Ao pensar nas bases legais definidas pela Lei Geral de Proteção de Dados Pessoais, o legítimo interesse, se mostra como uma das bases legais mais polêmicas desde a criação da lei, sendo - ao primeiro olhar - a base mais atrativa aos olhos do agente de tratamento.1
E quando se fala em legítimo interesse, a coisa mais lógica a se pensar é que a base está atrelada ao interesse do titular de dados, vez que a LGPD defende esse interesse em grande parte de seu texto. Mas essa base legal não está ligada ao titular, mas sim elencada no interesse do controlador.
Por esse e por outros motivos, que essa base legal acaba por ser de um entendimento mais complexo do que as outras, e assim ela vem causando estranheza desde o seu surgimento. Sendo que esse legítimo interesse não deve ser confundido com uma “carta branca” ou “válvula de escape”, de modo a justificar qualquer atividade que seja do interesse do agente de tratamento”.2
A função dessa base legal é de uma complexidade tão grande, que o próprio legislador separou um artigo somente para tratar especificamente dela, buscando esclarecer o máximo possível os parâmetros que devem ser levados em consideração ao escolher por sua aplicação no tratamento de dados pessoais.
A controvérsia, no entanto, é de que mesmo tendo todo um artigo separado para tratar dela, alguns de seus pontos ainda sejam tão confusos e de interpretação tão ampla, causando assim uma certa insegurança jurídica quanto à sua aplicação.3
Como garantir que os interesses do controlador são legítimos e até onde essa legitimidade pode ir antes de se chocar contra os direitos do titular?! Essa é uma questão que fica em aberto e se torna um ponto de discussão.
Mesmo a lei definindo que o legítimo interesse deve abarcar o tratamento de dados pessoais realizados com finalidade legítima, a incerteza que paira sobre essa base legal está pautada no poder entregue nas mãos do controlador.4
Tem-se, portanto, uma hipótese em que é permitido o tratamento de dados sem a necessidade de consentimento pelo titular, podendo abrir uma "brecha" na proteção dos dados pessoais, ao passo que a simples alegação por parte do controlador afirmando que esse determinado tratamento é necessário para atender seus legítimos interesses, faria com que tal fosse considerado regular pela LGPD.5
No entanto, não se pode desconsiderar a tentativa do legislador de impor limites à essa base legal, vez que no art. 10 da lei, ele fixa condições para que ocorra a aplicação desta hipótese. Buscando um equilíbrio entre o interesse do controlador e os direitos e liberdades fundamentais do titular.
Assim, para que o controlador faça o uso de tal hipótese, seu interesse deverá estar pautado em situações concretas, cuja finalidades sejam legítimas. O legislador até dispõe exemplos dessas finalidades como:
Finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Dessa maneira o legítimo interesse do controlador não pode bater de frente com nenhum dispositivo legal, e o tratamento dos dados pessoais deve estar bem definido. Observando sempre o interesse do titular de dados também, uma vez que se na base legal pautada no consentimento, o poder era acentuado ao titular de dados, com um controle total do tratamento de seus dados pessoais, no legítimo interesse entende-se que o interesse do controlador é legítimo a ponto de afastar a aplicação das outras bases legais.6
Outro ponto que fica delimitado pela lei é que o legítimo interesse deve abarcar apenas o uso de dados extremamente necessários para a finalidade pretendida, conforme teor do § 1º do art. 10. Devendo seguir o princípio da minimização de riscos, ou seja, o controlador deve utilizar o mínimo necessário de dados do titular para atingir a finalidade pretendida.
A lei ainda é clara em garantir que o titular dos dados pessoais, terá direito à transparência do tratamento que está sendo realizado com seus dados e apesar dessa base não necessitar diretamente do consentimento do titular, este poderá a qualquer momento se opor ao tratamento.
A fiscalização do tratamento realizado pelo legítimo interesse do controlador ficará sob a responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), que a qualquer momento pode solicitar um relatório de impacto, a fim de verificar se o controlador está realizando o tratamento de acordo com a LGPD.
Nesse passo, mesmo que a lei preveja o tratamento de dados sem a necessidade de se obter o consentimento, ela tenta prever hipóteses claras onde esse tratamento pode ocorrer, a fim de balancear a relação: legítimo interesse do controlador x direitos e garantias fundamentais do titular de dados.7
Assim essa base legal, apesar de muitas vezes ser considerada a mais apta a fundamentar o tratamento de dados pessoais, deve ser adotada com cuidado pelo controlador, tendo esse – por segurança – verificar se não cabe a aplicação de uma das outras hipóteses, antes de adotá-la. E, ainda, devendo este analisar se ela foi devidamente empregada, bem como, se resguardar com documentos que comprovem a necessidade de seu uso.
----------
1 Oliveira, 2020, p. 65
2 PALHARES, PRADO e VIDIGAL, 2021, p. 182
3 Bioni, 2019, p. 324
4 BRASIL. Lei 13.709, 2018. Art. 10
5 Oliveira, 2020, p. 65
6 Palhares, Prado e Vidigal, 2021, p.183
7 Oliveira, 2020, p. 75
----------
BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2020]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14020.htm Acesso em: 29 abr. 2022.
PALHARES, Felipe; PRADO, Luis; VIDIGAL, Paulo. COMPLIANCE DIGITAL E LGPD. 1ª. ed. Brasil: Thomson Reuters, 2021. 399 p. v. V. ISBN 978-65-5614-605-8.