*Ana Flávia Cruvinel
“Os dados são o novo petróleo” é uma das afirmações mais veiculadas recentemente no que se refere à coleta e ao emprego de dados pessoais por parte de pessoas jurídicas cujo interesse, neste caso, se limita a benefícios econômicos. Nesta linha, Bruno Miragem[1] ratifica: “O acesso e utilização dos dados pessoais compreende um dos principais ativos empresariais na sociedade contemporânea e, ao mesmo tempo expressão dos riscos à privacidade frente às novas tecnologias da informação, repercutindo por isso, amplamente, no mercado de consumo.”
Traçar o perfil do cliente, descobrir suas preferências e suas necessidades, enviar e-mails marketing ou efetuar ligação com a finalidade de venda ou de cobrança são estratégias comumente utilizadas por inúmeras empresas de diversos segmentos. Ocorre que, em muitos casos, essas estratégias decorrem da utilização de bases de dados comercializadas entre entidades, bem como entre estas e pessoas físicas.
Em virtude do propósito negocial, toda instituição, seja pública ou privada, independentemente do ramo de atuação, constrói uma base de dados com informações pessoais de seus clientes, o que propicia a comercialização desses dados, conforme dito, por empresas e indivíduos. Trata-se de um mercado lucrativo, uma vez que com os dados em mãos, a prospecção, a venda do produto/serviço ou eventual cobrança são bastante facilitadas.
Entretanto, hoje, com a vigência da LGPD o panorama acima descrito sofrerá modificações, pois esta nova lei tem como objetivo regulamentar o tratamento de dados pessoais por empresas e pessoas físicas que os utilizam para o desenvolvimento de suas atividades. Além disso, em consonância com outros diplomas legais (Código de Defesa do Consumidor, Marco Civil da Internet e Lei do Cadastro Positivo) e a jurisprudência dos tribunais, a LGPD busca disseminar uma cultura de proteção de dados, na qual o direito à privacidade do usuário vem em primeiro lugar.
Em matéria de dados pessoais, é corriqueiro o entendimento que determinados dados podem ser explorados livremente por terem caráter público, isto é, são informações que identificam ou são capazes de identificar pessoas naturais, acessíveis nos portais de autoridades estatais, como a Receita Federal, e até mesmo perfis existentes em redes sociais com configurações de privacidade abertas. Esses dados, inclusive, são usados para as mais diversas finalidades, desde consultas sobre um potencial colaborador ou cliente até mesmo modelos de negócios construídos com base em análise massificada de informações.
Todavia, esse raciocínio não se mostra o mais adequado, pois “dados pessoais cujo acesso é público[2]”, embora tenham sido divulgados pelo próprio titular ou por terceiros, incluindo-se, neste caso, o Estado, permanecem sob o manto da LGPD de modo que a sua utilização está sujeita a certos princípios e regras, não conferindo carta branca àqueles que pretendem usá-los para finalidades questionáveis.
Neste sentido segue o posicionamento da ministra Nancy Andrighi ao afirmar que “o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos.”[3]
Uma questão que se sobressai nesse contexto diz respeito aos bancos de dados de instituições que captam dados pessoais de origem pública ou até mesmo contratam empresas especializadas para enriquecer os mesmos visando à cobrança de clientes inadimplentes. Conforme mencionado anteriormente, dados pessoais provenientes de fontes públicas podem ser utilizados desde que haja justificativa para tanto, levando-se em conta a boa-fé e o interesse público. Isso significa que finalidades meramente particulares que objetivam satisfazer uma pretensão de uma única pessoa ou entidade não autorizam a exploração de dados pessoais públicos.
No que tange ao enriquecimento de bases dados de empresas de cobrança, não há qualquer previsão na legislação nesse sentido, porém os tratamentos devem estar relacionados com a finalidade informada ao titular no momento da coleta, isto é, deve se pautar sempre na transparência no tratamento de dados pessoais. Caso este tratamento não se enquadrar em uma base legal (por exemplo, legítimo interesse, exercício regular de direitos ou execução de contrato) ou houver dúvidas quanto a isso, aconselha-se que além da transparência quanto à finalidade, a organização registre o consentimento do titular, o que é inviável em procedimentos de cobrança.
Ressalte-se que a transparência é tão significativa que é, inclusive, um dos princípios consagrados na LGPD, segundo o qual deve ser de conhecimento público a existência de determinado banco de dados e o próprio tratamento de dados e os agentes de tratamento, excetuados os segredos comercial e industrial, de acordo com o art. 6º, VI, da referida lei. Soma-se à transparência os princípios da finalidade, necessidade e adequação, que juntos formam o princípio da minimização que alinhado com a proporcionalidade e razoabilidade pautam a utilização de dados nas suas mais variadas vertentes.
