Avaliação de legítimo interesse

O que é uma avaliação de legítimo interesse?

Por meio da avaliação de legítimo interesse, uma pessoa física ou jurídica ("controladora"), avalia se poderá ou não tratar dados pessoais de uma pessoa física ("titular") com fundamento jurídico no legítimo interesse, que é uma das possibilidades legais previstas na Lei Geral de Proteção de Dados Pessoais - LGPD.

Para saber mais, acesse o guia jurídico "Controlador e operador na LGPD: quem é quem?"

Segundo a LGPD, qualquer atividade que envolva alguma forma de tratamento de dados pessoais (por exemplo, a coleta, o compartilhamento, o processamento, o arquivamento ou a transmissão de dados deste tipo) precisa ter um fundamento jurídico que a autorize, também conhecido como base legal de tratamento. Entre as diversas bases legais que o controlador pode escolher, existe uma denominada legítimo interesse.

A título de exemplo, quando uma empresa quer enviar e-mail marketing para seus clientes simplesmente porque tem interesse em fazê-lo (sem perguntar previamente se o destinatário da mensagem concorda ou não em recebê-las), pode fazer um teste de legítimo interesse para saber se pode ou não fundamentar o tratamento dos dados (isto é, o uso dos e-mails dos clientes pessoas físicas, que são dados pessoais) nesta base legal.

Havendo titular estrangeiro, a legislação internacional pertinente deverá ser consultada para avaliar a possibilidade de tratamento de dados e a necessidade de adoção de outros procedimentos.

 

Qual é a diferença entre dados pessoais e dados pessoais sensíveis?

Dados pessoais são todas as informações que façam referência a uma pessoa física identificada ou que possa vir a ser identificada por meio destas informações, como nome, CPF, e-mail, endereço, altura etc. Informações que possam não parecer um dado pessoal também podem ser considerados com tal a depender do contexto: a fisionomia de uma pessoa, o nome da escola em que estudou, dentre outros.

Nesse sentido, dentre os dados pessoais, há um tipo especial de dados chamado de dados pessoais sensíveis, que necessitam de uma proteção mais rigorosa: são informações capazes de oferecer risco aos direitos e liberdades individuais dos seus titulares. São eles: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, sobre saúde ou vida sexual, além dos dados genéticos ou biométricos.

Os dados pessoais e os dados pessoais sensíveis podem ser tratados, desde que o controlador respeite, para cada qual, os requisitos estabelecidos pela legislação. Os dados pessoais sensíveis, nesse sentido, não podem ser tratados com base no legítimo interesse.

 

O que é o legítimo interesse?

O legítimo interesse é uma das hipóteses de tratamento de dados pessoais previstas na LGPD. O tratamento de dados só pode ser realizado com base nessa hipótese quando for "necessário para atender aos interesses legítimos do controlador ou de terceiro", com exceção no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Além disso, a LGPD estabelece critérios mais objetivos para que esta base legal possa ser utilizada:

• as finalidades do tratamento devem ser legítimas, específicas e explícitas, consideradas a partir de situações concretas;
• o tratamento deve ser realizado para apoiar as atividades do controlador;
• o tratamento deve permitir que o titular dos dados pessoais exerça seus direitos relacionados à proteção de dados, principalmente o direito de oposição (ou seja, o direito de fazer cessar o tratamento realizado com base no legítimo interesse do controlador);
• o tratamento deve atender às expectativas do titular (o tratamento deve ser razoável, proporcional à sua finalidade e à relação entre as partes);
• o tratamento não pode prejudicar os direitos e liberdades fundamentais do titular, como seus direitos à honra, à imagem e à privacidade.

Por exemplo, uma loja de roupas desportivas que envia para seus clientes e-mails com promoções dos seus produtos, sem compartilhar os dados dos clientes com terceiros e oferecendo a opção de descadastramento. Neste caso, a ação contém todos os requisitos necessários, elencados acima, para que possa se realizar o tratamento com base no legítimo interesse.

 

É obrigatório fazer a avaliação de legítimo interesse por escrito?

Embora a avaliação seja obrigatória, para se verificar a presença ou não dos requisitos necessários para a utilização do legítimo interesse como base legal, a lei não determina a obrigatoriedade do seu registro escrito. No entanto, tendo em vista que a LGPD exige do controlador a adoção de medidas de transparência do tratamento de dados baseado em seu legítimo interesse, bem como o registro das operações que possuam essa base legal, a realização da avaliação por escrito é de muita importância.

O registro de uma avaliação de legítimo interesse é uma boa prática reconhecida nacional e internacionalmente e é obrigatório em alguns países. No Brasil, há divergência quanto à obrigatoriedade do documento.

