Dayana Caroline Costa, Deborah Siqueira de Oliveira, Fernando Bousso, Mariana de Souza Cruz Caparelli, Raphael Dutra da Costa Campos, Vanessa Pareja Lerner

Orientação e Revisão: Alan Campos Elias Thomaz

Introdução

Este artigo tem como objetivo analisar a figura do legítimo interesse (ou interesse legítimo), uma das bases legais que justificam o tratamento[1] de dados pessoais[2].

Historicamente, o Brasil regulou o tema de proteção de dados de forma incidental em legislações esparsas e setoriais, como aquelas que visam proteger o direito à privacidade, acesso à informação, direito de imagem, entre outras. Com a aprovação da Lei Geral de Proteção de Dados (Lei nº 13.709/18 – “LGPD”), as hipóteses que autorizam o tratamento de dados pessoais são unificadas em uma só norma legal[3], agora aplicável a todos os setores da economia, privado ou público, e aos meios digitais e físicos.

Passamos então a analisar o interesse legítimo, uma das bases legais que autoriza ou justifica o tratamento de dados pessoais no âmbito da LGPD.

Conceituações de Interesse Legítimo

A LGPD foi inspirada no Regulamento Europeu de Proteção de Dados (General Data Protection Regulation, ou “GDPR”) e na sua norma antecessora, a Diretiva 95/46/EC. Assim, a LGPD “emprestou” muitos conceitos bem-sucedidos do GDPR e da Diretiva 95/46/EC, incluindo o modelo de regulação completa, aplicável a vários setores da economia, e ao setor público e privado de forma igualitária. Isso para enfrentar o desafio da garantia à privacidade em um mundo no qual cada vez mais esse conceito parece ser relativizado.

No modelo normativo adotado pela LGPD, cada operação de tratamento de dados pessoais deve ser justificada em uma base lega prevista em lei. A princípio, não há hierarquia entre as hipóteses legais que viabilizam o tratamento de dados, cabendo a cada controlador[4] avaliar qual seria a mais adequada para o seu caso concreto. Cada base legal traz consigo um conjunto de direitos e obrigações, o que torna a opção por uma ou outra base legal uma decisão estratégica.

Uma das bases legais mais polêmicas é o “legítimo interesse do controlador ou de terceiros”, previsto no Artigo 7º, inciso IX, da LGPD, conforme abaixo:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

Diferentemente das demais bases legais previstas na LGPD[5], o interesse legítimo tem uma aplicação aberta, justamente para autorizar o tratamento em situações não delineadas de forma expressa, como nos casos de tratamento de dados pessoais para fins de execução de contrato, quando necessário para cumprimento de obrigação legal ou regulatória, entre outras situações cuja aplicação é mais limitada e pré-definida.

Assim, à primeira vista essa base legal parece ter maior potencial de viabilizar o tratamento de dados pessoais em um número significativo de situações, mas a sua aplicação pode trazer ônus considerável ao controlador, conforme veremos a adiante neste artigo.

A LGPD não limita expressamente os casos concretos que poderão usufruir dessa base legal ou indica exaustivamente quais os critérios que devem ser usados para determinar a limitação de um legítimo interesse do controlador ou de terceiros, quando contrapostos aos direitos e liberdades dos titulares afetados.

De modo geral, a LGPD determina que o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas (Artigo 10 da LGPD). Essa limitação visa justamente impedir a utilização do interesse legítimo para justificar o tratamento de dados pessoais em situações futuras e hipotéticas, que não podem ser bem delineadas.

O Artigo 10 da LGPD traz um rol exemplificativo de situações que poderiam, pelo menos a princípio, serem justificadas a partir do interesse legítimo, são elas:

(…) I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Apesar de serem situações expressamente previstas na LGPD, a utilização dos dados pessoais com base no interesse legítimo parece requerer, em qualquer caso e a partir da leitura do inciso IX do Artigo 7º da LGPD (“quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”), um teste de proporcionalidade entre o legítimo interesse ventilado e os direitos e liberdades dos titulares afetados. Isso para identificar se os direitos e liberdades do titular devem prevalecer sobre o interesse legítimo ventilado. Detalharemos na seção 5 deste artigo como essa ponderação ou teste de proporcionalidade pode ser realizado na prática.

Seguindo o modelo europeu, esse teste de proporcionalidade pode ser feito por meio de um Legitmate Interest Assesment (“LIA”), ou seja, uma avaliação interna de legítimo interesse feita pelo próprio controlador previamente ao tratamento de dados com base em legítimo interesse. Logo, o uso do legítimo interesse impõe ao controlador um ônus significativo de assegurar que essa avaliação tenha sido realizada de forma adequada. Ponto relevante é que tal avaliação pode ser a qualquer tempo questionada pela autoridade competente (no caso brasileiro, a Autoridade Nacional da Proteção de Dados – “ANPD”), de modo que a diligência e atenção na sua realização deve ser redobrada.

Relatório de Impacto à Proteção de Dados Pessoais

Por definição (Artigo 5º, inciso XVII, da LGDP), o Relatório de Impacto à Proteção de Dados Pessoais é documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

A LGPD não estabelece de forma expressa e taxativa os casos em que o controlador deve produzir o Relatório de Impacto à Proteção de Dados Pessoais para fins de justificar o interesse legítimo como base legal aplicável ao caso em concreto. No entanto, a sua elaboração pode ser um meio de (a) documentar o teste de proporcionalidade entre o interesse legítimo do controlador ou terceiro e os direitos e liberdades individuais dos titulares afetados, de modo a justificar a utilização da base legal prevista no Artigo 7º, inciso IX, da LGPD[6]; (b) manter um registro das operações de tratamento de dados pessoais que realizar, de modo a atender o previsto no Artigo 37 da LGPD[7]; e (c) nos casos exigidos pela ANPD (a ser regulamentado), atender ao requisito de elaboração de tal relatório, conforme previsto no Artigo 38 da LGPD[8].

De acordo com o Artigo 38, parágrafo único, da LGPD, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Limitações ao Interesse Legítimo

Algumas limitações à aplicação do legítimo interesse valem ser mencionadas.

Na LGPD, o interesse legítimo é uma das bases legais disponíveis para justificar o tratamento de dados pessoais. Por outro lado, não consta como base legal que justifique o tratamento de “dados pessoais sensíveis”.

Por definição, dados pessoais sensíveis são aqueles que revelem “a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Artigo 5º, inciso II, da LGDP).

Dessa forma, havendo operação de tratamento que envolva dados pessoais e dados pessoais sensíveis ao mesmo tempo, o interesse legítimo seria insuficiente para justificar tal operação como um todo, pois somente é capaz de justificar o tratamento de dados pessoais.

Ainda que discutível e de aplicação controversa, uma segunda limitação que poderia ser ventilada é a utilização do interesse legítimo para tratamento de dados de crianças e adolescentes. Isso porque o Artigo 14 da LGPD assim estabelece:

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Com base no dispositivo acima, seria possível dizer que o §1º do artigo 14 da LGPD somente autorizaria o tratamento de dados pessoais de crianças e adolescentes mediante consentimento específico e em destaque de ao menos um dos pais ou do responsável legal da criança, afastando por completo o tratamento de dados pessoais de crianças com base no legítimo interesse e/ou outra base legal prevista no Artigo 7º da LGPD.

No entanto, essa não parece ser a melhor e única interpretação, considerando o modelo regulatório adotado pela LGPD, no qual o tratamento de dados pode ser justificado no consentimento e/ou em qualquer outra base legal disponível. Isso porque as demais bases legais (outras que não o consentimento) são necessárias para que, por exemplo, o controlador cumpra com suas obrigações legais ou regulatórias, exerça sua defesa em processo judicial, entre outras situações que não seria razoável depender do consentimento.

