O Teste de Balanceamento na Proteção de Dados Pessoais

April 24, 2024

Existem inúmeras situações em um negócio que fazem com que uma empresa tenha que lidar com dados pessoais, sem que seja possível ou mesmo viável o consentimento do titular. E foi pensando nisso que o legislador disponibilizou outras 9 bases legais na Lei Geral de Proteção de Dados (LGPD) de forma que as empresas, controladoras ou operadoras de tais dados pessoais possam enquadrar o tratamento dos respectivos dados.

Se você que está lendo esse texto não conhece a LGPD , ainda que superficialmente, pode parecer estranho que alguém possa tratar os seus dados pessoais sem o seu consentimento prévio. Contudo, além do consentimento prévio do titular, são previstas mais 9 bases legais para tratamento de dados pessoais e mais 7 bases legais para tratamento de dados pessoais sensíveis.

Uma dessas bases legais escolhida para esse artigo é a do legítimo interesse. Essa base legal é disponibilizada para tratar somente dados pessoais e não dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural. Ou seja, é importante deixar claro ao leitor que o legítimo interesse não é permitido pelo legislador para enquadrar o tratamento de dados pessoais sensíveis.

1.1. Legítimo Interesse

O legítimo interesse, de forma resumida, caracteriza a vontade da empresa em tratar os dados pessoais de um indivíduo para atender a um propósito voltado ao seu negócio. Ao ler essa definição e o texto acima, você pode concluir então que, exceto para os dados pessoais sensíveis, a empresa poderia usar o enquadramento do legítimo interesse para qualquer tratamento de dados pessoais, não é? Mas você estaria equivocado. O legítimo interesse, para servir como base legal de uma empresa no tratamento dos dados pessoais, precisa atender a alguns requisitos que a lei impõe.

Segundo o Guia Orientativo, o legítimo interesse pode ser utilizado para enquadrar o tratamento de dados pessoais no setor público, assim como no setor privado. Entretanto, no setor público, sua aplicação é muito limitada e não deve ser encorajada por não ser apropriada quando o tratamento de dados pessoais é realizado de forma compulsória ou quando é necessário para o cumprimento de obrigações e atribuições legais do Poder Público. Além disso, não há como se realizar uma análise pormenorizada entre as expectativas dos titulares, levando-se em conta seus direitos e liberdades fundamentais e os supostos interesses ou obrigações do Poder Público, visto que inexiste um equilíbrio de forças.

Na prática, o enquadramento do tratamento de dados pessoais no legítimo interesse deve ser sempre precedido por um teste de balanceamento. Além disso, dependendo da quantidade de dados pessoais e do grau de risco trazido aos seus respectivos titulares, deve ser acompanhado igualmente por um relatório de impacto.

Caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares, a empresa não deve realizar o tratamento com base na hipótese legal do legítimo interesse. Nem mesmo após a implementação de salvaguardas para a mitigação de riscos.

1.2. Teste de Balanceamento

O teste de balanceamento serve para avaliar a proporcionalidade entre a legitimidade do interesse da empresa e os interesses dos titulares dos dados pessoais, além dos impactos e os riscos aos seus direitos e liberdades. Serve ainda para atender aos princípios da responsabilização e prestação de contas, garantindo a transparência do tratamento de dados pessoais e permitindo que a Autoridade Nacional de Proteção de Dados (ANPD) possa avaliar a adequação do respectivo tratamento de dados pessoais com o arcabouço de normas aplicáveis.

O teste de balanceamento deve ser considerado para cada uma das finalidades específicas para as quais haverá o tratamento de dados. Na prática, isso implica dizer que um teste de balanceamento deve ser aplicado a cada finalidade indicada para o tratamento de dados pessoais, ainda que se trate dos mesmos dados pessoais.

É importante salientar que o teste de balanceamento pode ser utilizado também: na hipótese do enquadramento de dados pessoais sensíveis na base legal da garantia da prevenção à fraude e à segurança do titular; nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos de acesso pelo titular aos seus dados e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Esta finalidade deve ser interpretada restritivamente e descrita de forma objetiva e o mais detalhada possível.

