A Lei Geral de Proteção de Dados – Lei nº 13.709/18, ou simplesmente LGPD, em vigor desde setembro de 2020, tem como objetivo estabelecer as diretrizes e condições específicas em que os dados pessoais podem ser tratados, prevendo as sanções aplicáveis em caso de violação das suas disposições.
De acordo com a LGPD, o tratamento de dados pessoais somente poderá ser realizado quando se enquadrar em uma das hipóteses trazidas pelo seu artigo 7º, dentre as quais se encontra o legítimo interesse.
Não há na LGPD a definição do que é, de fato, o legítimo interesse. No entanto, essa hipótese vem para fundamentar o tratamento de dados pessoais realizado com o objetivo de apoio e promoção às atividades do controlador, bem como aquele tratamento realizado para a prestação de serviços que beneficiem o titular, desde que respeitadas as suas legítimas expectativas e seus direitos e liberdades fundamentais, como a intimidade, privacidade, a honra e a autodeterminação informativa.
Nesse contexto, o Legitimate Interests Assessment, conhecido como “LIA”, ou o Teste de Ponderação, é um procedimento recomendado sempre que o controlador pretenda utilizar o legítimo interesse como fundamento para o tratamento de dados pessoais.
Com o LIA, o controlador pode verificar se o tratamento pretendido atende aos requisitos necessários para a caracterização do legítimo interesse, quais sejam, a finalidade legítima, a justa expectativa do titular e a prevalência dos direitos fundamentais dos titulares.
Para realizar o LIA, o controlador deverá ter clareza a respeito da finalidade do tratamento a ser realizado, de quais dados pessoais serão tratados para que referida finalidade seja devidamente alcançada – lembrando que dados pessoais sensíveis não podem ser tratados sob a hipótese do legítimo interesse – e inteligência do contexto em que esses dados serão tratados – buscando informar ao titular dos dados, da forma mais específica possível, sobre o tratamento pretendido.
Uma vez realizada a descrição completa do tratamento pretendido, inicia-se a fase de análise, que pode ser realizada em quatro macro etapas:
1. Legitimidade do Interesse: nesta etapa deve ser verificado qual o real interesse da empresa em tratar os dados pessoais e se esse interesse pode ser considerado legítimo, ou seja, lícito, adequado e proporcional.
Algumas perguntas podem ser feitas durante a realização desta análise, tais como: Qual o benefício esperado desse tratamento? Quem serão os principais beneficiados em razão do tratamento? Quais os impactos do tratamento e quais seriam as consequências da sua não realização? O tratamento pretendido está sujeito a alguma legislação específica e atende aos parâmetros legais estabelecidos?
2. Necessidade: na segunda etapa é verificado se o tratamento a ser realizado é realmente necessário para atingir as finalidades pretendidas.
Além disso, deve observar se serão tratados apenas os dados pessoais estritamente necessários para atingir a finalidade pretendida, de modo a evitar o uso de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, dando prioridade aos dados menos intrusivos e que possam ser utilizados para atingir as mesmas finalidades.
3. Balanceamento: nesta etapa devem ser considerados os impactos do tratamento sobre os direitos e liberdades dos titulares dos dados pessoais, sendo essencial averiguar se algum direito fundamental do titular vai ser impactado em razão do tratamento realizado, e se referido impacto é capaz de causar algum dano ao titular.
Também deve ser verificada a legítima expectativa do titular em relação ao tratamento, que pode ser constatada através de critérios como a existência de uma relação prévia entre controlador e titular e da probabilidade de o titular imaginar que seus dados poderiam ser tratados para as finalidades pretendidas.
4. Salvaguardas: na etapa final devem ser avaliadas as medidas e instrumentos empregados para evitar que os dados pessoais sejam utilizados de forma indevida ou estejam sujeitos a situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação, além das boas práticas a serem empregadas para garantir o atendimento adequado aos direitos dos titulares.
Ainda, deve ser verificada a existência de mecanismos de oposição (opt-out) e a possibilidade de adoção de medidas de mitigação de riscos, como a anonimização, pseudoanonimização e o controle de acesso aos dados.
Realizadas as quatro fases de análise, o controlador terá fundamentos para prosseguir ou não com o tratamento, uma vez que, havendo a reprovação em qualquer das fases do LIA, não será recomendada a utilização do legítimo interesse como fundamento legal para a execução do tratamento.
Vale destacar que não existe previsão expressa na LGPD a respeito da elaboração do LIA. Porém, nos termos do parágrafo terceiro do Artigo 10, sempre que houver o tratamento de dados pessoais fundamentado no legítimo interesse a Autoridade Nacional de Proteção de Dados poderá solicitar ao controlador que apresente o Relatório de Impacto à Proteção de Dados Pessoais, sendo que parte das informações necessárias para a sua elaboração também encontram-se no Teste de Ponderação.