Hipóteses legais de tratamento de dados pessoais
legítimo interesse
guia orientativo
fev / 2024
guia orientativo
Hipóteses legais de tratamento de dados pessoais
legítimo interesse
Davi Teófilo
Diego Vasconcelos Costa Eduardo Gomes Salgado Fabíola Soares Pinto Jeferson Dias Barbosa
Kátia Cardoso Adriana de Oliveira Lucas Borges de Carvalho Mariana Talouki
Rodrigo Santana dos Santos
Brasília, DF 2024
Presidente da República
Ministro da Justiça e Segurança Pública
Diretor-Presidente
Diretores
Equipe de elaboração
Projeto gráfico e editoração
Luiz Inácio Lula da Silva Ricardo Lewandowski
Autoridade Nacional de Proteção de Dados
Waldemar Gonçalves Ortunho Junior Arthur Pereira Sabbat
Joacil Basilio Rael
Miriam Wimmer
Davi Teófilo
Diego Vasconcelos Costa Eduardo Gomes Salgado Fabíola Soares Pinto Jeferson Dias Barbosa
Kátia Cardoso Adriana de Oliveira Lucas Borges de Carvalho Mariana Talouki
Rodrigo Santana dos Santos André Scofano
Versão 1.0
Publicação digital (fevereiro / 2024)
ANPD
Autoridade Nacional de Proteção de Dados
SCN, Qd. 6, Conj. A,
Ed. Venâncio 3000, Bl. A, 9º andar Brasília, DF · Brasil · 70716-900 www.anpd.gov.br
Sumário
05 Apresentação
07 Definições e parâmetros de interpretação 07 Natureza dos dados pessoais
09 Dados pessoais de crianças e
adolescentes
15 Interesse legítimo
18 Interesse do controlador ou de terceiro
21 Direitos e liberdades fundamentais
22 Legítima expectativa do titular
25 Necessidade, transparência e registro das operações
27 Legítimo interesse e o poder público 29 Teste de balanceamento
34 Prevenção à fraude e à segurança e teste de balanceamento
37 Notas
39 Anexo i : Síntese – Legítimo Interesse 45 Anexo ii : Modelo de teste simplificado
Apresentação
O legítimo interesse é a hipótese legal prevista no art. 7º, ix da Lei 5
Geral de Proteção de Dados Pessoais – lgpd (Lei no 13.709/2018), que autoriza o tratamento de dados
pessoais (não sensíveis), quando ne- cessário para atender aos interesses legítimos do controlador
ou de terceiro, desde que tais interesses e finalidades não violem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
Nesse sentido, é preciso que sua adoção seja precedida de uma análi- se criteriosa e devidamente
fundamentada para cada caso em ques- tão, a fim de avaliar se o tratamento de dados, com base no
legítimo interesse do controlador ou de terceiros, atende aos requisitos defi- nidos na legislação,
e se, no caso concreto, prevalecem os direitos e as liberdades fundamentais dos titulares.
O presente Guia Orientativo tem como objetivo, portanto, esclarecer pontos relevantes para a
aplicação do legítimo interesse de controla- dores ou de terceiro, inclusive no âmbito do poder
público, quando couber. Com isso, pretende-se conferir maior previsibilidade e segu- rança jurídica
aos agentes de tratamento ao realizar o tratamento de dados pessoais com base na referida hipótese
legal.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
O Guia traz orientações sobre a interpretação e a aplicação prática des- sa hipótese legal,
dispondo sobre as definições dos institutos que os cercam, além de parâmetros de interpretação.
Também é apresenta- do um modelo de teste de balanceamento, dividido nas seguintes fa- ses: i)
finalidade; ii) necessidade; e iii) balanceamento e salvaguardas.
Destaca-se, ainda, que as orientações apresentadas neste Texto, in- cluindo o teste de
balanceamento, também são aplicáveis à hipótese legal para a “garantia da prevenção à fraude e à
segurança do titular”, prevista no art. 11, ii, g, da lgpd. Embora limitada a uma finalidade
específica, esta hipótese legal segue sistemática similar à do legítimo
interesse, visto que autoriza o tratamento de dados pessoais, desde 6
que não prevaleçam direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Definições e parâmetros de interpretação
Este tópico apresenta as principais definições e parâmetros de in- 7
terpretação para a hipótese legal do legítimo interesse. Assim, serão abordados os seguintes
conceitos e requisitos aplicáveis ao trata- mento de dados pessoais nesses casos: natureza dos
dados pessoais; prevenção à fraude e à segurança e teste de balanceamento; dados pessoais de
crianças e adolescentes; interesse legítimo; interesse do controlador e de terceiro; direitos e
liberdades fundamentais; legí- tima expectativa do titular; e necessidade, transparência e registro
de operações.
Natureza dos dados pessoais
A hipótese legal do legítimo interesse possibilita o tratamento de dados pessoais quando necessário
para o atendimento de interesses legítimos do controlador ou de terceiro, “exceto no caso de
prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos da- dos
pessoais” (art. 7º, ix).
A fim de avaliar se a hipótese legal do legítimo interesse é aplicável ao caso concreto, o
controlador deve, inicialmente, verificar a natureza dos dados pessoais que serão objeto de
tratamento.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Essa avaliação preliminar é necessária porque se trata de uma hipóte- se legal não aplicável ao
tratamento de dados pessoais sensíveis, haja vista a sua previsão apenas no art. 7º da lgpd, não
tendo sido repro- duzida no art. 11.
Assim, caso o tratamento envolva dados pessoais sensíveis, o contro- lador deve verificar se existe
outra hipótese legal que ampare a reali- zação do tratamento, entre as previstas no art. 11 da
lgpd.
exemplo 1
Dados pessoais de saúde e legítimo interesse 8
Uma clínica médica coleta e armazena dados pessoais relativos à saúde de seus pacientes, incluindo
histórico médico e resultados de exames. A clíni- ca decide utilizar a hipótese legal do legítimo
interesse para o tratamento desses dados, alegando que é necessário para fins de aprimoramento dos
fluxos administrativos da clínica e melhoria dos serviços prestados.
Análise • De acordo com a lgpd, os dados referentes à saúde são considerados dados pessoais
sensíveis e requerem uma prote- ção especial devido ao maior risco relacionado ao seu uso, que pode
causar dano relevante ao titular. Nesse caso, a hipótese le- gal do legítimo interesse não pode ser
aplicada. A clínica poderá obter o consentimento específico e de forma destacada de cada paciente
para o tratamento desses dados sensíveis, quando pos- sível a sua manifestação de vontade de forma
livre, informada e inequívoca, ou encontrar outra hipótese legal prevista na lgpd que permita o
tratamento, a exemplo do inciso ii, “f”, do art. 11: “sem fornecimento do consentimento do titular,
nas hipóteses em que for indispensável para: (…) tutela da saúde, exclusiva-
mente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária;(…)”.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Dados pessoais de crianças e adolescentes
É fundamental, ainda, que o controlador verifique, previamente, se o tratamento abrange dados de
crianças e adolescentes. Sobre o assun- to, a anpd publicou o Enunciado nº 1, de 22 de maio de
2023, com a seguinte redação:
O tratamento de dados pessoais de crianças e adolescentes poderá ser re- alizado com base nas
hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais
(lgpd), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto,
nos
termos do art. 14 da Lei. 9
Nesse sentido, o Enunciado nº 1/2023 fixou a interpretação de que é possível utilizar as hipóteses
legais previstas no art. 7º, entre as quais a do legítimo interesse, para o tratamento de dados
pessoais de crian- ças e adolescentes, bem como as previstas no art. 11 da lgpd. Por ou- tro lado,
também enfatizou que, nessas situações, o tratamento deve sempre atender a um requisito adicional:
a observância e a prevalên- cia do princípio do melhor interesse da criança ou adolescente, con-
forme determina o art. 14 da lgpd.
Sobre o tema, a Convenção Internacional dos Direitos da Criança, aprovada pela Organização das
Nações Unidas em 1989 e incorpora- da ao direito nacional pelo Decreto nº 99.710, de 21 de novembro
de 1990, estabelece, em seu art. 3º, que “todas as ações relativas às crianças, levadas a efeito
por instituições públicas ou privadas de bem-estar social, tri-
bunais, autoridades administrativas ou órgãos legislativos, devem conside- rar, primordialmente, o
interesse maior da criança”.