Devem ser levadas em consideração 3 fases para a elaboração do teste de balanceamento:

FASE

DESCRIÇÃO DA FASE

1a. Fase – Finalidade

Deve-se analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar, verificando a natureza dos dados pessoais, já que o legítimo interesse não se aplica ao enquadramento do tratamento de dados pessoais sensíveis e se houver dados de crianças e adolescentes, devem ser consideradas todas as medidas de observância e prevalência do seu melhor interesse. Além disso, deve ser identificado e descrito o interesse que justifica o tratamento, se do controlador ou de um terceiro, avaliando-se a sua legitimidade quanto à compatibilidade com as regras vigentes.

2a. Fase – Necessidade

Deve-se analisar somente os dados pessoais estritamente necessários para a finalidade pretendida, priorizando o atingimento do seu propósito com menos ônus e menores riscos para os titulares de dados pessoais.

3a. Fase – Balanceamento e Salvaguardas

Deve-se avaliar o potencial risco e os impactos sobre os titulares dos dados com base no interesse e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados. Nessa fase, deve-se sempre ter como premissa a ótica do titular de dados pessoais, de forma a assegurar que as suas legítimas expectativas e seus direitos e liberdades fundamentais sejam respeitados. Quaisquer riscos identificados podem ser mitigados com a adoção de salvaguardas correspondentes.

1.3. Modelo de Teste de Balanceamento

Abaixo é possível visualizar um modelo de teste de balanceamento disponibilizado pela ANPD:

teste de balanceamento

Operação/tratamento:

Data do teste:

Atualizações:

Preenchido por:

Dados pessoais tratados:

Finalidade do tratamento:

Hipótese legal utilizada:

Legítimo interesse

Prevenção à fraude

PARTE 1: FINALIDADE

Fundamentação legal | Princípio da finalidade (art. 6°, I, LGPD) e Art. 10, caput, LGPD - “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: (...)

Objetivo | Identificar a natureza dos dados pessoais e a aplicabilidade da hipótese legal do legítimo interesse ao tratamento dos dados pessoais, mediante a avaliação da legitimidade do interesse, ou seja, se este é compatível com o ordenamento jurídico, baseado em uma situação concreta e vinculado a uma finalidade legítima, específica e explícita.

Orientações gerais | As informações devem ser apresentadas de forma clara, objetiva e precisa, com todos os detalhes necessários para permitir a compreensão e o delineamento adequados dos objetivos do tratamento.

Natureza dos dados pessoais

► Qual a natureza dos dados pessoais? Existe tratamento de dados pessoais sensíveis? Em caso afirmativo, o tratamento não pode ser realizado com base na hipótese legal do legítimo interesse.

Dados de crianças e adolescentes

► Serão tratados dados de crianças e adolescentes?

► Em caso positivo, o que foi considerado como melhor interesse dos titulares? Quais os critérios utilizados para a ponderação entre os interesses do controlador ou de terceiro e os direitos dos titulares? O tratamento gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como sujeito de direitos?

► O controlador possui uma relação prévia e direta com os titulares crianças e adolescentes? O tratamento visa assegurar a proteção de direitos e interesses dos titulares ou viabilizar a prestação de serviços que os beneficiem? Caso essas condições não estejam presentes, o controlador deve adotar cautela adicional, avaliando a existência de formas alternativas e menos invasivas para os titulares e, ainda, implementando as medidas de segurança e de mitigação de riscos adequadas à hipótese.

Interesse e finalidades legítimas

► Qual benefício ou proveito resulta do tratamento de dados pessoais para o controlador ou terceiro?

► O interesse é compatível com o ordenamento jurídico? Ou seja, o tratamento é compatível com princípios, normas jurídicas e direitos fundamentais? Aplicam-se ao caso e não se aplicam às hipóteses legais que vedam ou impeçam a realização do tratamento? O tratamento contraria, direta ou indiretamente, disposições legais ou princípios aplicáveis ao caso?

► Qual a finalidade do tratamento? A finalidade é legítima, específica e explícita?

Situação concreta

► O interesse é baseado em uma situação clara, concreta e não especulativa?

► Qual é essa situação concreta, de forma detalhada?

► Qual o contexto em que é realizado o tratamento?

PARTE 2: NECESSIDADE

Fundamentação legal | Princípio da necessidade (art. 6°, m, LGPD) e art. 10, §1°, LGPD - “§ 1° Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.”

