Você sabe o que é o LIA e conhece a importância do assessment de legítimo interesse para as rotinas de Privacidade e Proteção de Dados?
Bom, para aqueles que estão envolvidos no dia a dia da governança de dados e de P&PD (Privacidade e Proteção de Dados), esse é um termo bem conhecido. Mas se você não é da área, agora é a hora de conhecer! 😀
Nas próximas linhas, falaremos sobre a importância das avaliações de legítimo interesse (Legitimate Interest Assessment, ou LIA) no contexto da conformidade com as legislações de proteção de dados.
Antes de seguirmos, é legal entender que com o advento das regulamentações de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil, tornou-se fundamental para as organizações não só implementar práticas (processos, ferramentas e estruturas) para garantir a conformidade regulatória, mas também, conseguir identificar se os processos de tratamento estão devidamente protegidos pelos dispositivos legais.
Nesse cenário, a realização de avaliações de legítimo interesse é substancial, pois permite às organizações justificar o processamento de dados quando a base legal que fundamente esse processamento for o legítimo interesse.
Como chegamos até aqui
Nos últimos anos, a proteção de dados pessoais se tornou uma questão relevantíssima no mundo todo. O crescente volume de dados coletados e processados pelas organizações levou a preocupações generalizadas sobre a privacidade e o uso indevido dessas informações. Em resposta a essas preocupações, começaram a surgir ou a serem fortalecidas (leia também nosso post sobre “A proteção de dados é uma coisa recente?”), diferentes legislações ao redor do mundo.
Duas das mais influentes e amplamente adotadas regulamentações de proteção de dados são o Regulamento Geral de Proteção de Dados (GDPR), implementado na União Europeia em maio de 2018, e a Lei Geral de Proteção de Dados (LGPD), implementada efetivamente no Brasil em setembro de 2020.
Essas legislações têm como objetivo estabelecer um conjunto de regras claras e rigorosas para o processamento de dados pessoais, além de fornecer aos indivíduos a possibilidade de um controle mínimo sobre suas informações pessoais.
Uma das principais obrigações presentes tanto no GDPR, como na LGPD, é a necessidade de que as organizações consigam alocar o processamento de dados pessoais dentro de uma das hipóteses legais, também chamadas de base legal. O GDPR e a LGPD estabelecem várias bases legais que podem ser utilizadas para legitimar o processamento de dados pessoais, como por exemplo, o tão famoso Consentimento, ou o processamento para atendimento às obrigações legais, assim como, o Legítimo Interesse, que é do que estamos falando por aqui! 😉
O legítimo interesse, em particular é, disparado, a base legal mais controversa e discutida, além de ser uma base legal muito utilizada pelas organizações do mercado privado.
O legítimo interesse, de forma geral, concede a permissão para que as organizações processem dados pessoais quando possuírem um interesse legítimo que seja justificado e que não viole os direitos e liberdades fundamentais dos indivíduos.
Nesse contexto, as avaliações de legítimo interesse desempenham um papel fundamental na conformidade com as legislações de proteção de dados. Essas avaliações são uma ferramenta importante para que as organizações possam analisar e documentar se o processamento de dados pessoais é realmente necessário e proporcional aos interesses legítimos que estão buscando alcançar.
Além disso, realizar o LIA, permite que as organizações equilibrem esses interesses com os direitos dos titulares dos dados, garantindo uma abordagem equitativa e transparente.
Com LIAs assertivos, as organizações podem não apenas garantir a conformidade com as leis de proteção de dados, mas também estabelecer uma cultura de privacidade dentro de suas estruturas, mesmo descentralizadas.
Antes de mais nada, é importante ressaltar que a realização do assessment não é uma obrigação expressa no GDPR ou na LGPD, contudo, é uma das importantes práticas no caminho de garantir conformidade regulatória, segurança e transparência.
Vamos falar um pouquinho da GDPR
O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor em 25 de maio de 2018, substituindo a antiga Diretiva de Proteção de Dados da União Europeia. O GDPR estabelece um conjunto abrangente de regras e regulamentos para a proteção de dados pessoais de cidadãos europeus e se aplica a todas as organizações que processam esses dados, independentemente de sua localização geográfica.
Uma das características fundamentais do GDPR é o foco na proteção dos direitos dos titulares dos dados. Ele define uma série de princípios que as organizações devem seguir ao processar dados pessoais, como a transparência, a finalidade limitada, a minimização dos dados, a precisão e a limitação do armazenamento.