Por sua vez, o Comentário Geral n° 14, de 2013, do Comitê dos Direitos da Criança da onu, afirma
que se trata de um conceito que abrange três aspectos, a saber – um direito, um princípio
interpretativo e uma regra processual:
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
a) Um direito substantivo: o direito de uma criança de ter o seu melhor interesse apreciado e
levado em consideração de forma primária, quan- do diferentes interesses são ponderados a fim de se
tomar uma decisão sobre a questão em causa, e a garantia de que esse direito será aplicado sempre
que se tenha de tomar uma decisão que afete uma criança, um grupo de crianças identificadas ou não,
ou as crianças em geral. […]
b) Um princípio jurídico fundamental e interpretativo: se uma disposição jurídica for passível de
mais de uma interpretação, deve ser escolhida a interpretação que atende ao melhor interesse da
criança de forma mais eficaz. Os direitos consagrados na Convenção e nos seus Protocolos Facul-
tativos estabelecem o quadro de interpretação. 10
c) Uma regra processual: sempre que for necessário tomar uma decisão que afete uma determinada
criança, um grupo identificado de crianças ou crianças em geral, o processo de tomada de decisão
deve incluir uma ava- liação do possível impacto (positivo ou negativo) da decisão sobre a crian-
ça ou as crianças envolvidas. Avaliar e determinar o melhor interesse da criança demanda garantias
processuais. Além disso, a justificação de uma decisão deve demonstrar que o direito foi
explicitamente levado em consi- deração. A este respeito, os Estados-partes devem explicar de que
forma o direito foi respeitado na decisão, ou seja, o que foi considerado como sen- do o melhor
interesse da criança; em quais critérios se baseia essa análise; e como os interesses da criança
foram ponderados em face de outras con- siderações, sejam estas questões gerais de política ou
casos individuais[ ¹ ].
Portanto, o tratamento de dados pessoais de crianças e adolescentes com base na hipótese legal do
legítimo interesse pressupõe que o con- trolador leve em consideração, de forma prioritária, o
melhor interes- se da criança ou do adolescente. Além disso, deve prevalecer a inter- pretação que
atenda ao melhor interesse da criança e do adolescente de forma mais eficaz, inclusive, se for o
caso, com a não realização do tratamento com base no legítimo interesse, em particular se o teste
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
de balanceamento não for conclusivo ou se não forem identificadas medidas de segurança e de
mitigação de risco adequadas à hipótese. Assim, se o resultado do teste de balanceamento for
inconclusivo, ou se não forem identificadas medidas de segurança e de mitigação de risco adequadas
à hipótese, deverá ser adotada outra base legal.
Em termos mais concretos, o controlador deve elaborar teste de ba- lanceamento e manter registro da
justificativa para a realização do tratamento, que deve ser adequada ao caso e capaz de demonstrar:
(i) o que foi considerado como sendo o melhor interesse da criança
ou do adolescente; 11
(ii) com base em quais critérios os seus direitos foram ponderados em face do interesse legítimo do
controlador ou de terceiro; e
(iii) que o tratamento não gera riscos ou impactos desproporcionais e excessivos, considerando a
condição da criança e do adolescente como sujeitos de direitos.
Diante da aplicação desses critérios, podemos concluir que o tra- tamento de dados pessoais de
crianças e adolescentes com base na hipótese do legítimo interesse tende a ser mais apropriado em
situa- ções nas quais há uma relação prévia e direta do controlador com os titulares e quando o
tratamento visa a assegurar a proteção de seus direitos e interesses ou viabilizar a prestação de
serviços que os be- neficiem. Caso essas condições não estejam presentes, o controlador deve adotar
cautela adicional, avaliando a existência de formas alter- nativas e menos invasivas para os
titulares.
exemplo 2
Dados de crianças e adolescentes e rede wi-fi da escola
Uma escola coleta dados pessoais de estudantes quando estes acessam a rede “wi-fi” disponibilizada
no local. A coleta dos dados pessoais é efe-
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
tuada com a finalidade de viabilizar o acesso à rede e de garantir a se- gurança das crianças e
adolescentes no ambiente digital. A escola ava- lia se seria necessário obter o consentimento dos
responsáveis legais ou se seria possível utilizar outra hipótese legal, como o legítimo interesse.
Análise • Em análise preliminar, há indícios de que a coleta dos dados pessoais mencionada no
exemplo pode ser efetuada com base no legítimo interesse do controlador – no caso, a própria
escola, que possui uma relação prévia e direta com os seus estu- dantes. Além disso, a coleta se
justifica visando à segurança dos titulares e à adequada autenticação na rede da escola, de forma
a impedir o acesso indevido a determinado conteúdo ou a iden- 12
tificar uma criança que acessou determinada página em horário específico[ ² ]. Para confirmar a
adequação da hipótese legal do legítimo interesse ao caso concreto descrito, é necessário avaliar
se prevalecem, no caso concreto, o melhor interesse e os direitos fundamentais dos titulares
crianças e adolescentes. Para tanto, deve ser realizado um teste de balanceamento, conforme as
orientações apresentadas neste Guia.
exemplo 3
Uso de dados de crianças e adolescentes para publicidade
Uma startup do ramo educacional desenvolve um aplicativo para o en- sino de geografia para crianças
e adolescentes. Para sua execução, o app solicita informações como: nome do usuário, data de
nascimento e en- dereço residencial. Durante a utilização do app, anúncios publicitários sobre
alimentos ultraprocessados e com alto teor de açúcar são exibidos aos titulares. Na política de
privacidade disponibilizada em sua página na internet, consta apenas a informação de que a hipótese
legal utiliza- da é o legítimo interesse do controlador e que tais dados são utilizados para o
aprimoramento do aplicativo.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Análise • Considerando o objetivo do aplicativo, supõe-se que o aprimoramento do aplicativo estaria
relacionado à finalida- de educacional e ao melhoramento de tal serviço. Observa-se, no entanto,
que a finalidade do tratamento de dados em ques- tão envolve o direcionamento de publicidade para
crianças e adolescentes. Ademais, haja vista a questão presente no caso concreto – conteúdo do
material publicitário –, é possível afir- mar que o legítimo interesse não será a hipótese legal
mais apropriada, tendo em vista que não há legítima expectativa do titular quanto ao tratamento de
seus dados pessoais para fins publicitários, inclusive porque nada é informado a respeito.
Além disso, considerando o teor do anúncio veiculado, qual seja, 13
alimentos ultraprocessados e com alto teor de açúcar, deve-se considerar o risco à saúde que tais
produtos implicam e a con- sequente não observância do melhor interesse da criança e do adolescente
na hipótese. Nesse contexto, o teste de balancea- mento conduzirá, decerto, à conclusão de que
deverão prevale- cer os direitos e liberdades fundamentais dos titulares sobre os interesses
legítimos do controlador, impossibilitando a utiliza- ção desta base legal diante das
circunstâncias do caso concreto.
Em qualquer caso, o tratamento de dados pessoais de crianças e ado- lescentes deve se limitar ao
mínimo necessário para o atendimento da finalidade pretendida. Também devem ser adotadas medidas de
transparência apropriadas e compatíveis com as características físico-
-motoras, perceptivas, sensoriais, intelectuais e mentais dos titulares crianças e adolescentes, na
forma indicada no art. 14, § 6º, da lgpd:
Art. 14 […]
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de
maneira simples, clara e acessível, considera das as características físico-motoras, perceptivas,
sensoriais, intelectuais
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
e mentais do usuário, com uso de recursos audiovisuais quando adequa- do, de forma a proporcionar a
informação necessária aos pais ou ao res- ponsável legal e adequada ao entendimento da criança.
É importante ressaltar que um dos critérios específicos[ ³ ] estabeleci- dos pela anpd para que se
considere a existência de um tratamen- to de dados pessoais de alto risco é a utilização de dados
pessoais de crianças e de adolescentes. Neste sentido, o controlador deverá elaborar relatório de
impacto à proteção de dados pessoais, inde- pendentemente da realização do teste de balanceamento,
caso seja identificada, na situação concreta, conforme os demais parâmetros
estabelecidos pela anpd, a existência de alto risco à garantia dos 14
princípios gerais de proteção de dados pessoais e às liberdades civis e aos direitos fundamentais
dos titulares. O relatório de impacto tam- bém pode auxiliar na avaliação do melhor interesse da
criança e do adolescente, dos riscos específicos para esse público e das salvaguar- das e medidas
de segurança que deverão ser implementadas para as mitigações apropriadas[ ⁴ ].
Vale lembrar que a anpd poderá estabelecer restrições ao tratamen- to de dados pessoais de crianças
e adolescentes em situações concre- tas específicas, inclusive quanto ao uso da hipótese legal do
legítimo interesse, sempre que for necessário para garantir o respeito ao prin- cípio do melhor
interesse e dos demais princípios e regras previstos na lgpd e na legislação pertinente.
exemplo 4
Câmera de segurança em Shopping Center
Um shopping center pretende instalar câmeras a fim de proteger a segurança do local e inibir a
prática de atos ilícitos. A hipótese legal fundamentada para a realização do tratamento dos dados
pessoais co- letados é o legítimo interesse. Previamente à instalação, foi verificado
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
que também seriam tratados dados pessoais de crianças e adolescentes que frequentam o shopping.
Tais informações poderiam ser utilizadas, por exemplo, quando necessário localizar crianças que se
perderam dos pais. A equipe responsável realizou teste de balanceamento, no qual avaliou que o
tratamento dos dados desses titulares seria compatível com o princípio do melhor interesse da
criança. No entanto, recomen- dou a adoção de medidas de mitigação de risco, entre as quais o
rígido controle de acesso aos vídeos, um prazo mais curto de armazenamento, a divulgação em pontos
estratégicos do shopping de informações sobre o funcionamento das câmeras e a não utilização de
tecnologias que tratem as imagens a nível biométrico, levando assim ao tratamento
de dados sensíveis. Além disso, em atenção ao princípio da necessidade, 15
recomendou o judicioso planejamento de segurança, visando à redução do número de câmeras a serem
instaladas.
