Legítimo Interesse como Base Legal: Interpretação e Limites
Aqui está o artigo HTML completo:
“`html
A Lei Geral de Proteção de Dados (Lei n. 13.709/2018) trouxe ao ordenamento jurídico brasileiro um conjunto de bases legais que autorizam o tratamento de dados pessoais sem necessidade de consentimento. Entre elas, o legítimo interesse desponta como a mais flexível e, por isso mesmo, a mais suscetível a interpretações equivocadas. Neste artigo, examinamos o que a lei realmente exige para que o legítimo interesse seja invocado de forma válida, quais são seus limites objetivos e como os titulares podem exercer seus direitos frente a essa base legal.
O que é o Legítimo Interesse e Onde Ele se Encaixa na LGPD
O legítimo interesse está previsto no art. 7º, inciso IX, da LGPD, que autoriza o tratamento de dados pessoais quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Diferentemente do consentimento, que é uma manifestação livre, informada e inequívoca do titular, o legítimo interesse é uma base legal autorizativa que dispensa essa manifestação. O controlador parte do pressuposto de que possui razões legítimas para tratar dados e que essas razões são proporcionais ao impacto gerado sobre o titular. Não se trata, portanto, de uma “carta branca” para tratar quaisquer dados sem avisar ninguém. A lei impõe condições cumulativas que precisam ser atendidas.
Para compreender o instituto com precisão, é necessário distingui-lo de outras bases legais que também dispensam consentimento, como o cumprimento de obrigação legal (art. 7º, II), a execução de contrato (art. 7º, V) e a proteção da vida (art. 7º, VII). O legítimo interesse tem caráter residual e subsidiário: aplica-se quando nenhuma outra base legal é especificamente adequada ao caso concreto e quando o interesse perseguido justifica o tratamento.
A Autoridade Nacional de Proteção de Dados (ANPD) já manifestou, em orientações e notas técnicas, que o uso indiscriminado do legítimo interesse como “base universal” configura desvio de finalidade e pode ensejar responsabilização administrativa.
O Teste de Balanceamento: Passo a Passo
A doutrina especializada em proteção de dados, alinhada à experiência europeia com o Regulamento Geral de Proteção de Dados (GDPR), consolidou um método de três etapas para aferir a validade do legítimo interesse. Esse método, embora não esteja positivado expressamente na LGPD com esse nome, decorre da leitura sistemática do art. 7º, IX, c/c o art. 10 da mesma lei.
A primeira etapa consiste na identificação do interesse. O controlador deve ser capaz de articular, de forma clara e específica, qual é o interesse que justifica o tratamento. Interesses vagos como “melhoria dos serviços” ou “segurança da plataforma” não satisfazem esse requisito por si sós, pois carecem de substância descritiva. O interesse precisa ser real, atual e não meramente especulativo.
A segunda etapa é a análise de necessidade. Mesmo que o interesse seja legítimo, o tratamento dos dados deve ser necessário para alcançá-lo. Se o mesmo objetivo puder ser atingido por meios menos invasivos à privacidade, a invocação do legítimo interesse perde sustentação. Esse princípio se conecta diretamente ao princípio da minimização, previsto no art. 6º, III, da LGPD.
A terceira etapa é o balanceamento propriamente dito: o interesse do controlador deve prevalecer sobre os direitos e liberdades fundamentais do titular. Esse é o passo mais delicado, pois envolve um juízo de ponderação que varia conforme o contexto. Fatores relevantes incluem a natureza dos dados tratados, a relação entre controlador e titular, as expectativas razoáveis do titular e a magnitude dos impactos potenciais.
O legítimo interesse não é uma base legal de conveniência. Sua validade depende de um processo estruturado de avaliação que o controlador deve ser capaz de demonstrar documentalmente a qualquer momento.
Limites Objetivos e Situações em que o Legítimo Interesse não se Aplica
O art. 10 da LGPD traz balizamentos importantes. O dispositivo estabelece que o legítimo interesse somente pode fundamentar tratamentos que não violem direitos e liberdades fundamentais do titular e que se enquadrem nas finalidades legítimas do controlador, consideradas as expectativas razoáveis do titular e as práticas do mercado ou setor em que atua.
Há categorias de dados para as quais a invocação do legítimo interesse é vedada ou substancialmente restrita. Os dados sensíveis, listados no art. 11 da LGPD (dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dados genéticos ou biométricos), somente podem ser tratados com base em hipóteses específicas do art. 11, que não incluem o legítimo interesse genérico do art. 7º, IX. Portanto, nenhum controlador pode invocar legítimo interesse para tratar dados de saúde com fins comerciais, por exemplo.
Outra limitação relevante diz respeito ao tratamento de dados de crianças e adolescentes. O art. 14 da LGPD impõe regime protetivo reforçado para esse grupo, exigindo consentimento específico de pelo menos um dos pais ou responsável legal na maioria dos casos. O legítimo interesse, isoladamente, não autoriza o tratamento de dados pessoais de menores para finalidades que não se enquadrem nas exceções previstas no próprio art. 14.
Também merece atenção a vedação implícita ao uso do legítimo interesse para contornar hipóteses onde o consentimento seria a base adequada. Se o titular, em determinado contexto, tem uma expectativa razoável de que seu consentimento seria solicitado, o controlador não pode substituir essa expectativa pelo legítimo interesse sem que haja uma justificativa sólida e documentada.
No plano prático, setores como marketing direto, prevenção a fraudes, segurança da informação e análise de comportamento de clientes frequentemente invocam o legítimo interesse. Nesses casos, a validade da base legal dependerá sempre do resultado do teste de balanceamento realizado de forma individualizada para cada operação de tratamento.
Direitos dos Titulares e Obrigações do Controlador
A LGPD confere ao titular um direito específico associado ao legítimo interesse: o direito de oposição, previsto no art. 18, inciso IX. Por meio dele, o titular pode se opor a qualquer tratamento de seus dados pessoais realizado com fundamento em bases legais distintas do consentimento, inclusive o legítimo interesse, sempre que considerar que o tratamento está em desacordo com a lei.
Ao receber uma oposição, o controlador tem duas saídas: demonstrar que existem razões legítimas e imperiosas para o tratamento que se sobrepõem aos direitos do titular, ou cessar o tratamento. A recusa em atender à oposição sem fundamentação adequada configura violação à LGPD e pode gerar sanções administrativas pela ANPD, além de responsabilidade civil perante o titular.
Do ponto de vista das obrigações documentais, o art. 10, parágrafo 3º, da LGPD prevê que a ANPD pode solicitar ao controlador relatório de impacto à proteção de dados pessoais quando o tratamento tiver por base o legítimo interesse. Isso significa que o controlador deve manter registros que demonstrem o raciocínio percorrido para invocar essa base, incluindo a identificação do interesse, a análise de necessidade e o resultado do balanceamento.
A transparência é outro pilar essencial. A política de privacidade e os avisos de privacidade do controlador devem informar, de maneira clara e acessível, quais tratamentos são realizados com base no legítimo interesse e qual é esse interesse. Informações genéricas e imprecisas sobre a base legal utilizada não atendem ao princípio da transparência do art. 6º, VI, da LGPD.
Perguntas Frequentes sobre Legítimo Interesse na LGPD
Uma empresa pode usar legítimo interesse para enviar e-mails de marketing sem consentimento?
Depende do contexto e do resultado do teste de balanceamento. Em geral, o envio de comunicações comerciais para pessoas que nunca tiveram nenhum relacionamento com a empresa dificilmente supera o teste, pois o titular não tem expectativa razoável de receber essas mensagens. Para clientes que já adquiriram produtos ou serviços similares, o legítimo interesse pode ser invocado com mais consistência, desde que o titular não tenha se oposto ao tratamento e que as comunicações sejam pertinentes ao contexto do relacionamento anterior. Em qualquer caso, é imprescindível oferecer mecanismo claro de opt-out.
O legítimo interesse pode ser usado para tratar dados de saúde de clientes?
Não. Dados de saúde são classificados como dados sensíveis pelo art. 11 da LGPD. O tratamento de dados sensíveis não pode ser fundamentado no legítimo interesse genérico previsto no art. 7º, IX. Para essa categoria, a lei exige bases legais específicas listadas no art. 11, como consentimento específico e destacado, cumprimento de obrigação legal, execução de contrato na área de saúde ou tutela da saúde. O uso indevido do legítimo interesse para tratar dados sensíveis configura infração administrativa sujeita a sanção pela ANPD.
Como um titular pode exercer o direito de oposição ao tratamento baseado em legítimo interesse?
O titular deve entrar em contato com o encarregado de proteção de dados (DPO) ou com o canal de atendimento indicado na política de privacidade do controlador, manifestando expressamente sua oposição ao tratamento específico. A solicitação pode ser feita por qualquer meio que permita comprovar o pedido. O controlador tem prazo para responder e deve ou atender à oposição, cessando o tratamento, ou demonstrar motivação legítima e imperiosa que justifique a continuidade. Caso a resposta seja insatisfatória ou inexistente, o titular pode apresentar reclamação perante a ANPD.
Pequenas empresas também precisam documentar o uso do legítimo interesse?
Sim. A obrigação de documentação não está condicionada ao porte da empresa. Qualquer controlador que invoque o legítimo interesse como base legal para tratamento de dados pessoais deve ser capaz de demonstrar, quando solicitado pela ANPD ou pelo titular, que realizou o teste de balanceamento e que o resultado justifica o tratamento. A ausência de documentação não afasta a responsabilidade, pelo contrário, pode ser interpretada como sinal de que a análise nunca foi feita de forma adequada.
Este artigo tem caráter exclusivamente informativo e educativo, não constituindo aconselhamento jurídico. As situações concretas envolvendo proteção de dados pessoais apresentam particularidades que exigem análise individualizada por profissional habilitado. Para orientação específica sobre a sua situação, recomendamos consultar um advogado especializado em direito digital e proteção de dados.
“`
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.