19.04.2024 – Existem inúmeras situações em um negócio, no qual a empresa lida com dados pessoais, sem que seja possível ou mesmo viável o consentimento do titular dos respectivos dados pessoais. E foi pensando nisso, que o legislador disponibilizou na Lei Geral de Proteção de Dados (LGPD) mais 9 bases legais, nas quais a empresa, controladora ou operadora de tais dados pessoais, pode enquadrar o tratamentos dos respectivos dados.
Se você que está lendo esse texto não conhece sequer superficialmente a LGPD, pode parecer estranho que alguém possa tratar os seus dados pessoais sem o seu consentimento prévio, mas existem mais 9 bases legais para tratar seus dados pessoais e mais 7 bases legais, além do seu consentimento, para tratar seus dados pessoais sensíveis.
Uma dessas outras 9 bases legais é a escolhida para esse artigo, tratando-se do legítimo interesse, que, aliás, só é disponibilizada para tratar seus dados pessoais, mas não seus dados pessoais sensíveis, que são aqueles dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. É importante deixar claro ao leitor que o legítimo interesse não é permitido pelo legislador para enquadrar o tratamento de dados pessoais sensíveis.
O legítimo interesse, de forma resumida, caracteriza a vontade da empresa em tratar os dados pessoais de alguém para atender a um propósito voltado ao seu negócio. Mas ao ler essa definição e o restante desse texto acima, você pode concluir então que, exceto para os dados pessoais sensíveis, a empresa poderia usar o enquadramento do legítimo interesse para qualquer tratamento de dados pessoais, não é? Mas você estaria equivocado. O legítimo interesse, para servir como base legal de uma empresa no tratamento dos dados pessoais, precisa atender a alguns requisitos que a lei impõe.
Segundo o Guia Orientativo sobre o legítimo interesse, assim como no setor privado, o legítimo interesse também pode ser utilizado para enquadrar o tratamento de dados pessoais no setor público. Entretanto, no setor público, sua aplicação é muito limitada e não deve ser encorajada, pois o legítimo interesse não é apropriado quando o tratamento de dados pessoais é realizado de forma compulsória ou quando for necessário para o cumprimento de obrigações e atribuições legais do Poder Público. Além disso, não há como se realizar uma análise pormenorizada entre as expectativas dos titulares, levando-se em conta seus direitos e liberdades fundamentais e os supostos interesses ou obrigações do Poder Público, visto que inexiste um equilíbrio de forças.
Na prática, o enquadramento do tratamento de dados pessoais no legítimo interesse deve ser sempre precedido por um teste de balanceamento, e, dependendo, da quantidade de dados pessoais e do grau de risco trazido aos seus respectivos titulares, deve ser acompanhado igualmente por um relatório de impacto.
A empresa não deve realizar o tratamento com base na hipótese legal do legítimo interesse, caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares, mesmo após a implementação de salvaguardas para a mitigação de riscos.
O teste de balanceamento serve para avaliar a proporcionalidade entre a legitimidade do interesse da empresa e os interesses dos titulares dos dados pessoais, além dos impactos e os riscos aos seus direitos e liberdades, além de atender ao princípio da responsabilização e prestação de contas, garantindo a transparência do tratamento de dados pessoais e permitindo que a Autoridade Nacional de Proteção de Dados (ANPD) possa avaliar a adequação do respectivo tratamento de dados pessoais com o arcabouço de normas aplicáveis.
O teste de balanceamento deve ser considerado para cada uma das finalidades específicas para as quais haverá o tratamento de dados, o que, na prática, implica dizer que um teste de balanceamento deve ser aplicado a cada finalidade indicada para o tratamento de dados pessoais, ainda que se trate dos mesmos dados pessoais.
É importante salientar que o teste do balanceamento, além da adequação do tratamento de dados pessoais no legítimo interesse, pode ser utilizado também na hipótese do enquadramento de dados pessoais sensíveis na base legal da garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos de acesso pelo titular aos seus dados e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Esta finalidade deve ser interpretada restritivamente e descrita de forma objetiva e o mais detalhada possível.
Devem ser levadas em consideração 3 fases para a elaboração do teste de balanceamento:
Fase | Descrição da Fase |
---|---|
1a. Fase – Finalidade | Deve-se analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar, verificando a natureza dos dados pessoais, já que o legítimo interesse não se aplica ao enquadramento do tratamento de dados pessoais sensíveis e se houver dados de crianças e adolescentes, devem ser consideradas todas as medidas de observância e prevalência do seu melhor interesse. Além disso, deve ser identificado e descrito o interesse que justifica o tratamento, se do controlador ou de um terceiro, avaliando-se a sua legitimidade quanto à compatibilidade com as regras vigentes. |
2a. Fase – Necessidade | Deve-se analisar somente os dados pessoais estritamente necessários para a finalidade pretendida, priorizando o atingimento do seu propósito com menos ônus e menores riscos para os titulares de dados pessoais. |
3a. Fase – Balanceamento e Salvaguardas | Deve-se avaliar o potencial risco e os impactos sobre os titulares dos dados com base no interesse e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados. Nessa fase, deve-se sempre ter como premissa a ótica do titular de dados pessoais, de forma a assegurar que as suas legítimas expectativas e seus direitos e liberdades fundamentais sejam respeitados. Quaisquer riscos identificados podem ser mitigados com a adoção de salvaguardas correspondentes. |
Abaixo é possível visualizar um modelo de teste de balanceamento disponibilizado pela ANPD:
A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.
08.05.2024 - A Autoridade Nacional de Proteção de Dados (ANPD), entidade pública brasileira criada pela…
29.04.2024 - Enquanto o Brasil somente adotou sua Lei Anticorrupção direcionada às empresas mediante a…
13.04.2024 - Desde que houve a criação da Lei Geral de Proteção de Dados (LGPD)…
05.04.2024 - Não é recente a luta que empresas e governos travam para combater o…
31.03.2024 - Um aspecto de suma importância na gestão de contratos é a teoria da…
30.03.2024 - Muitos se perguntam o porquê do papel bem sucedido da Securities & Exchange…