7 pontos que sua empresa precisa saber sobre a base legal de interesses legítimos

[:br]

O interesse legítimo é uma das hipóteses de tratamento prevista pela Lei Geral de Proteção de Dados Pessoais em seu artigo 7º. Em que pese esta base legal ser uma das mais flexíveis, a aplicação dela não é completamente livre, vez que se pressupõe que os interesses de uma organização que tratará os dados pessoais não se sobreporão aos direitos e liberdades dos indivíduos.

Para fundamentar um tratamento na hipótese legal de interesse legítimo, a empresa deverá respeitar algumas exigências:

1 – A finalidade pretendida com o tratamento de dados pessoais deve ser legítima

A LGPD não traz uma lista exaustiva de interesses que podem ser considerados legítimos. No entanto, o direito europeu traz em sua jurisprudência algumas ilustrações do que compreenderia um interesse legítimo, como por exemplo:

• Prevenção à fraude
• Segurança de rede e das informações
• Prospecção de clientes
• Marketing direto

A Autoridade de Proteção de Dados da França – CNIL, recomenda que além do caráter legítimo do interesse desejado por uma empresa, outras três condições sobre o interesse devem ser observadas:

• O interesse deve ser manifestamente lícito;
• Ele é determinado de forma suficientemente clara e precisa;
• Ele é real e presente para a empresa e não fictício.

2- O interesse legítimo só pode ser fundamentado a partir da existência de uma situação concreta:

Ao optar por utilizar esta base legal, a sua empresa deverá analisar a situação concreta e a relação que possui com os titulares de dados.

É recomendável que o tratamento não ultrapasse a efetiva expectativa do titular de dados, em decorrência da relação prévia existente entre ele e a empresa. Ainda, o interesse da empresa não poderá se sobrepor aos direitos e liberdades dos titulares.

Caso a expectativa do titular não esteja alinhada com o tratamento realizado, os indivíduos podem perder o controle sobre a utilização dos seus dados e se encontrarem em uma posição que dificulte o exercício de seus direitos. A análise das expectativas do titular tem uma ligação direta com o princípio da transparência, previsto no art. 6° da LGPD.

A maneira como a empresa se relaciona com o titular também terá um papel fundamental para determinar as expectativas do titular com relação ao tratamento de seus dados pessoais. O interesse legítimo será mais adequado quando a empresa possui um relacionamento prévio, apropriado e relevante com o titular, por exemplo, porque os titulares são clientes ou empregados. Se a sua empresa não possui um relacionamento pré-existente com o titular, será mais difícil de demonstrar que o titular espera que seus dados serão tratados.

Outros fatores podem afetar as expectativas dos titulares de dados, tais quais:

• A quanto tempo o dado foi coletado
• A origem do dado
• A natureza de qualquer relacionamento existente com o indivíduo e como a sua empresa utilizou o dado no passado
• Se a sua empresa está utilizando uma nova tecnologia ou tratando dados de uma nova forma que os titulares de dados não poderiam antecipar

A empresa deverá identificar as consequências que o tratamento poderá causar aos titulares de dados, seja na vida privada, mas também, sobre o conjunto de direitos e interesses cobertos pela Lei. Nesse sentido, a empresa deverá avaliar o grau de intrusão de tratamento na esfera individual (tratamento de dados sensíveis, grupos vulneráveis, formação de perfil etc.) e em relação a outros direitos fundamentais (liberdade de expressão, de informação etc.), bem como a outros impactos concretos do tratamento (monitoramento das atividades, exclusão de acesso à determinados serviços etc.).

3- Somente os dados pessoais estritamente necessários poderão ser tratados

O artigo 10º §1º da LGPD reitera o conceito do princípio da necessidade, ao dispor que apenas os dados que sejam efetivamente necessários para o alcance da finalidade pretendida poderão ser objeto de tratamento.

4- Não é permitido o tratamento de dados pessoais sensíveis

O artigo 11º da LGPD destinado às hipóteses autorizativas para o tratamento de dados pessoais sensíveis excluiu do seu rol a base legal de interesses legítimos. Dessa forma, é proibido o tratamento de dados pessoais sensíveis fundamentado nesta hipótese legal, sendo apenas cabível para o tratamento de dados pessoais comuns.

4 – O controlador deverá adotar medidas para garantir a transparência do tratamento

O Artigo 10º §2º coloca o princípio da transparência em holofote ao determinar que deverão ser adotadas medidas para garantir a transparência do tratamento de dados fundamentado no interesse legítimo.

Dessa forma, deverá ser concedida ainda maior transparência perante o titular para atender a sua devida expectativa de que seus dados serão tratados para uma finalidade específica e legítima.

Um dos fatores a ser considerado para que a empresa seja transparente com relação ao tratamento de dados pessoais que realiza, e alinhe as expectativas dos titulares, é manter um conteúdo adequado e claro em sua política de privacidade. Este documento, normalmente amplamente divulgado pela empresa permitirá ao titular obter informações sobre como seus dados serão tratados, por quanto tempo e de que forma.

5 – Teste de Balanceamento

O teste de balanceamento ou “Legitimate Interest Assessment” é um método trazido pelo direito europeu para verificar se os interesses legítimos da empresa não sobrepõe aos direitos e liberdades dos titulares e poderá ser aplicado.

Em que pese a terminologia do Legitimate Interest Assessment não aparecer diretamente no GDPR, é uma boa prática amplamente utilizada pelas empresas para demonstrar que o interesse legítimo se aplica para um tratamento de dados e para cumprir as obrigações sob o princípio da prestação de contas.

A condução de um teste de balanceamento auxilia a garantir que o tratamento é adequado, bem como para trazer os questionamentos apropriados sobre o tratamento, considerar quais são as expectativas razoáveis dos indivíduos e os impactos do tratamento.

O teste de balanceamento é compreendido por três fases, sendo estas:

– Proporcionalidade: tem um interesse legítimo por trás do tratamento?

– Necessidade: o tratamento é necessário para esta finalidade?

– Balanceamento: os interesses legítimos se sobrepõem aos direitos e liberdades dos titulares?

Como o teste de balanceamento determina se o interesse legítimo se aplica, é necessário realizá-lo antes de começar o tratamento de dados. Se o teste de balanceamento concluir que o impacto do tratamento se sobrepõe aos direitos e liberdades dos titulares, a sua empresa não poderá tratar os dados para essa finalidade específica utilizando-se do interesse legítimo. Dessa forma, a sua empresa deverá considerar a utilização de uma outra base legal para fundamentar esse tratamento.

6- A ANPD poderá solicitar relatório de impacto à proteção de dados pessoais

O Relatório de Impacto à Proteção de Dados Pessoais é um documento que contempla a descrição dos processos de tratamento de dados que podem gerar riscos aos titulares, identificando o que pode ser feito para a mitigação desses riscos.

O Artigo 10º §3º possibilita que a ANPD solicite a apresentação desse relatório quando um tratamento for fundamentado no interesse legítimo.

Note que diversos aspectos devem ser considerados pela empresa ao optar por tratar dados pessoais com base em seus legítimos interesses. Sempre que possuir dúvidas sobre a base legal adequada para um tratamento de dados pessoais, recomendamos que sua empresa procure profissionais habilitados e com experiencia no tema para auxiliá-los. O Chenut Oliveira Santiago possui uma equipe qualificada que poderá atender e orientar sua empresa com base na legislação aplicável e nas melhores práticas de mercado.

[:]