Diz-nos a al. f), do n.º 1 do art.º 6.º do RGPD que o tratamento de dados pessoais é lícito se “(…) for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.”
O conceito de interesses legítimos, embora flexível, exige uma interpretação rigorosa e contextual.
Este fundamento é uma alternativa aos tratamentos baseados no consentimento ou em obrigações contratuais ou legais, tornando-se especialmente útil em contextos onde o consentimento seja difícil de obter ou desproporcional ao risco para os titulares dos dados.
O RGPD não define explicitamente o que constitui um «interesse legítimo», deixando essa avaliação ao responsável pelo tratamento. Geralmente, os interesses legítimos podem incluir atividades comerciais, como a prevenção de situações de fraude, a segurança das redes e até o marketing direto.
Estes interesses devem ser reais e não meramente hipotéticos, o que implica que o responsável tem o ónus de demonstrar de forma concreta e tangível a necessidade do tratamento.
Para este efeito, um dos principais requisitos para invocar interesses legítimos é a necessidade de realizar uma ponderação rigorosa entre os interesses do responsável e os direitos dos titulares dos dados. Este processo, conhecido como teste de ponderação, divide-se em três fases ou critérios essenciais:
a) Legitimidade: Exige-se à partida a determinação da legitimidade do interesse. O interesse do responsável deve ser claramente articulado, específico e demonstrável, devendo ser de tal ordem que não colida com os direitos dos titulares dos dados.
b) Necessidade: Após estabelecida a legitimidade do interesse, o responsável deve demonstrar a necessidade do tratamento. Esta ponderação implica que o tratamento seja realmente essencial para alcançar o interesse, e que não haja meios menos intrusivos de atingir o mesmo objetivo.
c) Ponderação dos Interesses: Por fim, a ponderação dos interesses exige que o responsável avalie se o tratamento é equilibrado e justo, tendo em conta os direitos e liberdades fundamentais dos titulares dos dados. O responsável deve considerar aspetos como (i) a natureza dos dados, (ii) o impacto sobre o titular e (iii) as expectativas dos titulares.
Para assegurar a transparência e a conformidade com o princípio da responsabilidade, o RGPD exige que o responsável pelo tratamento documente o processo de ponderação e análise dos interesses legítimos. Esta documentação é fundamental para que, em caso de auditoria ou reclamação, o responsável possa demonstrar que todos os requisitos foram rigorosamente ponderados.
Em conclusão:
O fundamento dos interesses legítimos proporciona uma solução bastante flexível para o tratamento de dados pessoais mas exige uma avaliação minuciosa e responsável. A sua aplicação requer que o responsável equilibre cuidadosamente os seus interesses com os direitos dos titulares, assegurando que o tratamento é necessário, proporcional e transparente.
Na , contamos com uma equipa experiente em Compliance preparada para prestar assessoria jurídica na área da .