Além disso, o GDPR confere aos indivíduos vários direitos, incluindo o direito ao acesso, o direito à retificação, o direito ao apagamento, o direito à portabilidade dos dados e o direito de objeção ao processamento.
No que diz respeito à base legal para o processamento de dados pessoais, o GDPR, assim como a LGPD, estabelece várias possibilidades, as já mencionadas bases legais, incluindo o consentimento, a execução de contrato, o cumprimento de obrigação legal, o interesse vital, o desempenho de uma tarefa de interesse público ou o legítimo interesse do controlador ou de terceiros.
Agora, a LGPD
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil em 18 de setembro de 2020 e trouxe um marco regulatório abrangente para a proteção de dados pessoais. Inspirada pelo GDPR, a LGPD estabelece regras claras para o tratamento de dados pessoais por organizações públicas e privadas no Brasil, independentemente de sua localização, porte ou segmento.
A LGPD adota princípios semelhantes aos do GDPR, como a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção e a não discriminação.
Ela também confere aos indivíduos direitos significativos, como o direito à confirmação da existência do tratamento, o direito de acesso, o direito à correção de dados incompletos, o direito à exclusão, o direito à informação, o direito de revogar o consentimento, entre outros.
No que diz respeito às bases legais para o processamento de dados pessoais, a LGPD estabelece especificamente 10 possibilidades, são elas:
Hipóteses de Tratamento – LGPD
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Vejam que aí em vermelho está o legítimo interesse, também presente no GDPR. Bora conhecer as semelhanças dessas leis!
Semelhanças entre o GDPR e a LGPD
Embora o GDPR e a LGPD sejam legislações distintas aplicadas em diferentes jurisdições, elas compartilham princípios fundamentais comuns no que diz respeito à proteção de dados pessoais. Ambas as regulamentações buscam garantir que o processamento de dados seja realizado de maneira transparente, justa e proporcional.
Ambas as leis enfatizam a importância de minimizar a quantidade de dados coletados e processados, além de garantir sua precisão e atualização. Além disso, tanto o GDPR quanto a LGPD exigem a implementação de medidas de segurança adequadas para proteger os dados pessoais contra acesso não autorizado, perda ou divulgação indevida.
No contexto da base legal para o processamento de dados, o legítimo interesse emerge como um princípio comum entre o GDPR e a LGPD, ou seja, tanto na europa como no Brasil existe a possibilidade de processar dados com base em um interesse legítimo.
Reforçando, anotem aí! 😅
Ambas as leis permitem que as organizações processem dados pessoais com base em seus interesses legítimos, desde que esses interesses não se sobreponham aos direitos e liberdades fundamentais dos indivíduos.
Ao estabelecer uma base legal para o processamento de dados pessoais, é essencial que as organizações compreendam e cumpram as exigências específicas estabelecidas pelo GDPR e pela LGPD.
O que é de fato o legítimo interesse
No contexto da proteção de dados, o legítimo interesse é um dos fundamentos legais (bases legais) que podem ser utilizados para justificar o processamento de dados pessoais sem o consentimento explícito dos titulares. Tanto o GDPR quanto a LGPD reconhecem o legítimo interesse como uma base legal válida, desde que os interesses ou direitos e liberdades fundamentais dos indivíduos não prevaleçam sobre esse interesse legítimo.
Ou seja, mesmo se houver um interesse legítimo, ele não seria válido se ferisse algum direito fundamental.
O legítimo interesse é definido como uma situação em que uma organização possui um motivo legítimo e justificável para processar dados pessoais, desde que esse processamento não viole os direitos e liberdades fundamentais dos indivíduos envolvidos. O conceito de legítimo interesse é genérico, subjetivo e flexível, o que o tornou ao mesmo tempo bastante útil e perigoso. Você vai entender o por quê!
Tanto o GDPR quanto a LGPD estabelecem critérios para determinar a existência de um legítimo interesse.
Esses critérios geralmente incluem a identificação do interesse legítimo da organização, a análise de necessidade e proporcionalidade do processamento de dados, a consideração de medidas de salvaguarda para proteger os direitos dos titulares dos dados e a realização de uma avaliação de equilíbrio entre os interesses da organização e os direitos dos indivíduos.
É importante ressaltar que o legítimo interesse, por ser subjetivo, não deve ser uma base legal automática para o processamento de dados pessoais, ou seja, as organizações, para atenderem aos dispositivos legais da LGPD/GDPR, devem realizar uma avaliação criteriosa para determinar se o interesse legítimo para um determinado processo é ao mesmo tempo:
- necessário;
- justificável;
- proporcional;
- não excessivo.
