Tratamento de dados por legítimo interesse: navegando com segurança pela LGPD

A Lei Geral de Proteção de Dados (LGPD) trouxe mudanças significativas para o mundo empresarial, estabelecendo regras para a coleta, o processamento e o armazenamento de dados pessoais. Dentre as possibilidades legalmente previstas para o tratamento de dados pessoais está aquela fundamentada no legítimo interesse da organização (art. 7º, inciso IX, da LGPD).

Diferentemente do tratamento por consentimento, que exige autorização expressa do titular dos dados, o legítimo interesse permite que as empresas processem informações pessoais sem essa permissão prévia do titular, se atendidos a critérios específicos estabelecidos pela lei.

Para compreender esse instituto, previsto no art. 10 da LGPD, primeiro deve-se ter em mente que a LGPD considera o interesse da empresa no tratamento do dado como legítimo, se preenchidas três condições¹:

1 – Compatibilidade do interesse com o ordenamento jurídico;

2 – Fundamentação em situações concretas; e

3 – Vinculação a finalidades legítimas, específicas e explícitas.

Em termos práticos, significa que uma empresa pode utilizar dados pessoais quando possui uma necessidade comercial legítima e justificável, desde que essa necessidade não viole os direitos fundamentais das pessoas envolvidas.

O aspecto central na demonstração do legítimo interesse é evidenciar que há um equilíbrio entre os interesses comerciais da organização e os direitos de privacidade das pessoas com quem ela mantém relações jurídico-comerciais. Essa base legal exige fundamentação sólida e análise criteriosa daquele que pretende tratar os dados sob esse fundamento.

Para isso, a organização deve realizar o que se chama de “teste de balanceamento” ou “teste dos três pilares”. Este procedimento pressupõe a análise de três elementos fundamentais no tratamento do dado pessoal: propósito, necessidade e balanceamento.

O primeiro pilar avalia se o propósito do tratamento é legítimo e claramente definido. O agente deve conseguir explicar de forma objetiva a razão pela qual precisa processar os dados indicados e qual a relação dos dados com suas atividades comerciais.

O segundo pilar examina a necessidade do tratamento. Aqui deve-se demonstrar que o processamento dos dados é essencial para atingir o objetivo proposto pelo agente e esperado pelo titular dos dados, bem como que não existem meios menos invasivos de alcançar o mesmo resultado.

O terceiro pilar, e talvez o mais delicado, é o balanceamento propriamente dito. A organização deve avaliar se seus interesses comerciais estão em equilíbrio com o tratamento dos dados pessoais e se aqueles não se sobrepõem aos direitos fundamentais dos titulares dos dados. Fatores como sensibilidade das informações, expectativas razoáveis dos indivíduos e possíveis impactos negativos devem ser cuidadosamente ponderados.

O tratamento de dados pessoais fundamentado no legítimo interesse tem se mostrado particularmente valioso em diversas situações empresariais. No marketing digital, por exemplo, permite o envio de comunicações comerciais para clientes sobre produtos similares a outros anteriormente adquiridos, sem a necessidade de se buscar novo consentimento.

Na área de segurança e prevenção a fraudes, essa base legal viabiliza o monitoramento de transações suspeitas e a implementação de sistemas de proteção mais robustos. Para empresas que lidam com grandes volumes de transações, essa base legal é fundamental para manter a integridade de suas operações.

Naturalmente, para que as empresas possam se valer desse fundamento no tratamento de dados é fundamental que estabeleçam políticas internas claras sobre quando e como o legítimo interesse pode ser aplicado. Isso inclui a definição de responsabilidades, rastreamento, processos de aprovação e mecanismos de revisão periódica das bases legais utilizadas.

A transparência com os titulares dos dados prevista no art. 10, § 2º, da LGPD é princípio norteador no tratamento de dados legítimo sob esse fundamento. Mesmo para aquelas hipóteses nas quais não é necessário o consentimento do titular para o tratamento dos dados, o agente deve informar claramente quais dados estão sendo processados e para quais finalidades.

O uso inadequado do legítimo interesse pode resultar na aplicação de multas e outras sanções por parte da Autoridade Nacional de Proteção de Dados (ANPD), além de danos reputacionais. Um erro comum é valer-se da base legal do legítimo interesse como substituto universal do consentimento.

Por fim, outro aspecto a ser considerado é a necessidade de se respeitar os direitos dos titulares de se oporem ao tratamento baseado no legítimo interesse. A organização deve estar preparada para essa recusa e, quando procedente, deve interromper o processamento dos dados.

O legítimo interesse, quando bem compreendido e aplicado, oferece às empresas uma ferramenta poderosa para otimizar suas operações dentro do framework da LGPD. Contudo, sua implementação exige conhecimento especializado, análise cuidadosa e estruturas de governança adequadas para garantir conformidade e segurança jurídica. A assessoria de um jurídico especializado é fundamental neste processo.

¹ AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia orientativo: hipóteses legais de tratamento de dados pessoais – legítimo interesse. Brasília, DF: ANPD, fev. 2024. Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/guia_legitimo_interesse.pdf. Acesso em: 18 ago. 2025.

Autor: Alfredo José de Rossi Ferreira

25/08/2025