Consentimento X Legítimo Interesse: Você está aplicando a Base Legal correta para seu tratamento?

A Lei Geral de Proteção de Dados (LGPD)[1], que entrou em vigor em 2020 com o objetivo de regulamentar o tratamento de dados pessoais por parte de empresas e organizações no Brasil, busca garantir a privacidade e a segurança dos dados dos cidadãos.

A LGPD estabelece diretrizes e princípios que as empresas (agentes de tratamento) devem seguir ao coletar, armazenar, processar e compartilhar informações pessoais.

Entre os aspectos fundamentais da LGPD estão as bases legais, que são as hipóteses jurídicas que legitimam o tratamento de dados pessoais pelas organizações. Essas bases legais são essenciais para garantir que o tratamento de dados seja realizado de forma transparente, justa e dentro dos limites legais estabelecidos pela legislação.

Neste contexto, é comum reparar casos em que agentes de tratamento enfrentam dificuldades ao ter que determinar qual é a base legal mais adequada para o tratamento realizado, dentre elas, destacamos o Consentimento e o Legítimo Interesse, que dentre todas as bases elencadas na Lei são aquelas de aplicabilidade subjetiva, e, por consequência, as que apresentam maiores desafios para definição.

Mas qual é a diferença entre essas Bases Legais? Para melhor entendimento, cabe explicarmos sobre cada uma:

Consentimento

A definição dessa Base Legal é simples:O tratamento é válido quando o usuário lhe dá a permissão para coletar e usar suas informações pessoais através de manifestação livre, informada e inequívoca. Isso significa dizer que você deve se certificar de que seus usuários foram devidamente informados sobre a finalidade do tratamento pretendido, e de que esse titular concorda livremente com o tratamento.

Ex: Solicitação de consentimento para coleta de Cookies do usuário.

Obs: Pelo exposto acima, depreende-se entender que o Consentimento exige uma ação positiva do Titular, ou seja, o titular quem deve marcar a caixa de consentimento, o titular quem deve assinar o termo, e não o receber já preenchido.

E o Legítimo Interesse?

Por ser uma Base Legal mais flexível, o Legítimo Interesse possui aplicabilidade em várias situações, sendo uma base que não exige necessariamente o consentimento do Titular para atendimento da Finalidade Legítima.

Ex: Envio de Marketing direto, Vigilância de funcionários por certa empresa, pesquisas de mercado com dados.

Apesar de ser uma Base mais flexível, a LGPD também impõe limitações e requisitos a aplicação do Legítimo Interesse em seu artigo 10, que determina que as informações pessoais somente podem ser utilizadas para:

I – Apoio e promoção de atividades do controlador; e

II – Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais

Além disso, o §2º do mesmo artigo ainda indica que o Controlador deverá adotar medidas para garantir a transparência do tratamento realização.

Para atender a esse requisito, a instituições comumente se utilizam do Teste de Avaliação de Legítimo Interesse, Teste de Ponderação ou Legitimate Interest Assessment (LIA), como chamado na União Europeia para aqueles que aplicam a GDPR. O teste tem o objetivo de validar a utilização da Base Legal para o tratamento pretendido.

O teste é composto por 4 fases que verificarão aspectos do tratamento para avaliação de viabilidade de aplicação da Base Legais, compostos da seguinte forma:

1. Legítimo Interesse (Art.10, caput e Inciso l, da LGPD):

• Finalidade Legítima: É necessário descrever e verificar para qual interesse deseja a empresa tratar os dados, para verificar se este interesse é legítimo, ou seja, adequado e proporcional
• Situação concreta: Aqui é necessário descrever o contexto real em que se dará o tratamento de dados, não sendo aceito situações que podem existir no futuro, abstratas ou genéricas.