Análise • A instalação de câmeras de segurança e o tratamento dos dados pessoais correspondentes
pode ser realizado com base na hipótese legal do legítimo interesse. No caso concreto, as câmeras
facilitam a proteção e a segurança do local e dos pró- prios usuários, inclusive de crianças e
adolescentes. Além das medidas adotadas, o controlador deve ainda elaborar relatório de impacto à
proteção de dados pessoais, tendo em vista o alto risco que esse tratamento pode causar à garantia
dos princípios gerais de proteção de dados pessoais e às liberdades civis e aos direitos
fundamentais dos titulares.
Interesse legítimo
A segunda providência a ser adotada pelo controlador diz respeito à identificação do interesse que
justifica o tratamento e à avaliação de sua legitimidade.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
O interesse é um conceito amplo que abrange qualquer benefício ou proveito que resulta do
tratamento de dados pessoais. Garantir maior segurança e promover serviços do controlador são
exemplos de inte- resses que podem ser atendidos com o tratamento de dados pessoais.
Por sua vez, o interesse será considerado legítimo quando atender a três condições:
(i) compatibilidade com o ordenamento jurídico;
(ii) lastro em situações concretas; e
(iii) vinculação a finalidades legítimas, específicas e explícitas.
16
A compatibilidade com o ordenamento jurídico pressupõe que o in- teresse seja compatível com
princípios, normas jurídicas e direitos fundamentais. Assim, o tratamento dos dados pessoais não
deve ser vedado pela legislação vigente e nem pode, direta ou indiretamente, contrariar disposições
legais nem os princípios aplicáveis ao caso.
O interesse deve ter ainda lastro em situações concretas, isto é, situ- ações reais, claras e
precisas, que objetivem interesses específicos e bem delineados, ainda que em futuro próximo, o que
afasta interes- ses considerados a partir de situações abstratas ou meramente espe- culativas[ ⁵ ].
Nesse sentido, o art. 10 da lgpd estabelece que o legítimo interesse somente poderá fundamentar o
tratamento de dados pes- soais para finalidades legítimas, “consideradas a partir de situações
concretas”. Por isso, não são considerados legítimos os interesses que não sejam associados às
atividades atuais do controlador.
A terceira condição a ser demonstrada é a vinculação do tratamento a finalidades legítimas,
específicas e explícitas. Embora possa se con- fundir com o próprio interesse que justifica o
tratamento, a finalidade constitui o propósito específico que se pretende alcançar com a reali-
zação do tratamento, que deve ser considerado a partir de situações
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
concretas, com o uso de dados pessoais estritamente necessários para a finalidade pretendida.
Além disso, as finalidades devem ser descritas de forma clara e preci- sa, com as informações
necessárias para delimitar o escopo do trata- mento e viabilizar a realização da ponderação dos
interesses do con- trolador ou de terceiros com os direitos e as legítimas expectativas dos
titulares. A delimitação objetiva das finalidades e dos interesses que justificam o tratamento
também é uma importante ferramen- ta de transparência, na medida em que amplia as possibilidades de
compreensão do tratamento pelo titular.
Entre as finalidades que podem ser consideradas legítimas, o art. 10 17
da lgpd indica o apoio e a promoção às atividades do controlador e a proteção, em relação ao
titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.
exemplo 5
Envio de promoções de livros e produtos culturais e artísticos a estudantes
Uma instituição de ensino superior privada encaminha a estudantes, professores e demais
funcionários promoções e descontos referentes a livros e produtos culturais e artísticos de sua
editora. As mensagens são encaminhadas por e-mail e notificações no aplicativo de celular da ins-
tituição. O tratamento dos dados pessoais foi realizado com amparo na hipótese legal do legítimo
interesse. A Instituição entendeu que não en- controu forma menos intrusiva para realizar essas
divulgações. Ainda, a fim de mitigar os riscos aos titulares, a instituição não compartilha os
dados da sua base com terceiros, por entender ser desnecessária para a finalidade do tratamento no
caso concreto, e prevê um mecanismo de descadastramento da lista de envios ao final dos e-mails ou
no próprio aplicativo de celular.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Análise • O interesse poderá ser considerado legítimo, uma vez que o tratamento dos dados pessoais
é compatível com o orde- namento jurídico, atende a situações concretas e está vinculado a
finalidades legítimas, específicas e explícitas conforme pre- visto no inciso I do art. 10 – apoio
e promoção de atividades do controlador. Ademais, pelo fato de ser uma instituição de ensino e
editora é razoável supor que a divulgação de livros e produtos culturais e artísticos faz parte do
apoio e promoção da sua ativi- dade institucional, e que essa divulgação à comunidade acadê- mica
atende às legítimas expectativas dos titulares, com os quais possui uma relação prévia. Além disso,
pode-se considerar que o
encaminhamento dessas promoções pode diretamente benefi- 18
ciar os titulares quando do gozo de um abatimento no preço de um produto diretamente relacionado às
suas atividades estu- dantis ou profissionais, na forma prevista no art. 10, ii, da lgpd. Por fim,
os riscos sobre os direitos dos titulares são mitigados pelo fornecimento de opção de
descadastramento nas próprias mensagens encaminhadas ou no aplicativo, funcionando como uma
salvaguarda que o controlador fornece aos titulares.
Interesse do controlador ou de terceiro
Ainda como parte das avaliações que antecedem a realização do tra- tamento, é necessário verificar
se o interesse que fundamenta a ope- ração é do próprio controlador ou de terceiro.
O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de
dados pessoais e por definir a finalidade deste tratamento. O controlador pode ser uma pessoa
natural ou ju- rídica, sendo que, em se tratando de pessoa jurídica, não são contro- ladores as
pessoas naturais que atuam como profissionais subordina- dos ou como membros de seus órgãos[ ⁶ ].
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Assim, a hipótese legal do legítimo interesse autoriza a realização de operações de tratamento de
dados pessoais pelo controlador para resguardar seus interesses legítimos, sempre que cumpridos os
re- quisitos e critérios exigidos pela lgpd.
Por sua vez, o interesse de terceiro pode ser aquele associado a qual- quer pessoa, natural ou
jurídica, ou grupo de pessoas, diferente do controlador. É importante enfatizar que nesta definição
se incluem os interesses da coletividade, abrangendo, inclusive, interesses de toda a sociedade, os
quais também podem ser utilizados como fundamento para a adoção da hipótese legal do legítimo
interesse.
19
Cumpre destacar que todos os pressupostos exigidos para a realiza- ção de operações de tratamento
que tenham por objeto a tutela de interesses legítimos do próprio controlador também devem ser ob-
servados na hipótese de tratamento realizado para o resguardo de interesses de terceiro.
Nesse sentido, não há distinção entre os requisitos legais aplicáveis às duas situações, de modo
que as diretrizes constantes do artigo 10 da lgpd, bem como as demais orientações apresentadas
neste Guia, devem ser observadas pelo controlador mesmo quando o tratamento tiver por finalidade
atender a interesses legítimos de terceiro.
Nesse contexto, existem diferenças nos riscos entre um interesse de um controlador terceiro e uma
coletividade. Nessa ocasião, o ônus ar- gumentativo do legítimo interesse passa também a ter que
justificar se o interesse de fato é de um terceiro e se esse interesse é legítimo e capaz de
sustentar o uso da base legal.
Isso porque, em atenção aos princípios da boa-fé e da responsabiliza- ção e prestação de contas, o
controlador é sempre o agente responsá- vel pela comprovação de que o tratamento busca atender a
finalida-
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
des legítimas, consideradas a partir de situações concretas, ainda que estas finalidades e o
próprio tratamento se justifiquem com base em interesses de terceiro.
Por isso, ainda que fundamentado na hipótese de interesse legítimo de terceiro, no tratamento deve
ser verificada a proporcionalidade entre os interesses do controlador e os direitos e liberdades do
titular e, portanto, a anpd recomenda que tal tratamento seja precedido de teste de balanceamento.
exemplo 6 20
Legítimo interesse de terceiro: divulgação de curso de idiomas
Uma Instituição de Ensino Superior (ies) particular oferece formação de ensino superior e
pós-graduações. A ies possui cerca de 1.600 estu- dantes e 200 funcionários. Com base no legítimo
interesse de terceiro e buscando potencializar a formação do corpo docente e seus técnicos
administrativos, a instituição divulgou para os seus funcionários uma campanha promocional de uma
escola de idiomas na qual terão 10% de desconto nas mensalidades de cursos de inglês e espanhol.
Neste caso, a ação foi realizada apenas uma vez e com o propósito específico, porém a instituição
promove campanhas dessa natureza para o incen- tivo ao aperfeiçoamento de seus colaboradores.
