses considerados a partir de situações abstratas ou meramente especulativas; e
(iii) vinculação a finalidades legítimas, específicas e explícitas: Que apresenta o propósito específico que se pretende alcançar com a realização do tratamento, que deve ser considerado a partir de situações concretas, com o uso de dados pessoais estritamente necessários para a finalidade pretendida.
Nesse sentido, a ANPD reforça que podem ser consideradas legítimas, ações como: o apoio e a promoção às atividades do controlador e a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, nos termos do artigo 10º da legislação, além de prever a aplicação do legítimo interesse em benefício de terceiros, ou seja, o interesse da coletividade também poderá ser considerado para amparar o tratamento de dados, trazendo exemplos que tornam palpáveis o uso e entendimento quanto ao tratamento na prática.
Ainda, de forma didática e objetivando esmiuçar o texto da lei, o guia traz exemplos práticos para que os profissionais de privacidade possam analisar a existência da expectativa do titular, o que é primordial para sustentar a operação. São eles:
(a) a existência de uma relação prévia do controlador com o titular;
(b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realizada diretamente pelo controlador, se os dados foram compartilhados por terceiros ou coletados de fontes públicas;
(c) o contexto e o período de coleta dos dados; e
(d) a finalidade pretendida da coleta dos dados e a sua compatibilidade com o tratamento baseado no legítimo interesse;
E agora você deve estar se perguntando: Como esse guia pode ajudar, na prática, a sua empresa a sustentar todas as operações necessárias com base no legítimo interesse?
A ANPD se preocupou em trazer os exemplos “negativos” daqueles que usam a base do legítimo interesse para sustentar suas operações mas que, na ´prática, não atendem todos os requisitos e acabam colocando em risco determinado fluxo, como por exemplo, o caso de empresas que usam softwares para rastrear atividades e medir a produtividade de funcionários.
Parece algo comum e normal, certo? Entretanto, a ANPD traz uma série de “observações” e garante que o legítimo interesse não é a base adequada para monitorar a produtividade dos colaboradores. Então qual a base correta para sustentar esse tipo de atividade? Podemos garantir que a resposta é depende… Há uma série de fatores que devem ser ponderados para a correta aplicação das bases legais da LGPD.
Pois é, não é uma tarefa tão fácil definir fluxos e processos, bem como estruturar as operações de tratamento de dados dentro da sistemática da LGPD, que apresenta diversas bases legais que servirão como pilar de sustentação.
Para apoiar você com esse tema e garantir que suas operações de tratamento de dados estão em conformidade com a lei, conte com uma consultoria especializada em proteção de dados. Além de trazer legalidade e tranquilidade quanto a conformidade com LGPD, uma consultoria especializada também ajudará a construir fluxos seguros e projetos adequados que poderão alavancar sua empresa.
Lembre-se: a LGPD traz valor ao seu negócio!