Além disso, as organizações devem equilibrar cuidadosamente os interesses legítimos com os direitos e liberdades fundamentais dos indivíduos, evitando um impacto desproporcional sobre esses direitos.
Ao utilizar o legítimo interesse como base legal para o processamento de dados pessoais, as organizações devem estar preparadas para justificar e documentar sua análise. Isso envolve a criação, utilização e registro do LIA, demonstrando o raciocínio legal e a avaliação realizada que subsidiou a aplicação do legítimo interesse como base legal de um processo específico.
Novamente, é muito importante sabermos que o legítimo interesse não é uma base legal absoluta e pode estar sujeito a interpretações e disputas. Por isso mesmo, que a realização e registro do LIA é tão importante!
Legitimate Interest Assessment, o LIA
Como vimos, então, a avaliação de legítimo interesse, LIA, é um componente essencial para a conformidade com as legislações de proteção de dados, como o GDPR e a LGPD.
Com os LIAs, as organizações podem demonstrar e justificar o processamento de dados pessoais quando esse processamento embasar-se legalmente no legítimo interesse.
Antes de mais nada, vamos voltar um pouquinho.
É essencial para todo DPO, entender que de todas as 10 hipóteses de tratamento de dados pessoais, o legítimo interesse é, sem dúvida, o mais “frágil” e arriscado. E não é problema nenhum assumirmos isso.
Portanto, com todos os anos de experiência e olhando para as centenas de processos de adequação que já realizamos e para o cenário dos nossos clientes, podemos afirmar com tranquilidade que o legítimo interesse só deve ser utilizado quando nenhuma das outras 9 hipóteses couber de nenhuma forma.
Não que você tenha que ter medo de usar o legítimo interesse 😅 Mas um embasamento em obrigação legal ou execução contratual, por exemplo, provavelmente te darão menos trabalho e representarão menos risco.
Ocorre que, num mundo cada vez mais digital e no qual a informação é coletada e utilizada a todo momento, em muitos casos não haverá outro embasamento possível, que não o legítimo interesse. E isso é facilmente verificável, principalmente em processos de tratamento das áreas de vendas e marketing.
Então, em suma, tente de tudo pra não precisar do legítimo interesse, mas se precisar, use com tranquilidade, seguindo as dicas que estamos passando e lembrando que: SIM, a sua organização pode tratar dados pessoais para seu interesse, desde que respeitada o Art. 10 da LGPD:
Benefício de realizar o LIA
As avaliações de legítimo interesse oferecem uma série de benefícios significativos para as organizações no contexto da conformidade com as legislações de proteção de dados.
Vamos lá com uma listinha básica de benefícios de se realizar um bom processo de assessment de legítimo interesse:
- Transparência no processamento de dados
Realizar avaliações de legítimo interesse permite que as organizações sejam transparentes em relação ao processamento de dados pessoais. Ao documentar e justificar suas bases legais, as organizações podem fornecer aos titulares dos dados informações claras e compreensíveis sobre como seus dados são utilizados e os motivos pelos quais são processados. Isso contribui para uma relação de confiança entre as organizações e os titulares dos dados.
- Minimização de riscos de conformidade
Ao conduzir avaliações de legítimo interesse de forma adequada, as organizações minimizam os riscos de não conformidade com as legislações de proteção de dados. Essas avaliações ajudam a garantir que o processamento de dados seja realizado de acordo com os princípios estabelecidos pelas leis aplicáveis, evitando violações e possíveis sanções por parte das autoridades de proteção de dados.
- Fortalecimento da confiança dos clientes
A demonstração de conformidade com as legislações de proteção de dados, por meio de avaliações de legítimo interesse bem conduzidas, contribui para o fortalecimento da confiança dos clientes. Os indivíduos se sentem mais seguros ao saberem que suas informações pessoais estão sendo tratadas de maneira legal e justa, levando em consideração seus direitos e liberdades. Isso pode resultar em maior fidelidade dos clientes e em uma reputação positiva para a organização.
- Promoção de uma cultura de proteção de dados
Ao integrar avaliações de legítimo interesse em suas práticas de processamento de dados, as organizações promovem uma cultura de proteção de dados em todos os níveis. A conscientização sobre a importância de avaliar os interesses legítimos e respeitar os direitos dos titulares dos dados permeia toda a organização, garantindo que a proteção de dados seja considerada em todas as atividades e decisões relacionadas ao processamento de dados.
