Qual é a base dos ‘interesses legítimos’?

Os interesses legítimos é uma base legal para o tratamento de dados, contudo a Organização não pode presumir que sempre será a mais apropriada face aos seus interesses e aos interesses das pessoas.

O Artigo 6 (1) (f) do RGPD fornece um fundamento de licitude para o tratamento de dados pessoais quando:

“O tratamento é necessário para os fins dos interesses legítimos perseguidos pelo responsável pelo tratamento (data controller) ou por um terceiro, exceto quando tais interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requeiram proteção de dados pessoais, em particular quando os dados sujeito é uma criança. ”

Questões a considerar

  • É provável que seja mais apropriado quando se usa os dados das pessoas da maneira que elas razoavelmente esperariam e que tenham um impacto mínimo na privacidade, ou quando houver uma justificação para o tratamento de dados pessoais com esse fundamento de licitude.
  • Quando a Organização opta por fundamentar o tratamento nos interesses legítimos, estará assumindo responsabilidade extra por considerar e proteger os direitos e interesses das pessoas (titulares de dados pessoais).
  • As entidades da administração pública só podem optar pelo fundamento “interesses legítimos” se o tratamento for feito por um motivo legítimo que não o desempenho das suas atividades como autoridade pública.
  • Existem três elementos na base:
    • identificar um interesse legítimo;
    • mostrar que o processamento é necessário para alcançá-lo; e
    • equilibrar o interesse legítimo com os interesses, direitos e liberdades das pessoas.
  • Os interesses legítimos podem ser próprios ou de terceiros. Podem incluir interesses comerciais, interesses individuais ou benefícios sociais mais amplos.
  • O tratamento de dados deve ser necessário e devidamente justificado porque se a Organização puder alcançar razoavelmente o mesmo resultado de outra forma menos invasiva, os interesses legítimos não se aplicarão.
  • Devem ser equilibrados os interesses da Organização com os da pessoa. 
  • Como boa prática de conformidade ao RGPD, a Organização deve manter informação documentada da avaliação de interesses legítimos (LIA) para ajudar a demonstrar a conformidade e justificar a decisão.

Avaliação do interesse legítimo (LIA)

Um LIA é um tipo de avaliação de risco que tem como base o contexto e as circunstâncias específicas da atividade de tratamento de dados pessoais com a base legal do interesse legítimo. Esta avaliação ajudar a garantir a atividade de tratamento está em conformidade com  as obrigações preconizadas nos artigos 5 (2) e 24 do RGPD. A avaliação deverá abranger 3 vetores:

  1. Teste de objetivo
  2. Teste de necessidade
  3. Teste de equilíbrio

Se o resultado da avalição LIA identificar riscos significativos, considerar a realização de um DPIA (Avaliação de Risco sobre a Privacidade) para avaliar e mitigar o risco.

Para saber mais:

Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC