A Lei Geral de Proteção de Dados – que vou chamar só de LGPD neste texto – está ajudando a mudar o modo como as empresas enxergam a privacidade de dados, vamos entender como fazer a Avaliação de Legítimo Interesse da sua empresa.

Gostando ou não da LGPD, é inegável que o Brasil nunca foi um país que desse muito valor a esse direito assegurado na Constituição Federal.

Empresas em todo o país estão se adequando à norma.

Alguns setores da economia já estão considerando a adequação das empresas à legislação de privacidade como requisito para transacionar ou operar no mercado.

Para empresas que pretendem se expandir para outros países, essa adequação é praticamente obrigatória para ter sucesso nas negociações.

Já falamos muito sobre LGPD aqui no nosso blog.

Artigos que você pode conferir aqui, aqui e aqui.

Hoje, vamos falar sobre um ponto muito específico do programa de adequação à LGPD nas empresas: o legítimo interesse do controlador para entender como proceder com a Avaliação de Legítimo Interesse da sua empresa – leia-se: o legítimo interesse da sua empresa no tratamento dos dados pessoais.

Mais especificamente, dos testes e avaliações que são necessários para averiguar se o tratamento dos dados com base nessa hipótese legal estão balanceados.

Entendendo o Legítimo Interesse do Controlador de Dados

O legítimo interesse do controlador é uma das hipóteses legais que autorizam o tratamento de dados pessoais, segundo o artigo 7º, IX, da LGPD:

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

No entanto, apenas no artigo 10 da LGPD que nós conseguimos ter uma ideia um pouco mais concreta do que é essa base legal e de como podemos aplicá-la na prática (prometo que é a última vez que citarei um trecho da lei aqui):

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Há muita discussão ainda sobre os critérios que vão orientar as empresas sobre a adoção da base legal do legítimo interesse.

Isso porque essa é uma base legal bastante flexível, o que aumenta os riscos de sua utilização – já que os critérios de avaliação serão bastante específicos caso a caso.

A grande vantagem da utilização do legítimo interesse é que ele afasta a necessidade de coletar o consentimento do titular dos dados pessoais.

Como ainda não existem orientações muito específicas sobre a utilização da base legal do legítimo interesse, podemos considerar com mais precisão que duas circunstâncias específicas autorizam a sua utilização. São elas:

1. Quando for muito difícil obter o consentimento do titular dos dados pessoais para fazer o tratamento.
2. Quando, consideradas as circunstâncias concretas, o consentimento do titular for desnecessário para o tratamento.

Vamos citar um exemplo prático para ficar mais didático.

Imagine que a sua empresa está fazendo uma campanha comercial e utiliza a criação de landing pages com formulários de coleta de dados para formação de base de leads.

Cada lead é um titular de dados pessoais, portanto, esse tratamento dos dados precisa estar adequado à LGPD.

No formulário, você faz tudo direitinho e coleta o consentimento do titular para enviar e-mails e notificações.

Durante a campanha, sua empresa mantém interações constantes e recorrentes com o lead, já que ele manifestou o interesse em receber esses contatos.

Ele é um lead bem interessado. Abre todos os e-mails e interage com os CTA’s.

Podemos concluir que ele tem interesse em receber e-mails dessa natureza, especialmente relacionados aos assuntos da campanha comercial.

Ou seja, tanto ele quanto a sua empresa se beneficiam com essa relação que foi construída.

Alguns meses depois você lança uma campanha muito semelhante, com uma temática parecida, e quer continuar enviando e-mails para o seu lead sem precisar pedir mais um consentimento específico.

Em circunstâncias como essa, é possível utilizar a base legal do legítimo interesse.

Como eu disse anteriormente, é muito importante ter cautela ao utilizar essa hipótese legal para fundamentar o tratamento de dados pessoais.

Nessas horas é que você vai precisar fazer um teste e avaliar se a sua empresa, como Controlador de Dados, tem de fato o interesse legítimo no tratamento desses dados.

Perguntas que precisam ser respondidas na Avaliação de Legítimo Interesse

Na hora de tomar a decisão se vai ou não utilizar o legítimo interesse como base legal para o tratamento dos dados pessoais, você precisa fazer testes de proporcionalidade.

A ideia desses testes – a Avaliação de Legítimo Interesse que dá nome ao artigo – é assegurar que o tratamento se enquadra nessa hipótese legal.

Lembrando que, conforme a LGPD, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados com base no legítimo interesse.

Eu prometi que iria ajudar você a fazer a Avaliação de Legítimo Interesse da sua empresa, então vamos lá.

A base da avaliação precisa considerar i) a finalidade do tratamento do dado pessoal; ii) em que consiste o tratamento (ex.: compartilhamento, armazenamento etc.); iii) a proporcionalidade entre o dado coletado e a finalidade do tratamento.

Em um segundo momento, é importante que a avaliação expresse quais são as medidas e salvaguardas adotadas pela empresa para evitar incidentes que possam prejudicar os direitos fundamentais e de privacidade do titular dos dados.

Além disso, algumas perguntas precisam ser respondidas ao longo da sua avaliação. As 12 principais eu vou elencar aqui para você se nortear:

1. Por que a sua empresa precisa tratar esse dado pessoal?
2. Qual benefício sua empresa espera do tratamento?
3. Qual seria o impacto se sua empresa não tratasse tais dados?
4. O titular ou o público em geral se beneficia desse tratamento?
5. O tratamento desse dado é essencial para atingir o seu propósito?
6. O tratamento é proporcional ao propósito almejado com o tratamento?
7. Existe um relacionamento anterior com o titular dos dados pessoais?
8. Os dados foram coletados diretamente do titular após ser informado disso?
9. Quais são os impactos do tratamento para os titulares dos dados?
10. Qual é o nível de gravidade dos possíveis impactos aos titulares?
11. O titular está informado de que há tratamento com base no legítimo interesse?
12. A sua empresa adota medidas de proteção para minimizar os possíveis riscos aos titulares?

Se você utilizar essas perguntas para se nortear na hora de avaliar se o dado pode ou não ser tratado com base no legítimo interesse, estará no caminho certo.

Por garantia, faça a Avaliação de Legítimo Interesse na sua empresa

Para concluir este artigo, vale lembrar que é dever da sua empresa, como Controlador de Dados, adotar medidas para garantir a transparência do tratamento de dados baseado no legítimo interesse.

A Autoridade Nacional de Proteção de Dados Pessoais – ANPD poderá solicitar à sua empresa, a qualquer momento, um relatório de impacto à proteção de dados pessoais quando o tratamento tiver como fundamento o interesse legítimo.

Para saber mais sobre o relatório de impacto à proteção de dados, clique aqui.

Esperamos que este artigo tenha sido esclarecedor e contamos com seu apoio para fazer essa mensagem chegar a mais pessoas. Compartilhe!

A SAFIE pode ajudar a sua empresa a fazer a avaliação, entre em contato com o nosso time.