Análise • A campanha promocional pode ser justificada com base no legítimo interesse do terceiro,
no caso, da escola de idiomas. Como mencionado, o controlador apoiará a divulgação da pro- moção
que beneficiará os seus funcionários e poderá beneficiar um terceiro com a ampliação do número de
clientes. Nesse caso específico, o controlador não se beneficiará diretamente com a ação. O teste
de balanceamento do legítimo interesse deve ser realizado, e mecanismos que permitam a
transparência devem
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
ser implementados, como por exemplo, a informação prévia so- bre a possibilidade de envio de
promoções ou campanhas aos funcionários, possibilitando ainda a escusa de recebimento de campanhas
dessa natureza, mediante a disponibilização de me- canismo de descadastramento, a fim de atender às
legitimas ex- pectativas dos funcionários.
Direitos e liberdades fundamentais
O tratamento de dados pessoais com base na hipótese legal do legíti- 21
mo interesse pressupõe a identificação e a mitigação de riscos aos di- reitos e liberdades
fundamentais dos titulares. Nesse sentido, o teste de balanceamento deve ser realizado, pois os
controladores poderão avaliar, de forma mais acurada, se os impactos causados são propor- cionais e
compatíveis com esses direitos e quais salvaguardas devem ser adotadas no caso concreto.
A lgpd ressalta a preponderância dos direitos e liberdades funda- mentais do titular, no âmbito da
hipótese legal do legítimo interesse, em dois momentos: (i) na previsão da base legal,
excepcionando sua aplicabilidade no caso de prevalecerem direitos e liberdades funda- mentais que
exijam a proteção de dados pessoais; e (ii) nos funda- mentos para aplicação do legítimo interesse,
desde que respeitadas as legítimas expectativas e os direitos e liberdades fundamentais.
Um ponto central a ser considerado é a autodeterminação informa- tiva, direito que garante que o
titular tenha protagonismo quanto ao uso de seus dados pessoais e obriga que os controladores atuem
de maneira responsável. Trata-se, portanto, de garantir ao titular a capa- cidade de conhecer e de
participar de forma ativa das decisões refe- rentes ao tratamento de seus dados, incluindo a
possibilidade efetiva
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
de se opor à operação realizada com base no legítimo interesse – nos casos em que o tratamento
contraria o disposto na lgpd.
Por isso, é importante que os controladores disponibilizem canais de fácil acesso aos titulares,
por meio dos quais estes possam exercer os seus direitos e solicitar a adoção de medidas como o
término do trata- mento e a eliminação de seus dados pessoais, quando couber.
Nesse sentido, a prevalência de direitos e liberdades fundamentais do titular é condição essencial
a ser observada pelos controladores, que deve permear toda a avaliação para adoção da hipótese
legal do legíti-
mo interesse. Em outras palavras, o legítimo interesse não poderá ser 22
avaliado isoladamente, pois, nos termos da lgpd, deverá ser aplicado tão somente se não
prevalecerem direitos e liberdades fundamentais do titular, os quais atuam como um limite à
liberdade do controlador.
Assim, o legítimo interesse do controlador ou de terceiro não pode ser usado como uma justificativa
ampla e indefinida para condutas abu- sivas no tratamento de dados pessoais, que resultem em
impactos excessivos e desproporcionais aos direitos dos titulares, sem as salva- guardas
apropriadas. Em suma, é necessário que sejam equilibrados os interesses dos titulares e do
controlador, levando em consideração seus direitos e liberdades fundamentais.
Legítima expectativa do titular
A legítima expectativa do titular é outro conceito relevante e que deve ser considerado em todo
tratamento de dados pessoais realiza- do com base na hipótese legal do legítimo interesse. Essa
determina- ção decorre do art. 10, ii, da lgpd, segundo o qual o tratamento fun- dado no legítimo
interesse deve respeitar as “legítimas expectativas” dos titulares.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Para tanto, no que tange à legítima expectativa, o controlador deve avaliar e ser capaz de
demonstrar que o tratamento dos dados pesso- ais para a finalidade pretendida é, razoavelmente, o
esperado pelos titulares naquele contexto. A análise não precisa considerar um titu- lar
específico, mas o que poderá ser admitido ou considerado aceitá- vel na situação concreta do
tratamento.
A análise da legítima expectativa pode se basear em diversos fatores, entre os quais podem ser
destacados:
(a) a existência de uma relação prévia do controlador com o titular; 23
(b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realiza- da diretamente pelo
controlador, se os dados foram compartilha- dos por terceiros ou coletados de fontes públicas;
(c) o contexto e o período de coleta dos dados; e
(d) a finalidade pretendida da coleta dos dados e a sua compatibili- dade com o tratamento baseado
no legítimo interesse;
É necessário compreender que a legítima expectativa do titular está relacionada com a boa-fé e os
princípios da proteção de dados, me- recendo especial atenção do controlador ao se amparar na
hipótese legal do legítimo interesse. Dessa forma, o titular deve ter elementos, disponibilizados
pelo controlador, para avaliar se o tratamento de da- dos atende às suas legítimas expectativas.
Nesse contexto, o princípio da boa-fé se conecta a legítima expectati- va, na avaliação por parte
do controlador, de critérios que podem ser utilizados para basear a legítima expectativa. Por
exemplo, na avalia- ção da intrusividade do tratamento e a existência de mecanismos de exercício de
direitos dos titulares, além de registros, documentação, e outros elementos que podem concretizar a
expectativa em abstrato do titular e permitir seu controle social por ele e pela sociedade civil.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Assim, para não frustrar a legítima expectativa do titular de dados, se faz necessária uma análise
por parte do controlador, que pode ser feita por meio do teste de balanceamento. O controlador não
deve perder de vista as expectativas do titular, resguardando assim a sua confiança ao fornecer os
seus dados.
Como forma de garantir o efetivo respeito às legítimas expectativas dos titulares, é importante que
o controlador disponibilize mecanis- mos de exercício de direitos. Assim, caso o titular discorde
da ava- liação realizada pelo controlador ou entenda que, por violar as suas legítimas
expectativas, o tratamento contraria o disposto na lgpd,
poderá se opor à sua realização e solicitar a adoção das providências 24
cabíveis na hipótese, tais como o encerramento da operação e a elimi- nação de seus dados pessoais.
Caso a solicitação não seja atendida, o titular poderá ainda peticionar contra o controlador
perante a anpd.
exemplo 7
Instalação de software para rastrear atividades e medir a produtividade de funcionários
Uma empresa utiliza a hipótese legal do legítimo interesse para justifi- car a utilização de
software que rastreia as atividades dos empregados, incluindo o uso de webcam e o registro de tudo
o que é digitado nos com- putadores da empresa. O objetivo da coleta é medir a produtividade dos
funcionários e propiciar meios de identificação de compartilhamentos indevidos de informações de
natureza confidencial.
Análise • Nesse caso concreto, a coleta de dados, incluindo o re- gistro de imagens e de tudo o que
é digitado pelo empregado, por meio do software, interfere de forma excessiva e despropor- cional
sobre os direitos e liberdades fundamentais dos titulares e contraria a sua legítima expectativa,
mesmo que esta ativida-
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
de possa ter sido previamente informada e constar da política de privacidade. Deve-se considerar,
especialmente, que a coleta vai muito além do necessário para o atendimento das finalidades
pretendidas, de modo que não seria razoável esperar que tama- nha coleta de dados fosse realizada
pelo empregador. Ademais, no contexto da relação de emprego, os empregados estão em posição de
maior vulnerabilidade em face de seu empregador, não possuindo meios efetivos de oposição ao
tratamento. Por tais razões, o tratamento não poderia ser realizado e não seria admissível o
recurso à hipótese legal do legítimo interesse, uma vez que, no caso concreto, não foram
respeitadas as legítimas
expectativas dos titulares, devendo prevalecer os seus direitos e 25
liberdades fundamentais.
Necessidade, transparência e registro das operações
Embora aplicável a todos os tratamentos de dados pessoais, a lgpd reforçou o dever de observância
ao princípio da necessidade nos ca- sos em que o legítimo interesse seja a hipótese legal
utilizada. Assim, nos termos do art. 10, § 1º, somente os dados pessoais estritamente necessários
para a finalidade pretendida poderão ser tratados. Deve-
-se refletir, ainda, se o tratamento é proporcional e adequado para a finalidade pretendida, ou se
há outros meios razoáveis para o atingi- mento dessa finalidade sem a realização de tratamento dos
dados.
Outra garantia reforçada pela lgpd é a transparência, conforme pre- visto no art. 10, § 2º. Por
isso, cabe ao controlador assegurar aos titula- res acesso facilitado às informações sobre o
tratamento de seus dados com base na hipótese legal do legítimo interesse. Tais informações devem
ser disponibilizadas de forma clara, adequada e ostensiva, abrangendo, entre outros aspectos
previstos no art. 9º da lgpd, a for- ma, a duração e a finalidade específica do tratamento; a
identificação
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
e as informações de contato do controlador; e, especialmente, os di- reitos do titular, incluindo
os canais disponíveis para o seu exercício.