Objetivo | Identificar se o tratamento baseado no legítimo interesse é necessário para atingir as finalidades do passo anterior, além de ponderar medidas de minimização do uso de dados pessoais.

Orientações gerais | Nessa fase é importante avaliar a existência de formas menos intrusivas para realizar o tratamento, além de analisar se é possível atingir a finalidade de uma forma menos onerosa e com menores riscos ao titular. Outra observação importante é que, caso haja mais de uma finalidade descrita na Parte 1, recomenda-se que seja feito outro teste para fundamentar a outra finalidade.

Tratamento e finalidade pretendida

► O tratamento é necessário para atingir os interesses analisados no passo anterior?

► É possível usar outros meios razoáveis para atingir a mesma finalidade de forma menos intrusiva para o titular?

► O tratamento é proporcional e adequado para a finalidade descrita?

Minimização

► Estão sendo utilizados apenas os dados estritamente necessários para atingir à finalidade pretendida?

► Existem formas menos intrusivas, menos onerosas ou com menores riscos ao titular que poderiam ser utilizadas para atingir a mesma finalidade?

PARTE 3: BALANCEAMENTO E SALVAGUARDAS

Fundamentação legal | Art. 7°, IX, LGPD - “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”; Art. 10, II, LGPD - “proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”; e Art. 10, §2°, LGPD - § 2° - “O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse”.

Objetivo | Avaliar os riscos e os impactos sobre os direitos dos titulares dos dados com base no interesse e finalidades identificados nas fases anteriores, além de balancear esses riscos com as salvaguardas a serem adotadas e com a garantia de acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados.

Orientações gerais | Nessa fase é fundamental adotar a perspectiva do titular, a fim de assegurar que as suas legítimas expectativas e seus direitos e liberdades fundamentais sejam respeitados. É importante colocar na balança os interesses do controlador ou de terceiro e dos titulares, considerando as especificidades da situação concreta, tal como quando o tratamento abranger dados de crianças e adolescentes. Por isso, a fim de obter uma análise mais precisa, é importante adotar uma ampla gama de pontos de vista possíveis. Cabe destacar que a existência de um possível risco ou impacto negativo sobre os titulares não afasta, por si só, o tratamento dos dados pessoais com base no legítimo interesse. O que a LGPD exige não é o impacto zero, mas, sim, que os eventuais impactos sejam minimizados e levados em consideração na adoção de salvaguardas a fim de assegurar que, no caso concreto, os interesses que justificam a realização do tratamento são compatíveis com o respeito aos direitos e as liberdades fundamentais do titular.

Legítima expectativa

> O tratamento dos dados pessoais para a finalidade pretendida é razoavelmente esperado pelos titulares, considerando o contexto em que é realizado?

> A avaliação quanto à legítima expectativa deve levar em consideração, entre outros, os seguintes fatores relevantes:

> Existe uma relação prévia do controlador com o titular?

> Qual a fonte e a forma por meio das quais os dados foram coletados? Isto é, foram coletados diretamente do titular, de fontes públicas ou foram obtidos por meio de compartilhamento realizado por terceiros?

> Qual o contexto e o período da coleta dos dados pessoais?

> A finalidade original da coleta é compatível com o tratamento baseado no legítimo interesse?

Riscos e impactos aos direitos e liberdades fundamentais

► De que forma os titulares de dados pessoais serão impactados pelo tratamento?

► Direitos e garantias fundamentais como liberdade de expressão, locomoção, não discriminação, intimidade, integridade física e moral podem ser afetados com o tratamento?

► Quais são os riscos em potencial sobre os titulares?

► Os direitos e liberdades fundamentais dos titulares prevalecem sobre os interesses do controlador ou de terceiro?

Salvaguardas e mecanismos de opt-out e de oposição

► Quais medidas são adotadas para mitigar os riscos identificados?

► Quais medidas de transparência são adotadas? Serão disponibilizadas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento?

► Será disponibilizado canal de fácil acesso, por meio do qual os titulares podem exercer os direitos previstos na LGPD, em especial os de se descadastrar, de opor ao tratamento e de solicitar o término da operação e a eliminação de seus dados pessoais?

