Conversar WhatsApp
LGPD · LGPD · 7 min de leitura

Legítimo interesse na LGPD: quando funciona e quando derruba sua defesa

Muita empresa escolhe a base legal quase no acaso: joga consentimento em tudo, trata o pop-up de cookies como escudo jurídico universal e não consegue explicar por que processou aquele dado do cliente. Isso tem nome: risco regulatório desnecessário, com prazo e multa no final.

Legítimo interesse na LGPD: quando funciona e quando derruba sua defesa
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

Consentimento virou resposta padrão pra qualquer dúvida sobre LGPD. Empresa não sabe qual base legal usar, resolve com pop-up de "Aceito os termos". O problema: consentimento pode ser revogado a qualquer momento pelo titular, na mesma facilidade com que foi dado (art. 8º, §5 da LGPD). Se você processou dados por um ano baseado só no consentimento e o cliente muda de ideia, você precisa parar tudo. Não é uma base estável para a maioria das operações de negócio.

A LGPD tem dez bases legais no art. 7º. Consentimento é a primeira da lista, não a principal nem a mais segura. Legítimo interesse (art. 7º, IX) é a que mais gera confusão, porque exige raciocínio, documentação e ponderação. Não existe caixa de checkbox que resolva isso.

Por que usar consentimento como padrão é uma armadilha operacional

O consentimento da LGPD tem requisitos que a maioria dos empresários ignora. Precisa ser livre, informado, inequívoco e específico (art. 8º). Não pode estar enterrado numa cláusula de contrato, não pode ser pré-marcado, e não pode ter condicionalidade: se o titular negar o consentimento e você negar o serviço por isso, o consentimento deixa de ser "livre" no sentido legal.

Empresa de e-commerce que usa consentimento pra enviar e-mail marketing precisa manter prova de que aquele consentimento foi colhido corretamente. Se o cliente reclamar na ANPD 2 anos depois, a empresa precisa mostrar o registro completo: data, IP, o exato texto do opt-in, qual era o controlador. Sem registro documental, não existe consentimento válido para fins de defesa.

Nossa leitura: usar consentimento quando existe outra base legal mais adequada não é só um erro técnico. É um erro estratégico. Consentimento é a base mais frágil: depende de prova contínua, pode ser revogado, e se a coleta tiver qualquer vício, toda a operação de dados daquele titular fica comprometida retroativamente.

O que o art. 10 realmente exige antes de você declarar legítimo interesse

O art. 10 da LGPD permite o tratamento com base em legítimo interesse "para finalidades legítimas, consideradas a partir de situações concretas". Isso não é carta branca. O artigo coloca dois limites imediatos: o interesse do controlador não pode se sobrepor aos direitos e liberdades fundamentais do titular, e precisa estar fundado em expectativas razoáveis que o titular teria sobre o tratamento dado o contexto da relação.

Um limite que pouca gente menciona: legítimo interesse não funciona para dados pessoais sensíveis. O art. 11, que lista as bases legais válidas para dados sensíveis (saúde, biometria, origem racial, vida sexual, entre outros), simplesmente não inclui legítimo interesse na lista. Se sua empresa processa dado de saúde de funcionário, biometria de acesso ou qualquer outro dado sensível do art. 5º, II da LGPD: essa base não existe para você. Ponto.

O art. 10, §2 ainda prevê que a ANPD pode solicitar ao controlador um relatório de impacto para verificar se o legítimo interesse está bem fundamentado. Se você declarou essa base e não tem documentação do raciocínio que fez, a defesa cai no primeiro pedido do fiscal.

O teste de balanceamento em três etapas que você precisa registrar

O teste de balanceamento é o raciocínio que precisa existir num documento interno antes de você usar legítimo interesse como base. Três etapas, sem enrolação:

  • Finalidade legítima e específica: existe um interesse real e identificável? "Melhorar a experiência do usuário" não passa. "Identificar tentativas de acesso com credenciais inválidas para bloquear conta e notificar o titular em até 48h" passa.
  • Necessidade: o dado é estritamente necessário pra atingir essa finalidade? Se você consegue o mesmo resultado com dado anonimizado ou com menos dados, o tratamento de dado pessoal não supera essa etapa.
  • Balanceamento: o interesse do controlador supera o interesse do titular? Entram aqui: a expectativa razoável do titular dado o contexto da relação com a empresa, os riscos concretos que o tratamento gera pra ele, e se existe mecanismo de opt-out acessível.