Nesse contexto, o controlador deve reforçar as medidas de transpa- rência do tratamento de dados
baseado na hipótese do legítimo inte- resse, de modo a permitir o controle social e do titular em
relação ao tratamento realizado. Por isso, é importante que informações claras, precisas e
facilmente acessíveis relativas ao tratamento sejam dispo- nibilizadas, em conformidade com o
disposto na lgpd.
Nessa linha, menciona-se, ainda, o destaque conferido pelo art. 37 da
lgpd quanto ao dever de manutenção dos registros das operações 26
de tratamento, especialmente quando este for baseado no legítimo interesse. A documentação
referente ao tratamento poderá, ainda, conter a análise efetuada pelo controlador, em especial o
teste de ba- lanceamento, incluindo a indicação sobre a natureza dos dados pes- soais tratados, a
demonstração da legitimidade do interesse do con- trolador ou de terceiro, a sua ponderação com os
direitos dos titulares e a compatibilidade com as suas legítimas expectativas, e se tratando de
dados pessoais de criança ou adolescentes, as evidências da obser- vância e prevalência do seu
melhor interesse.
Outro documento relevante é o Relatório de Impacto à Proteção de Dados (ripd), caso o tratamento
envolva alto risco. O ripd pode in- corporar o teste de balanceamento, se realizado, contendo,
ainda, análise mais ampla e detalhada sobre os riscos e as medidas de mi- tigação adotadas no caso.
Ademais, é possível que a anpd solicite ao controlador a elaboração de Relatório de Impacto à
Proteção de Da- dos Pessoais (ripd), observados os segredos comercial e industrial, conforme
previsto no art. 10, ii, § 3º, da lgpd[ ⁷ ].
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Legítimo interesse e o poder público
A adoção da base legal do legítimo interesse possui aplicabilidade 27
limitada no âmbito do setor público, conforme apresentado no Guia Orientativo de Tratamento de
Dados Pessoais pelo Poder Público[ ⁸ ]. A sua utilização não é apropriada quando o tratamento de
dados pes- soais é realizado de forma compulsória ou quando for necessário para o cumprimento de
obrigações e atribuições legais do Poder Público, nos termos da lgpd.
No exercício das obrigações legais do Poder Público, não há como se realizar, apropriadamente, uma
ponderação entre as expectativas dos titulares, bem como seus direitos e liberdades fundamentais, e
os supostos interesses ou obrigações do Estado, visto que existe uma assimetria de forças que pode,
conforme o caso, estabelecer restri- ções aos direitos individuais. Neste sentido, é recomendável
que, em geral, órgãos e entidades públicas evitem recorrer ao uso do legítimo interesse, preferindo
outras bases legais, a exemplo das hipóteses da execução de políticas públicas e do cumprimento de
obrigação legal, para fundamentar os tratamentos de dados pessoais que realizam.
Eventualmente, o legítimo interesse poderá ser admitido como hipó- tese legal para o tratamento de
dados pessoais pelo Poder Público. Para tanto, a utilização dos dados não deve ser compulsória ou,
ain-
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
da, a atuação estatal não deve se basear no exercício de prerrogati- vas estatais típicas, que
decorrem do cumprimento de obrigações e atribuições legais. Nesse contexto, torna-se efetivamente
possível re- alizar uma ponderação entre, de um lado, os interesses legítimos do controlador ou de
terceiro e, de outro, as expectativas legítimas e os direitos dos titulares.
Em síntese, no caso do Poder Público, a adoção da base legal do le- gítimo interesse deve ser
evitada quando o tratamento de dados pessoais for realizado de forma compulsória, ou no cumprimento
de obrigações, atribuições legais ou regulatórias, sendo admitida, even-
tualmente, em casos específicos, dependendo do caso concreto. 28
Do mesmo modo, tal qual os demais controladores, o Poder Público, ao realizar o tratamento de dados
pessoais com base no legítimo inte- resse, deve realizá-lo de forma transparente e com a
observância dos direitos fundamentais dos titulares, informando-os claramente sobre a finalidade do
tratamento, garantindo o acesso a esses dados e ado- tando medidas de segurança adequadas para
garantir a sua proteção.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Teste de balanceamento
Como mencionado no presente Texto, o tratamento de dados com 29
respaldo no legítimo interesse deve ser precedido de um teste de ba- lanceamento que considere, de
um lado, os interesses do controlador ou de terceiro e, de outro, os direitos e liberdades
fundamentais dos titulares. Assim, o teste de balanceamento configura uma avaliação de
proporcionalidade realizada com base no contexto e nas circuns- tâncias específicas do tratamento
de dados, levando em consideração os impactos e os riscos aos direitos e liberdades dos titulares.
O teste de balanceamento deve ser aplicado para cada finalidade es- pecífica e envolve a realização
de uma ponderação que leva em consi- deração a legitimidade do interesse, a necessidade do
tratamento, os impactos sobre os direitos dos titulares e suas legítimas expectativas em comparação
com os interesses envolvidos. Desta forma, caso haja o uso dos dados pessoais para outra
finalidade, legítima e concreta, o controlador deverá reavaliar qual a hipótese legal adequada para
fun- damentar o tratamento de dados para essa nova finalidade. Caso o controlador decida utilizar a
hipótese do legítimo interesse, recomen- da-se elaborar outro teste de balanceamento para a nova
finalidade.
O controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso
o teste de balanceamento conclua
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares.
Na própria redação do art. 10 da lgpd, é possível aferir uma série de elementos que devem ser,
necessariamente, analisados e consi- derados para a utilização do legítimo interesse. Assim, o
artigo traz elementos para a aplicação prática dessa hipótese legal, sendo im- portante que os
elementos do art. 10 e outras previsões da legislação sejam contemplados na análise prévia à adoção
da hipótese legal.
A realização do teste demanda que sejam feitas avaliações sobre os
riscos envolvidos no tratamento e que sejam considerados objetiva- 30
mente quais são os impactos sobre os direitos e liberdades funda- mentais dos titulares.
No Anexo ii encontra-se um modelo disponibilizado pela anpd, com o objetivo de auxiliar os agentes
de tratamento na elaboração do documento. O modelo proposto pela anpd não é de uso obrigató- rio.
Assim, cada organização deve realizar o teste de balanceamento seguindo o modelo sugerido pela anpd
ou outra metodologia mais adequada à sua realidade organizacional e às especificidades do tra-
tamento de dados realizado, desde que em conformidade com as disposições da lgpd. Assim, não existe
uma abordagem única para o teste de balanceamento. Em algumas circunstâncias, o teste pode ser
breve ou simplificado, como nos casos em que é claramente identifi- cada a existência de baixo
impacto aos direitos dos titulares.
Em outras situações, tal avaliação poderá demandar maior detalha- mento e robustez, como, por
exemplo, no caso de uso de novas tecno- logias baseadas em quantidades massivas de dados pessoais.
Manter o registro das operações de tratamento de dados pessoais, além de uma obrigação legal, é um
dos instrumentos para atendimento aos princípios da transparência, responsabilização e prestação de
contas.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
O teste de balanceamento é, pois, uma boa prática e medida reco- mendável para demonstrar o
atendimento dos requisitos para en- quadramento no legítimo interesse.
De fato, trata-se o teste de balanceamento de ferramenta essencial para demonstrar a conformidade
do tratamento de dados pessoais, nos termos do art. 6º, x (princípio da responsabilização e
prestação de contas) e do art. 37, da lgpd. Embora a documentação do teste do legítimo interesse
envolva um importante aspecto valorativo e ana- lítico, ao manter os registros claros e detalhados,
é possível demons- trar que foram adotadas as medidas apropriadas para assegurar que o
tratamento de dados pessoais é adequado, necessário e proporcional 31
à finalidade pretendida, levando em consideração os fatores relevan- tes. Além disso, o registro da
documentação relativa ao teste de ba- lanceamento é uma forma de atender ao princípio da
responsabiliza- ção e prestação de contas e garantir a transparência do tratamento de dados
pessoais, permitindo que a anpd possa avaliar a conformidade do tratamento com as normas
aplicáveis.