CONCLUSÃO

Analisar as respostas das Partes 1, 2 e 3 para concluir se pode ou não aplicar a hipótese legal do legítimo interesse.

É possível utilizar o legítimo interesse nesse tratamento de dados?

Sim/Não

Comentários adicionais:

Data

Local

No items found.

RECENT POSTS

Você sabe o que é a No Surprises Act? Entenda sua importância

October 7, 2024

SEC Combate Retaliação de Empresas Contra Informantes

September 20, 2024

CFM Intervém na Relação do Médico com a Indústria Farmacêutica e de Produtos Médicos

September 12, 2024

Do you know what the No Surprises Act is? Understanding its importance

October 7, 2024

SEC Combats Corporate Retaliation Against Whistleblowers

September 20, 2024

The Brazilian Medical Association Intervenes in the Relationship between Physicians and the Pharmaceutical and Medical Products Industry

September 12, 2024

Contratos e inteligência artificial: considerações legais e éticas

November 13, 2024

Assinaturas Digitais em Contratos (Parte 2)

November 5, 2024

Resolução de disputas contratuais: escolhendo o mecanismo certo

October 16, 2024

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

O Teste de Balanceamento na Proteção de Dados Pessoais

April 24, 2024
No items found.

Existem inúmeras situações em um negócio que fazem com que uma empresa tenha que lidar com dados pessoais, sem que seja possível ou mesmo viável o consentimento do titular. E foi pensando nisso que o legislador disponibilizou outras 9 bases legais na Lei Geral de Proteção de Dados (LGPD) de forma que as empresas, controladoras ou operadoras de tais dados pessoais possam enquadrar o tratamento dos respectivos dados.

Se você que está lendo esse texto não conhece a LGPD , ainda que superficialmente, pode parecer estranho que alguém possa tratar os seus dados pessoais sem o seu consentimento prévio. Contudo, além do consentimento prévio do titular, são previstas mais 9 bases legais para tratamento de dados pessoais e mais 7 bases legais para tratamento de dados pessoais sensíveis.

Uma dessas bases legais escolhida para esse artigo é a do legítimo interesse. Essa base legal é disponibilizada para tratar somente dados pessoais e não dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural. Ou seja, é importante deixar claro ao leitor que o legítimo interesse não é permitido pelo legislador para enquadrar o tratamento de dados pessoais sensíveis.

1.1. Legítimo Interesse

O legítimo interesse, de forma resumida, caracteriza a vontade da empresa em tratar os dados pessoais de um indivíduo para atender a um propósito voltado ao seu negócio. Ao ler essa definição e o texto acima, você pode concluir então que, exceto para os dados pessoais sensíveis, a empresa poderia usar o enquadramento do legítimo interesse para qualquer tratamento de dados pessoais, não é? Mas você estaria equivocado. O legítimo interesse, para servir como base legal de uma empresa no tratamento dos dados pessoais, precisa atender a alguns requisitos que a lei impõe.

Segundo o Guia Orientativo, o legítimo interesse pode ser utilizado para enquadrar o tratamento de dados pessoais no setor público, assim como no setor privado. Entretanto, no setor público, sua aplicação é muito limitada e não deve ser encorajada por não ser apropriada quando o tratamento de dados pessoais é realizado de forma compulsória ou quando é necessário para o cumprimento de obrigações e atribuições legais do Poder Público. Além disso, não há como se realizar uma análise pormenorizada entre as expectativas dos titulares, levando-se em conta seus direitos e liberdades fundamentais e os supostos interesses ou obrigações do Poder Público, visto que inexiste um equilíbrio de forças.

Na prática, o enquadramento do tratamento de dados pessoais no legítimo interesse deve ser sempre precedido por um teste de balanceamento. Além disso, dependendo da quantidade de dados pessoais e do grau de risco trazido aos seus respectivos titulares, deve ser acompanhado igualmente por um relatório de impacto.

Caso o teste de balanceamento conclua pela prevalência dos direitos e liberdades fundamentais e legítimas expectativas dos titulares, a empresa não deve realizar o tratamento com base na hipótese legal do legítimo interesse. Nem mesmo após a implementação de salvaguardas para a mitigação de riscos.

1.2. Teste de Balanceamento

O teste de balanceamento serve para avaliar a proporcionalidade entre a legitimidade do interesse da empresa e os interesses dos titulares dos dados pessoais, além dos impactos e os riscos aos seus direitos e liberdades. Serve ainda para atender aos princípios da responsabilização e prestação de contas, garantindo a transparência do tratamento de dados pessoais e permitindo que a Autoridade Nacional de Proteção de Dados (ANPD) possa avaliar a adequação do respectivo tratamento de dados pessoais com o arcabouço de normas aplicáveis.

O teste de balanceamento deve ser considerado para cada uma das finalidades específicas para as quais haverá o tratamento de dados. Na prática, isso implica dizer que um teste de balanceamento deve ser aplicado a cada finalidade indicada para o tratamento de dados pessoais, ainda que se trate dos mesmos dados pessoais.

É importante salientar que o teste de balanceamento pode ser utilizado também: na hipótese do enquadramento de dados pessoais sensíveis na base legal da garantia da prevenção à fraude e à segurança do titular; nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos de acesso pelo titular aos seus dados e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Esta finalidade deve ser interpretada restritivamente e descrita de forma objetiva e o mais detalhada possível.

Devem ser levadas em consideração 3 fases para a elaboração do teste de balanceamento:

FASE

DESCRIÇÃO DA FASE

1a. Fase – Finalidade

Deve-se analisar o contexto da realização do tratamento, com foco sobre os benefícios gerados e as finalidades que se pretende alcançar, verificando a natureza dos dados pessoais, já que o legítimo interesse não se aplica ao enquadramento do tratamento de dados pessoais sensíveis e se houver dados de crianças e adolescentes, devem ser consideradas todas as medidas de observância e prevalência do seu melhor interesse. Além disso, deve ser identificado e descrito o interesse que justifica o tratamento, se do controlador ou de um terceiro, avaliando-se a sua legitimidade quanto à compatibilidade com as regras vigentes.

2a. Fase – Necessidade

Deve-se analisar somente os dados pessoais estritamente necessários para a finalidade pretendida, priorizando o atingimento do seu propósito com menos ônus e menores riscos para os titulares de dados pessoais.

3a. Fase – Balanceamento e Salvaguardas

Deve-se avaliar o potencial risco e os impactos sobre os titulares dos dados com base no interesse e nas finalidades identificados nas fases anteriores, balanceando esses riscos com as salvaguardas a serem adotadas e com o acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados. Nessa fase, deve-se sempre ter como premissa a ótica do titular de dados pessoais, de forma a assegurar que as suas legítimas expectativas e seus direitos e liberdades fundamentais sejam respeitados. Quaisquer riscos identificados podem ser mitigados com a adoção de salvaguardas correspondentes.

1.3. Modelo de Teste de Balanceamento

Abaixo é possível visualizar um modelo de teste de balanceamento disponibilizado pela ANPD:

teste de balanceamento

Operação/tratamento:

Data do teste:

Atualizações:

Preenchido por:

Dados pessoais tratados:

Finalidade do tratamento:

Hipótese legal utilizada:

Legítimo interesse

Prevenção à fraude

PARTE 1: FINALIDADE

Fundamentação legal | Princípio da finalidade (art. 6°, I, LGPD) e Art. 10, caput, LGPD - “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: (...)

Objetivo | Identificar a natureza dos dados pessoais e a aplicabilidade da hipótese legal do legítimo interesse ao tratamento dos dados pessoais, mediante a avaliação da legitimidade do interesse, ou seja, se este é compatível com o ordenamento jurídico, baseado em uma situação concreta e vinculado a uma finalidade legítima, específica e explícita.

Orientações gerais | As informações devem ser apresentadas de forma clara, objetiva e precisa, com todos os detalhes necessários para permitir a compreensão e o delineamento adequados dos objetivos do tratamento.

Natureza dos dados pessoais

► Qual a natureza dos dados pessoais? Existe tratamento de dados pessoais sensíveis? Em caso afirmativo, o tratamento não pode ser realizado com base na hipótese legal do legítimo interesse.

Dados de crianças e adolescentes

► Serão tratados dados de crianças e adolescentes?

► Em caso positivo, o que foi considerado como melhor interesse dos titulares? Quais os critérios utilizados para a ponderação entre os interesses do controlador ou de terceiro e os direitos dos titulares? O tratamento gera riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente como sujeito de direitos?

► O controlador possui uma relação prévia e direta com os titulares crianças e adolescentes? O tratamento visa assegurar a proteção de direitos e interesses dos titulares ou viabilizar a prestação de serviços que os beneficiem? Caso essas condições não estejam presentes, o controlador deve adotar cautela adicional, avaliando a existência de formas alternativas e menos invasivas para os titulares e, ainda, implementando as medidas de segurança e de mitigação de riscos adequadas à hipótese.

Interesse e finalidades legítimas

► Qual benefício ou proveito resulta do tratamento de dados pessoais para o controlador ou terceiro?

► O interesse é compatível com o ordenamento jurídico? Ou seja, o tratamento é compatível com princípios, normas jurídicas e direitos fundamentais? Aplicam-se ao caso e não se aplicam às hipóteses legais que vedam ou impeçam a realização do tratamento? O tratamento contraria, direta ou indiretamente, disposições legais ou princípios aplicáveis ao caso?

► Qual a finalidade do tratamento? A finalidade é legítima, específica e explícita?

Situação concreta

► O interesse é baseado em uma situação clara, concreta e não especulativa?

► Qual é essa situação concreta, de forma detalhada?

► Qual o contexto em que é realizado o tratamento?

PARTE 2: NECESSIDADE

Fundamentação legal | Princípio da necessidade (art. 6°, m, LGPD) e art. 10, §1°, LGPD - “§ 1° Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.”

Objetivo | Identificar se o tratamento baseado no legítimo interesse é necessário para atingir as finalidades do passo anterior, além de ponderar medidas de minimização do uso de dados pessoais.

Orientações gerais | Nessa fase é importante avaliar a existência de formas menos intrusivas para realizar o tratamento, além de analisar se é possível atingir a finalidade de uma forma menos onerosa e com menores riscos ao titular. Outra observação importante é que, caso haja mais de uma finalidade descrita na Parte 1, recomenda-se que seja feito outro teste para fundamentar a outra finalidade.

Tratamento e finalidade pretendida

► O tratamento é necessário para atingir os interesses analisados no passo anterior?

► É possível usar outros meios razoáveis para atingir a mesma finalidade de forma menos intrusiva para o titular?

► O tratamento é proporcional e adequado para a finalidade descrita?

Minimização

► Estão sendo utilizados apenas os dados estritamente necessários para atingir à finalidade pretendida?

► Existem formas menos intrusivas, menos onerosas ou com menores riscos ao titular que poderiam ser utilizadas para atingir a mesma finalidade?

PARTE 3: BALANCEAMENTO E SALVAGUARDAS

Fundamentação legal | Art. 7°, IX, LGPD - “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”; Art. 10, II, LGPD - “proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”; e Art. 10, §2°, LGPD - § 2° - “O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse”.

Objetivo | Avaliar os riscos e os impactos sobre os direitos dos titulares dos dados com base no interesse e finalidades identificados nas fases anteriores, além de balancear esses riscos com as salvaguardas a serem adotadas e com a garantia de acesso claro e preciso aos titulares acerca das informações relativas ao tratamento dos seus dados.

Orientações gerais | Nessa fase é fundamental adotar a perspectiva do titular, a fim de assegurar que as suas legítimas expectativas e seus direitos e liberdades fundamentais sejam respeitados. É importante colocar na balança os interesses do controlador ou de terceiro e dos titulares, considerando as especificidades da situação concreta, tal como quando o tratamento abranger dados de crianças e adolescentes. Por isso, a fim de obter uma análise mais precisa, é importante adotar uma ampla gama de pontos de vista possíveis. Cabe destacar que a existência de um possível risco ou impacto negativo sobre os titulares não afasta, por si só, o tratamento dos dados pessoais com base no legítimo interesse. O que a LGPD exige não é o impacto zero, mas, sim, que os eventuais impactos sejam minimizados e levados em consideração na adoção de salvaguardas a fim de assegurar que, no caso concreto, os interesses que justificam a realização do tratamento são compatíveis com o respeito aos direitos e as liberdades fundamentais do titular.

