O que os avisos de cookies significam por "Interesse legítimo"?

Interesse legítimo é um termo legal do GDPR. Deve ler o RGPD para obter uma explicação detalhada do que é :), mas resumindo é qualquer motivo legal que justifique a necessidade de tratamento dos seus dados pessoais pelo site. Por exemplo, se encomendar algo a uma loja na Internet, o interesse legítimo da loja em processar os seus dados é a necessidade de concluir a sua encomenda.

No entanto, o conceito de interesse legítimo é frequentemente abusado pelos sites e eles listam, por exemplo, o rastreamento de usuários para "proteger contra fraudes" como interesse legítimo. Se houver uma opção para desativá-lo, desative o que for possível. Se houver algo realmente necessário para o funcionamento do site, você não poderá desativá-lo :)

De acordo com o GDPR, existem 6 motivos com base nos quais qualquer pessoa pode processar dados pessoais. Esses são:

• Consentimento

  Você concorda explicitamente com isso. Isso precisa ser opt-in, informado, específico e dado livremente, mas também dá a maior liberdade a uma empresa.

• Contrato

  Esta é a base que a resposta de raj confunde com interesses legítimos. Este é o processamento necessário para cumprir uma obrigação contratual (note que os contratos nem sempre precisam ser assinados, por exemplo, um pedido de uma eshop).

  necessidade de processar os dados pessoais de alguém:

  • para entregar-lhes um serviço contratual; ou
  • porque eles pediram para você fazer algo antes de entrar em um contrato (por exemplo, fornecer uma cotação).

           ^{Fonte: ico.org.uk}

• Obrigação legal

• Interesses vitais

• Tarefa pública

• Interesses legítimos

  Os interesses legítimos são a base legal mais flexível para o processamento de dados pessoais. Nas palavras da ICO ¹ do Reino Unido :

  É provável que seja mais apropriado quando você usar os dados das pessoas de maneira que elas razoavelmente esperariam e que tenham um impacto mínimo na privacidade, ou onde houver uma justificativa convincente para o processamento.

           ^{Fonte: ico.org.uk (vale a pena ler!!!)}

  O texto subjacente do próprio GDPR (definições e links adicionados são meus)

  o processamento é necessário para os fins [= um tipo mínimo específico de processamento] dos interesses legítimos perseguidos pelo controlador [= a empresa que deseja processar seus dados] ou por um terceiro, exceto quando esses interesses forem substituídos pelos interesses ou direitos fundamentais e liberdades do titular dos dados [=você] que exigem proteção de dados pessoais, em particular quando o titular dos dados é uma criança.

           ^{Fonte: GDPR Artigo 6 (1f)}

  Então, basicamente, uma reivindicação de interesse legítimo por uma empresa é dizer 'estamos convencidos de que nosso interesse supera o impacto insignificante na privacidade das pessoas cujos dados processamos'. Isso não lhes dá um passe livre, pois o GDPR também dá o direito de se opor

  O titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento de dados pessoais que lhe digam respeito com base no ponto [interesse público] ou [interesse legítimo] do artigo 6.º 1), incluindo a criação de perfis com base nessas disposições.

           ^{Fonte: Artigo 21(1) do GDPR}

  Que então exigem que a empresa conceda e pare o processamento ou justifique sua reivindicação. As empresas, na prática, entenderam que isso significa que podem basicamente fazer um monte de processamento e, desde que tornem o processo de objeção (=opt-out) fácil o suficiente, a teoria é que eles vão se safar.

Notas:

¹ O Reino Unido deixou a UE, mas eles ainda têm, de longe, o melhor recurso em inglês explicando o GDPR e, por enquanto, "UK GDPR" corresponde ao "EU GDPR" um a um, tanto quanto sei.

Como a pergunta é sobre cookies, uma resposta baseada apenas no GDPR seria incompleta.

Os fatos confusos são que:

• É a Diretiva ePrivacy que controla o uso de cookies (“a Lei de Cookies”)
• É o GDPR que controla os dados que os cookies processam.

O GDPR define seis motivos para manter os dados do usuário que incluem Consentimento, Contrato, Obrigação legal, Interesses vitais, Tarefa pública e Interesses legítimos. Mas por causa da Diretiva de Privacidade Eletrônica, é o Consentimento que é obrigatório, muito antes dos interesses Legítimos. Isso significa que o interesse legítimo ainda deve exigir consentimento.

Mesmo que o site considere necessário o processamento, o interesse legítimo deve ser ponderado em relação aos direitos e liberdades fundamentais dos usuários .

O GDPR destaca o seguinte como tipos específicos de processamento que são considerados de interesse legítimo:

• Prevenção de fraudes
• Segurança de redes e informações
• Indicando possíveis atos criminosos ou ameaças à segurança pública
• O processamento de dados de funcionários ou clientes, marketing direto e transferências administrativas intragrupo provavelmente também serão considerados interesses legítimos.

O considerando (47) do GDPR diz: “O processamento de dados pessoais para fins de marketing direto pode ser considerado realizado por um interesse legítimo”. Mas a palavra "pode" aqui não dá carta branca ao site para manter os dados do usuário.

O site deve equilibrar seus interesses com os do indivíduo. Se o indivíduo não esperar razoavelmente o processamento, ou se causar danos injustificados, seus interesses prevalecem sobre os interesses legítimos do site.

Interesse legítimo é realmente muito problemático para usar por um site. O site deve documentar suas justificativas para usá-lo, e deve fornecer essa documentação para qualquer consulta por parte dos usuários ou das autoridades. Deve incluir detalhes de seus interesses legítimos em suas informações de privacidade. Ele também deve manter um registro de sua avaliação de interesses legítimos (LIA), para ajudar a demonstrar conformidade, se necessário.

Para esse fim, a autoridade de proteção de dados do Reino Unido sugere o uso de um teste de três partes que inclui o seguinte:

• Teste de finalidade – existe um interesse legítimo por trás do processamento?
• Teste de necessidade – o processamento é necessário para esse fim?
• Teste de equilíbrio – o interesse legítimo é suplantado pelos interesses, direitos ou liberdades do indivíduo?

Ter boas respostas disponíveis para todos esses três pontos é necessário para demonstrar interesse legítimo. Esse processo bastante pesado deve fazer um site pensar duas vezes antes de reivindicar um interesse legítimo.

Referências:

• O GDPR: Interesse legítimo – o que é e quando se aplica?
• Interesses legítimos da ICO do Reino Unido
• O que é interesse legítimo sob o GDPR?