O modelo de teste recomendado pela anpd possui três fases, que se baseiam na lgpd e nas definições
e nos parâmetros de interpretação expostos neste Texto. As fases do teste, descritas com mais
detalhes no Anexo ii, são as seguintes:
fase 1. finalidade | Nesta fase, deve-se analisar o contexto da reali- zação do tratamento, com
foco sobre os benefícios gerados e as fina- lidades que se pretende alcançar. Para tanto, a
primeira providência a ser adotada é a verificação da natureza dos dados pessoais, consi-
derando-se que o legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis. Além
disso, caso o tratamento envolva dados pessoais de crianças e adolescentes devem ser adotadas as
me- didas adequadas visando à observância e à prevalência de seu melhor interesse. Também deve ser
identificado e descrito o interesse que
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
justifica o tratamento, se do controlador ou de terceiro, avaliando-se a sua legitimidade, em
especial no que concerne à sua compatibilida- de com o ordenamento jurídico, o lastro em situações
concretas e a vinculação a finalidades legítimas, específicas e explícitas.
fase 2. necessidade | A segunda fase do teste é fundamentada no art. 7º, ix, que utiliza a
expressão “quando necessário” e, mais espe- cificamente, no art. 10, §1º, da lgpd, que prevê que
“quando o trata- mento for baseado no legítimo interesse do controlador, somente os dados pessoais
estritamente necessários para a finalidade pretendi- da poderão ser tratados”. Nesse ponto, cabe ao
controlador identifi-
car se o tratamento baseado no legítimo interesse é necessário para 32
atingir os objetivos do passo anterior, além de estabelecer medidas de minimização do uso de dados
para atingir a finalidade pretendida. É importante privilegiar formas menos intrusivas para atingir
a fina- lidade, além de analisar se é possível alcançá-la de uma forma me- nos onerosa e com
menores riscos ao titular. Importa aqui, portanto, a subsunção do tratamento ao princípio da
necessidade, nos termos prescritos na lgpd: limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados. Nesse sentido, é
fundamental garantir que o dado seja rele- vante, dentro do propósito de tratamento e que este
esteja alinhado às expectativas do titular. Assim, apenas os dados minimamente ne- cessários para
realização das finalidades pretendidas pelo legítimo interesse devem ser tratados.
fase 3. balanceamento e salvaguardas | A terceira fase do teste é a etapa de realização da
ponderação entre, de um lado, os interesses do controlador ou de terceiro e, de outro, os direitos
e liberdades fun- damentais do titular. Nesse ponto, será necessário avaliar o potencial risco e os
impactos sobre os titulares dos dados com base no interesse e nas finalidades identificados nas
fases anteriores, além de balance-
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
ar esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares
acerca das informações relativas ao tra- tamento dos seus dados. Assim, nessa fase é fundamental
adotar a perspectiva do titular, a fim de assegurar que as suas legítimas expec- tativas e seus
direitos e liberdades fundamentais sejam respeitados. Nesta fase, quando os dados pessoais tratados
se referirem à criança ou adolescente, devem ser avaliadas, ainda, a prevalência do seu me- lhor
interesse. Cabe destacar que a existência de um possível risco ou impacto negativo sobre os
titulares dos dados não afasta, por si só, a possibilidade de tratamento dos dados pessoais com
base no legíti- mo interesse. O que a lgpd exige não é o impacto zero, mas, sim, que
eventuais impactos sejam minimizados e levados em consideração na 33
adoção de salvaguardas a fim de assegurar que, no caso concreto, os interesses que justificam a
realização do tratamento são compatíveis com o respeito aos direitos e as liberdades fundamentais
do titular.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Prevenção à fraude e à segurança e teste de balanceamento
O art. 11, ii, g, da lgpd, autoriza o tratamento de dados pessoais sen- 34
síveis quando este for indispensável para a “garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e au- tenticação de cadastro em sistemas eletrônicos
[…]”.
Embora limitada para o atendimento a uma finalidade específica (“prevenção à fraude e à
segurança”), a aplicação da hipótese legal prevista no art. 11, ii, g, da lgpd, deve observar
sistemática similar à prevista para o legítimo interesse. Isso porque, pela própria redação do
texto legal, o controlador também deve verificar se, no caso con- creto, prevalecem “direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
O Quadro 01 apresenta um comparativo entre as duas hipóteses le- gais mencionadas.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Quadro 01 – Comparativo entre Legítimo Interesse e Prevenção à Fraude e à Segurança
Legítimo interesse (art. 7º, ix) Prevenção à fraude e segurança (art. 11, ii, g)
Art. 7º O tratamento de dados pessoais somente poderá
ser realizado nas seguintes hipóteses:
[…]
ix – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos
dados pessoais.
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
[…]
ii – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
[…] 35
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º
desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam
a proteção dos dados pessoais.
Dessa maneira, a melhor forma de realizar a avaliação sobre a pre- valência dos direitos e
liberdades fundamentais do titular, princi- palmente por se tratar de uma base legal aplicável ao
tratamento de dados pessoais sensíveis, é por meio da realização do teste de balan- ceamento.
Assim como ocorre com a hipótese legal do legítimo interesse, caso o teste de balanceamento conclua
pela prevalência dos direitos e liber- dades fundamentais e legítimas expectativas dos titulares, o
contro- lador não deverá realizar o tratamento com base na hipótese legal do art. 11, ii, g, da
lgpd.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Em razão disso, as orientações apresentadas neste Texto, especial- mente no que concerne ao teste
de balanceamento, também são aplicáveis à hipótese legal de garantia da prevenção à fraude e à se-
gurança do titular, nos processos de identificação e autenticação de cadastro em sistemas
eletrônicos, prevista no art. 11, ii, g, da lgpd.
Importante ressaltar que a previsão estabelecida no art. 11, ii, g não impede que o legítimo
interesse, desde que atendidos aos requisitos e parâmetros de aplicação referidos neste Guia, possa
ser utilizado como hipótese legal para o tratamento de dados pessoais não sensí- veis com a
finalidade de prevenir fraudes e, por conseguinte, garantir
a segurança dos dados dos titulares. 36
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Notas
Definições e parâmetros de interpretação ▶ p. 07–26
[ 1 ] UNITED NATIONS. Convention on the Rights of a Child. General Comment No. 14 (2013) on the
right of the child to have his or her best interests taken as a primary consideration. p. 4.
Disponível em: https://www2.ohchr.org/english/bodies/crc/docs/ gc/crc_c_gc_14_eng.pdf. Acesso em: 6
dez. 2023. ▶ p. 10
[ 2 ] Exemplo citado em Estudo Preliminar – Hipóteses legais aplicáveis ao tratamento de dados
pessoais de crianças e adolescentes. Brasília: anpd, set. 2022, p. 17. Dis- ponível em:
https://www.gov.br/anpd/pt-br/assuntos/noticias-periodo-eleitoral/
aberta-tomada-de-subsidios-sobre-tratamento-de-dados-pessoais-de-criancas- 37
-e-adolescentes/2022.09.06_EstudoTcnicoCrianaseAdolescentes.pdf. Acesso em: 6 dez. 2023. ▶ p. 12
[ 3 ] Os critérios específicos para efeitos de tratamento de dados pessoais de alto risco es- tão
contidos no art. 4º, inciso ii e alíneas, da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que
aprova o Regulamento de aplicação da Lei nº 13.709/2018, para agentes de tratamento de pequeno
porte. Disponível em: RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 – RESOLUÇÃO CD/ANPD Nº 2, DE
27 DE JANEIRO DE 2022 –
DOU – Imprensa Nacional (in.gov.br) Acesso em: 6 dez. 2023. ▶ p. 14
[ 4 ] Para mais informações sobre a definição de “alto risco” e sobre quando é necessária a
elaboração de Relatório de Impacto à Proteção de Dados Pessoais, ver as orientações
disponibilizadas na página da anpd na internet: https://www.gov.br/anpd/pt-br/ca-
nais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-da- dos-pessoais-ripd. ▶
p. 14
5 In other words, interests that are too vague or speculative will not be sufficient. (Em
ou- tras palavras, interesses que sejam muito vagos ou especulativos não serão suficien- tes.
Tradução livre). In: ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 06/2014 on the notion of
legitimate interest of the data controller under Article 7 of Directive
95/46/EC., abr. 2014, p. 24. Disponível em: https://ec.europa.eu/justice/article-29/do-
cumentation/opinion-recommendation/files/2014/wp217_en.pdf. Acesso em: 6 dez. 2023. ▶ p. 16
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
[ 6 ] Nesse sentido, ver as orientações apresentadas no Guia Orientativo para Defini- ções dos
Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília: anpd, versão 2.0., abr. 2022.
Disponível em: https://www.gov.br/anpd/pt-br/
documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Trata- mento_retificada.pdf. Acesso
em: 6 dez. 2023. ▶ p. 18
[ 7 ] Para mais informações sobre o ripd, ver as orientações disponibilizadas na pá- gina da anpd
na internet: https://www.gov.br/anpd/pt-br/canais_atendimento/
agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ri- pd. ▶ p. 26
Legítimo interesse e o poder público ▶ p. 27–28
[ 8 ] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo 38
para Tratamento de dados pessoais pelo poder público. Brasília: anpd, versão 1.0., jan. 2022.
Disponível em: https://www.gov.br/anpd/pt-br/documentos-
-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em: 6 dez. 2023. ▶ p. 27
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Anexo i
Síntese – Legítimo Interesse
Requisito Recomendações e parâmetros de interpretação
Natureza dos dados pessoais
▶ A hipótese legal do legítimo interesse não é aplicável ao tratamento de dados pessoais sensíveis.
