LGPD: O Legítimo Interesse como base legal

Por que sua empresa não deve usar o "Legítimo Interesse" como base legal para justificar tratamentos de dados na LGPD / GDPR, indiscriminadamente?

Nos últimos anos, a conscientização sobre privacidade cresceu exponencialmente, impulsionada por regulamentações como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. Essas regulamentações estabelecem critérios rigorosos para o tratamento de dados pessoais, visando proteger os direitos e liberdades individuais dos cidadãos.

Ao acompanhar este nosso blog, hoje você já deve saber que existem 10 bases legais para justificar um tratamento de dados na LGPD. Hoje, falaremos do “Legítimo Interesse”.

Uma das bases legais frequentemente utilizadas para justificar o tratamento de dados pessoais é o “legítimo interesse”. No entanto, é essencial entender que o uso indiscriminado desta base legal pode ser problemático e até mesmo contraproducente. Seja na GDPR ou na LGPD, a categorização de um tratamento como “Legítimo Interesse” deve ser evitado sem que uma profunda análise seja realizada. Uma escolha equivocada poderá levar à multas e à ideia de que sua empresa está “adequada”, quando ainda existem problemas de privacidade a serem solucionados.

O que é Legítimo Interesse?

O legítimo interesse é uma das dez bases legais previstas tanto pela LGPD – e uma das seis  pela GDPR – para o tratamento de dados pessoais. Ele permite que uma organização processe dados pessoais sem, por exemplo, o consentimento explícito do titular quando há um interesse legítimo que justifique tal tratamento. Esse interesse legítimo pode ser da organização que está realizando o tratamento ou de terceiros, mas deve estar equilibrado com os direitos e liberdades individuais dos titulares dos dados.

Importante ressaltar que nunca uma atividade de natureza ilegal, ou com dados obtidos de forma ilegal ou desviados de sua finalidade original, sem autorização do titular, poderá ser enquadrada dentro da LGPD.

Importante também ressaltar que o tratamento de dados pessoais sensíveis não poderá estar justificado como “Legítimo Interesse”.

 

Por que o Legítimo Interesse não deve ser usado indiscriminadamente?

  1. Falta de Transparência e Controle: Um dos pilares da LGPD e das demais leis e regulamentações em privacidade é dar transparência ao titular sobre os tratamento de seus dados pessoais. Quando falamos em transparência, significa – de forma resumida – oferecer informações claras e completas sobre o objetivo dos dados tratados, quais dados serão tratados, por quanto tempo serão tratados, com quem serão compartilhados e os processos existentes para o exercício dos direitos previstos na LGPD. Quando classificamos um tratamento como “Legítimo Interesse” estamos dizendo que existe um forte motivo para a organização tratar um determinado conjunto de dados pessoais, sem que isto afete negativamente ao titular destes dados e sem que exista a necessidade de obter a autorização do mesmo. Assim, o uso indiscriminado do legítimo interesse pode obscurecer a transparência, já que os titulares dos dados podem não estar totalmente cientes de como seus dados estão sendo utilizados e não ter controle sobre isso.
     
  2. Interpretação Subjetiva: O conceito de “Legítimo Interesse” é altamente subjetivo e pode ser interpretado de maneiras diversas. O que uma organização considera como seu interesse legítimo pode não ser percebido da mesma forma pelos titulares dos dados ou pelas autoridades regulatórias. Isso pode levar a disputas legais e incertezas sobre a conformidade com a legislação de proteção de dados.
     
  3. Risco de Abuso: O uso indiscriminado do “Legítimo Interesse” pode abrir portas para abusos por parte das organizações que procuram justificar práticas de tratamento de dados que, na realidade, não estão alinhadas com os princípios de privacidade. Isso pode resultar em violações de dados, danos à reputação da empresa e multas substanciais por não conformidade.
     
  4. Princípio da Proporcionalidade: As regulamentações de privacidade enfatizam o princípio da proporcionalidade, exigindo que o tratamento de dados seja necessário e proporcional ao objetivo pretendido. O uso indiscriminado desta base legal pode dificultar a demonstração de que o tratamento de dados é realmente proporcional e necessário, colocando em questão todo o processo de conformidade com a LGPD.

Alternativas ao Legítimo Interesse

Em vez de confiar exclusivamente no legítimo interesse, as organizações devem explorar outras bases legais mais transparentes e seguras para o tratamento de dados pessoais. Isso pode incluir o consentimento do titular dos dados, a execução de um contrato, o cumprimento de obrigações legais, a proteção de interesses vitais do titular dos dados ou o desempenho de uma tarefa de interesse público.

As organizações devem sempre colocar o titular dos dados como peça central em seus tratamentos e avaliá-los sob a ótica do indivíduo.

Consulte o texto original da LGPD para entender as opções disponíveis e tenha uma linha direta estabelecida com seu DPO e/ou time de privacidade para auxiliá-lo na melhor escolha.

Veja também: Guia Orientativo sobre Legítimo Interesse da ANPD

É fundamental enfatizar a importância de uma abordagem cautelosa e responsável no tratamento de dados pessoais. Embora o legítimo interesse seja uma base legal válida sob a LGPD e GDPR, seu uso indiscriminado pode representar riscos significativos para a conformidade com as regulamentações de privacidade e a proteção dos direitos dos titulares dos dados. Ao invés disso, as organizações devem buscar alternativas mais transparentes e seguras, garantindo que o tratamento de dados seja realizado de forma ética, proporcional e em conformidade com os mais altos padrões de privacidade e proteção de dados.

Legítimo Interesse e Dados Pessoais Sensíveis

Como indicado anteriormente, processos que utilizam dados pessoais sensíveis em seu ciclo de vida, não podem embasar o tratamento no Legítimo Interesse. Será necessário buscar outras bases legais para justificar o tratamento.

Isto inclui, por exemplo, tratamentos que incluam o Reconhecimento Facial, biometrias, etc.

Como o DPO pode ajudar na escolha da efetiva base legal?

O Data Protection Officer (DPO) ou o Encarregado pelo Tratamento de Dados Pessoais é um profissional especializado em privacidade que possui papel extremamente relevante no desenvolvimento de uma cultura de privacidade e por ser um consultor interno da organização em todos os assuntos relacionados.

Sua equipe deverá prover os insumos e as explicações necessárias para um determinado tratamento para que o DPO possa validar o enquadramento à LGPD.

E lembre-se, sempre que seu tratamento for enquadrado como “Legítimo Interesse”, você deverá elaborar o LIA (Legitimate Interests Assessment) e potencialmente o RIPD – Relatório de Impacto à Proteção de Dados Pessoais, preferivelmente antes mesmo que o tratamento dos dados pessoais seja iniciado, justamente para que seja possível avaliar, de antemão, as possíveis lacunas associadas a esse tratamento e definir planos de ação para mitigar e minimizar os eventuais riscos.

 

LGPD, DPO, Tratamento de Dados: Boas práticas!

Em resumo, garantir a segurança e privacidade dos dados é uma preocupação crítica para qualquer empresa que utilize softwares em seus processos.

A contratação de suporte de uma consultoria especializada pode fornecer às empresas as orientações necessárias para melhorar as posturas em relação à conformidade com as leis e regulamentações, bem como para minimizar riscos e exposições provenientes de seus processos e tratamentos de dados.

A privacidade e proteção de dados é uma atividade constante. E ela começa em você.

Se você precisa de um suporte especializado na área, entre em contato conosco agora!

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO

DPO AS A SERVICE