Havendo titular estrangeiro, a legislação internacional pertinente deverá ser consultada para avaliar a possibilidade de tratamento de dados e a necessidade de adoção de outros procedimentos.

 

O que não é permitido em uma avaliação de legítimo interesse?

De forma geral, não é permitido que o controlador contrarie o que dispõe a legislação de proteção de dados (como basear o legítimo interesse em uma situação abstrata ou obscura). Ademais, o controlador não pode tratar dados pessoais sensíveis utilizando o legítimo interesse como base legal.

Por fim, o controlador não pode dissimular as informações para obter uma avaliação favorável: se do resultado da avaliação se perceber que o legítimo interesse não pode ser utilizado como base legal para o tratamento dos dados pessoais, então este resultado deve ser respeitado.

Havendo titular estrangeiro, a legislação internacional pertinente deverá ser consultada para avaliar a possibilidade de tratamento de dados e a necessidade de adoção de outros procedimentos.

Uma avaliação de legítimo interesse é um documento técnico, que deve ser utilizado por quem possui conhecimento sobre dados pessoais. Em caso de dúvidas, um especialista em proteção de dados pessoais deverá ser consultado.

 

Quem faz uma avaliação de legítimo interesse?

Uma avaliação de legítimo interesse deve ser feita pelo controlador, ou seja, a pessoa física ou jurídica responsável por tomar as decisões sobre o tratamento dos dados pessoais. O controlador é quem decide quais, porque, quando e como os dados serão tratados, em termos bem gerais.

Se o tratamento dos dados ocorrer por interesse de uma pessoa jurídica, como uma empresa, essa pessoa jurídica será a controladora. Funcionários, que atuam de forma subordinada, não são considerados agentes de tratamento (controlador ou operador).

Para saber mais, consulte o guia jurídico "Controlador e operador na LGPD: quem é quem?".

 

O que deve ser feito depois que a avaliação de legítimo interesse estiver pronta?

O documento deve ser integralmente lido e compreendido por quem realiza o seu preenchimento. Em algumas situações, o próprio documento sugerirá, por padrão, que o legítimo interesse não é base legal cabível para fundamentar o tratamento de dados pessoais (como nos casos em que o tratamento envolver dados sensíveis ou dados de crianças e adolescentes, este por falta de previsão legal). Em outros casos, o próprio responsável pelo preenchimento deverá verificar a possibilidade, ou não, da utilização do legítimo interesse como base legal.

Depois de integralmente preenchido, o documento deve ser armazenado pelo controlador. A atividade de tratamento analisada deverá ser objeto de novas avaliações caso haja qualquer mudança na forma como é realizada ou nos dados envolvidos.

 

Quais documentos devem ser anexados à avaliação de legítimo interesse?

Não é necessário anexar documentos à avaliação para a sua validade.

 

O que não pode faltar em uma avaliação de legítimo interesse?

Uma avaliação de legítimo interesse deverá conter, ao menos, os seguintes elementos:

• Controlador e responsável pelo preenchimento: identificação da pessoa física ou jurídica que realiza o tratamento de dados (controlador) e da pessoa que preenche o formulário;
  
  
• Tratamento: tipos de dados que serão utilizados e o tratamento que se pretende realizar tendo por base legal o legítimo interesse (ex.: utilização de nome e e-mail para envio de comunicações promocionais a clientes previamente cadastrados);
  
  
• Finalidade (que deve ser legítima, específica e explícita): motivo do tratamento, benefícios esperados para o controlador ou terceiro, impacto do tratamento, e se a legislação é observada;
  
  
• Necessidade: se o tratamento de dados é efetivamente necessário aos objetivos do controlador, se os dados e o tratamento são proporcionais aos objetivos do controlador, e se seria possível atingir tais objetivos de forma menos intrusiva ou com menos dados;
  
  
• Balanceamento: natureza dos dados envolvidos (sensível ou de crianças e adolescentes), a relação entre as partes, forma de coleta dos dados, período de armazenamento dos dados, possibilidade e probabilidade de impacto do tratamento dos dados aos seus titulares, de que forma os titulares podem exercer os seus diretos e quais as medidas de proteção adotadas pelo controlador; e
  
  
• Conclusão: a conclusão, a partir da avaliação, se é cabível ou não o tratamento de dados pessoais com base no legítimo interesse. A resposta poderá ser positiva ou negativa.

 

Qual é a legislação aplicável à avaliação de legítimo interesse?

A proteção de dados pessoais, no Brasil, é regida pela Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

 

Como editar o modelo?

Você preenche um formulário. O documento é redigido diante dos seus olhos, conforme as suas respostas.

No fim, você o recebe nos formatos Word e PDF. Você pode editá-lo e reutilizá-lo.