A Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018 (LGPD) é regulamentada por resoluções e diretrizes da Autoridade Nacional de Proteção de Dados (ANPD). Entre as bases legais para o tratamento de dados pessoais, o legítimo interesse se destaca exatamente por parecer, em princípio, o fundamento para a grande maioria das situações de tratamento de dados. Porém, sua aplicação exige uma análise cuidadosa, para garantir que os direitos e liberdades dos titulares sejam respeitados.

Segundo o artigo 7º, inciso IX, da LGPD, o legítimo interesse pode servir como base legal para o tratamento de dados pessoais, desde que não se sobreponha aos direitos e liberdades fundamentais do titular. Vale lembrar que esta base não é aplicável a dados pessoais sensíveis, como dados de saúde, que requerem outras bases legais, como o consentimento explícito do titular ou a necessidade de tutela da saúde.

Para que um interesse seja considerado legítimo, deve atender a três condições principais:

a) compatibilidade jurídica: o interesse deve estar em consonância com os princípios, normas jurídicas e direitos fundamentais;

b) base em situações reais: o interesse precisa estar baseado em situações reais e específicas, e não em cenários abstratos ou especulativos;

c) finalidades legítimas: o tratamento deve ter um propósito claro e bem definido, descrito de forma precisa, para que se possa equilibrar os interesses do controlador com os direitos dos titulares.

A LGPD, em seu artigo 10, oferece exemplos de finalidades legítimas, como apoiar e promover atividades do controlador e proteger o titular no exercício de seus direitos.

A ANPD, por meio do Guia Orientativo sobre Hipóteses Legais de Tratamento de Dados Pessoais, em especial o legítimo interesse, publicado em fevereiro de 2024, recomenda o uso do Teste de Balanceamento para avaliar o legítimo interesse. Embora não seja obrigatório, esse teste é uma ferramenta valiosa para demonstrar conformidade com a LGPD. O teste consiste nas seguintes fases:

Fase 1. Finalidade: avaliação da natureza dos dados, da legitimidade do interesse (seja do controlador ou de terceiro), da finalidade do tratamento e da situação concreta que o justifica.

Fase 2. Necessidade: análise da efetiva necessidade do tratamento para atingir a finalidade proposta e se existem alternativas menos intrusivas para alcançar o mesmo objetivo.

Fase 3. Balanceamento e Salvaguardas: análise dos riscos e impactos do tratamento para os titulares, avaliação da prevalência dos direitos e liberdades fundamentais dos titulares sobre os interesses do controlador e da necessidade de implementação de medidas de segurança (salvaguardas).

Documentar o Teste de Balanceamento oferece vantagens significativas, como comprovar a diligência do controlador, facilitar a verificação pela ANPD e servir como prova em casos de incidentes de segurança ou reclamações. Mesmo que a ANPD não preveja sanções específicas pela ausência do Teste, a LGPD prevê penalidades para o tratamento inadequado dos dados.

Complementarmente, a Resolução CD/ANPD nº 18, de 16 de julho de 2024 (Resolução nº 18), estabeleceu normas para a atuação do Encarregado pelo tratamento de dados pessoais. A indicação do Encarregado deve ser formalizada por documento escrito, datado e assinado, e sua identidade e informações de contato devem ser divulgadas publicamente. Em caso de ausência de sítio eletrônico do Controlador, outras formas de comunicação devem ser estabelecidas.

O Encarregado é considerado um elo fundamental entre o controlador, os titulares dos dados e a ANPD. Suas responsabilidades incluem:

a) ser um canal de comunicação, esclarecendo dúvidas, recebendo solicitações e garantindo a conformidade com a LGPD;

b) orientar os funcionários e contratados do controlador sobre as práticas de proteção de dados;

c) dar assistência ao controlador na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais, na implementação de medidas de segurança e na definição da política de proteção de dados;

d) adotar medidas para atender às solicitações da ANPD e às reclamações dos titulares.

Apesar do papel ativo do encarregado, a responsabilidade integral pela conformidade com a LGPD, incluindo a realização e documentação do Teste de Balanceamento, é do Controlador.

Em resumo, a aplicação do legítimo interesse como base legal para o tratamento de dados exige uma avaliação cuidadosa dos impactos e das expectativas envolvidas. Utilizar o Teste de Balanceamento, conforme recomendado pela ANPD, e seguir as diretrizes da Resolução nº 18 são essenciais para garantir que o tratamento de dados esteja alinhado com os princípios da LGPD. Dessa forma, a organização fortalece a proteção dos dados pessoais e promove uma cultura de responsabilidade e transparência.