- Otimização de recursos
A realização de avaliações de legítimo interesse permite que as organizações otimizem o uso de recursos e evitem o processamento desnecessário de dados pessoais. Ao avaliar a necessidade e proporcionalidade do processamento, as organizações podem reduzir a quantidade de dados coletados e armazenados, diminuindo os custos associados ao gerenciamento e proteção desses dados. Além disso, a minimização do processamento de dados também contribui para a conformidade com os princípios de minimização de dados estabelecidos pelas legislações de proteção de dados.
- Redução de risco
À medida que as regulamentações de proteção de dados se tornam mais rigorosas e a privacidade se torna uma preocupação crescente para os indivíduos, as organizações que realizam avaliações de legítimo interesse de forma adequada não só garantem a credibilidade perante clientes e parceiros, como reduzem exponencialmente os riscos de um eventual processamento de dados em desconformidade com a legislação..
Como realizar um LIA assertivo e seguro
Ufa! Finalmente chegamos onde todos nós queríamos: como fazer esse negócio acontecer.
Já falamos de GDPR, LGPD, riscos, do que é o legítimo interesse, etc. Agora chegou a hora de entender na prática como realizar um bom assessment de legítimo interesse.
Vamos lá!
Primeira coisa é confirmar se para um determinado processo/finalidade a melhor base legal é o legítimo interesse. Se for, passamos para a fase de como transformar uma análise consideravelmente subjetiva em um instrumento objetivo.
Bom, lembra lá atrás que falamos que um processamento de dados pessoais baseado no legítimo interesse precisa ser necessário, justificável, proporcional e não excessivo? São esses conceitos que devem nortear os processos de assessment.
E pra saber se o processo é necessário, justificável, proporcional e não excessivo uma das formas mais assertivas é a utilização de parâmetros (ou perguntas) fechados, o famoso padrão SIM-NÃO.
Ou seja, devemos montar um questionário com vários parâmetros, cada um com um valor ideal e cada resposta certa (ou errada) representa um determinado valor a ser somado ou subtraído do resultado final.
Meio difícil de entender só lendo, não?
Pra facilitar a sua vida, a equipe da Tee desenvolveu um material completamente original e exclusivo, fundamentado no GDPR, na LGPD, nos estudos e materiais do ICO- Information Commissioner’s Office e nas boas práticas de privacidade, proteção de dados e segurança da informação.
No formulário abaixo, você encontra uma planilha amigável e fácil de utilizar que vai proporcionar a possibilidade de realizar um LIA seguro, assertivo e eficiente em minutos.
Utilize para formalizar e embasar os seus processos de legítimo interesse!
Massa né?!
Conclusão
As avaliações de legítimo interesse desempenham um papel fundamental no contexto da conformidade com as legislações de proteção de dados, como o GDPR e a LGPD. Então, essas avaliações permitem que as organizações processem dados pessoais com base em seus interesses legítimos, desde que respeitem os direitos e liberdades fundamentais dos titulares dos dados.
Realizando avaliações de legítimo interesse de forma adequada, como ao utilizar o nosso material, podemos garantir que o processamento de dados seja justificado, necessário e proporcional aos interesses legítimos que estão buscando alcançar.
Isso envolve identificar o interesse legítimo, analisar a necessidade e proporcionalidade do processamento, considerar medidas de salvaguarda e equilibrar interesses e direitos.
As avaliações de legítimo interesse trazem uma série de benefícios, incluindo transparência no processamento de dados, minimização de riscos de conformidade, fortalecimento da confiança dos clientes, promoção de uma cultura de proteção de dados, redução de custos e recursos, e vantagem competitiva. Ao conduzir essas avaliações, as organizações demonstram seu compromisso em proteger os dados pessoais e respeitar os direitos dos indivíduos.
Em suma, as avaliações de legítimo interesse são uma ferramenta valiosa para as organizações alcançarem a conformidade com as legislações de proteção de dados, protegerem os direitos dos titulares dos dados e construírem relações de confiança com seus clientes e parceiros, pois ao adotar uma abordagem responsável e proativa em relação ao legítimo interesse, as organizações podem não apenas cumprir as obrigações legais, mas também se destacar em um ambiente cada vez mais focado na privacidade e proteção de dados.
Bora impulsionar esse ambiente saudável e sustentável para indivíduos e organizações?
