Por Renata Diniz
Renata Diniz é advogada formada pela Universidade Federal de Minas Gerais, onde também é mestranda na área de Direito, Tecnologia e Inovação, com pesquisa é focada na proteção de dados pessoais. É também pós-graduada pela Pontifícia Universidade Católica de Minas Gerais (PUC-MG) em Direito de proteção e uso dos dados pessoais.
Possui a certificação CIPM-BR, emitida pela International Association of Privacy Professionals, que compreende a gestão de projetos de governança de dados e compreensão da legislação brasileira sobre o tema.
Atua na área de proteção de dados pessoais através da consultoria para adequação e serviço de DPO as a service. As principais atividades realizadas são o mapeamento de atividades e elaboração de documentação pertinente para a governança de dados dentro de uma empresa.
Consentimento e legítimo interesse: entenda as bases legais no tratamento de dados
Uma das exigências que a Lei Geral de Proteção de Dados trouxe para adequação das empresas foi a atribuição de uma base legal apara as atividades de tratamento. Duas dessas bases legais são fonte de muitas dúvidas, o consentimento e o legítimo interesse.
Vamos avaliar como essas bases legais funcionam para o tratamento de dados pessoais e como podem ser utilizadas com segurança.
O que são as bases legais da LGPD?
As bases legais são hipóteses trazidas pela LGPD para autorizar o tratamento de dados pessoais. Toda vez que um dado pessoal for utilizado em um contexto que atraia a aplicação da lei, é preciso que uma dessas hipóteses seja plicada, caso contrário a atividade não será legal.
Elas estão previstas em dois artigos, o 7º, que fala dos dados pessoais “normais”, e o 11, que aborda os dados sensíveis. Existem algumas diferenças entre as bases legais previstas em cada um deles e à forma como poderão ser utilizadas, razão pela qual é essencial conhecer os dados pessoais envolvidos em cada atividade de tratamento e categorizá-los adequadamente.
Não há hierarquia entre as bases legais previstas no artigo 7º, porém, quando falamos de dados sensíveis, deve-se priorizar o consentimento sempre que possível. Importante comentar, ainda, que o legítimo interesse se aplica exclusivamente às atividades que não envolvam dados sensíveis, tendo em vista que ele não está previsto no rol do artigo 11.
O consentimento na LGPD
Na Lei Geral de Proteção de Dados, o consentimento equivale à autorização do titular, e uma das hipóteses que permite o uso de informações. Para ser válido, deve atender a três requisitos básicos: ser livre, informado e inequívoco.
O consentimento será considerado livre quando o titular do dado pessoal não sofrer nenhum tipo de coação para dar sua autorização. Aqui não falamos exclusivamente de uso da força física ou ameaças para obrigá-lo a concordar, mas qualquer situação na qual ele não se sinta livre para manifestar sua posição.
Por exemplo, em relações de trabalho ou outras nas quais há uma hierarquia entre as partes é necessário cuidado redobrado para utilizar essa base legal, visto que o empregado pode sentir que o pedido de autorização se trata apenas de uma formalidade, mas que pode sofrer consequências negativas se recusar-se a dá-la.
O consentimento será informado quando o titular receber as informações necessárias para compreender o que será feito com seus dados pessoais. Para isso, a comunicação entre ele e o controlador deverá ser sempre clara, simples e compreensível, e deverão ser-lhe oferecidas informações suficientes para avaliar se o tratamento de dados como proposto é interessante para seus objetivos.
Por fim, deverá ser inequívoco, o que significa dizer que não poderá haver dúvida quanto à autorização, e o titular deve saber que está permitindo o uso de suas informações. O consentimento jamais poderá ser presumido, sendo obrigação do controlador comprovar que os procedimentos foram seguidos corretamente.
O legítimo interesse na LGPD
O legítimo interesse é uma base legal aplicável apenas ao tratamento de dados regulamenta do pelo atrigo 7º da Lei Geral de Proteção de Dados, ou seja, apenas aos dados pessoais que não se enquadram na categoria dos dados sensíveis.
Essa base legal é aplicável para permitir o tratamento de dados quando houver um interesse legítimo do controlador ou de terceiros. É necessário que a atividade não conflite com os direitos e liberdades fundamentais do titular, que deverão prevalecer em caso de inconsistência.
A aplicação ou não do legítimo interesse deverá ser avaliada no caso concreto, considerando os limites e possibilidades da atividade que se busca legitimar. Para evitar abusos no seu uso, convencionou-se a necessidade de realização de um teste para avaliar se a base legal está sendo aplicada de maneira correta.
Existem diferentes formas de aplicação desse teste no mercado, mas, de maneira geral, elas giram em torno dos mesmos critérios. Primeiramente, a finalidade do tratamento de dados deve ser legítima, ou seja, não lícita e proporcional ao tratamento das informações. Passa-se, então, à análise da necessidade, quando confirmar-se-á de todos os dados pessoais coletados são necessários para a atividade e se não há outra base legal mais adequada para a situação. Em seguida, há o teste de balanceamento, segundo o qual serão avaliados se a expectativa do titular e seus direitos estão sendo respeitados. Por fim, são avaliadas as salvaguardas da atividade, os mecanismos de mitigação existentes e o nível de transparência adotado.
Além disso, há no texto da LGPD o reforço à necessidade de transparência do tratamento e minimização dos dados quando essa for a base legal utilizada. Assim, só devem ser utilizadas as informações estritamente necessárias, e sempre deixando claro para o titular a maneira como elas serão utilizadas.
Ainda, há na Lei Geral de Proteção de Dados a possibilidade de requerimento, por parte da ANPD, de um relatório de impacto para atividades que tenham o legítimo interesse como base legal. Ressalta-se que essa previsão não cria a obrigação ode elaboração do relatório para todas as atividades que tenham essa base legal, visto que ela, por si só, não representa alto risco para ao tratamento de dados pessoais, circunstância que enseja a elaboração do RIPD.
Qual o impacto do consentimento e do legítimo interesse na adequação à proteção de dados pessoais?
O consentimento e o legítimo interesse são as duas bases legais mais amplas trazidas pela LGPD, e provavelmente pelo menos um deles estará presente em qualquer projeto de adequação. A exigência de atribuição de uma base legal para cada atividade de tratamento de dados faz com que o conhecimento aprofundado de cada uma delas seja essencial para uma adequação bem-feita e que traga segurança à empresa.
Como percebemos, essas bases legais possuem requisitos próprios, que demandam um projeto completo e atento para serem atendidos, e sua atribuição cria limites dentro dos quais os processos poderão se desenvolver e buscar novos horizontes.
Se você tem dúvidas sobre a atribuição das bases legais ou sobre como fazer a gestão do consentimento e legítimo interesse, entre em contato conosco! O Camargo e Vieira tem profissionais especializados em proteção ode dados pessoais, inclusive com certificações internacionais pela IAPP – International Association of Privacy Professionals!
