Proteção de Dados

Interesse legítimo no RGPD: teste de ponderação prático

Interesse legítimo RGPD (art. 6.º, n.º 1, al. f): o triplo teste de ponderação passo a passo, exemplos aceites e recusados e um modelo de LIA para empresas.

Also available in:English·Français·Deutsch

O interesse legítimo é a base de licitude prevista no artigo 6.º, n.º 1, al. f) do RGPD que permite tratar dados pessoais sem consentimento, desde que o interesse do responsável — ou de um terceiro — não seja sobreposto pelos direitos e liberdades do titular. Para invocar esta base é obrigatório documentar previamente um teste de ponderação em três etapas: finalidade, necessidade e ponderação propriamente dita. Não basta afirmar que existe interesse legítimo; é preciso demonstrá-lo por escrito e conservar a avaliação. Este guia explica o triplo teste passo a passo, com exemplos aceites e recusados e um modelo resumido de avaliação (LIA — legitimate interest assessment).

Pontos-chave

  • O interesse legítimo exige um teste de ponderação em três etapas documentado antes do tratamento.
  • Não serve para tudo: não pode ser usado por autoridades públicas no exercício das suas funções (art. 6.º, n.º 1, último parágrafo).
  • O titular tem sempre direito de oposição (art. 21.º), que no marketing direto é absoluto.
  • A ausência de LIA documentada é, por si só, uma falha que a CNPD deteta numa fiscalização.

O que é o interesse legítimo

O interesse legítimo é uma das seis bases de licitude do tratamento do artigo 6.º. Distingue-se das restantes por ser a mais flexível — e, por isso, a mais exigente em fundamentação. Enquanto o consentimento ou o contrato têm contornos claros, o interesse legítimo obriga o responsável a fazer, ele próprio, um juízo sobre se o seu interesse justifica a intrusão na privacidade do titular.

O considerando 47 do RGPD dá exemplos de interesses que podem ser legítimos: a prevenção da fraude, a segurança da rede e da informação, o marketing direto e a transmissão de dados dentro de um grupo empresarial para fins administrativos internos. Mas nenhum destes é automático: cada um exige o teste. As Orientações 1/2024 do Comité Europeu para a Proteção de Dados (CEPD) sobre o tratamento com base no interesse legítimo consolidam a metodologia que se descreve a seguir.

O triplo teste passo a passo

Etapa 1 — Teste da finalidade

Identifique o interesse concreto que persegue e verifique se é legítimo. Um interesse legítimo tem de ser real e atual (não hipotético), específico (não vago) e lícito. «Melhorar o negócio» não chega; «prevenir a fraude em pagamentos online» é um interesse específico e legítimo. Documente quem beneficia do tratamento — o responsável, um terceiro ou a própria sociedade.

Etapa 2 — Teste da necessidade

Pergunte se o tratamento é necessário para atingir a finalidade, ou se existe forma menos intrusiva de a alcançar. Se a finalidade pode ser cumprida com menos dados, ou sem tratar dados pessoais, então o interesse legítimo falha aqui. A necessidade liga-se diretamente ao princípio da minimização (art. 5.º, n.º 1, al. c).

Etapa 3 — Teste da ponderação

Compare o seu interesse com os direitos, liberdades e expectativas do titular. Considere:

  • A natureza dos dados (dados sensíveis do art. 9.º inclinam fortemente contra o interesse legítimo).
  • As expectativas razoáveis do titular no momento da recolha.
  • O impacto do tratamento sobre a pessoa.
  • As salvaguardas que aplica (pseudonimização, transparência reforçada, opção de oposição fácil).

Se, depois de aplicadas as salvaguardas, o interesse do responsável continua a não ser sobreposto pelos direitos do titular, a base é válida.

