A base lega intitulada como legítimo interesse é uma das mais discutidas, isso ocorre pois, embora seja uma base legal válida, sua aplicação se dá em muitas situações de forma errada, pois oferece uma certa flexibilidade, o que permite que empresas e organizações processem dados pessoais sem a necessidade de obter o consentimento explícito do titular. No entanto, a aplicação do legítimo interesse exige um balanceamento entre os interesses da empresa e os direitos dos indivíduos, devendo ser utilizada forma cuidadosa e equilibrada, a fim de garantir que os direitos e liberdades dos titulares de dados não sejam violados.
De acordo com a lei, o legítimo interesse pode ser utilizado quando o tratamento de dados for necessário para atender aos interesses legítimos do controlador ou de terceiros, por ser uma hipótese legal não aplicável ao tratamento de dados pessoais sensíveis, o controlador deve, inicialmente, verificar a natureza dos dados pessoais que serão objeto de tratamento.
Para que o legítimo interesse seja aplicável, a organização deve seguir alguns passos essenciais, assim, para evitar o uso indevido dessa base legal, as empresas podem adotar algumas práticas recomendadas:
- Identificação do interesse legítimo, ou seja, deve ser compatível com o ordenamento jurídico, possuir lastro em situações concretas e ter vinculação a finalidades legítimas, específicas e explícitas.
- Realizar uma avaliação de impacto à proteção de dados, identificando assim se o tratamento de dados pode afetar negativamente os direitos dos titulares. O RIPD é a documentação que contém a descrição detalhada dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios previstos na LGPD
- Realizar teste de proporcionalidade, a quantidade de dados coletados e a forma de seu processamento não devem ser desproporcionais em relação ao objetivo pretendido. A minimização de dados deve ser uma prática constante, e qualquer dado coletado deve ter uma finalidade legítima claramente definida
- Transparência e informação ao titular, os quais devem ser informados sobre o uso de seus dados pessoais e devem ter o direito de se opor ao tratamento, caso considerem que seus direitos e liberdades estão sendo violados.
- Treinamento e capacitação de todos os colaboradores, a conscientização interna sobre a importância da privacidade e da proteção de dados ajudará a evitar o uso indevido ou inadequado da base legal.
Embora o legítimo interesse seja uma base legal útil na LGPD, seu uso indevido pode representar riscos tanto para os titulares de dados quanto para as organizações que a aplicam, assim, não deve ser considerado uma base legal “permanente”. As empresas devem revisitar periodicamente suas práticas de tratamento de dados e avaliar se o legítimo interesse ainda é aplicável ou se as condições mudaram de forma a exigir outro tipo de base legal.