Falando sério: esse raciocínio precisa existir num documento interno. Pode ser uma planilha de mapeamento de atividades de tratamento, uma política de privacidade interna detalhada, um registro de decisão de uma página. O que não pode é ficar só na cabeça do sócio ou do DPO.

Para PME, a Resolução CD/ANPD 02/2022 prevê regime simplificado de adequação para microempresas, EPP e startups. O regime facilita a documentação, mas a lógica do balanceamento continua sendo necessária se você usar legítimo interesse como base. Simplificado não significa dispensado.

Marketing, segurança e prevenção a fraude: o que passa e o que não passa

Marketing para clientes existentes: se a empresa já tem uma relação comercial com o titular, o envio de comunicação sobre produtos ou serviços similares aos que ele já contratou tende a passar no teste de balanceamento. O titular esperaria receber esse tipo de comunicação. O risco aparece quando a empresa usa base comprada de terceiros ou quando o escopo do marketing vai muito além do que o titular poderia razoavelmente esperar. Nesses casos, consentimento é a base correta, não legítimo interesse.

Segurança da informação e prevenção a fraude: essa é a aplicação mais sólida do legítimo interesse. Monitorar logs de acesso, detectar comportamentos anômalos, verificar consistência de dados cadastrais para prevenir fraude. O interesse do controlador, e frequentemente do próprio titular, em ter um ambiente seguro é claro, específico e verificável. O art. 10 cita proteção contra fraude como exemplo expresso de aplicação legítima.

Base fria, leads comprados e dados de terceiros: aqui o legítimo interesse quase nunca sustenta. O titular não tem relação com a empresa, não esperaria receber contato, e o interesse comercial do controlador não supera o interesse do titular de não ser abordado. Use consentimento explícito ou simplesmente não processe esses dados.

Os erros que derrubam o legítimo interesse quando chega a fiscalização

Esses são os erros mais comuns que a gente identifica quando analisa a documentação de adequação de empresas:

  • Sem documentação do balanceamento. Alegar legítimo interesse sem registro do raciocínio é como alegar legítima defesa sem testemunha. A ANPD pode pedir o relatório de impacto a qualquer momento (art. 10, §2).
  • Usar legítimo interesse para dados sensíveis. A base simplesmente não existe para esse tipo de dado. O art. 11 não inclui legítimo interesse na lista. Não há interpretação que mude isso.
  • Não oferecer canal de contestação ao titular. O titular tem direitos de acesso, correção e contestação previstos no art. 18 da LGPD. Sem canal funcionando, com resposta em até 15 dias (art. 19), a postura de adequação fica comprometida.
  • Finalidade vaga demais. "Melhorar serviços" não é finalidade. Reguladores europeus já derrubaram alegações de legítimo interesse por exatamente isso, e a ANPD está construindo jurisprudência no mesmo sentido.
  • Legítimo interesse como atalho pra evitar consentimento difícil. Escolher essa base porque pedir consentimento era trabalhoso, não porque era tecnicamente correta. Reguladores identificam esse padrão e ele pesa na dosimetria da sanção.

O que fazer nas próximas 2 semanas

Pega o mapeamento de atividades de tratamento da sua empresa, ou cria um básico se não tiver, e identifica todas as atividades onde você declarou "consentimento" como base legal. Para cada uma, faz a pergunta direta: se o titular revogar esse consentimento amanhã, isso paralisa a operação? Se a resposta for sim, você tem uma fragilidade que precisa endereçar agora, não depois da notificação da ANPD.

Para as atividades de segurança, prevenção a fraude e comunicação com base de clientes ativos, avalia se legítimo interesse seria a base mais adequada. Se for, documenta o teste de balanceamento nas três etapas. Uma página com o raciocínio registrado por escrito já é melhor do que nada. É o que vai separar a empresa que tem defesa da que só tem intenção de cumprir a lei.

Confere também se a política de privacidade menciona as bases legais que você usa e se o titular tem acesso a um canal para exercer os direitos previstos no art. 18 da LGPD. O prazo de resposta ao titular é de 15 dias (art. 19). Se você não tem esse fluxo operando, começa por aqui antes de qualquer outra coisa.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →