RGPD: O interesse legítimo num relance

Qual √© a base dos ‘interesses leg√≠timos’?

Os interesses legítimos é uma base legal para o tratamento de dados, contudo a Organização não pode presumir que sempre será a mais apropriada face aos seus interesses e aos interesses das pessoas.

O Artigo 6 (1) (f) do RGPD fornece um fundamento de licitude para o tratamento de dados pessoais quando:

‚ÄúO tratamento √© necess√°rio para os fins dos interesses leg√≠timos perseguidos pelo respons√°vel pelo tratamento (data controller) ou por um terceiro, exceto quando tais interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requeiram prote√ß√£o de dados pessoais, em particular quando os dados sujeito √© uma crian√ßa. ‚ÄĚ

Quest√Ķes a considerar

  • √Č prov√°vel que seja mais apropriado quando se usa os dados das pessoas da maneira que elas razoavelmente esperariam e que tenham um impacto m√≠nimo na privacidade, ou quando houver uma justifica√ß√£o para o tratamento de dados pessoais com esse fundamento de licitude.
  • Quando a Organiza√ß√£o opta por fundamentar o tratamento nos interesses leg√≠timos, estar√° assumindo responsabilidade extra por considerar e proteger os direitos e interesses das pessoas (titulares de dados pessoais).
  • As entidades da administra√ß√£o p√ļblica s√≥ podem optar pelo fundamento “interesses leg√≠timos” se o tratamento for feito por um motivo leg√≠timo que n√£o o desempenho das suas atividades como autoridade p√ļblica.
  • Existem tr√™s elementos na base:
    • identificar um interesse leg√≠timo;
    • mostrar que o processamento √© necess√°rio para alcan√ß√°-lo;¬†e
    • equilibrar o interesse leg√≠timo com os interesses, direitos e liberdades das pessoas.
  • Os interesses leg√≠timos podem ser pr√≥prios ou de terceiros. Podem incluir interesses comerciais, interesses individuais ou benef√≠cios sociais mais amplos.
  • O tratamento de dados deve ser necess√°rio e devidamente justificado porque se a Organiza√ß√£o puder alcan√ßar razoavelmente o mesmo resultado de outra forma menos invasiva, os interesses leg√≠timos n√£o se aplicar√£o.
  • Devem ser equilibrados os interesses da Organiza√ß√£o com os da pessoa.¬†
  • Como boa pr√°tica de conformidade ao RGPD, a Organiza√ß√£o deve manter informa√ß√£o documentada da avalia√ß√£o de interesses leg√≠timos (LIA) para ajudar a demonstrar a conformidade e justificar a decis√£o.

Avaliação do interesse legítimo (LIA)

Um LIA √© um tipo de avalia√ß√£o de risco que tem como base o contexto e as circunst√Ęncias espec√≠ficas da atividade de tratamento de dados pessoais com a base legal do interesse leg√≠timo. Esta avalia√ß√£o ajudar a garantir a atividade de tratamento est√° em conformidade com¬† as obriga√ß√Ķes preconizadas nos artigos 5 (2) e 24 do RGPD. A avalia√ß√£o dever√° abranger 3 vetores:

  1. Teste de objetivo
  2. Teste de necessidade
  3. Teste de equilíbrio

Se o resultado da avalição LIA identificar riscos significativos, considerar a realização de um DPIA (Avaliação de Risco sobre a Privacidade) para avaliar e mitigar o risco.

Para saber mais:

Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC