Curso de LGPD GRÁTIS - Semana de LGPD na Prática (5, 6 e 7 de março)
Geral

O que é LIA (Legitimate Interests Assessment) na LGPD e como fazê-lo?

Sempre que pensamos na utilização da base legal do Legítimo Interesse como base apta a justificar o tratamento de dados a ser realizado, lembramos do LIA (Legitimate Interests Assessment). Mas afinal, você sabe o que é um LIA (Legitimate Interests Assessment)? Sabe como fazê-lo na prática?

Bom, um LIA (Legitimate Interests Assessment) ou teste de ponderação é um teste que deve ser realizado sempre que o controlador e/ou terceiro optar por justificar ou entender aplicável a utilização da base legal do Legítimo Interesse.

Caso esta base tenha sido identificada durante a elaboração do Assessment inicial, é recomendável que o controlador e/ou terceiro realize o teste para fins de confirmação da viabilidade da opção pela utilização da referida base legal.

Para realizar o teste o primeiro passo é a descrição da finalidade: aqui deve haver a  descrição da finalidade para qual os dados pessoais serão tratados e, o segundo passo, fazer referência a quais os dados pessoais tratados.

Neste caso, deve-se listar todos os tipos de dados para os quais serão verificados se é adequada a base legal do legítimo interesse.

Além do mais, deve haver atenção às quatro fases que seguem:

Legitimidade do Interesse (Art. 10, caput e Inciso I, da LGPD)

Finalidade Legítima: descrição e verificação sobre qual o real interesse da empresa em tratar os dados, para verificar se este é legítimo, ou seja, lícito, adequado e proporcional.

Situação Concreta: descrição do contexto fidedigno em que se dará o tratamento de dados, não sendo aceitas situações genéricas, nem abstratas e futuras.

Necessidade (10, §1o, da LGPD)

Minimização – Utilização de dados pessoais menos intrusivos, devendo limitar-se ao uso apenas dos dados pessoais estritamente necessários para atingir a finalidade pretendida, de modo a evitar, assim, o uso de dados em excesso, incompatíveis e inadequados ao tratamento.

Verificar a existência de outros tipos de dados menos intrusivos, que estejam disponíveis ao controlador, e que possam ser utilizados para atingir as mesmas finalidades.

Existência de outras bases legais – Verificar se alguma outra base legal prevista no Art. 7o, não seria mais adequada para o contexto de tratamento de dados pretendido pela empresa.

Balanceamento (Art. 6o, I, 7o, IX, e art. 10, II, da LGPD)

Legítima Expectativa – Análise da compatibilidade do tratamento realizado com a expectativa do titular. Deve-se verificar: (i) a existência de uma relação pré-estabelecida com o titular do dado de onde se possa concluir uma possível expectativa sua; ou (ii) se o homem médio, no contexto do tratamento dos dados, poderia vislumbrar que seus dados poderiam ser tratados para as finalidades para as quais os dados foram coletados.

Direitos e Liberdades Fundamentais – Analisar se algum direito básico do titular do dado, como direito de acesso, retificação, cancelamento e oposição podem ser mitigados, além da verificação de liberdades fundamentais, como liberdade de expressão, locomoção, associação e outras previstas no ordenamento, não serão impactadas de forma desproporcional ao ponto de prejudicar o indivíduo de forma não autorizada ou inapropriada.

Salvaguardas (10, §2o e §3o da LGPD)

Quais as medidas e instrumentos empregados para garantir o cumprimento dos direitos dos titulares dos dados, de modo a evitar que seus dados sejam eventualmente utilizados de forma indevida?

Transparência. Há Transparência quando do tratamento dos dados do titular? Deve haver uma explicação sobre quais dados são coletados, como eles são utilizados e permitir ao titular acesso a uma cópia dos seus dados pessoais sempre que este requisitar e de forma gratuita.

Mecanismos de oposição (opt-out). É o meio pelo qual o titular dos dados pode ser opor ao tratamento dos seus dados, caso ele não concorde com o tratamento realizado ou caso este estiver em desconformidade com a legislação.

Mitigação dos Riscos – Aqui é necessária a análise da adoção das possíveis medidas para mitigar os riscos. Ex: anonimização, pseudoanonimização, controle de acesso aos dados?

Por fim, da análise das disposições acima haverá a conclusão pela aprovação ou reprovação no teste. A reprovação em qualquer das fases do do teste de ponderação, inviabiliza a utilização da base legal do Legítimo Interesse.

Write A Comment