A lei Geral de Proteção de Dados (“LGPD”) trouxe diversas hipóteses nas quais é permitido ao controlador realizar o tratamento de dados pessoais de titulares de dados. Em seu artigo 7º, são elencadas tais hipóteses, sendo a primeira delas o “fornecimento de consentimento pelo titular”.
O inciso IX, por sua vez, estabelece que é permitido ao controlador realizar o tratamento de dados pessoais quando necessário para atender interesses legítimos, seus ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Tem-se, portanto, uma hipótese em que é permitido o tratamento de dados sem a necessidade de consentimento pelo titular dos dados.
Ora, este dispositivo, poderia abrir uma “brecha” na proteção dos dados pessoais, dado que bastaria ao controlador afirmar que determinado tratamento de dados é necessário para atender seus legítimos interesses que este tratamento seria regular nos termos da LGPD, mesmo sem o consentimento do titular de dados.
Por essa razão, o artigo 10 da LGPD estabelece as condições para a aplicação desta hipótese, com a preocupação de balancear o interesse econômico do controlador dos dados e os direitos e liberdades fundamentais do titular, ambos protegidos pela LGPD.
Neste sentido, o caput do artigo 10, estabelece que o legítimo interesse do controlador apenas pode fundamentar o tratamento de dados pessoais para “finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais”.
Isto é, a finalidade do tratamento de dados nestes casos não pode contrariar nenhum dispositivo legal, e a situação na qual será realizado o tratamento de dados pessoais deve estar bem definida e especificada. Ainda, deve-se atentar para as expectativas do titular de dados em relação ao tratamento, ou seja, não se pode “surpreender” o titular com o tratamento realizado.
Ainda, o § 1º do artigo 10 dispõe que, neste casos, “somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”. Isto é, o controlador deve se ater à obrigação de utilizar o mínimo necessário dos dados do titular para atingir a finalidade pretendida.
Por fim, o § 2º do artigo 10 prevê que o controlador deve adotar medidas para garantir a transparência do tratamento de dados, visando possibilitar que o titular dos dados esteja ciente do tratamento a ser realizado e, eventualmente, possa a ele se opor. O § 3º, por sua vez, dispõe sobre a fiscalização da Autoridade Nacional de Proteção de Dados, que poderá solicitar relatório de impacto à proteção de dados pessoais para averiguar a adequação do tratamento realizado aos ditames da LGPD.
Assim, apesar da LGPD prever a hipótese de tratamento de dados sem o consentimento do titular de dados, baseado no legítimo interesse do controlador, tem-se que são previstas também restrições para a aplicação desta hipótese, que devem ser observadas e são passíveis, inclusive, de fiscalização pela Autoridade Nacional de Proteção de Dados.
No entanto, vale observar que apenas será possível entender melhor e concretamente a extensão do conceito de legítimo interesse a partir da atuação da Autoridade Nacional de Proteção de Dados com o tempo.