Recentemente, surgiu um debate nas redes sociais, acerca da possível revogação de parte da lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais- LGPD) e que envolve o legitimo interesse, por força da Emenda Constitucional  115/22 (EC 115/22), que alterou a Constituição Federal (CF) para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

Perguntamos: o conceito de legítimo interesse da LGPD foi atingido pela EC 115/22?

Pensamos que não, conforme a seguir exposto. 

Lembremos a alteração trazida pela EC: incluiu no artigo 5º o inciso LXXIX:

"Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

(...)

LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais."

No artigo  21, o inciso XXVI:

"Art. 21. Compete à União:

(...)

XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei."

E no artigo 22 foi acrescido o inciso XXX:

"Art. 22. Compete privativamente à União legislar sobre:

(...)

XXX - proteção e tratamento de dados pessoais."  

Como se sabe, a LGPD surgiu para regulamentar a forma de tratamento de dados pessoais, trazendo licitude e segurança às pessoas.

Um dos requisitos legais previstos na lei e que legitima o tratamento dos dados pessoais é o legitimo interesse, previsto no artigo 7º, IX. Além dele, a LGPD ainda traz mais nove requisitos para tratamento de dados pessoais e outros oito para o tratamento de dados pessoais sensíveis.

Assim, o legitimo interesse é uma das bases legais prevista na LGPD que permite ao controlador tratar dados pessoais sem o consentimento do titular. É uma garantia de extremo valor e, às vezes, a única base que pode ser efetivamente usada.

Diz o texto legal:

"Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(...)

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;" 

Não há, pois, impedimento para a utilização do legitimo interesse, desde que não haja infração aos direitos dos titulares.

Mas, também não é uma carta branca para o agente de tratamento fazer uso dos dados de forma indeterminada. O uso está limitado pelo princípio da responsabilização e da prestação de contas. É o que determina o artigo 10 da lei, ao estabelecer o uso exato do legitimo interesse, nos seguintes termos:

"Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I - apoio e promoção de atividades do controlador; e

II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. (grifamos)"

Note-se que a intenção do legislador foi trazer um conceito aberto de legitimo interesse, de tal forma que o controlador consiga amoldar essa base legal às diversas situações que possam existir na prática, desde que a finalidade para o tratamento de dados seja legítima.

O que, de fato, essa base legal exige, é que o controlador avalie os seus interesses em relação aos direitos e liberdades fundamentais do titular por meio da chamada "avaliação do legítimo interesse". Ou seja, o controlador precisa avaliar se seus interesses suplantam ou não os direitos e liberdades fundamentais do titular.

Ora, o fato da proteção de dados ser uma garantia fundamental não quer dizer que esse direito seja superior a qualquer outro. É necessária uma ponderação de valores em relação aos direitos envolvidos.

A discussão que veio à baila baseia-se no argumento de que teria havido uma revogação do legítimo interesse, pelo simples fato de que foi reconhecida a proteção de dados pessoais como direito fundamental, por força da EC 115.

Ou seja, por se tratar de uma proteção constitucional, o controlador estaria proibido de tratar os dados pessoais com base em seu próprio legítimo interesse.

No entanto, basta uma leitura do texto constitucional para ver que isso não ocorreu. Em momento algum existe um choque entre o que foi introduzido na CF e o que está estabelecido na LGPD.

Ademais, as alterações deixam patente que a proteção dos dados pessoais é estabelecida "nos termos da lei". Lei esta que já existe: é a LGPD. Apenas uma alteração na LGPD ou com a edição de uma nova lei que cuide do assunto o quadro pode ser alterado.

Portanto, está claro que a proteção de dados é uma garantia fundamental. E o legítimo interesse pode ser usado, exceto, como diz a lei, no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Se ao fazer o balanceamento dos direitos, não houver violação, o legítimo interesse será válido.