Legítimo Interesse como Base Legal: Interpretação e Limites

O legítimo interesse é uma das bases legais mais flexíveis da LGPD, mas sua aplicação exige análise rigorosa de proporcionalidade e transparência para não se tornar um pretexto para o uso indiscriminado de dados pessoais.

O Legítimo Interesse no Contexto da LGPD

A Lei Geral de Proteção de Dados (Lei 13.709/2018) estabeleceu dez bases legais para o tratamento de dados pessoais, e entre elas o legítimo interesse ocupa uma posição singular. Previsto no artigo 7º, inciso IX, ele permite que o controlador trate dados pessoais quando necessário para atender aos seus interesses legítimos ou de terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular. Diferentemente do consentimento, que depende de manifestação expressa do titular, o legítimo interesse confere ao controlador uma margem de atuação que, embora ampla, não é ilimitada.

Quando se analisa a estrutura normativa da LGPD, percebe-se que o legislador brasileiro se inspirou significativamente no Regulamento Geral sobre a Proteção de Dados europeu (GDPR), que também contempla o legítimo interesse como base legal em seu artigo 6º, alínea “f”. Contudo, a legislação brasileira trouxe particularidades importantes, como a exigência expressa de que o tratamento seja realizado apenas para finalidades legítimas, consideradas a partir de situações concretas. Isso significa que a invocação do legítimo interesse não pode ser abstrata ou genérica: cada operação de tratamento precisa ser justificada individualmente.

No contexto de due diligence de dados, essa base legal assume relevância especial. Processos de auditoria, verificação de conformidade, análise de riscos em operações societárias e investigações internas frequentemente envolvem o tratamento de grandes volumes de dados pessoais. Nesses cenários, obter o consentimento de cada titular pode ser inviável ou até contraproducente (como em investigações de fraude, em que alertar o titular comprometeria a apuração). É precisamente nessas situações que o legítimo interesse se apresenta como a base legal mais adequada, desde que utilizado com a devida cautela.

O Teste de Balanceamento e o Relatório de Impacto

A aplicação do legítimo interesse como base legal não é automática. O artigo 10 da LGPD impõe condições específicas que se verifica serem frequentemente negligenciadas na prática empresarial. O tratamento deve ser realizado somente para finalidades legítimas, consideradas a partir de situações concretas, que incluem (sem se limitar a) o apoio e promoção de atividades do controlador e a proteção do exercício regular de direitos do titular ou prestação de serviços que o beneficiem.

O instrumento central para a correta aplicação do legítimo interesse é o chamado teste de balanceamento (ou Legitimate Interest Assessment, LIA). Embora a LGPD não descreva explicitamente as etapas desse teste, a doutrina e as orientações da Autoridade Nacional de Proteção de Dados (ANPD) consolidaram uma metodologia em quatro fases que se considera essencial para qualquer operação de due diligence:

Primeira fase: legitimidade do interesse. Verifica-se se o interesse perseguido pelo controlador é lícito, específico e claramente articulado. Interesses vagos como “melhoria dos serviços” ou “fins comerciais” são insuficientes. No contexto de due diligence, o interesse pode ser, por exemplo, a verificação de passivos trabalhistas de uma empresa-alvo em uma operação de fusão ou aquisição.

Segunda fase: necessidade do tratamento. Avalia-se se o tratamento dos dados pessoais é efetivamente necessário para atingir a finalidade pretendida, ou se existem meios menos invasivos para alcançar o mesmo resultado. A minimização dos dados tratados é um princípio que permeia toda a LGPD (artigo 6º, inciso III) e ganha especial importância quando o tratamento se fundamenta no legítimo interesse.

Terceira fase: balanceamento propriamente dito. Ponderamos os interesses do controlador contra os direitos e expectativas razoáveis do titular. Fatores como a natureza dos dados (se são sensíveis ou não), o contexto do tratamento, a relação entre controlador e titular, e as possíveis consequências para o titular são considerados nesta etapa. Dados de crianças e adolescentes, por exemplo, recebem proteção reforçada que dificilmente será superada pelo legítimo interesse do controlador.

Quarta fase: salvaguardas. Identificam-se as medidas que o controlador deve adotar para mitigar os riscos ao titular, como técnicas de anonimização, pseudonimização, limitação de acesso, políticas de retenção e mecanismos de transparência. Essas salvaguardas podem inclusive inclinar o balanceamento em favor do controlador em casos que, sem elas, seriam desfavoráveis.

O legítimo interesse não é um cheque em branco para o tratamento de dados: cada operação exige documentação robusta, teste de proporcionalidade e salvaguardas concretas que protejam os direitos do titular.

Além do teste de balanceamento, o artigo 10, parágrafo 3º, da LGPD prevê que a ANPD poderá solicitar ao controlador o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento tiver como fundamento o legítimo interesse. Esse relatório, descrito no artigo 5º, inciso XVII, deve conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, e a análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

Legítimo Interesse em Operações de Due Diligence

Nos processos de due diligence, o legítimo interesse apresenta nuances que merecem atenção específica. Quando uma empresa conduz auditoria sobre outra (em contextos de fusões, aquisições, joint ventures ou investimentos), o volume de dados pessoais envolvidos pode ser expressivo: informações de empregados, clientes, fornecedores, sócios e até de terceiros que mantêm relações contratuais com a empresa auditada.

Analisa-se que, nesse cenário, tanto o controlador que compartilha os dados (a empresa auditada) quanto o que os recebe (a empresa interessada na operação ou seus consultores) precisam fundamentar adequadamente o tratamento. A empresa auditada pode invocar o legítimo interesse para compartilhar dados de seus empregados e parceiros comerciais com os auditores, desde que implemente salvaguardas como acordos de confidencialidade (NDAs), limitação do escopo de acesso e anonimização parcial quando possível.

Um ponto que frequentemente gera controvérsia é o tratamento de dados sensíveis durante a due diligence. O artigo 11 da LGPD estabelece um rol taxativo de bases legais para o tratamento de dados sensíveis, e o legítimo interesse não está entre elas. Isso significa que, ao deparar-se com dados de saúde de empregados, informações sobre filiação sindical ou dados biométricos durante um processo de auditoria, o controlador precisará identificar outra base legal aplicável (como o cumprimento de obrigação legal ou regulatória) ou adotar estratégias de anonimização que removam o caráter de dado pessoal sensível.

Outro aspecto relevante diz respeito à expectativa razoável do titular. Empregados de uma empresa que está sendo adquirida podem razoavelmente esperar que seus dados cadastrais e funcionais sejam analisados pelos potenciais compradores, mas dificilmente teriam a expectativa de que informações sobre processos disciplinares internos ou avaliações de desempenho fossem compartilhadas sem qualquer restrição. Essa análise de expectativa razoável é um dos elementos centrais do teste de balanceamento e exige sensibilidade por parte dos operadores jurídicos envolvidos.

Limites e Vedações ao Uso do Legítimo Interesse

Embora o legítimo interesse seja uma base legal versátil, identificam-se limites claros que não podem ser ultrapassados. O primeiro e mais evidente é a vedação ao tratamento de dados sensíveis, conforme já mencionamos. O artigo 11 da LGPD não inclui o legítimo interesse entre as hipóteses autorizadoras, o que impõe uma barreira significativa em processos de due diligence que envolvam, por exemplo, setores de saúde ou entidades sindicais.

O segundo limite importante está no artigo 10, parágrafo 1º, que restringe o tratamento ao mínimo necessário para a realização das finalidades pretendidas, abrangendo apenas dados estritamente necessários. Essa disposição reforça o princípio da minimização e impede que o controlador utilize o legítimo interesse como justificativa para coletar ou acessar dados além do indispensável.

O terceiro limite concerne à transparência. A legislação de proteção de dados garante ao titular o direito de se opor ao tratamento baseado no legítimo interesse, caso a operação esteja em desconformidade com a LGPD. Isso implica que o controlador deve informar o titular sobre o tratamento (respeitando as exceções legais, como em investigações de fraude) e disponibilizar mecanismos efetivos para o exercício desse direito de oposição.

No âmbito regulatório, a ANPD tem se manifestado de forma cautelosa sobre o legítimo interesse. O Guia Orientativo sobre Bases Legais publicado pela autoridade enfatiza que essa hipótese não deve ser utilizada como “base legal residual”, ou seja, como alternativa quando nenhuma outra base legal parece aplicável. Cada tratamento deve ser avaliado individualmente, e a escolha do legítimo interesse precisa ser fundamentada em uma análise concreta e documentada.

Verifica-se também que a jurisprudência brasileira sobre o tema ainda está em formação. As decisões administrativas da ANPD e as decisões judiciais sobre proteção de dados têm gradualmente construído parâmetros interpretativos, mas ainda não existe um corpo consolidado de precedentes que permita previsibilidade absoluta. Essa incerteza reforça a importância de uma abordagem conservadora e bem documentada ao utilizar o legítimo interesse, especialmente em operações de alto valor como processos de due diligence.

Boas Práticas para a Aplicação Segura do Legítimo Interesse

Diante dos riscos e incertezas que cercam o uso do legítimo interesse, consolida-se um conjunto de boas práticas que se considera essenciais para qualquer organização que pretenda fundamentar tratamentos de dados nessa base legal, particularmente em contextos de due diligence:

Documentação exaustiva. Cada tratamento baseado no legítimo interesse deve ser acompanhado de um registro detalhado que inclua o teste de balanceamento completo, as salvaguardas adotadas e a justificativa para a escolha dessa base legal em detrimento de outras. Essa documentação será essencial em caso de fiscalização pela ANPD ou de questionamento judicial por parte de titulares.

Revisão periódica. O legítimo interesse não é estático. As circunstâncias que justificaram o tratamento podem mudar ao longo do tempo, exigindo nova avaliação. Em processos de due diligence de longa duração, recomenda-se revisões trimestrais do teste de balanceamento para verificar se as condições originais permanecem válidas.

Minimização efetiva. Não basta declarar que os dados tratados são os “mínimos necessários”. É preciso demonstrar concretamente que alternativas menos invasivas foram consideradas e descartadas por razões objetivas. Técnicas como pseudonimização, agregação de dados e limitação temporal de acesso são medidas que fortalecem a posição do controlador.

Transparência ativa. Sempre que possível (e que não comprometa a finalidade do tratamento), os titulares devem ser informados sobre o uso de seus dados com base no legítimo interesse. Avisos de privacidade claros, políticas de proteção de dados acessíveis e canais de comunicação efetivos para o exercício de direitos são componentes indispensáveis dessa transparência.

Engajamento do encarregado (DPO). O encarregado pela proteção de dados pessoais deve participar ativamente da análise e aprovação de tratamentos baseados no legítimo interesse. Sua participação confere uma camada adicional de governança e demonstra o comprometimento da organização com a conformidade regulatória.

Essas práticas não eliminam os riscos inerentes ao uso do legítimo interesse, mas reduzem significativamente a exposição do controlador a sanções administrativas e ações judiciais. Em um cenário regulatório em constante evolução, a prudência e a documentação são os melhores aliados de qualquer programa de conformidade em proteção de dados.

Esse assunto tem relação direta com deepfakes e IA no Brasil, tema que se aborda em artigo específico.

Esse assunto tem relação direta com marco legal da inteligência, tema que se aborda em artigo específico.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.