Entre as dez bases legais previstas na LGPD, o consentimento e o legítimo interesse são, sem dúvida, as que geram mais debate na prática. Muitas organizações recorrem automaticamente ao consentimento como base default, enquanto outras buscam no legítimo interesse uma alternativa mais operacional. A escolha entre uma e outra, contudo, deve ser guiada por critérios objetivos.
O Consentimento na LGPD
O consentimento, previsto no artigo 7º, I, da LGPD, deve ser livre, informado e inequívoco, fornecido para finalidades determinadas. No caso de dados sensíveis (art. 11), exige-se consentimento específico e destacado. O consentimento pode ser revogado a qualquer momento, e a revogação deve ser tão fácil quanto a concessão.
As vantagens do consentimento incluem sua clareza e a autonomia conferida ao titular. Porém, suas limitações são significativas: a revogabilidade gera instabilidade operacional; a obtenção de consentimento genuinamente livre pode ser questionável em relações de desigualdade de poder; e a fadiga de consentimento reduz a efetividade da proteção, pois titulares tendem a consentir sem efetiva leitura.
O Legítimo Interesse
O legítimo interesse (art. 7º, IX) permite o tratamento quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular. Ele exige uma análise de proporcionalidade em quatro etapas: legitimidade do interesse, necessidade do tratamento, balanceamento com os direitos do titular e salvaguardas adequadas.
O artigo 10 da LGPD detalha que o legítimo interesse pode fundamentar o tratamento para apoio e promoção de atividades do controlador e para proteção do exercício regular de seus direitos ou prestação de serviços que o beneficiem. Em qualquer caso, somente dados estritamente necessários podem ser tratados.
Critérios para Escolha
O consentimento é mais adequado quando: o titular tem genuína liberdade de escolha; a finalidade do tratamento não é essencial para a prestação do serviço; trata-se de dados sensíveis sem outra base legal específica; e a organização pode operacionalizar a revogação sem prejuízo substancial.
O legítimo interesse é preferível quando: o tratamento atende a uma expectativa razoável do titular; o consentimento não seria genuinamente livre (relações de trabalho, por exemplo); a revogação inviabilizaria o tratamento necessário; e o impacto nos direitos do titular é limitado e proporcional.
O Teste de Legítimo Interesse
A ANPD recomenda que o controlador documente a análise de legítimo interesse por meio de um relatório (LIA — Legitimate Interest Assessment) que contenha: a descrição do interesse perseguido e sua legitimidade; a avaliação da necessidade e proporcionalidade do tratamento; o balanceamento entre os interesses do controlador e os direitos do titular; e as salvaguardas adotadas para mitigar riscos.
Não São Mutuamente Exclusivas
Vale ressaltar que a escolha de base legal é feita por operação de tratamento, não por categoria de dados. Uma mesma organização pode utilizar o consentimento para certas operações e o legítimo interesse para outras, desde que cada escolha seja devidamente fundamentada e documentada.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".