Avaliação de legítimo interesse

Por meio da avaliação de legítimo interesse, uma pessoa física (por exemplo, um MEI ou outro tipo de empresário individual) ou jurídica (por exemplo, uma empresa), chamada de controladora, pode avaliar se uma determinada atividade que envolva o tratamento (ou a utilização) de dados pessoais pode ter como fundamento jurídico o legítimo interesse, previsto no art. 7º, inciso IX, da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD).

A LGPD define o controlador como aquele a quem cabem as decisões relativas ao tratamento de dados - ou seja, trata-se da pessoa que decide o que será feito com os dados pessoais. Segundo a lei, qualquer atividade que envolva alguma forma de tratamento de dados pessoais (por exemplo, a coleta, o compartilhamento, o processamento, o arquivamento ou a transmissão de dados deste tipo) precisa ter um fundamento jurídico que a autorize, também conhecido como base legal de tratamento. Entre as diversas bases legais que o controlador pode escolher, existe uma comumente denominada legítimo interesse.

O tratamento de dados só pode ser realizado com base no legítimo interesse do controlador quando for "necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais". Além disso, a LGPD estabelece outros critérios para que esta base legal possa ser utilizada, quais sejam:

• as finalidades do tratamento devem ser legítimas, consideradas a partir de situações concretas;
• o tratamento deve ser realizado para apoiar as atividades do controlador;
• o tratamento deve permitir que o titular dos dados pessoais exerça seus direitos relacionados à proteção de dados, notadamente o direito de oposição (ou seja, o direito de fazer cessar o tratamento realizado com base no legítimo interesse do controlador);
• o tratamento deve atender às expectativas do titular;
• o tratamento não pode prejudicar os direitos e liberdades fundamentais do titular, como seus direitos à honra, à imagem e à privacidade.

Se desejar utilizar o legítimo interesse como base legal de tratamento, o controlador deve realizar uma avaliação que busque aferir, pelo menos:

• se as finalidades do tratamento são legítimas e adequadas;
• se as situações para as quais se pretende utilizar o legítimo interesse são efetivamente concretas e não abstratas (a título de exemplo, "enviar e-mail marketing após o cadastro feito pelo próprio cliente no site da empresa, em campo específico para isto" é uma finalidade legítima definida a partir de uma situação concreta, enquanto apenas "enviar e-mail marketing", embora seja uma finalidade legítima, não é definida a partir de uma situação concreta);
• se o tratamento realizado condiz com as finalidades estabelecidas pelo controlador e se efetivamente o auxiliará a alcançar seus objetivos;
• se o tratamento poderia ser realizado de forma menos intrusiva para o titular (por exemplo, utilizando menos dados ou outro sistema eletrônico);
• se o tratamento gera repercussões negativas aos titulares;
• se o controlador adota medidas para proteger os direitos dos titulares;
• se o controlador adota medidas que favorecem o exercício de direitos pelos titulares dos dados;
• se há alguma categoria especial de dados pessoais envolvida (dados sensíveis ou dados de crianças e adolescentes).

A título de exemplo, quando uma empresa quer enviar e-mail marketing para seus clientes simplesmente porque tem interesse em fazê-lo (sem perguntar previamente se o destinatário da mensagem concorda ou não em recebê-las), pode fazer um teste de legítimo interesse para saber se pode ou não fundamentar o tratamento dos dados (isto é, o uso dos e-mails dos clientes pessoas físicas, que são dados pessoais) nesta base legal.

Embora não se possa dizer que seja obrigatório - ao menos de forma explícita - à luz da LGPD, o registro de uma avaliação de legítimo interesse é uma boa prática reconhecida nacional e internacionalmente e é obrigatório em alguns países. No Brasil, há divergência quanto à obrigatoriedade do documento, mas não quanto aos pressupostos necessários para utilização do legítimo interesse como base legal para o tratamento de dados pessoais.

Como utilizar este documento

O documento deve ser integralmente lido e compreendido por quem realiza o seu preenchimento. Em algumas situações, o próprio documento sugerirá, por padrão, que o legítimo interesse não é base legal cabível para fundamentar o tratamento de dados pessoais (como nos casos em que o tratamento envolver dados sensíveis ou dados de crianças e adolescentes, por falta de previsão legal). Em outros casos, o próprio responsável pelo preenchimento deverá aferir a possibilidade, ou não, da utilização do legítimo interesse como base legal.

Depois de integralmente preenchido, o documento deve ser armazenado pelo controlador. A atividade de tratamento analisada deverá ser objeto de novas avaliações caso haja qualquer mudança na forma como é realizada ou nos dados envolvidos.

Casos em que este documento não deve ser utilizado

A avaliação de legítimo interesse é um documento técnico, pensado para quem já tem familiaridade com proteção de dados pessoais. Antes de utilizar este modelo, o interessado deve estar seguro de que suas disposições se aplicam ao seu caso. Havendo dúvidas, deverá consultar um profissional especializado em proteção de dados pessoais.

• Atividade pública ou realizada por órgão ou entidade pública

Este documento não deve ser utilizado se a atividade de tratamento for realizada por órgão ou entidade pública ou se a atividade, em si, for de natureza pública (por exemplo, nos casos de execução de política ou serviço público, ainda que por entidade privada).

• Titulares estrangeiros

É possível que a utilização de dados pessoais de titulares estrangeiros, pelo controlador, esteja sujeita a normas internacionais. Sendo assim, este documento não deve ser utilizado se houver titulares estrangeiros.

O Direito aplicável

A proteção de dados pessoais, no Brasil, é regida pela Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

Como editar o modelo

Você preenche um formulário. O documento é redigido diante dos seus olhos, conforme as suas respostas.

No fim, você o recebe nos formatos Word e PDF. Você pode editá-lo e reutilizá-lo.