Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

  § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

  § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

  § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Teste de proporcionalidade que habilita as empresas na utilização da Base Legal do Interesse Legítimo.

Estes requisitos são necessários para o uso desta base legal. Tratam-se de 4 fases na análise de proporcionalidade.

Fase 1 Finalidades Legítimas

      ➠  Finalidade Lícita na Utilização?
      ➠  Situação Concreta para Utilização?

Fase 2 Necessidade

      ➠  Minimização na utilização?
      ➠  Outras Bases Legais podem se encaixar também?

Fase 3 Balanceamento

      ➠  Legítima Expectativa do Titular?
      ➠  Respeito aos Direitos e Liberdades do Titular?

Fase 4 Salvaguardas

      ➠  O Processo de Utilização é Transparente?
      ➠  Preservado o Direito de Opt-Out e Mitigados os Riscos?