A sigla LIA trata basicamente de uma avaliação para que seja comprovada a viabilidade da opção de utilização da base legal de legítimo interesse.

Este termo não é diretamente mencionado na GDPR (General Data Protection Regulation), contudo, LIA ou Teste de Ponderação, como também é chamado, é uma forma de avaliação de risco e deverá, como mencionado acima, ser realizado sempre que haja interesse na utilização da referida base legal.

Na LGPD (Lei Geral de Proteção de Dados), o legítimo interesse é apenas uma das 10 hipóteses de tratamento (ou bases legais) que podem ser utilizadas para tratamento dos dados pessoais. Quando uma empresa caracteriza o legítimo interesse como sendo a hipótese mais adequada para tratamento de determinado dado pessoal, executar LIA confirmará sua conformidade e permitirá o alinhamento junto ao princípio da responsabilidade, previsto na legislação.

Ainda não existem regras estabelecidas sobre como LIA deverá ser elaborado e apresentado, porém, é certo que dependerá de circunstâncias específicas de determinada atividade de processamento. A avaliação não prevê um prazo específico, e muitas vezes, será necessário realizar uma Avaliação de Impacto de Proteção de Dados (ou DPIA), dependendo da conclusão desta avaliação.

Um relatório de avaliação de legítimo interesse deverá atender aos requisitos previstos no Art.10, caput e inciso I, da Lei 13.709 de 2018 (Lei Geral de Proteção de Dados), assim como os demais especificados a seguir:

Finalidade Legítima: descrição e verificação sobre qual o real interesse da empresa em tratar os dados, para verificar se este é legítimo, ou seja, lícito, adequado e proporcional.

Situação Concreta: descrição do contexto fidedigno em que se dará o tratamento de dados, não sendo aceitas situações genéricas, nem abstratas e futuras.

Minimização: Utilização de dados pessoais menos intrusivos, devendo limitar-se ao uso apenas dos dados pessoais estritamente necessários para atingir a finalidade pretendida, de modo a evitar, assim, o uso de dados em excesso, incompatíveis e inadequados ao tratamento.

Legitimidade do Interesse: Verificar a existência de outros tipos de dados menos intrusivos, que estejam disponíveis ao controlador, e que possam ser utilizados para atingir as mesmas finalidades.

Existência de outras Bases Legais: Verificar se alguma outra base legal prevista no Art. 7, da Lei 13.709 de 2018 (LGPD) não seria mais adequada para o contexto de tratamento de dados pretendido pela empresa.

Transparência: Há Transparência quando do tratamento dos dados do titular. Deve haver uma explicação sobre quais dados são coletados, como eles são utilizados e permitir ao titular acesso a uma cópia dos seus dados pessoais sempre que este requisitar e de forma gratuita.

Mecanismos de oposição (em específico, opt-out). É o meio pelo qual o titular dos dados pode ser opor ao tratamento dos seus dados, caso ele não concorde com o tratamento realizado ou caso este estiver em desconformidade com a legislação.

Mitigação dos Riscos – Aqui é necessária a análise da adoção das possíveis medidas para mitigar os riscos, tais como: anonimização, pseudoanonimização e controle de acesso aos dados.

As medidas e instrumentos empregados servem para garantir o cumprimento dos direitos dos titulares dos dados, de modo a evitar que seus dados sejam eventualmente utilizados de forma indevida.  Mediante o cumprimento de todos os requisitos acima previstos, é possível ter a conclusão positiva ou negativa quanto à aprovação do uso da base legal de Legítimo Interesse. Vale ressaltar que a reprovação em qualquer requisito inviabiliza a utilização desta base legal.

Por fim, podemos concluir que, para cada processo que esteja pré-definido com a base legal de Legítimo Interesse, faz-se necessária a realização do LIA.

Por: Marcelo Creazzo – GRC e Vitor Gomes Araújo – Jurídico | Cipher