Outra medida importante é coadunar as disposições da LGPD com a Lei do Cadastro Positivo (Lei n. 12.414/11), uma vez que esta permite a inclusão de informações sobre o comportamento financeiro do consumidor para a formação de histórico de crédito, o que vai de encontro com a base legal da proteção ao crédito (art. 7º, X, LGPD). Dessa forma, se a intenção da empresa é o tratamento de dados pessoais para localizar o devedor para saldar a dívida, trata-se de pretensão legítima, considerada uma base legal que dispensa o consentimento por parte do titular
Entretanto, é necessário que a empresa verifique a qualidade dos dados coletados, porque há limites que devem ser observados no momento da cobrança para que erros não afetem titulares não devedores, causando danos passíveis de responsabilização segundo a LGPD.
Vale mencionar que já houve aplicação de multa, na Europa, devido ao envio de mensagem de cobrança para o celular do devedor errado em virtude de informação desatualizada. Assim, com base na justificativa de não gerar uma situação de tratamento equivocado, é possível realizar o enriquecimento da base de dados para atualizar as informações, para fins de cobrança, inclusive, a partir de dados de origem pública, em atendimento aos princípios da finalidade, da transparência e da qualidade.
Prevenção é a palavra de ordem, uma vez que ao instituir processos de adequação a fim de identificar todas as atividades que envolvam o tratamento de dados pessoais – incluindo a coleta, armazenamento e processamento das informações utilizadas, até mesmo aquelas utilizadas para encontrar o devedor. Recomenda-se também a elaboração de um relatório de impacto que esclareça cada um dos dados coletados e assegure a segurança deles, bem como serve de atenuante para a empresa em caso de uma eventual responsabilização.
De acordo com Patrícia Peck[4], medidas como revisar a estratégia de enriquecimento de bases de dados e geração de leads com origem de fontes de terceiros e fontes públicas para se adequar às exigências da legislação, evita riscos de origem (legitimidade) e de destino (compatibilização da finalidade de uso), o que proporciona maior segurança aos agentes de tratamento de dados.
O compartilhamento de informações de banco de dados entre entidades exige a notificação prévia do consumidor/titular, segundo a Terceira Turma do Superior Tribunal de Justiça[5], pois “o fato, por si só, de se tratar de dados usualmente fornecidos pelos próprios consumidores, quando da realização de qualquer compra no comércio, que não se afiguram como os chamados dados sensíveis ou sigilosos”, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz “não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado” – explicou a ministra Nancy Andrighi ao destacar que, nessas situações, o consumidor confia na proteção de suas informações pessoais.
Por fim, em atenção à Lei de Proteção de Dados Pessoais e ao posicionamento do Superior Tribunal de Justiça, o mais prudente é que desde o princípio da relação seja garantida a transparência, razoabilidade e proporcionalidade dos dados utilizados, que devem ser necessários e adequados para os fins almejados.
*Ana Flávia Cruvinel é advogada do escritório Rafael Maciel Sociedade de Advogados
Fontes:
MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, vol. 1009/2019, nov. 2019, p. 173-222.
AB2L. Disponível em: https://ab2l.org.br/como-a-nova-lei-geral-de-protecao-de-dados-afetara-as-midias-digitais/. Acesso em 20 out. 2020.
Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 24 out. 2020.
Patrícia Peck. Disponível em: https://noomis.febraban.org.br/especialista/patricia-peck-pinheiro/como-as-financeiras-devem-se-preparar-para-2020-o-ano-da-lgpd. Acesso em 22 de out. 2020.
SERPRO. Disponível em: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-publicos-lgpd. Acesso em 20 out. 2020.
Superior Tribunal de Justiça. Disponível em: http://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/Compartilhamento-de-informacoes-de-banco-de-dados-exige-notificacao-previa-ao-consumidor.aspx. Acesso em 22 out. 2020.
[1] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, vol. 1009/2019, nov. 2019, p. 173-222.
[2] Art. 7º, §3º, Lei Geral de Proteção de Dados: O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
[3] Superior Tribunal de Justiça. Recurso Especial nº 1.758.799 – MG (2017/0006521-9).
[4] Disponível em: https://noomis.febraban.org.br/especialista/patricia-peck-pinheiro/como-as-financeiras-devem-se-preparar-para-2020-o-ano-da-lgpd. Acesso em: 24 out. 2020.
[5] Vide nota de rodapé número 3.
