ANPD publica orientações sobre o uso da base legal do legítimo interesse para o tratamento de dados
O guia divulgado orienta os controladores sobre os parâmetros e limites para a aplicação do legítimo interesse, base legal prevista na LGPD, e apresenta um modelo de teste de balanceamento
Assuntos
Em 02 de fevereiro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo das Hipóteses Legais de Tratamento de Dados Pessoais: Legítimo Interesse. O Guia apresenta orientações sobre a aplicação prática de tal base legal e fornece parâmetros gerais de interpretação.
A ANPD reforçou a necessidade de uma análise criteriosa e devidamente fundamentada para cada caso em que o tratamento de dados for realizado com base no legítimo interesse, de modo que o controlador possa avaliar se tal uso atende aos requisitos da legislação e se os direitos e as liberdades fundamentais dos titulares estão sendo respeitados. Além do legítimo interesse, o Guia também menciona a necessidade de realizar tal análise quando o tratamento for justificado pela garantia de prevenção à fraude e à segurança do titular, que é uma das bases legais previstas para justificar o tratamento de dados pessoais sensíveis.
Principais pontos a serem considerados pelos controladores
- Natureza dos dados pessoais: A ANPD reafirma que o legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis. Assim, caso o tratamento envolva dados de tal natureza, o controlador deve verificar se existe outra hipótese legal que possa amparar o tratamento, entre aquelas previstas no art. 11 da LGPD;
- Identificação da legitimidade do interesse: O interesse é um conceito amplo que abrange qualquer benefício ou proveito que possa resultar do tratamento de dados pessoais. O interesse será considerado legítimo quando atender a três condições: compatibilidade com o ordenamento jurídico; lastro em situações concretas; e vinculação a finalidades legítimas, específicas e explícitas;
- Definição se o interesse é do controlador ou de terceiro: É necessário verificar se o interesse que fundamenta a atividade de tratamento é do próprio controlador ou de terceiros. O interesse de terceiro pode ser aquele associado a qualquer pessoa diferente do controlador, natural ou jurídica, ou grupo de pessoas. Interesses da coletividade, que abrangem toda a sociedade, também podem ser utilizados como fundamento para a adoção da hipótese legal do legítimo interesse. Ainda que o interesse principal seja de terceiro, o controlador é sempre o agente responsável pela comprovação de que o tratamento busca atender a finalidades legítimas;
- Direitos e liberdades fundamentais: A LGPD ressalta a preponderância dos direitos e liberdades fundamentais do titular no âmbito da hipótese legal do legítimo interesse, o que deve ser sopesado pelo controlador. Por isso, o uso dessa base legal pressupõe que o controlador realize uma avaliação para identificar os riscos relacionados aos direitos e liberdades fundamentais dos titulares, incluindo se os impactos causados são proporcionais e compatíveis com esses direitos e quais salvaguardas devem ser adotadas no caso concreto para mitigar os riscos. A ANPD ressalta a importância de os controladores disponibilizarem um canal de fácil acesso aos titulares, para que os direitos previstos na LGPD possam ser exercidos conforme necessário;
- Legítima expectativa do titular: O controlador deve avaliar e ser capaz de demonstrar que o tratamento dos dados pessoais para a finalidade pretendida é, razoavelmente, o esperado pelos titulares naquele contexto. A análise da legítima expectativa pode se basear em diversos fatores, tais como: a existência de uma relação prévia do controlador com o titular; a forma e a fonte da coleta dos dados (g., se a coleta foi realizada diretamente pelo controlador, se os dados foram compartilhados por terceiros ou coletados de fontes públicas); o contexto e o período de coleta dos dados; e a finalidade pretendida da coleta e a sua compatibilidade com o tratamento baseado no legítimo interesse. A ANPD ressalta que, para garantir a efetiva observância das legítimas expectativas dos titulares, o controlador deve disponibilizar mecanismos de exercício de direitos;
- Necessidade, transparência e registro das operações: A LGPD reforça a importância de atender os princípios da necessidade e transparência quando o tratamento for justificado com base no legítimo interesse. Ou seja, o controlador deve garantir que apenas dados mínimos serão tratados e reforçar as medidas de transparência. Quanto ao registro de operações, a ANPD ressalta que o controlador poderá formalizar a análise efetuada, em especial o teste de balanceamento, quanto ao uso do legítimo interesse em tal documento.
Dados de crianças e adolescentes
Em linha com o Enunciado nº 1/2023, o Guia reconhece que o legítimo interesse pode ser utilizado para o tratamento de dados de crianças e adolescentes, desde que em observância ao princípio do seu melhor interesse. Além dos pontos gerais mencionados acima, o controlador deve ser capaz de demonstrar: o que foi considerado como sendo o melhor interesse da criança ou do adolescente; com base em quais critérios os direitos foram ponderados em face do interesse legítimo do controlador ou de terceiro; e que o tratamento não gera riscos ou impactos de forma desproporcional ou excessiva. O Guia destaca que, se o resultado do teste de balanceamento for inconclusivo, ou se não forem identificadas medidas de segurança e de mitigação de risco adequadas, outra base legal deverá ser adotada.
A ANPD também ressaltou seu entendimento anterior de que o tratamento de dados de crianças e adolescentes pode constituir um tratamento de alto risco. Logo, o controlador deve elaborar o Relatório de Impacto à Proteção de Dados, independentemente do teste de balanceamento, caso o tratamento seja considerado de alto risco para a garantia dos princípios gerais de proteção de dados e às liberdades civis e aos direitos fundamentais dos titulares, de acordo com os demais parâmetros estabelecidos pela ANPD.
Teste de balanceamento
O teste de balanceamento é uma avaliação de proporcionalidade realizada com base no contexto e nas circunstâncias específicas do tratamento, que deve levar em consideração os impactos e os riscos aos direitos e liberdades dos titulares. A ANPD apresenta um modelo de teste de balanceamento, que não é de uso obrigatório.
O modelo apresentado pela ANPD é baseado em 3 fases:
- Finalidade: Análise do contexto da realização do tratamento, bem como da natureza dos dados pessoais envolvidos, identificação do interesse que justifica o tratamento e a legitimidade do controlador ou terceiro ao qual o interesse pertence;
- Necessidade: Análise a respeito da necessidade, relevância e atualização dos dados pessoais para atingir a finalidade pretendida. A ANPD recomenda avaliar também se formas menos intrusivas podem ser utilizadas para atingir a finalidade pretendida;
- Balanceamento e salvaguardas: Realização final da ponderação entre os interesses do controlador ou terceiro e direitos e liberdades fundamentais do titular. Para isso, o controlador deve avaliar os riscos que os titulares de dados podem se sujeitar e se o tratamento de dados está dentro de suas legítimas expectativas. Nessa fase, quando os dados pessoais forem de crianças ou adolescentes, deve ser avaliada, ainda, a prevalência do seu melhor interesse.
A ANPD destacou que a identificação de um risco ou impacto negativo sobre os titulares dos dados não tem o condão de afastar, por si só, a possibilidade de uso do legítimo interesse. Isso porque a LGPD não exige um impacto zero, mas, sim, que o controlador avalie tais impactos e os leve em consideração na adoção de salvaguardas.
Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.
Você também pode ouvir o episódio em seu player favorito: