Visando regulamentar com maior precisão o art. 6.º, 1, "f", do RGPD - Regulamento Geral sobre a Proteção de Dados da União Europeia (2016/679(EU), o comitê europeu de proteção de dados (EDPB - European Data Protection Board) publicou e passou a adotar, a partir de 8 de outubro de 2024, suas guidelines 01/24¹. O conteúdo do documento diz respeito ao tratamento de dados pessoais com base em interesses legítimos do controlador ou de terceiros.

Anteriormente, o tema era avaliado a partir da opinion 2014-06, emitida pelo grupo de trabalho do art. 29², antecessor do comitê europeu de proteção de dados, que abordou o conceito de "interesses legítimos" do controlador como uma base legal para o processamento de dados pessoais sob a antiga diretiva 95/46/EC. Essa opinião foi fundamental para definir diretrizes e critérios que, posteriormente, foram refinados e incorporados ao RGPD com o art. 6.º, 1, "f", que estabelece o interesse legítimo como uma das possíveis hipóteses de lastro para o tratamento de dados pessoais³.

Já era de amplo conhecimento a posição do grupo de trabalho do art. 29 no sentido de que o interesse legítimo deve ser interpretado de forma restrita e que o controlador precisa cumprir três requisitos para justificar o tratamento de dados pessoais com base nessa base legal: primeiro, a existência de um interesse legítimo que seja específico, atual e não conflituoso com a lei; segundo, a necessidade de processamento para alcançar esse interesse, sem outras alternativas menos invasivas; e terceiro, o equilíbrio entre o interesse do controlador e os direitos e liberdades dos titulares de dados. Esses requisitos foram denominados "teste de três etapas" e visavam garantir uma análise cuidadosa e fundamentada antes de se optar pelo interesse legítimo como base legal⁴.

A opinião de 2014 também destacou a importância de controlador documentar o processo de avaliação do interesse legítimo, a fim de cumprir com o princípio da "responsabilização" (accountability) e estar preparado para demonstrar a legalidade do tratamento de dados, se necessário, em fiscalizações, auditorias e até mesmo para o atendimento de ordens judiciais. Além disso, recomendou-se que os controladores fornecessem informações claras e transparentes aos titulares dos dados sobre a base legal de interesse legítimo, promovendo a transparência e fortalecendo a confiança no uso dos dados.

Outro ponto importante abordado foi o contexto e o impacto do tratamento de dados para os titulares. A opinion 2014-06 reconheceu que o impacto pode variar de acordo com a tipologia dos dados tratados, a natureza da relação entre controlador e titular, e as expectativas razoáveis dos titulares em relação ao tratamento. Situações envolvendo certas categorias de dados pessoais (como os genéticos, biométricos e os relativos à saúde do titular) ou em que os titulares sejam vulneráveis (como crianças) exigem uma análise ainda mais rigorosa e, potencialmente, salvaguardas adicionais para garantir a proteção dos direitos fundamentais dos titulares.

Tratou-se, portanto, de um relevante marco inicial para estabelecer entendimento uniforme sobre o interesse legítimo, promovendo o uso dessa base legal de forma equilibrada e responsável. A partir de agora, entretanto, as guidelines 01/24 do EDPB atualizam e expandem os conceitos apresentados na opinion 06/2014 e incorporam desenvolvimentos normativos e jurisprudenciais ocorridos desde 2014, incluindo decisões recentes do TJUE - Tribunal de Justiça da União Europeia que influenciam a interpretação do RGPD. Por exemplo, a decisão no caso C-252/21, de 4 de julho de 2023, forneceu esclarecimentos adicionais sobre a aplicação do art. 6.º, 1, "f" e foi considerada nas novas orientações.

Além disso, as guidelines 1/2024 oferecem uma análise mais detalhada dos critérios que os controladores devem atender para processar dados pessoais com base em interesses legítimos, enfatizando a necessidade de: (i) identificar claramente o interesse legítimo perseguido; (ii) avaliar a necessidade do tratamento para alcançar esse interesse; (iii) realizar um balanceamento entre o interesse do controlador e os direitos dos titulares dos dados.

A propósito, o Capítulo III das guidelines 01/2024 é inteiramente dedicado à avaliação da relação entre o legítimo interesse e o repertório de direitos do titular de dados na União Europeia. Esses direitos, que vão desde a transparência até a restrição de tratamento, não apenas reafirmam o controle dos indivíduos sobre seus dados, mas impõem ao controlador a obrigação de respeitar e viabilizar seu exercício, mesmo quando o legítimo interesse é invocado como base legal. Neste sentido, a transparência, como um princípio central, garante que os titulares compreendam claramente como seus dados são utilizados, possibilitando uma participação ativa e informada no processo de gestão dos dados que lhes dizem respeito.

A falta de transparência compromete a confiança dos titulares e enfraquece o direito fundamental à proteção de dados, ao passo que a disponibilização de informações detalhadas e acessíveis permite que os titulares exerçam com propriedade os direitos que lhes são atribuídos.

Destacam-se alguns direitos, como o direito de acesso, que permite ao titular requisitar ao controlador informações específicas sobre os dados armazenados e a lógica do processamento, conferindo ao titular não apenas um instrumento de informação, mas também uma ferramenta de verificação do cumprimento da legislação. Na relação desse direito com o legítimo interesse, o controlador deve ir além de uma justificativa genérica e expor claramente o equilíbrio entre seus interesses e os direitos do titular, tornando este direito um pilar da transparência e da accountability no tratamento de dados.

Já o direito de oposição reflete a capacidade do titular de interferir diretamente no tratamento de seus dados, especialmente quando este se baseia no interesse legítimo. Neste caso, cabe ao controlador interromper o tratamento ou, alternativamente, apresentar provas de que razões legítimas superiores justificam a sua continuidade, o que reforça a proteção dos interesses dos titulares.

O direito de apagamento possibilita ao titular solicitar a exclusão de seus dados pessoais em situações nas quais o legítimo interesse deixa de ser aplicável, como ocorre com a retirada do consentimento. Esta prerrogativa representa um limite ao controle do controlador sobre os dados, impondo a ele a obrigação de garantir o respeito ao desejo do titular, salvo em situações excepcionais, como a necessidade de preservação dos dados para defesa em litígios.

Em relação às decisões automatizadas e ao perfilamento, o RGPD reconhece que o uso de algoritmos e processamento automatizado pode impactar significativamente os direitos dos titulares. Por fim, os direitos de retificação e de restrição de tratamento oferecem ao titular o poder de corrigir dados imprecisos e de limitar o processamento em casos de controvérsia.

No capítulo IV das guidelines 01/24 é possível notar uma preocupação com contextos nos quais o legítimo interesse é usualmente invocado, o que contribui eficazmente para a clarificação das nuances relativas a essa base legal em situações práticas. No tratamento de dados de crianças, as guidelines enfatizam uma abordagem diferenciada e protetiva. Considerando a vulnerabilidade e a menor compreensão que as crianças possuem em relação aos riscos associados ao uso de seus dados, exige-se dos controladores um cuidado especial e a adoção de medidas adicionais. A aplicação do legítimo interesse nesses casos requer que o controlador realize uma avaliação detalhada, que evidencie a supremacia dos direitos da criança e que evite repercussões negativas em seu desenvolvimento e segurança.

Em se tratando de autoridades públicas, as guidelines claramente limitam a aplicabilidade do legítimo interesse. Para as autoridades, que geralmente dispõem de bases legais específicas, o interesse legítimo não se aplica de maneira automática, a menos que estejam agindo fora de suas funções públicas regulares. A prevenção de fraudes, por sua vez, emerge como um contexto no qual o interesse legítimo é amplamente reconhecido. Esse tipo de tratamento de dados representa um exemplo claro de benefício mútuo: ao proteger o controlador e os titulares dos dados de atividades ilícitas, como fraudes, garante-se a integridade das operações e a segurança dos dados pessoais.

Outro ponto relevante é o marketing direto, no qual o interesse legítimo pode ser invocado, desde que respeitados os limites impostos pela legislação específica, que em certos casos exige o consentimento prévio do titular. No âmbito corporativo, o compartilhamento de dados para fins administrativos internos dentro de grupos empresariais é uma situação em que o legítimo interesse pode ser reconhecido, pois otimiza processos internos e fortalece a integração entre subsidiárias e filiais, exige que os controladores adotem transparência e clareza, especialmente no que se refere às expectativas dos titulares.

No campo da segurança de redes e informações, o interesse legítimo é interpretado com amplitude, uma vez que a proteção contra ataques cibernéticos e acessos não autorizados reveste-se de alta importância. A natureza desse tratamento transcende o benefício individual da organização e visa a proteção coletiva, garantindo a confiabilidade e segurança de sistemas que processam dados pessoais. Esse contexto, assim, justifica a relevância do interesse legítimo como meio de garantir a estabilidade e resiliência dos sistemas de informação.

Finalmente, a transmissão de dados para autoridades competentes em situações que envolvem crimes ou ameaças à segurança pública é abordada como uma necessidade legítima. Todavia, mesmo nesses casos, o documento enfatiza a necessidade de uma avaliação criteriosa que considere a proporcionalidade e a adequação do tratamento. O compartilhamento de dados pessoais deve ser conduzido com responsabilidade e em conformidade com as leis de proteção de dados aplicáveis, assegurando que o interesse legítimo não se sobreponha aos direitos e liberdades fundamentais sem justificativa adequada.

Em conclusão, as guidelines 01/24 representam um avanço significativo em relação à opinion 2014-06, ao atualizarem o entendimento sobre o interesse legítimo no tratamento de dados pessoais no contexto do RGPD. Com uma metodologia de avaliação mais detalhada e uma análise contextual de cada cenário de tratamento, o EDPB busca garantir que o uso do interesse legítimo seja alinhado aos princípios de transparência, necessidade e proporcionalidade.

Esse avanço europeu é de suma importância para o Brasil, pois oferece uma referência robusta para o desenvolvimento e a aplicação prática da LGPD - Lei Geral de Proteção de Dados Pessoais. É preciso elogiar o labor da ANPD - Autoridade Nacional de Proteção de Dados brasileira, que lançou recentemente o seu guia orientativo sobre a base legal do legítimo interesse⁵, que visa orientar a aplicação responsável dessa base legal, de modo a equilibrar os interesses dos agentes de tratamento com os direitos fundamentais dos titulares, mas o acompanhamento detido das diretrizes europeias pode viabilizar aperfeiçoamento ainda maior de suas práticas e fortalecer a segurança jurídica no tratamento de dados para criar uma cultura de proteção de dados alinhada aos melhores padrões globais.

________