Com a promulgação da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709 de 2018, o cenário do tratamento de dados pessoais no Brasil passou por uma significativa transformação. A legislação estabeleceu as dez bases legais que autorizam o tratamento de dados pessoais, como por exemplo o consentimento do titular dos dados e o cumprimento de obrigação legal pelo controlador.
Também foi instituída a hipótese de tratamento por interesses legítimos do controlador ou de terceiros. Esta base legal autoriza o controlador a tratar dados pessoais sem o consentimento do titular. Porém, ela deve ser utilizada com cautela, notadamente por sua grande possibilidade interpretativa, uma vez quea LGPD não definiu o que é o legítimo interesse, mas determinou que ela não poderá ser usada quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Assim, o legítimo interesse não pode ser utilizado para suprir necessidades de terceiros que não tenham relação direta com o titular dos dados sem que haja uma análise da finalidade que o terceiro pretende dar aos dados compartilhados.
Recentemente a Autoridade Nacional de Proteção de Dados (ANPD) publicou orientações sobre o uso da base legal do legítimo interesse para o tratamento de dados no Guia Orientativo – Hipóteses Legais de Tratamento de Dados Pessoais: Legítimo Interesse, que inclui um teste de balanceamento para que o controlador possa avaliar os riscos e impactos do compartilhamento de dados desejado.
O teste se baseia em três fases: finalidade, necessidade e ponderação final sobre o tratamento; a fim de verificar os riscos, expectativas, direitos e liberdades fundamentais do titular dos dados, para que eventuais impactos sejam minimizados e que sejam adotados mecanismos para assegurar os direitos dos titulares. Ressalte-se que mesmo o interesse sendo de terceiro, o controlador é o responsável por comprovar que o tratamento busca atender a finalidades legítimas.
Nesse sentido, caso seja solicitado ao Distribuidor que compartilhe dados por legítimo interesse de terceiro, é fundamental que sejam analisados os três critérios do teste de balanceamento, principalmente se já tiver implementado a LGPD na empresa. Dessa forma, é imprescindível que o terceiro informe a finalidade exata que pretende atingir com os dados solicitados e quais são os dados necessários para atingir tal fim. Sem informações precisas do tratamento que o terceiro pretende dar aos dados não é possível assegurar os direitos dos titulares dos dados, nem avaliar os possíveis riscos.
Quanto à primeira fase do teste, a finalidade consiste em identificar os benefícios gerados e o propósito que se pretende alcançar, bem como o interesse que justifica o tratamento dos dados, lembrando que o legítimo interesse não se aplica aos dados sensíveis. Já a necessidade se refere à limitação do tratamento ao mínimo necessário para que atinja a finalidade, devendo ser compartilhados apenas os dados estritamente necessários ao fim pretendido.
Assim, a Andav reforça que ao analisar a possibilidade de compartilhar dados dos quais seja controlador, o Distribuidor se atente para as bases legais que permitem o compartilhamento e ponderem os riscos que o fornecimento das informações pode gerar aos titulares dos dados, priorizando o intercâmbio de dados anonimizados. O cliente do distribuidor de insumos deve ter seus dados protegidos para que não ocorra a quebra de confiança na relação. Além disso, os interesses do terceiro não podem se sobrepor aos interesses do controlador.
Ressaltamos que do ponto de vista da segurança jurídica, é sempre recomendável que o controlador primeiro tente obter um novo consentimento do titular antes de efetuar qualquer tratamento de dados, tendo em vista que é responsável pelo tratamento adequado dos dados do titular, podendo ser penalizado por eventuais danos por compartilhamento indevido.
Vale salientar que, os agentes de tratamento devem observar as obrigações e os preceitos da LGPD, que são chamados de princípios, para estarem em conformidade total. Conforme estruturado no texto da Lei nº 13.709/2018, eventuais descumprimentos da legislação serão checados e fiscalizados pela Agência Nacional de Proteção de Dados (ANPD).
As sanções da ANPD podem ser de várias naturezas, variando entre sanções leves às mais severas, que vão desde a aplicação de advertência podendo chegar à suspensão ou proibição das atividades de uma empresa. Todas elas devem, necessariamente, passar por um procedimento administrativo, e permitir a defesa da organização que será julgada.
Associado Andav, não fique com dúvidas! Entre em contato conosco e encaminhe as suas perguntas em nossa Plataforma de Atendimento ao Associado .