Assim, parece que o Artigo 14 da LGPD e seus parágrafos não buscam afastar o modelo regulatório de tratamento de dados com diferentes bases legais disponíveis, mas apenas reforçar que, ao tratar dados pessoais de crianças (e adolescentes) com base no consentimento, tal consentimento deve ser (a) específico e em destaque; e (b) fornecido pelos pais ou responsáveis.

Teste de Ponderação

De modo geral, a aplicação do interesse legítimo como base legal de tratamento exige a demonstração da existência de um equilíbrio entre o interesse do controlador e/ou terceiro, e os direitos e liberdades do titular dos dados pessoais.

Esse desafio de ponderação pode ser superado através de um teste de proporcionalidade no qual o interesse legítimo do controlador e/ou terceiro é confrontado com os direitos e liberdades fundamentais do titular dos dados. O resultado deste teste de ponderação determina, em grande medida, se o artigo 7º, inciso IX, pode ser utilizado como justificativa para o tratamento pretendido.

A primeira impressão que pode resultar da conjectura acima é a de que o teste de ponderação é quase que um teste matemático, na qual se somam pontos para cada uma das partes envolvidas e ao final, de acordo com o somatório, conclui-se pela prevalência dos interesses legítimos do responsável ou pela predominância dos direitos e liberdades fundamentais do titular. Essa premissa é equivocada.

Aplicar o teste de ponderação pode ser tarefa árdua, complexa e muitas vezes subjetiva, pois leva em conta uma série de fatores que isoladamente já dariam ensejo um estudo aprofundado e extenso. Na ausência de regulamento específico para reduzir a subjetividade da aplicação dessa hipótese de tratamento, é possível também tomar emprestadas algumas das diretrizes interpretativas e exemplificativas colocadas pelo Parecer nº 06/2014 do Working Party 29[9], cabendo, claro, adaptações à realidade brasileira.

De forma simplificada, didaticamente é possível dividir o teste de ponderação em quatro etapas. São elas:

Identificação do Interesse Legítimo do Controlador ou de Terceiro:

Um primeiro aspecto importante é que o interesse legítimo aventado pode ser do próprio controlador ou de terceiro. Ou seja, o controlador poderia justificar o tratamento de dados pessoais com base em um interesse legítimo de terceiro.

Conforme mencionado na seção 2 deste artigo, o interesse legítimo deve ser considerado a partir de situações concretas (Artigo 10, inciso I, da LGPD). Isso quer dizer que a análise ponderativa deve se dar sempre com base em interesses atuais e conhecidos, não sendo possível quando o tratamento dos dados pessoais se pretende realizar para situações futuras e hipotéticas.

Além disso, o objetivo do tratamento em um caso real e concreto deve estar em conformidade com a legislação em matéria de proteção de dados e com as demais legislações aplicáveis. Ou seja, interesse seria legítimo quando identificado (pelo menos) como lícito, moral e admissível, nos termos das leis vigentes.

Necessidade para Atingir a Finalidade[10];

Superado o primeiro passo, avança-se para a segunda etapa do teste de ponderação. Nesta fase deve-se avaliar se o tratamento é necessário e corresponde a meio menos gravoso para os envolvidos, de modo que seja possível alcançar a finalidade pretendida. Ou seja, deve-se avaliar se há outro meio razoável de alcançar o mesmo objetivo, que seja menos invasivo à privacidade do(s) titular(es) afetado(s), considerando o contexto em que o tratamento está inserido.

Além disso, nesta análise é importante avaliar a relação entre os objetivos e os meios escolhidos, ou seja, se de fato o meio escolhido é capaz de atingir o objetivo declarado.

Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados (Artigo 10, §1º, da LGPD). Assim, é importante avaliar se não há dados pessoais sendo tratados em excesso, considerando a finalidade para qual estes serão utilizados.

Prevalência dos Direitos e Liberdades Fundamentais do Titular;

Superada a segunda fase, passa-se à etapa de balanceamento na qual se verifica se os direitos e liberdades do titular devem prevalecer sobre o interesse legítimo do controlador e/ou do terceiro.

A existência da prevalência entre os direitos e liberdades do titular requer uma avaliação cuidadosa. Entre outras, as seguintes características do tratamento poderiam ser avaliadas nesta etapa:

• A natureza dos interesses do controlador (se é um direito fundamental, um interesse público, ou outro);
• O possível prejuízo sofrido pelo controlador, por terceiros ou pela comunidade em geral, caso o processamento de dados não ocorra;
• A natureza dos dados;
• A relação do titular e do controlador (cliente com relacionamento anterior, cliente em prospecção, funcionário em processo seletivo ou já empregado, etc.);
• A forma como os dados são processados (dados acessíveis publicamente são coletados, dados são coletados por meio de terceiros, o tratamento é realizado em grande escala, é criado um perfil econômico ou social do titular, etc.);
• Os direitos fundamentais e/ou interesses do titular que possam ser afetados (direito à vida, liberdade, saúde, direitos econômicos, etc.);
• As expectativas razoáveis dos titulares, considerando o contexto no qual os dados são tratados; e
• Os impactos no titular em comparação com o benefício esperado do tratamento.

Salvaguardas e Medidas Específicas:

Concluídas as três etapas do teste de ponderação, uma quarta fase se inicia para avaliar a introdução de medidas complementares que funcionam como salvaguardas e ajudam a reduzir o impacto do tratamento dos dados nos titulares. Nesta etapa, o controlador deve buscar medidas razoáveis para mitigar os riscos ao titular dos dados, como, por exemplo, reduzir a possibilidade de impacto negativo à esfera de privacidade deste titular.

Sem termos a pretensão de sermos exaustivos, citamos abaixo algumas dessas medidas que poderiam ser consideradas.

Direito ao Opt-out: O controlador pode oferecer mecanismos eficazes para que o titular possa exercer seu direito à autodeterminação informativa, por exemplo, com controles de privacidade ou por meio do direito à oposição no tratamento dos dados (i.e., o direito ao opt-out). Autorizar o titular a se opor contra o tratamento realizado, em qualquer caso, pode ajudar a justificar que os direitos e liberdades do titular não devem prevalecer sobre o interesse legítimo do controlador ou terceiro. Um bom exemplo de aplicação prática dessa medida é a inserção da opção “Clique aqui para deixar de receber estas mensagens”, inserida no corpo das mensagens de e-mail marketing;

Maior Transparência: Aumentar a transparência sobre como os dados estão sendo tratados pode também ajudar a mitigar os efeitos do tratamento pretendido e o impacto nas expectativas do titular. Esta seria uma medida complementar ao direito à transparência previsto no Artigo 9 da LGPD, no qual fica assegurado ao titular o acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva ao titular. Um bom exemplo de aplicação prática dessa medida é a inserção de avisos como “Você está sendo filmado”;

Medidas técnicas: O uso de técnicas de anonimização, pseudonimização ou uso somente de dados agregados pode ajudar a oferecer uma menor exposição ao titular.

O uso de qualquer das ferramentas ou medidas acima pode ajudar a favorecer o interesse legítimo do controlador e também oferecer uma melhor proteção e garantias aos titulares afetados.

A aplicação do teste de ponderação entre interesse legítimo do controlador e/ou do terceiro e os direitos e liberdades do titular pode requerer, como visto acima, a análise de fatores subjetivos relacionados à atividade de tratamento que se pretende justificar nesta base legal.

Aspecto relevante é que essa análise pode vir a ser questionada a qualquer tempo pela ANPD. Assim, como demonstrado na seção 3 deste artigo, é importante documentar e manter o registro dos fatores que embasaram a conclusão do controlador de que o interesse legítimo seria de fato a base legal adequada para justificar o tratamento de dados pretendido.

Aplicação e Casos Práticos

A ponderação entre o interesse legítimo e os direitos e liberdades do titular afetado deve ser realizada de forma casuística, visto que depende essencialmente das circunstâncias do caso concreto, como vimos na seção anterior deste artigo.

Embora tanto o GDPR[11] quanto a LGPD[12] apresentem situações que demonstrem a possibilidade de justificar o tratamento de dados no legítimo interesse, estas são situações mencionadas em caráter meramente exemplificativo, que têm por objetivo contribuir para a formação do racional sobre o tema, mas que nem de longe delimitam a amplitude deste fundamento legal de tratamento.

Os exemplos trazidos nesta seção têm como objetivo demonstrar casos nos quais o interesse legítimo foi entendido como a base legal adequada para justificar o tratamento pretendido. Tais casos estão inseridos no contexto europeu, sujeitos às regras impostas pelo GDPR ou pela Diretiva 95/46/EC e, assim, precisam ser adaptados para realidade brasileira, algo que não pretendemos fazer neste artigo.

Utilizamos como principais, mas não únicas, fontes para esta análise um levantamento feito pelo Centre for Informartion Policy Leadership em 2017[13] e uma pesquisa realizada pelas organizações The Future of Privacy Forum e Nymity[14], que consolidam alguns casos práticos de aplicação do interesse legítimo no contexto europeu. De modo geral, verificamos que o legítimo interesse tem sido utilizado na União Europeia para fundamentar o tratamento de dados nos seguintes contextos:

Detecção de Fraude

Muitas organizações precisam processar dados pessoais para monitorar, detectar e prevenir fraudes. Por exemplo, pode ser necessário tratar dados pessoais para validar a identidade de um titular, seja na contratação de um produto e/ou serviço ou ao longo da relação entre o titular e o controlador.

Utilização de Sistemas e Cybersegurança

O tratamento de dados muitas vezes é necessário para analisar o uso de sistemas de tecnologia da informação, de modo a protegê-los, por exemplo, contra incidentes em geral. Assim, para fins de cybersegurança, pode ser necessário tratar dados pessoais. Além disso, caso ocorra um incidente, pode ser necessário tratar dados pessoais para investigar e apurar o ocorrido, além de aprimorar a segurança do respectivo produto e/ou serviço.

Tratamento de dados de empregados

O tratamento de dados de empregados pode ser necessário para consolidar informações e realizar reportes a administração da companhia, por exemplo. Além disso, o interesse legítimo poderia justificar atividades como background checks (quando permitidos pela legislação aplicável), monitoramento de funcionários, controle de entrada e saída, investigação para apuração de cumprimento de políticas internas, realização avaliação e acompanhamento de desenvolvimento do empregado, deslocamento em viagens, entre outras situações.

Operações de Negócio

O tratamento de dados pode ser necessário para operações rotineiras de back office, auditorias, realização de análises de risco e análises estratégicas do negócio, compartilhamento de informações entre empresas afiliadas para fins de gestão do grupo econômico, em operações de M&A ou de reestruturação societária, e outras atividades corporativas.

Desenvolvimentos e Melhorias em Produtos e Serviços

O tratamento de dados pode ser utilizado para desenvolver e/ou melhorar produtos e serviços já existentes. Na medida em que o controlador possa coletar, por exemplo, informações sobre como os consumidores acessam o seu website e/ou aplicativo, o controlador poderia utilizar os dados coletados para melhorar a experiência de uso dos usuários de tal website e/ou aplicativo.

Além disso, na medida em que o controlador possa identificar quais são as dúvidas recorrentes de consumidores em call centers ou canais de atendimento online, poderia ele já disponibilizar informações claras e facilmente acessíveis sobre os temas de dúvida mais recorrentes, facilitando o acesso à tal informação.

Atividades de marketing direto e outras formas promocionais

O tratamento de dados para oferecer marketing direto (i.e., e-mails ou SMS com conteúdo personalizado), a análise de eficiência das suas campanhas publicitárias, ou ainda a análise de perfil de clientes com o objetivo de entender melhor o seu público consumidor.

Cumprimento de obrigação legal imposta por lei estrangeira ou cumprimento de ordem judicial por autoridade estrangeira

Na União Europeia, a base legal “cumprimento de obrigação legal ou regulatória” somente é aplicável para o cumprimento de obrigações exigidas ou impostas pela legislação dos estados membros da União Europeia. Ou seja, não é possível utilizar essa base legal quando o tratamento for necessário para cumprir com obrigação legal ou regulatória imposta por um país fora da União Europeia. Caso ANPD venha a adotar o entendimento similar para a interpretação da base legal “cumprimento de obrigação legal ou regulatória”, prevista na LGPD, o tratamento de dados necessário para cumprimento de uma obrigação imposta por lei estrangeira e/ou autoridade localizada fora do país (no caso, obrigações impostas por outros países que não o Brasil) poderia ser justificado no interesse legítimo.

Conclusão

O interesse legítimo é uma das bases legais disponíveis para justificar o tratamento de dados pessoais no âmbito da LGPD. Apesar de ser uma base legal aberta, com possibilidade de utilização em uma gama de situações, verificamos que alguns ônus podem ser impostos pela sua utilização, como a necessidade de ponderação entre o interesse legítimo e os direitos e liberdades dos titulares afetados, além de documentar essa decisão.

Assim, cabe ao controlador definir a pertinência e os riscos relacionados à utilização dessa base legal, sempre que o interesse legítimo for utilizado como justificativa para o tratamento de dados pessoais.

* * *

[1] De acordo com o artigo 5º, inciso X, da Lei nº 13,709/18, “tratamento” significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

[2] De acordo com o artigo 5º, inciso I, da Lei nº 13,709/18, “dados pessoais” significa qualquer informação relacionada a pessoa natural identificada ou identificável.

[3] Ainda que as hipóteses de tratamento tenham sido reguladas pela LGPD, não se pode afastar limitações impostas por regulamentações específicas (setoriais) que, por exemplo, podem exigir que o tratamento somente seja realizado com o consentimento do titular.

[4] Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (artigo 5º, inciso VI, da Lei nº 13,709/18).

[5] As bases legais previstas na LGDP são:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

[6] “Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(…) IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou”

[7] “Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. ”

[8] “Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. ”

[9] Opinião 6/2014 do Working Party 29 – Opinion on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. Disponível em: https://www.gpdp.gov.mo/uploadfile/2015/0803/20150803050054506.pdf.

[10] Conforme bem pontuado pela Opinião 6/2014 do Working Party 29, o conceito de “interesse” e “finalidade” são relacionados, mas não idênticos. A “finalidade é a razão específica pela qual os dados são tratados: o objetivo ou a intenção do tratamento de dados. Por outro lado, um interesse é o objetivo mais abrangente que o responsável pelo tratamento pode ter no tratamento, ou o benefício que o responsável pelo tratamento retira – ou que a sociedade pode retirar – do tratamento”.

[11] Neste sentido, os “considerandos” 47, 48, 49, 69 e 70.

[12] Neste sentido, o Artigo 10, incisos I e II, da LGDP.

[13] Disponível em: https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/final_cipl_examples_of_legitimate_interest_grounds_for_processing_of_personal_data_16_march_2017.pdf

[14] Disponível em: https://info.nymity.com/hubfs/Landing Pages/Nymity FPF - Legitimate Interests Report/Deciphering_Legitimate_Interests_Under_the_GDPR.pdf?hsCtaTracking=9cf491f2-3ced-4f9c-9ffa-5d73a77a773e|7469b2ec-e91c-4887-b5db-68d407654e23

Fonte: https://www.lexmachinae.com/2019/08/02/interesse-legitimo-justificativa-tratamento-de-dados-pessoais/