2. Necessidade (10, §1º, da LGPD):

• Minimização: Para esse ponto, é necessário verificar se apenas os dados pessoais estritamente necessários para atingir a finalidade pretendida estão sendo processados, evitando, assim, o uso de dados em excesso, não compatíveis e inadequados. Também é necessário verificar se existiriam outros tipos de dados menos intrusivos, disponíveis ao controlador, que poderiam ser eventualmente utilizados para atingir as mesmas finalidades
• Outras Bases Legais: Além do ponto acima, é necessário verificar se alguma outra base legal, como consentimento, execução do contrato, obrigação legal ou outra prevista no rol do artigo 7º não seria mais adequada para o contexto de tratamento do caso concreto.

3. Balanceamento (Art. 6º I, 7º IX e art. 10, I e ll, da LGPD):

• Legítima Expectativa: Nessa fase é verificado: (i) se existe algum tipo de relação pré-estabelecida com titular do dado de onde se possa inferir uma possível expectativa sua; ou (ii) se o homem médio, no contexto do tratamento dos dados, poderia vislumbrar que seus dados poderiam ser tratados para as finalidades aqui descritas.
• Direitos e Liberdades Fundamentais: Aqui verificamos se algum direito básico do titular do dado, como direito de acesso, retificação, cancelamento e oposição podem ser mitigados, além de liberdades fundamentais, como liberdade de expressão, locomoção, associação e outras previstas no ordenamento, não serão impactadas de forma desproporcional ao ponto de prejudicar o indivíduo de forma não autorizada

4. Salvaguardas (10, §2º e §3º da LGPD)

• Transparência: Explicação sobre quais dados são coletados, como eles são utilizados e como o titular pode ter acesso a essa informação.
• Mecanismos de Oposição (OPTOUT): Forma como o titular de dados pode se opor ao tratamento dos seus dados, caso não concorde com este ou o tratamento estiver em desconformidade com a legislação.
• Mitigação dos Riscos:

Ademais aos itens apontados acima, o tema acaba de ganhar ainda mais notoriedade, isso porque a Autoridade Nacional de Proteção de Dados (ANPD) lançou ontem (02/04) o Guia Orientativo das Hipóteses Legais de Tratamento de Dados – Legítimo Interesse. O objetivo é esclarecer pontos relevantes para a aplicação da hipótese legal do legítimo interesse de controladores ou de terceiros[2]

Agora que entendemos as diferenças entre essas duas Bases Legais, cabe entender: qual é a importância em se aplica-las na prática?

Além das já conhecidas sanções previstas na LGPD que vão desde advertências a multas de até 2% do faturamento anual da empresa, também vale destacar o que diz uma pesquisa realizada pelo Grupo Daryus[3], consultoria especializada no tema, indicando que 80% das empresas no Brasil ainda não estão completamente adequadas à LGPD, esse mesmo estudo ainda revela que a preocupação com os dados pessoais vem crescendo entre os usuários da internet, demonstrando que 87% internautas entrevistados já deixou de fazer alguma atividade por preocupações com dados pessoais, como deixar de instalar aplicativos para celulares, navegar em alguma página da internet por preocupação com ataques de phishing [tipo de golpe digital em que os criminosos enviam ou publicam links falsos para “pescar” informações dos usuários] ou deixar de realizar alguma compra online por receio de fraudes e golpes.

Tal informação demonstra a importância em garantir cada vez mais transparência e segurança ao tratamento realizado com os dados do titular, e a definição correta das Bases Legais se apresenta cada vez mais como requisito básico para identificação de pontos de melhoria no tratamento de dados pessoais e consequente melhor posicionamento de um negócio perante seus clientes e sociedade.

Ficou com dúvidas sobre o tema? Conheça nossos Guias Orientativos sobre o tema através do Link: Guia Orientativo de Adequação à LGPD.

[1] https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

[2] https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_legitimo_interesse.pdf

[3] https://febrabantech.febraban.org.br/blog/lgpd-esta-fora-da-realidade-de-80-das-empresas-no-brasil-diz-estudo