Legítima expectativa

> O tratamento dos dados pessoais para a finalidade pretendida é razoavelmente esperado pelos titulares, considerando o contexto em que é realizado?

> A avaliação quanto à legítima expectativa deve levar em consideração, entre outros, os seguintes fatores relevantes:

> Existe uma relação prévia do controlador com o titular?

> Qual a fonte e a forma por meio das quais os dados foram coletados? Isto é, foram coletados diretamente do titular, de fontes públicas ou foram obtidos por meio de compartilhamento realizado por terceiros?

> Qual o contexto e o período da coleta dos dados pessoais?

> A finalidade original da coleta é compatível com o tratamento baseado no legítimo interesse?

Riscos e impactos aos direitos e liberdades fundamentais

► De que forma os titulares de dados pessoais serão impactados pelo tratamento?

► Direitos e garantias fundamentais como liberdade de expressão, locomoção, não discriminação, intimidade, integridade física e moral podem ser afetados com o tratamento?

► Quais são os riscos em potencial sobre os titulares?

► Os direitos e liberdades fundamentais dos titulares prevalecem sobre os interesses do controlador ou de terceiro?

Salvaguardas e mecanismos de opt-out e de oposição

► Quais medidas são adotadas para mitigar os riscos identificados?

► Quais medidas de transparência são adotadas? Serão disponibilizadas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento?

► Será disponibilizado canal de fácil acesso, por meio do qual os titulares podem exercer os direitos previstos na LGPD, em especial os de se descadastrar, de opor ao tratamento e de solicitar o término da operação e a eliminação de seus dados pessoais?

CONCLUSÃO

Analisar as respostas das Partes 1, 2 e 3 para concluir se pode ou não aplicar a hipótese legal do legítimo interesse.

É possível utilizar o legítimo interesse nesse tratamento de dados?

Sim/Não

Comentários adicionais:

Data

Local

Related
No items found.

ABOUT US

Licks’ Blog provides regular and insightful updates on Brazil’s political and economic landscape. The posts are authored by our Government Affairs & International Relations group, which is composed of experienced professionals from different backgrounds with multiple policy perspectives.

Licks Attorneys is a top tier Brazilian law firm, speciallized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

ABOUT US

Licks Attorneys Compliance’s Blog provides regular and insightful updates about Ethic and Compliance. The posts are authored by Alexandre Dalmasso, our partner. Licks Attorneys is a top tier Brazilian law firm, specialized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

QUEM SOMOS

O blog Licks Attorneys Compliance fornece atualizações regulares e esclarecedoras sobre Ética e Compliance. As postagens são de autoria de Alexandre Dalmasso, sócio do escritório. O Licks Attorneys é um escritório de advocacia brasileiro renomado, especializado em Propriedade Intelectual e reconhecido por seu sucesso em lidar com grandes e estratégicos cases no país.

Follow Us on Social Media

Offices

Rio de Janeiro

Av. Oscar Niemeyer, 2000
9th floor, Aqwa Corporate
Rio de Janeiro RJ - Brazil
20220-297
Phone: +55 21 3550 3700
Fax: +55 21 3956 9444
info@lickslegal.com

Sao Paulo

Rua George Ohm, 230
Tower A CJ 112/113
Sao Paulo SP - Brazil
04576-020
Phone: +55 11 3033 3700
info@lickslegal.com

Brasilia

SH/Sul Zone 06, Unit A,
Complexo Brasil 21, Block E,
Rooms 515 and 516 – Asa Sul
Brasilia DF - Brazil
70316-902
Phone: + 55 61 3772 3700
info@lickslegal.com

Curitiba

Rua da Glória, 251, #601
Centro Cívico
Curitiba - Brazil
80030-060
Phone: + 55 41 2391 0680
info@lickslegal.com

Tokyo

Chiyoda Kaikan Bldg, 6F, 1-6-17
Kudan Minami Chiyoda-Ku
Tokyo - Japan
102-0074
Phone:+81 3 6256 8972
Fax:+81 (03) 6740 1453
japan@lickslegal.com

© Copyright 2024 Licks Attorneys

Selo COVID-19 FIRJAN e Albert Einstein
Covid-19 Safe Certified Office