A LGPD prevê que os dados pessoais só podem ser tratados de acordo com pelo menos uma das hipóteses legais previstas no art. 7º. As bases legais indicadas na lei são entendimentos autorizativos para que um agente de tratamento, público ou privado, possa realizar o tratamento de dados pessoais.
O legítimo interesse do controlador ou de terceiros é uma das bases legais que poderá ser utilizada para o tratamento de dados pessoais (7º, IX), desde que não viole os direitos e as liberdades fundamentais do titular, nem a sua privacidade (art. 2º, I) e autodeterminação informativa (art. 2º, II), liberdade para o desenvolvimento da própria personalidade do titular - especialmente os direitos à privacidade e intimidade. (art. 5º da CF/88). Trata-se, portanto, de base legal que não poderá ser utilizada para o tratamento de dados pessoais sensíveis.
É importante destacar que o tratamento de dados pelo Poder Público necessita da existência de uma finalidade específica, concreta.
Contudo, no âmbito do setor público a aplicação do legitimo interesse é limitada. Particularmente, não é apropriada quando o tratamento dos dados pessoais é realizado de forma compulsória ou quando for necessário para o cumprimento e atribuições do Poder Público.
Nas situações relacionadas ao cumprimento de atribuições do Poder Público, não há como se realizar com exatidão uma ponderação entre as expectativas dos titulares de dados e os hipotéticos interesses do Estado.
Neste sentido, e tendo em vista a flexibilidade do legitimo interesse, o mesmo só poderá ser adotado após uma avaliação prévia na qual seja demonstrada a proporcionalidade entre, de um lado, do controlador ou de terceiros para a utilização do dado pessoal e, de outro, os direitos e expectativas do titular.
Em síntese, pode-se afirmar que o primeiro passo é a avaliação do interesse da pessoa responsável pelo tratamento; o segundo é a verificação do impacto nas pessoas envolvidas; o terceiro, o exame do equilíbrio entre os interesses e o último e a análise de existência de garantias complementares para evitar impactos indevidos, como a adoção de medidas técnicas e administrativas, a fim de garantir a segurança do tratamento para as pessoas titulares envolvidas na operação.
Adicionalmente, a LGPD em seu art. 18, § 2º destaca que o titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da lei.
Outro ponto importante é que a ANPD poderá solicitar ao controlador o relatório de impacto à proteção de dados pessoais sempre que ele utilizar a base legal do legítimo interesse, bem como, promover auditorias, fiscalizações e o que mais for necessário para garantir o direito dos titulares de dados.
Ademais, os órgãos públicos deverão respeitar o que dispõem a LAI – Lei do Habeas Data, e a Lei Geral do Processo Administrativo no que diz respeito ao atendimento dos titulares de dados.