Exemplos aceites e recusados

Situação Interesse legítimo? Nota
Marketing direto a clientes existentes Geralmente sim Considerando 47; oposição fácil obrigatória
Prevenção de fraude em pagamentos Sim Interesse real e proporcional
Videovigilância privada de um estabelecimento Sim, com limites Art. 19.º da Lei 58/2019; sinalização e minimização
Enriquecimento de perfis com dados de terceiros Raramente Falha as expectativas razoáveis
Cookies de rastreio para publicidade Não Exige consentimento (Lei 41/2004)
Tratamento de dados de saúde para marketing Não Categoria especial (art. 9.º)

O último ponto é decisivo em Portugal: nem os cookies de marketing nem o tratamento de dados sensíveis podem apoiar-se no interesse legítimo. Para cookies, o regime aplicável é o consentimento prévio da Lei 41/2004; para dados especiais, é preciso uma das exceções do artigo 9.º, n.º 2.

Modelo resumido de LIA

Uma avaliação de interesse legítimo documentada não precisa de ser extensa, mas deve responder a estas perguntas por escrito:

  1. Qual o interesse? Descrição específica e quem beneficia.
  2. É necessário? Porquê não há alternativa menos intrusiva.
  3. Ponderação: natureza dos dados, expectativas, impacto e salvaguardas.
  4. Conclusão: a base é válida? Com que condições?
  5. Data e responsável pela avaliação.

Conserve a LIA junto do registo de atividades de tratamento: sempre que um tratamento inscreve «interesse legítimo» como fundamento, deve existir uma LIA correspondente. Manter esta ligação manualmente é trabalhoso — plataformas como a Legiscope associam cada tratamento à sua base de licitude e à avaliação que a sustenta, de modo a que a documentação exista quando a CNPD a pedir.

Transparência e direito de oposição

Invocar o interesse legítimo cria duas obrigações adicionais. Primeiro, a transparência: nos termos dos artigos 13.º e 14.º, deve informar o titular de que trata os seus dados com base no interesse legítimo e qual é esse interesse. Segundo, o direito de oposição do artigo 21.º: o titular pode opor-se ao tratamento, e o responsável tem de cessar salvo se demonstrar razões imperiosas que prevaleçam. No marketing direto, a oposição é absoluta — não há ponderação possível, o tratamento cessa sempre (art. 21.º, n.º 3). Estes deveres devem constar da sua política de privacidade.

Uma nota para o setor público português: após a coima de 1,25 M€ aplicada pela CNPD ao Município de Lisboa em 2021, ficou claro que as autoridades públicas não podem invocar o interesse legítimo para as suas funções — devem apoiar-se numa base do artigo 6.º, n.º 1, als. c) ou e). O tema é aprofundado no guia sobre coimas RGPD da CNPD.

Perguntas frequentes

O interesse legítimo dispensa o consentimento?

Sim, é uma base alternativa ao consentimento. Mas não é uma base «mais fácil»: exige um teste de ponderação documentado e o respeito pelo direito de oposição. Para cookies de marketing e dados sensíveis, não substitui o consentimento.

Que empresas podem usar o interesse legítimo?

Qualquer responsável privado, desde que passe no triplo teste. As autoridades públicas não podem usá-lo no exercício das suas funções, por força do artigo 6.º, n.º 1, último parágrafo.

Preciso mesmo de escrever a LIA?

Sim. O princípio da responsabilidade (art. 5.º, n.º 2) exige demonstrar a licitude. Sem LIA documentada, não consegue provar que fez a ponderação, e a CNPD trata essa ausência como uma falha de conformidade.

O titular pode sempre opor-se?

Pode sempre exercer o direito de oposição do artigo 21.º. Em regra, o responsável pondera e pode manter o tratamento com razões imperiosas; no marketing direto, porém, a oposição é absoluta e o tratamento cessa de imediato.

Conclusão

O interesse legítimo é a base de licitude mais versátil do RGPD, mas também a que mais exige em fundamentação. Só é válido depois de um triplo teste — finalidade, necessidade e ponderação — documentado numa LIA e articulado com a transparência e o direito de oposição. Não serve para cookies de marketing, dados sensíveis ou funções públicas. Bem usado, permite tratar dados de forma proporcional e defensável; mal documentado, é uma das falhas mais fáceis de apontar numa fiscalização. A regra de ouro é simples: se inscreve interesse legítimo no registo, tenha a avaliação escrita ao lado.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →