DPO na Prática

Legítimo interesse na LGPD: quando usar, como documentar e quais são os riscos

O legítimo interesse é a base legal mais flexível da LGPD — e a mais mal-usada. Entenda quando ela se aplica, como fazer o teste de balanceamento e como documentar para evitar questionamentos.

M
MHSLGPD
25 de maio de 2026 · 4 min de leitura

O legítimo interesse é previsto no Art. 7º, IX da LGPD como uma das 10 hipóteses legais para tratar dados pessoais. É a base mais flexível — e por isso, a mais mal-usada. Empresas a invocam para praticamente tudo, às vezes para evitar ter que pedir consentimento. A ANPD e o judiciário já deixaram claro que essa prática é um problema.

Este artigo explica quando o legítimo interesse é a base legal correta, como fazer o teste de balanceamento exigido pela lei e como documentar de forma que resista a questionamentos.

O que é legítimo interesse na LGPD

O Art. 10 define que o legítimo interesse do controlador só pode fundamentar o tratamento para finalidades legítimas, consideradas a partir de situações concretas, incluindo:

  • Apoio e promoção de suas atividades;
  • Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.

O parágrafo 1º do Art. 10 acrescenta que o controlador deve adotar medidas para garantir a transparência do tratamento baseado no legítimo interesse. E o Art. 10, §3º, prevê que a ANPD pode solicitar relatório de impacto à proteção de dados quando o tratamento baseado em legítimo interesse puder gerar riscos.

O teste de balanceamento (LIA — Legitimate Interest Assessment)

Antes de invocar o legítimo interesse, a empresa precisa fazer um teste de balanceamento com três etapas:

1. Teste de propósito

O interesse é legítimo? Você consegue explicar a finalidade de forma que um regulador ou juiz consideraria razoável? O interesse precisa ser real, não hipotético, e não contrário à lei ou à moral.

2. Teste de necessidade

O tratamento é necessário para atingir o propósito? Não existe alternativa menos intrusiva que alcance o mesmo resultado com menos dados ou menor impacto à privacidade?

3. Teste de balanceamento

Os interesses do controlador superam os direitos e expectativas do titular? Considere:

  • A natureza dos dados (sensíveis vs. comuns);
  • A expectativa razoável do titular sobre aquele tratamento;
  • O impacto potencial na privacidade e outros direitos fundamentais;
  • Medidas de salvaguarda que minimizam o impacto.

Se o resultado do balanceamento pender para o titular, o legítimo interesse não é a base correta — use consentimento ou verifique se outra base legal cabe.

Quando o legítimo interesse é válido

Exemplos de usos geralmente aceitos:

  • Prevenção a fraudes: análise de padrões de comportamento suspeito em transações financeiras ou e-commerce;
  • Segurança da rede e dos sistemas: logs de acesso e monitoramento para identificar ataques;
  • Marketing direto para clientes existentes: envio de comunicação sobre produtos similares ao que o cliente já comprou (com opt-out fácil);
  • Gestão interna e administrativa: processamento de dados de funcionários para fins de gestão que vão além da obrigação legal (ex.: pesquisas de clima);
  • Pesquisa e melhoria de produto: análise anônima ou pseudônima de comportamento de uso para melhorar o serviço.

Quando o legítimo interesse NÃO se aplica

  • Dados sensíveis: o Art. 11 não lista legítimo interesse entre as bases para dados sensíveis (saúde, biometria, etc.) — portanto não pode ser usado para esse tipo de dado;
  • Tratamento que o titular claramente não espera: usar dados coletados para uma finalidade (ex.: pesquisa de preço) para outra completamente diferente (ex.: scoring de crédito);
  • Publicidade comportamental de terceiros: o tracking cross-site para exibir anúncios segmentados não se sustenta em legítimo interesse — a expectativa do usuário e o impacto à privacidade são altos demais;
  • Enriquecimento de dados sem transparência: comprar dados de terceiros para cruzar com a base própria sem que o titular saiba.

Como documentar o legítimo interesse

A documentação do LIA (Legitimate Interest Assessment) deve constar no RIPD e incluir:

  1. Descrição do propósito específico e por que é legítimo;
  2. Demonstração de que o tratamento é necessário (não existe alternativa menos intrusiva);
  3. Resultado do balanceamento — quais interesses foram considerados, como se ponderou;
  4. Medidas de salvaguarda implementadas para proteger os interesses do titular;
  5. Como o titular pode se opor ao tratamento (opt-out).

O documento não precisa ser longo — mas precisa ser substancial. Um parágrafo genérico dizendo "o tratamento é necessário para os negócios da empresa" não basta.

O direito de oposição do titular

O Art. 18, II da LGPD garante ao titular o direito de se opor ao tratamento baseado em legítimo interesse. Isso significa que a empresa precisa oferecer um mecanismo fácil de opt-out e processar o pedido de oposição dentro de 15 dias.

Conclusão

Legítimo interesse é uma ferramenta poderosa quando usada corretamente — e um risco regulatório quando usada como atalho para evitar consentimento. Faça o teste de balanceamento, documente o raciocínio e garanta o direito de oposição do titular. Dessa forma, se questionado pela ANPD ou em juízo, a empresa tem substância para defender a escolha.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.

Leia também

LGPD no RH: como proteger os dados dos funcionários e estar em conformidade
O departamento de RH concentra alguns dos dados mais sensíveis da empresa: saúde, salário, dados bancários e biometria. Veja o que a LGPD exige e como organizar a conformidade no setor.
MHSLGPD · 24 de maio de 2026
Como nomear um DPO (Encarregado de Proteção de Dados) na sua empresa
A LGPD exige que todo controlador indique um Encarregado de Proteção de Dados. Entenda quem pode ser, o que faz, se precisa ser CIPP, salário de mercado e como formalizar a nomeação.
MHSLGPD · 24 de fevereiro de 2026