Hoje nossa postagem é sobre o legítimo interesse, e neste texto vou deixar claro que o legítimo interesse não deixou de existir depois da Emenda Constitucional 115, de 2022. Mas antes quero agradecer às mais de 500 pessoas que assistiram à minha aula no último sábado.
Para quem não sabe, no último dia 2 de abril a TIexames e a DataUX apresentaram a 2ª parte da Jornada Inicial do Gestor de Privacidade. A 1ª parte já havia sido disponibilizada de maneira gratuita, correspondendo a 4h de aulas gravadas sobre a LGPD. Nesta 2ª parte falamos sobre como fazer da privacidade um diferencial competitivo para o seu negócio (ou para quem você presta seus serviços), com ênfase em dois eixos principais: 1) Redução de gastos devido a uma boa aplicação de medidas técnicas e adminmistrativas que evitem violações de dados; e 2) Entendimento de que em privacidade não se gasta, mas se investe – já que 81% das empresas têm retornos financeiros decorrentes do investimento em privacidade.
Mas vamos lá falar sobre o legítimo interesse. Nesta mesma aula no último sabado, recebi um comentário que dizia mais ou menos assim: após a Emenda Constitucional nº 115, de 2022, que incluiu a proteção de dados no rol dos direitos fundamentais, não será mais possível utilizar a base legal “legítimo interesse”. O argumento seria o de que a proteção constitucional de dados pessoais veda o uso do legítimo interesse pelas empresas em geral.
Bom, na verdade não é bem assim. Mas vamos por partes.
A referida Emenda Constitucional incluiu o inciso LXXIX no caput do Art. 5º da Constituição Federal. Este inciso LXXIX diz o seguinte:
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.
Agora vamos olhar para a LGPD, especificamente o que diz o inciso IX do seu Art. 7º, que traz a explicação da base legal “legítimo interesse”:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado [… IX -] quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Ora, estes dois dispositivos não são contraditórios entre si. Se preferir, podemos dizer que o novo inciso do Art. 5º da Constituição não revogou o o inciso IX do Art. 7º da LGPD. A base legal “legítimo interesse” continua aí, viva, feliz, “livre, leve e solta”, para ser usada conforme análise do controlador com base no princípio da responsabilização e prestação de contas.
O que a base legal “legítimo interesse” exige é que o controlador avalie os seus interesses em relação aos direitos e liberdades fundamentais do titular – é a chamada “avaliação do legítimo interesse” (sigla em inglês, LIA). Ou seja, o controlador precisará avaliar se os seus interesses suplantam ou são preponderantes em relação aos direitos e liberdades fundamentais do titular. Neste sentido, é claro que a proteção de dados é agora um direito fundamental do titular pela introdução do o inciso LXXIX no caput do Art. 5º da Constituição Federal. Mas isto não é o mesmo que dizer que este direito seja superior a qualquer outro – até mesmo porque não existem direitos absolutos.
Voltando à LIA, após sua realização o controlador poderá decidir que seus interesses suplantam os direitos e liberdades fundamentais dos titulares. Um exemplo claro disso está no caso de monitoramento de segurança de rede. É óbvio que os titulares têm direitos e liberdades quando estão trabalhando por uma empresa, mas a empresa também têm o direito de defender seu parque informático. Aqui faz-se claramente uma ponderação de valores em relação a ambos os direitos e é possível defender que o direito da empresa em se proteger é superior aos direitos e liberdades dos seus funcionários. A isto dá-se o nome de proporcionalidade, que é a terceira – e mais importante – parte da LIA.
Ao mesmo tempo, dizer que os interesses da empresa estão acima dos direitos e liberdades dos titulares não significa dizer que estes direitos e liberdades estão sendo infringidos. Novamente, e sendo repetitivo, é por isso que existe a LIA: é aqui que o controlador irá demonstrar como analisa seu relacionamento com os titulares. É neste documento que o controlador irá indicar quais são as medidas que ele obrigatoriamente irá aplicar justamente para garantir que estes direitos e liberdades sejam garantidos. É na LIA que se faz, portanto, o exercício da proporcionalidade entre a finalidade do controlador e os direitos e liberdades dos titulares – não havendo nenhum impedimento no uso dos dados dos titulares com base nesta base legal, mas sim a busca de um equilíbrio que concretize outro princípio da LGPD, o já citado princípio da responsabilidade e prestação de contas.
Não há, portanto, qualquer impedimento ao uso da base legal “legítimo interesse” a partir do momento que a proteção de dados pessoais passou a ser um direito fundamental. O legítimo interesse não deixou de existir ou de poder ser aplicável pela LGPD. O que passou a existir (se é que podemos falar desta forma, pois na minha visão isso já existia antes) foi um importante reforço à atenção que o controlador deve dar ao utilizar esta base legal para fundamentar suas atividades de tratamento. A realização de uma LIA não é obrigatória pela LGPD, mas é uma boa prática importantíssima para que o controlador possa demonstrar a accountability necessária na proteção de dados. Sem a LIA o controlador muito provavelmente não conseguirá utilizar corretamente a base legal “legítimo interesse”, o que poderá trazer problemas como a perda de confiança dos seus clientes e consumidores.
Já realizei uma Oficina de Privacidade sobre o legítimo interesse. Caso você queira saber mais clique aqui para saber mais sobre esta e outras Oficinas de Privacidade.
Você concorda que o legítimo interesse não deixou de existir ou defende que o legítimo interesse foi revogado da LGPD com base na Emenda Constitucional 115? Deixe abaixo seus comentários!
Concordo plenamente com o seu texto. Ela não foi revogada. Não vejo muito sentido o fato da proteção de dados se tornar um direito fundamental e revogar a base legal do legítimo interesse.
Como você bem indicou, esse é um outro ponto relevante: se proteção de dados se tornou direito fundamental, não há porque revogar uma possibilidade de tratamento de dados – deve-se, pelo contrário, buscar fortalecer a proteção quando estes tratamentos ocorrerem.