合法权益作为数据处理的假设

moriom

全国代表大会批准并修订了第 869/2018 号临时措施，该措施修订了《一般数据保护法》（LGPD – 第 13,709/2018 号法律）。如果获得无否决权批准，送交共和国总统的相应转换法案将于效。距离该法律生效仅剩一年多的时间，有必要了解其范围和局限性。


在分析了 LGPD 的关键概念（例如个人数据、同意和匿名化）之后，值得讨论基于控制者或第三方的合法利益的数据处理活动的限制，因为这是内部最常用的替代方案之一。 LGPD 从中寻求灵感。

LGPD 的语言与 GDPR 非常相似，规定个人数据可能会受到处理，“以满足控制者或第三方的合法利益，除非持有人的基本权利和自由需要保护”。个人数据优先” [1]，因为“控制者的合法利益只能证明出于合法目的处理个人数据是合理的，并根据具体情况考虑” [2]，但“只有严格必要的个人数据”除外可以出于预期目的进行处理” [3]。

因此，基于合法利益的数据处理需要遵守一定的要求，并且可能很难了解其真正的法律范围。本文将试图阐明这一问题，解决欧洲实践中发现的有争议的问题，自 1995 年以来，欧洲就该主题制定了具体立法。

值得强调的第一点是“利益”和“目的”之间的区别，这两个术语在上述条款和 电话号码列表 欧洲立法中使用，尽管相似，但不可互换。事实上，目的可以理解为控制者或第三方进行数据处理的具体目的。利益是一个更广泛的概念，是控制者或第三方希望从数据处理中获得的利益；换句话说，它是处理活动预期带来的好处，无论是对于控制者、数据主体本人还是整个社会[4]。

必须注意的是：尽管其概念范围很广，但欧洲的经验表明，只有明确定义并与控制者所进行的活动范围相关的利益才能作为旨在为所讨论的假设找到基础的数据处理的基础这里。这是指身体活动控制应用的情况。在该示例中，控制器的兴趣可能是对用户执行的身体活动提供更大的透明度和控制，目的是保护健康和改善身体健康。另一方面，控制者追求的特定目的可能涉及使用地理配准来实施即时且易于访问的记录活动的方法。

第二个方面涉及合法权益的持有者。LGPD似乎很明确地规定，受保护的利益必须属于控制者或第三方。因此，乍一看，保护不会涵盖数据运营商的利益，这一结论似乎是合适的，因为运营商仅负责以控制者建立的方式执行数据处理活动[5 ]。简而言之，受保护的利益必须真实、合法且可明确识别[6]，不能承认非法或纯粹投机的利益。



值得注意的是：即使控制者没有合法利益，如果符合第三方的利益，相应的处理也可能是合理的。以高管的个人数据为例，这些数据最终会向公司股东披露，以提高透明度。在这种情况下，LGPD保护的合法利益属于股东，即控制者与数据主体关系中的第三方。

最后，值得强调的是，一方面控制者或第三方的合法利益与另一方面正在处理的数据持有者的同样合法的期望之间可能存在冲突。在这种情况下，由于不可能调和这些极点的利益，因此有必要进行权重测试来确定哪一方优先于另一方。分析必须针对具体情况，考虑持有人的基本权利以及控制者或第三方的利益。