LGPD: o que é o legítimo interesse?

O legítimo interesse é uma das bases legais da LGPD, isto é, uma das hipóteses em que é possível o tratamento de dados pessoais, mesmo que não haja o consentimento do titular dos dados.

Seria, então, o legítimo interesse uma “carta curinga” da sua empresa para justificar o tratamento para qualquer finalidade? Um fim legítimo justificaria todo e qualquer meio de tratamento de dados?

Para entender o assunto na prática, imagine que Alice, uma estudante de Direito, tenha encomendado um hambúrguer no e-commerce da empresa BurgerQueen. Para isso, forneceu suas preferências de sabor de hambúrguer, seu endereço residencial e os dados de seu cartão de crédito. 

No site de vendas, Alice não marcou a opção de receber publicidade da empresa.

A hamburgueria, então, coletou e guardou seus dados para entrega do hambúrguer (nome e endereço residencial). Cinco dias após a compra, Alice recebe, na caixa postal de seu prédio, um cupom de desconto da BurgerQueen para compra de hambúrguer.

Nesse caso, é inquestionável que a BurgerQueen realizou o tratamento de dados da consumidora para fins de publicidade. Seria esse tratamento abusivo ou justificável pelo legítimo interesse da hamburgueria em vender mais produtos aos seus clientes, oferecendo cupons em benefício destes?

Em um cenário diferente, imagine que a Loja Sorria tenha instalado um software no notebook do seu funcionário Pedro, o qual, durante a pandemia, começou a trabalhar em regime de home office. O Software registrava todas as teclas digitadas por Pedro e produzia capturas de tela e de Webcam a cada vinte minutos para fins de controle administrativo e de jornada. 

Após o término de seu contrato de trabalho, Pedro ajuíza ação contra a Loja Sorria exigindo verbas trabalhistas e, também, o reconhecimento da violação de seus dados pessoais. A empresa, em sua defesa, alegou que os dados de Pedro eram utilizados apenas para o legítimo interesse de controle administrativo e de jornada. Nesse caso, os fins justificam os meios?

No presente artigo, analisaremos se esses e outros casos enquadram-se na hipótese de legítimo interesse e se são suficientes para justificar o tratamento de dados pessoais sem que haja consentimento prévio do titular dos dados.

Além disso, abordaremos os requisitos necessários para o tratamento de dados pessoais conforme a LGPD e traremos os 10 mandamentos do legítimo interesse do controlador na Lei Geral de Proteção de Dados.

Tratamento de dados pessoais na LGPD: onde entra o legítimo interesse nessa história?

A LGPD estabelece regras para o tratamento de dados pessoais, realizado tanto por meios físicos (a elaboração de um prontuário médico em papel, por exemplo), quanto por meios digitais (a formação de um banco de dados virtual). É denominada “tratamento” toda e qualquer operação realizada com dados pessoais.

Isso inclui desde a coleta e o acesso a dados de outras pessoas (no momento do preenchimento de uma ficha cadastral, por exemplo), até o armazenamento e processamento desses dados, bem como a transmissão (envio por WhatsApp dos dados pessoais coletados, por exemplo), a transferência, a difusão e, por fim, a eliminação (exclusão ou destruição) dos dados.

As normas trazidas pela LGPD aplicam-se ao tratamento de dados pessoais realizado tanto por pessoas físicas quanto jurídicas (empresas).

Não se aplica a Lei Geral de Proteção de Dados apenas quando o tratamento for realizado por uma pessoa natural para fins particulares e sem repercussão econômica. Também são ressalvados da aplicação da LGPD os dados pessoais tratados para fins exclusivamente jornalísticos, artísticos e de interesse maior do Estado.

Na relação de tratamento de dados pessoais, podemos destacar três figuras que participam do processo: 

– O titular dos dados, que é a pessoa a quem os dados se referem; 

– O controlador, que é a pessoa física ou jurídica que toma as decisões sobre o tratamento de dados (por exemplo, uma instituição de ensino que determina a elaboração de fichas cadastrais com dados pessoais dos alunos ou uma empresa que cria um programa de benefícios para clientes, o que demanda que estes forneçam seus dados pessoais); e

– O operador, que é a pessoa física ou jurídica que, de fato, realiza o tratamento de dados pessoais (em nome do controlador).

Mas, afinal, o que são dados pessoais? Segundo a Lei Geral de Proteção de Dados, são dados pessoais aqueles que identificam uma pessoa natural ou que permitam identificá-la. Podemos citar como exemplos de dados pessoais: nome, RG, CPF, endereço residencial, localização em GPS, fotografia, renda e hábitos de lazer de uma pessoa.

Além desse conceito, a LGPD enfatiza também os dados pessoais sensíveis, que são aqueles dados pessoais relacionados a questões mais sensíveis de uma pessoa natural, como a sua origem racial ou étnica, a sua religião, opinião política, saúde e vida sexual.

Portanto, a Lei Geral de Proteção de Dados Pessoais tutela tais dados com o objetivo de garantir às pessoas os direitos de liberdade, de privacidade e de livre desenvolvimento da personalidade, previstos na Constituição Federal.

Por isso, a LGPD estabelece as bases legais para o tratamento de dados pessoais, dentre as quais destacam-se a necessidade de consentimento do titular e, não havendo tal consentimento, o legítimo interesse.

Aprovada em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor de modo fracionado:

• Desde 28/12/2018, estão vigentes regras relacionadas à Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão federal responsável por fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à LGPD, dentre outras funções essenciais.  
• Apenas a partir de 1º/08/2021, passarão a valer as sanções administrativas previstas na LGPD.
• Desde 18/09/2020, todos os demais artigos da LGPD, com exceção dos acima mencionados, entraram em vigor.

Quais são os requisitos necessários para o tratamento de dados pessoais de acordo com a LGPD?

A Lei Geral de Proteção de Dados estabelece requisitos para que o tratamento de dados pessoais possa ser realizado. O principal requisito é que o titular dos dados dê consentimento explícito para o tratamento, por meio escrito ou inequívoco, com uma finalidade específica e pré-definida.

Contudo, a existência de consentimento do titular de dados pessoais não é o único requisito que possibilita o tratamento de dados.

A LGPD viabiliza, também, o tratamento de dados pessoais quando não há o consentimento do titular dos dados, desde que isso seja imprescindível para que o Governo execute políticas públicas, para que órgãos de pesquisa realizem estudos ou para que o controlador (a empresa que trata os dados):

• cumpra uma obrigação legal;
• execute um contrato ou pré-contrato com o titular dos dados e a pedido dele;
• defenda um direito em processo judicial, administrativo ou arbitral;
• proteja a vida ou a integridade física de uma pessoa;
• proteja a saúde, apenas em procedimentos realizados por profissionais da área da saúde ou por entidades sanitárias;
• proteja o crédito; ou
• atenda a interesses legítimos seus ou de terceiro, salvo se prevalecerem direitos fundamentais do titular que exijam a proteção dos dados pessoais.

Essas são as bases legais para o tratamento de dados de acordo com a LGPD. Isto é, são os requisitos ou as hipóteses em que a Lei autoriza o tratamento.

Ressaltamos da lista acima a questão do legítimo interesse, por ser um conceito aberto e que precisa ser melhor definido para evitar que a sua empresa realize um tratamento de dados não permitido pela Lei Geral de Proteção de Dados Pessoais.

Então, continue a leitura, pois, neste artigo, explicaremos o que é considerado um legítimo interesse para a LGPD e quando é possível realizar o tratamento de dados pessoais com base nesse argumento.

Mas, antes disso, é preciso analisar quais são os requisitos para o tratamento de dados pessoais sensíveis, afinal, eles não são os mesmos listados para os demais dados pessoais.

Será possível justificar o tratamento de dados pessoais sensíveis com base em um legítimo interesse?

Quais os requisitos para o tratamento de dados pessoais sensíveis de acordo com a LGPD? 

A Lei Geral de Proteção de Dados estabelece um tratamento diferenciado para os dados pessoais sensíveis em relação aos demais, exigindo cuidados extras das empresas que os tratam.

Nesse sentido, o tratamento de dados sensíveis é possível quando o titular dos dados ou seu responsável legal (no caso de o titular ser uma criança ou um incapaz) consentir. Tal concordância deve se dar de forma específica e destacada, além de referir-se a determinadas finalidades.

Em não havendo o consentimento para o tratamento de dados pessoais sensíveis, isso só se torna possível nas seguintes hipóteses:

• para o cumprimento de obrigação legal;
• para a execução de políticas públicas pelo Governo;
• para a realização de estudos por órgão de pesquisa;
• para o exercício de direitos, em contrato e em processo judicial, administrativo e arbitral;
• para a proteção da vida ou da incolumidade física de uma pessoa;
• para a proteção da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
• para a prevenção à fraude e à segurança do titular dos dados, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, salvo se prevalecerem direitos fundamentais do titular que exijam a proteção dos dados pessoais.

São esses os requisitos ou as “bases legais” para que uma empresa realize o tratamento de dados pessoais sensíveis em conformidade com a Lei Geral de Proteção de Dados.

Portanto, é preciso ressaltar que não há menção ao legítimo interesse dentre as bases legais do tratamento de dados pessoais sensíveis na LGPD. 

Como o legítimo interesse é regulado na LGPD?

Como já demonstramos, a Lei Geral de Proteção de Dados possibilita o tratamento de dados pessoais, mesmo que não haja o consentimento do titular, quando necessário para atender ao legítimo interesse do controlador ou de terceiros.

Quanto a essa possibilidade, a LGPD faz uma ressalva: não pode o tratamento de dados pessoais pautado no legítimo interesse violar direitos e liberdades fundamentais do titular. Nesse caso, será necessária a proteção dos dados.

Assim, para fundamentar o tratamento de dados pessoais no legítimo interesse a sua empresa deve colocar em uma balança a razão pela qual necessita tratar o dado e o interesse do titular daquele dado na sua proteção.

Além disso, o controlador e o operador – enquanto agentes de tratamento de dados – devem manter registro de todo tratamento de dados pessoais realizado com base no legítimo interesse.

O legítimo interesse do controlador na LGPD:

Segundo a LGPD, o legítimo interesse da empresa só poderá fundamentar o tratamento de dados pessoais para finalidades legítimas e específicas, consideradas a partir de situações concretas, como:

• O apoio e promoção de suas atividades;
• a proteção de direitos, em relação ao titular dos dados; e
• a prestação de serviços que beneficiem o titular dos dados.

Obviamente, nem todo interesse no tratamento de dados é legítimo. Na prática, são exemplos de legítimo interesse para fundamentar o tratamento de dados pessoais:

• A coleta de informações para detectar ou prevenir fraudes;
• A captura dos cliques de consumidores em seu site para melhoria da sua experiência on-line;
• O processamento de dados pessoais para análise de perfil de clientes;
• A oferta de marketing direto;
• O controle do horário de entrada e saída dos funcionários da empresa;
• A realização de pesquisas com funcionários, questionando quais suas preferências de lazer para elaborar políticas de bem-estar dentro da empresa; e
• O monitoramento dos deslocamentos realizados por empregados em viagens a trabalho.

O legítimo interesse é a hipótese mais flexível de autorização legal para o tratamento de dados pessoais. Contudo, não pode o legítimo interesse ser usado como uma “carta coringa” para sempre justificar o tratamento de dados e eximir as empresas de solicitar o consentimento dos titulares.

Por isso, a própria LGPD adiciona alguns cuidados extras que devem ser tomados pelas empresas ao realizarem o tratamento com base nesse fundamento.

Quando o tratamento for baseado no legítimo interesse, apenas os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

Ademais, o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

A Autoridade Nacional de Proteção de Dados (ANPD) – órgão federal fiscalizador do cumprimento da LGPD – poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu legítimo interesse. 

Diante disso, elaboramos os 10 mandamentos, que sua empresa deve observar ao  justificar o tratamento de dados pessoais no legítimo interesse:

1. Possuir um interesse realmente legítimo para o tratamento de dados;
2. Ser indispensável o tratamento de dados para atingir esse legítimo interesse;
3. Não haver outra base legal para o tratamento dos dados (não ser possível o consentimento, por exemplo);
4. Primar pelos direitos e liberdades fundamentais do titular, que exijam a proteção de dados;
5. Tratar os dados apenas para as finalidades específicas (os legítimos interesses);
6. Tratar apenas os dados estritamente necessários;
7. Manter registro de todas as operações de tratamento de dados com base em legítimo interesse;
8. Ser transparente quanto ao tratamento de dados realizado;
9. Estar ciente de que a ANPD pode, a qualquer momento, solicitar um Relatório de Impacto à Proteção de Dados Pessoais, e a sua empresa deve estar preparada para elaborá-lo;
10. Prevenir e reduzir eventuais danos ao titular dos dados, com a adoção de medidas de segurança de dados e privacidade.

Lembre-se: sendo possível o tratamento de dados pessoais com fundamento em outra base legal, prefira-a ao invés do legítimo interesse. Trata-se de cuidado necessário para evitar eventuais alegações de que o tratamento foi abusivo, o interesse era ilegítimo ou os direitos do titular deveriam preponderar sobre o tratamento.

Outra dica relevante nesse contexto, é contar sempre com uma assessoria jurídica qualificada para auxiliar a sua empresa na implementação da LGPD e para sanar dúvidas que possam eventualmente surgir. Isso pode ser fundamental para prevenir a aplicação de sanções a sua empresa pelo descumprimento da Lei Geral de Proteção de Dados Pessoais.

Afinal, é preciso ter em mente que a LGPD traz graves penalidades (inclusive multa de até R$ 50.000.000,00, a depender do seu faturamento) às empresas que, por exemplo, realizem indevidamente o tratamento de dados com base no legítimo interesse, sem observar as regras legais para tanto.

O legítimo interesse na LGPD: casos práticos! 

A Lei Geral de Proteção de Dados Pessoais entrou em vigor recentemente (publicada em 2018) e, por isso, ainda não há muitas decisões nos Tribunais Brasileiros a respeito da aplicação da LGPD. Como essa Lei brasileira foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR), em vigor na União Europeia, alguns casos lá julgados podem ser úteis para pensarmos como será a aplicação da LGPD na prática em nosso país.

Lembra do caso da Alice, que comentamos com você no início deste artigo? Bom, Alice encomendou um hambúrguer no e-commerce da empresa BurgerQueen. Para tanto, forneceu dados pessoais, como o seu nome e endereço residencial. No site de vendas da empresa, Alice não marcou a opção de receber publicidade.

Apesar disso, a hamburgueria coletou e guardou seus dados para entrega do hambúrguer. Cinco dias após a compra, Alice recebeu, na caixa postal de seu prédio, um cupom de desconto da BurgerQueen para compra de hambúrguer.

Nesse caso, diante dos 10 mandamentos que apresentamos anteriormente, podemos pensar que a hamburgueria possui um legítimo interesse em vender mais produtos aos seus clientes, anunciando-os de acordo com as preferências dos consumidores. 

Além do mais, ofereceu o cupom em benefício da titular dos dados, Alice.

Embora Alice não tenha expressamente concordado com o tratamento de dados (e por não ter se oposto a ele explicitamente), não houve, por parte da BurgerQueen intromissão excessiva na vida privada da cliente, nem qualquer outro dano a seus direitos e liberdades.

Além disso, a hamburgueria obedeceu aos mandamentos da LGPD, já que tratou os dados apenas para uma finalidade determinada (publicidade) e usou apenas os dados necessários (nome e endereço da cliente) para o seu interesse.

O e-commerce da hamburgueria também viabilizava um mecanismo fácil para que os clientes optassem por não receber publicidade (um checkbox pop-up com essa opção).

Portanto, pode-se concluir que a hamburgueria realizou o tratamento de dados de acordo com a base legal do legítimo interesse, não ferindo substancialmente direitos de Alice. Foi esse o entendimento em um caso similar, recentemente julgado na União Europeia.

No outro caso que também detalhamos no início do artigo, podemos chegar a uma conclusão diferente. Como mencionamos, Pedro trabalhava para a Loja Sorria em regime de teletrabalho.

A empresa, então, instalou no notebook do funcionário, sem consentimento expresso, um Software que registrava todas as teclas digitadas e produzia capturas de tela e de Webcam a cada vinte minutos para fins de controle administrativo e de jornada. 

Pensando, novamente, nos 10 mandamentos do tratamento de dados por legítimo interesse, podemos perceber que a empresa não tratou apenas os dados estritamente necessários para o controle do empregado.

Afinal, não era necessário que a Loja Sorria coletasse e analisasse todas as teclas digitadas por Pedro, nem que o fotografasse pela Webcam a cada vinte minutos (pois isso revelava a localização de Pedro, as condições de sua casa e, eventualmente, podia expor as demais pessoas que moravam com ele). 

Outros meios poderiam ser utilizados para que a Loja Sorria realizasse o controle e acompanhamento do empregado, não sendo adequada a base legal do legítimo interesse para esse caso.

Além disso, a empresa ofendeu direitos e liberdades fundamentais de Pedro, invadindo a sua privacidade e intimidade.

Por fim, o tratamento de dados realizado pela Loja Sorria foi extremamente intrusivo, fugindo dos limites do legítimo interesse e violando direitos de Pedro.

Quer saber mais sobre a Lei Geral de Proteção de Dados? A CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse!

Além disso, se você gostou do artigo e deseja ter acesso a mais conteúdo jurídico descomplicado, inscreva-se no nosso 🎬 Canal do Youtube e visite o nosso perfil 📸 @chcadvocacia no Instagram, garantimos que você vai compreender o Direito com informação de qualidade e uma pitada de bom humor. 

🎧 Ouça ainda os episódios do Podcast JusTáPop, a sua conexão com o #DireitoDescomplicado.

Quer mais? Convidamos você a fazer parte da nossa Comunidade no 📲 Telegram, lá você receberá na palma da mão nossos materiais, dicas práticas e ainda terá acesso a conteúdos exclusivos.