Dados pessoais de crianças e adolescentes
▶ Aplicável ao tratamento de dados pessoais de
crianças e adolescentes, desde que observado e 39
prevalecente o seu melhor interesse;
▶ O melhor interesse deve ser considerado de forma prioritária, prevalecendo a interpretação que
atenda a esse princípio de forma mais eficaz;
▶ O teste de balanceamento deve registrar a
justificativa e ser capaz de demonstrar: (i) o que foi considerado como melhor interesse na análise
realizada; (ii) os critérios utilizados para ponderação entre os interesses do controlador ou de
terceiro
e os direitos dos titulares; e (iii) a inexistência de riscos ou impactos desproporcionais e
excessivos, considerando a condição da criança e do adolescente como sujeito de direitos;
▶ O tratamento com base na hipótese do legítimo
interesse tende a ser mais apropriado em situações nas quais há uma relação prévia e direta do
controlador com os titulares e quando o tratamento visa assegurar a proteção de seus direitos e
interesses ou viabilizar a prestação de serviços que o beneficiem;
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Requisito Recomendações e parâmetros de interpretação
▶ Em qualquer caso, o tratamento deve se limitar ao mínimo necessário ao atendimento da finalidade
pretendida, além de serem adotadas medidas
de transparência adequadas e compatíveis com a condição de criança e adolescente dos titulares, nos
termos do art. 14, § 6º, da lgpd;
▶ O tratamento não deve ser realizado se o teste de
balanceamento, uma vez adotado como medida de ponderação, não for conclusivo, se não forem
identificadas medidas de segurança e de mitigação 40
de risco apropriadas ou se verificada existência de formas de tratamento alternativas e menos
intrusivas aos direitos dos titulares, inclusive com a possibilidade de utilização de outra base
legal;
▶ Elaboração de relatório de impacto de proteção de
dados pessoais, caso seja identificada a existência de alto risco no tratamento no caso concreto.
Interesse legítimo ▶ O interesse é um conceito amplo que abrange
qualquer benefício ou proveito que resulta do tratamento de dados pessoais;
▶ O interesse somente será legítimo se atender a três
condições: (i) compatibilidade com o ordenamento jurídico; (ii) lastro em uma situação concreta; e
(iii) vinculação a finalidades legítimas, específicas e explícitas.
Interesse do controlador ou de terceiro
▶ O tratamento pode ser realizado para resguardar interesse legítimos: (i) do próprio controlador,
isto é, do agente responsável por tomar as principais decisões referentes ao tratamento e por
definir a
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Requisito Recomendações e parâmetros de interpretação
finalidade desse tratamento; ou (ii) de terceiros, isto é, qualquer pessoa natural ou jurídica ou
grupo de pessoas, desde que distintos do controlador, incluindo interesses da coletividade;
▶ No caso de interesse de terceiros, o controlador
deve atender aos mesmos requisitos e condições observados para atender interesse legítimo próprio,
inclusive as disposições do art. 10 da lgpd.
Prevalência de direitos e liberdades fundamentais
▶ O tratamento com base na hipótese legal do legítimo 41
interesse pressupõe a identificação e a mitigação de riscos aos direitos e liberdades fundamentais
dos titulares;
▶ Em especial, deve ser respeitada a autodeterminação
informativa dos titulares, assegurando-lhes a capacidade de conhecer e de participar de forma ativa
das decisões referentes ao tratamento de seus dados, incluindo a possibilidade efetiva de se opor à
operação realizada com base no legítimo interesse quando não observada a lgpd no tratamento de seus
dados e, em todo caso, resguardado o direito de petição perante a anpd;
▶ É importante que sejam disponibilizados canais
de fácil acesso, por meio dos quais os titulares possam exercer os seus direitos e solicitar a
adoção de medidas como o término do tratamento e a eliminação de seus dados pessoais.
Legítima expectativa
▶ O controlador deve ser capaz de demonstrar que o tratamento dos dados para a finalidade
pretendida é razoavelmente esperado pelos titulares naquele contexto;
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Requisito Recomendações e parâmetros de interpretação
▶ Entre outros fatores, a análise da legítima expectativa deve levar em consideração: (i) a
existência de uma relação prévia do controlador com o titular; (ii) a fonte e a forma por meio dais
quais
os dados foram coletados, isto é, se os dados foram coletados diretamente pelo controlador, de
fontes públicas ou se foram compartilhados por terceiros;
(iii) o contexto e o período da coleta dos dados; e (iv) finalidade original da coleta e a sua
compatibilidade
com o tratamento posterior baseado no legítimo 42
interesse;
▶ O controlador deve disponibilizar mecanismos de exercício de direitos pelos titulares. Assim,
caso o titular discorde da avaliação realizada pelo controlador ou entenda que, por violar as suas
legítimas expectativas, o tratamento contraria o disposto na lgpd, poderá se opor à sua realização
e solicitar a adoção das providências cabíveis na hipótese, tais como o encerramento da operação e
a eliminação de seus dados pessoais. Caso a
solicitação não seja atendida, o titular poderá ainda peticionar contra o controlador perante a
anpd.
Necessidade, transparência e registro das operações
▶ Somente os dados estritamente necessários para a finalidade pretendida podem ser tratados;
▶ Cabe ao controlador assegurar aos titulares acesso
facilitado às informações sobre o tratamento de seus dados com base na hipótese legal do legítimo
interesse. Tais informações devem ser disponibilizadas de forma clara, adequada e ostensiva,
abrangendo, entre outros aspectos
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Requisito Recomendações e parâmetros de interpretação
previstos no art. 9º da lgpd, a forma, a duração e a finalidade específica do tratamento; a
identificação e as informações de contato do controlador; e, especialmente, os direitos do titular,
incluindo os canais disponíveis para o seu exercício;
▶ O controlador deve manter o registro das operações
de tratamento baseadas no legítimo interesse.
Teste de balanceamento
▶ O teste de balanceamento constitui uma
materialização da avaliação da proporcionalidade 43
exigida pela lgpd, com base no contexto e nas circunstâncias específicas do tratamento de dados,
levando em consideração os impactos e os riscos aos direitos e liberdades dos titulares;
▶ O controlador não deve realizar o tratamento com
base na hipótese legal do legítimo interesse caso o teste de balanceamento conclua pela prevalência
dos direitos e liberdades fundamentais e legítimas expectativas dos titulares;
▶ Não existe uma abordagem única para o teste de
balanceamento. Em algumas circunstâncias, o teste pode ser breve ou simplificado, como nos casos
em que é claramente identificada a existência de baixo impacto aos direitos dos titulares. Em
outras situações, tal avaliação poderá demandar maior detalhamento e robustez, como, por exemplo,
no caso de uso de novas tecnologias baseadas em quantidades massivas de dados pessoais;
▶ O teste de balanceamento é um instrumento
relevante para demonstrar o atendimento dos requisitos para a utilização da hipótese legal do
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Requisito Recomendações e parâmetros de interpretação
legítimo interesse no caso concreto e demonstrar a conformidade do tratamento de dados pessoais,
nos termos do art. 6º, x (princípio da responsabilização
e prestação de contas) e do art. 37, da lgpd, o qual contém expressa referência ao registro do
tratamento baseado no legítimo interesse;
▶ O modelo de teste recomendado pela anpd
(disponível no Anexo ii) possui três fases (“finalidade”, “necessidade” e “balanceamento
e salvaguardas”), que se baseiam na lgpd e nas 44
definições e nos parâmetros de interpretação expostos neste Guia.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Anexo ii
Modelo de teste simplificado
teste de balanceamento
Operação/tratamento:
Data do teste: Atualizações: Preenchido por:
Dados pessoais tratados: Finalidade do tratamento: Hipótese legal utilizada:
45
Legítimo interesse Prevenção à fraude
O modelo de teste de balanceamento foi desenvolvido pela anpd e tem como objeti- vo auxiliar os
agentes de tratamento sobre o uso do legítimo interesse como hipótese legal no tratamento de dados
pessoais. A Autoridade desenvolveu perguntas e res- postas que têm o condão de facilitar o
preenchimento do documento. Cabe destacar que o modelo não é vinculativo e, portanto, cada agente
de tratamento pode utilizar o modelo de sua preferência, além de realizar adaptações, caso entenda
assim neces- sário, observadas as disposições da lgpd e as orientações apresentadas neste Guia.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Sobre o teste | O tratamento de dados pessoais com respaldo no legítimo interesse deve ser
precedido de um teste de balanceamento que considere, de um lado, os in- teresses do controlador ou
de terceiro e, de outro, os direitos e liberdades fundamen- tais dos titulares. Assim, o teste de
balanceamento, constitui uma avaliação da pro- porcionalidade com base no contexto e nas
circunstâncias específicas do tratamento, levando em consideração os impactos e os riscos aos
direitos e liberdades fundamen- tais dos titulares, bem como as suas legítimas expectativas. O
controlador não deve realizar o tratamento com base na hipótese legal do legítimo interesse caso o
teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas
expectativas dos titulares.
Prevenção à fraude e à segurança | o modelo de teste de balanceamento também 46
pode ser utilizado no caso de tratamento baseado na hipótese legal prevista no art. 11, ii, g, da
lgpd, como forma de avaliar se, no caso concreto, prevalecem direitos e li- berdades fundamentais
dos titulares. Em especial, deve-se considerar que essa hipó- tese legal é aplicável exclusivamente
para fins de “prevenção à fraude e à segurança do titular, nos processos de identificação e
autenticação de cadastro em sistemas ele- trônicos”. Esta finalidade deve ser interpretada
restritivamente e descrita de forma objetiva e o mais detalhada possível.
Dados de crianças e adolescentes | caso o tratamento envolva dados pessoais de crianças e
adolescentes, o melhor interesse dos titulares deve ser avaliado de forma prioritária em todas as
fases do teste, prevalecendo a interpretação que atenda a esse princípio de forma mais eficaz. Além
disso, o tratamento não deve ser realizado se o teste não for conclusivo, se não forem
identificadas medidas de segurança e de miti- gação de risco apropriadas ou se verificada a
existência de formas de tratamento al- ternativas e menos intrusivas aos direitos dos titulares,
inclusive com a possibilidade de utilização de outra base legal. Em qualquer caso, o tratamento
deve se limitar ao mínimo necessário, ao atendimento da finalidade pretendida, além de serem adota-
das medidas de transparência adequadas e compatíveis com a condição de criança e adolescente dos
titulares, nos termos do art. 14, § 6º, da lgpd.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
parte 1: finalidade
Fundamentação legal | Princípio da finalidade (art. 6º, I, lgpd) e Art. 10, caput, lgpd – “O
legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para
finalidades legítimas, consideradas a partir de situações concre- tas, que incluem, mas não se
limitam a: (…)
Objetivo | Identificar a natureza dos dados pessoais e a aplicabilidade da hipótese le- gal do
legítimo interesse ao tratamento dos dados pessoais, mediante a avaliação da legitimidade do
interesse, ou seja, se este é compatível com o ordenamento jurídico, baseado em uma situação
concreta e vinculado a uma finalidade legítima, específica
e explícita. 47
Orientações gerais | As informações devem ser apresentadas de forma clara, obje- tiva e precisa,
com todos os detalhes necessários para permitir a compreensão e o delineamento adequados dos
objetivos do tratamento.
Natureza dos dados pessoais
▶ Qual a natureza dos dados pessoais? Existe tratamento de dados pessoais sensíveis? Em caso
afirmativo, o tratamento não pode ser realizado com base na hipótese legal do legítimo interesse.
Dados de crianças e adolescentes
▶ Serão tratados dados de crianças e adolescentes?
▶ Em caso positivo, o que foi considerado como melhor interesse dos titulares?
Quais os critérios utilizados para a ponderação entre os interesses do controlador ou de terceiro e
os direitos dos titulares? O tratamento gera riscos.
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como
sujeito de direitos?
▶ O controlador possui uma relação prévia e direta com os titulares crianças e
adolescentes? O tratamento visa assegurar a proteção de direitos e interesses dos titulares ou
viabilizar a prestação de serviços que os beneficiem? Caso essas condições não estejam presentes, o
controlador deve adotar cautela adicional, avaliando a existência de formas alternativas e menos
invasivas para os titulares e, ainda, implementando as medidas de segurança e de mitigação de
riscos adequadas à hipótese.
48
Interesse e finalidades legítimas
▶ Qual benefício ou proveito resulta do tratamento de dados pessoais para o controlador ou
terceiro?
▶ O interesse é compatível com o ordenamento jurídico? Ou seja, o tratamento
é compatível com princípios, normas jurídicas e direitos fundamentais? Aplicam-se ao caso e não se
aplicam às hipóteses legais que vedam ou impeçam a realização do tratamento? O tratamento
contraria, direta ou indiretamente, disposições legais ou princípios aplicáveis ao caso?
▶ Qual a finalidade do tratamento? A finalidade é legítima, específica e
explícita?
Situação concreta
▶ O interesse é baseado em uma situação clara, concreta e não especulativa?
▶ Qual é essa situação concreta, de forma detalhada?
▶ Qual o contexto em que é realizado o tratamento?
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
parte 2: necessidade
Fundamentação legal | Princípio da necessidade (art. 6º, iii, lgpd) e art. 10, §1º, lgpd – “§ 1º
Quando o tratamento for baseado no legítimo interesse do controlador, so- mente os dados pessoais
estritamente necessários para a finalidade pretendida po- derão ser tratados.”
Objetivo | Identificar se o tratamento baseado no legítimo interesse é necessário para atingir as
finalidades do passo anterior, além de ponderar medidas de minimi- zação do uso de dados pessoais.
Orientações gerais | Nessa fase é importante avaliar a existência de formas menos 49
intrusivas para realizar o tratamento, além de analisar se é possível atingir a finalida- de de uma
forma menos onerosa e com menores riscos ao titular. Outra observação importante é que, caso haja
mais de uma finalidade descrita na Parte 1, recomenda-
-se que seja feito outro teste para fundamentar a outra finalidade.
Tratamento e finalidade pretendida
▶ O tratamento é necessário para atingir os interesses analisados no passo anterior?
▶ É possível usar outros meios razoáveis para atingir a mesma finalidade de
forma menos intrusiva para o titular?
▶ O tratamento é proporcional e adequado para a finalidade descrita?
Minimização
▶ Estão sendo utilizados apenas os dados estritamente necessários para atingir à finalidade
pretendida?
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
▶ Existem formas menos intrusivas, menos onerosas ou com menores riscos ao titular que poderiam ser
utilizadas para atingir a mesma finalidade?
parte 3: balanceamento e salvaguardas
Fundamentação legal | Art. 7º, ix, lgpd – “quando necessário para atender aos inte- resses
legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direi- tos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais”;
Art. 10, ii, lgpd – “proteção, em relação ao titular, do exercício regular de seus direitos 50
ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos
e liberdades fundamentais, nos termos desta Lei”; e Art. 10, §2º, lgpd – § 2º – “O controlador
deverá adotar medidas para garantir a transparência do tratamen- to de dados baseado em seu
legítimo interesse”.
Objetivo | Avaliar os riscos e os impactos sobre os direitos dos titulares dos dados com base no
interesse e finalidades identificados nas fases anteriores, além de balancear esses riscos com as
salvaguardas a serem adotadas e com a garantia de acesso claro e preciso aos titulares acerca das
informações relativas ao tratamento dos seus dados.
Orientações gerais | Nessa fase é fundamental adotar a perspectiva do titular, a fim de assegurar
que as suas legítimas expectativas e seus direitos e liberdades funda- mentais sejam respeitados. É
importante colocar na balança os interesses do contro- lador ou de terceiro e dos titulares,
considerando as especificidades da situação con- creta, tal como quando o tratamento abranger dados
de crianças e adolescentes. Por isso, a fim de obter uma análise mais precisa, é importante adotar
uma ampla gama de pontos de vista possíveis. Cabe destacar que a existência de um possível risco ou
impacto negativo sobre os titulares não afasta, por si só, o tratamento dos dados pes- soais com
base no legítimo interesse. O que a lgpd exige não é o impacto zero, mas, sim, que os eventuais
impactos sejam minimizados e levados em consideração na adoção de salvaguardas a fim de assegurar
que, no caso concreto, os interesses que
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
justificam a realização do tratamento são compatíveis com o respeito aos direitos e as liberdades
fundamentais do titular.
Legítima expectativa
▶ O tratamento dos dados pessoais para a finalidade pretendida é razoavelmente esperado pelos
titulares, considerando o contexto em que é realizado?
▶ A avaliação quanto à legítima expectativa deve levar em consideração, entre
outros, os seguintes fatores relevantes:
› Existe uma relação prévia do controlador com o titular? 51
› Qual a fonte e a forma por meio das quais os dados foram coletados? Isto é, foram coletados
diretamente do titular, de fontes públicas ou foram obtidos por meio de compartilhamento realizado
por terceiros?
› Qual o contexto e o período da coleta dos dados pessoais?
› A finalidade original da coleta é compatível com o tratamento baseado no legítimo interesse?
Riscos e impactos aos direitos e liberdades fundamentais
▶ De que forma os titulares de dados pessoais serão impactados pelo tratamento?
▶ Direitos e garantias fundamentais como liberdade de expressão, locomoção,
não discriminação, intimidade, integridade física e moral podem ser afetados com o tratamento?
▶ Quais são os riscos em potencial sobre os titulares?
▶ Os direitos e liberdades fundamentais dos titulares prevalecem sobre os interesses do controlador
ou de terceiro?
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
Salvaguardas e mecanismos de opt-out e de oposição
▶ Quais medidas são adotadas para mitigar os riscos identificados?
▶ Quais medidas de transparência são adotadas? Serão disponibilizadas informações claras, precisas
e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento?
▶ Será disponibilizado canal de fácil acesso, por meio do qual os titulares podem
exercer os direitos previstos na lgpd, em especial os de se descadastrar, de opor ao tratamento e
de solicitar o término da operação e a eliminação de seus dados pessoais?
52
conclusão
Analisar as respostas das Partes 1, 2 e 3 para concluir se pode ou não aplicar a hipótese legal do
legítimo interesse.
É possível utilizar o legítimo interesse nesse tratamento de dados? Sim/Não Comentários
adicionais:
Data Local
guia anpd · Hipóteses legais de tratamento de dados pessoais | Legítimo Interesse
www.anpd.gov.br