Impressões Digitais

LGPD impõe às empresas a revisão de suas estratégias de marketing

LGPD impõe às empresas a revisão de suas estratégias de marketing.

22/10/2021

Não cabe dúvida de que a entrada em vigor da Lei Geral de Proteção de Dados – LGPD, exige que todos os departamentos das empresas revisem e adequem os seus fluxos de tratamento de dados pessoais, mas, passados três anos desde a promulgação da Lei, constata-se que a área de propaganda e marketing é uma das maiores – se não a maior – impactada pelo novo modelo de proteção e privacidade.

Até o advento da LGPD, eram práticas comuns – e, a rigor, sem vedações legais específicas – a coleta da maior quantidade possível de dados pessoais de consumidores (muitos deles até desnecessários), a aquisição de mailing lists1, a contratação ou desenvolvimento de serviços de profiling2, enfim, as mais variadas práticas visando atingir, aproximar e atrair clientes.

Doravante, estas práticas encontram limites na LGPD, sobretudo nos princípios da finalidade, necessidade, adequação e transparência, bem como na necessidade de que o tratamento de dados pessoais se realize com a observância de uma das bases legais dos artigos 7º ou 11 da lei.

Em outras palavras, para além de observar o princípio da minimização, ou seja, cuidar para que os dados pessoais coletados sejam adequados, oportunos e limitados ao que é exigido pelas finalidades que determinam o seu processamento, as ações promocionais das empresas devem partir de uma das hipóteses legais que autorizam o tratamento.

No caso específico do marketing, o tratamento de dados pessoais, via de regra, se dará com fundamento no legítimo interesse do controlador (artigo 7º, IX) ou no consentimento do titular (artigos 7º, I, e 11, I) e, excepcionalmente, com base na execução do contrato (artigo 7º, V).

O legítimo interesse é a base legal mais subjetiva e flexível da LGPD, que inclusive não define o conceito, limitando-se a consignar, em seu artigo 10, que somente pode ser utilizado para "finalidades legítimas, consideradas a partir de situações concretas". De maneira geral, entende-se que haverá legítimo interesse sempre que o tratamento do dado pessoal, da forma realizada e para os fins pretendidos pelo controlador, estiver na esfera de expectativa do titular e não viole os seus direitos e liberdades fundamentais.

Nesse aspecto, a própria LGPD aponta que, entre as finalidades que consubstanciam o legítimo interesse, está o "apoio e promoção de atividades do controlador", numa clara referência às ações de marketing.

Ainda assim, e não obstante seja um conceito aberto, não é qualquer atividade de marketing que poderá ser realizada com base no legítimo interesse. O considerando 47 da General Data Protection Regulation – GDPR, norma que regula a privacidade e proteção de dados no âmbito da Comunidade Europeia e que serviu de inspiração para a LGPD, ressalva expressamente que se considera no legítimo interesse do controlador o tratamento de dados pessoais efetuado para fins de “marketing direito”, que pode ser entendido como aquele pautado em ações focadas no acesso direto, sem intermediários, e no esforço de fortalecimento da relação com clientes que já demonstraram algum interesse pelos produtos ou serviços da empresa.

Diante disso, e em linha com a regra do artigo 37 da LGPD, recomenda-se que a empresa tenha cuidado redobrado no registro de operações de tratamento de dados para fins de marketing realizadas com base no legítimo interesse, elaborando o chamado Legitimate Interest Assessment – LIA3, que permite avaliar a viabilidade na utilização do legítimo interesse como fundamento para determinada operação de tratamento de dados pessoais.

Ademais, é fundamental que nas abordagens promocionais baseadas no legítimo interesse, as respectivas mensagens confiram ao cliente a opção de opt-out, isto é, de solicitar a remoção dos seus dados da lista de e-mails comerciais/spam da empresa remetente.

Vale lembrar, ainda, que o tratamento de dados pessoais definidos no art. 5º, II, da LGPD como sensíveis4, não pode ser realizado com base no legítimo interesse, por ausência de previsão no artigo 11 da lei.

Neste caso e de outros que não admitam o tratamento de dados pessoais com base no legítimo interesse, as ações de marketing deverão ser realizadas mediante a obtenção de prévio consentimento, o qual, nos termos dos artigos 5º, XII, e 8º, §4º, da LGPD, deve ser dado pelo titular mediante manifestação livre, informada, inequívoca e para uma finalidade específica, sendo nulas autorizações genéricas.

Todavia, ao pautar suas ações promocionais no consentimento, a empresa deve estar ciente de que este pode ser revogado a qualquer tempo pelo titular, hipótese em que o tratamento dos dados deverá cessar imediatamente, o que pode comprometer determinadas campanhas ou estratégias.

Excepcionalmente, algumas ações específicas de marketing, quando relacionadas a uma negociação em andamento ou a procedimentos ligados à pós-venda, podem ser enquadradas na base legal de execução de contrato (artigo 7º, V). Nesse sentido, por exemplo, o envio de e-mail ao consumidor lembrando que ele interrompeu sua compra no site da empresa e deixou produtos no "carrinho virtual", ou que chegou o momento de realizar a revisão do produto para que não haja a perda da garantia. Em tais situações, porém, a ação deve ser bastante específica, alcançando apenas os produtos envolvidos na relação contratual ou pré-contratual.

Um último ponto que merece destaque diz respeito à aquisição de mailing lists. Essa prática, largamente utilizada e oferecida por diversas empresas, passa a ter limites na LGPD, em especial nas bases legais que autorizam o tratamento de dados pessoais.

A rigor, a única base legal que autoriza a comercialização de dados pessoais é o consentimento, ou seja, a concordância do titular no sentido de que seus dados sejam oferecidos onerosamente pelo controlador a terceiros. Nessa situação, não há como sustentar a presença do legítimo interesse, pois não é razoável supor que o titular tenha a expectativa de que seus dados pessoais sejam vendidos pelo controlador.

Mesmo dados pessoais: (i) cujo acesso é público ou (ii) que tenham sido tornados manifestamente públicos pelo titular, só podem ser tratados se forem respeitados a finalidade e o interesse público que justificaram a sua disponibilização (artigo 7º, §3º), os direitos do titular e os princípios da LGPD (artigo 7º, §4º), o que, obviamente, impede a sua exploração econômica via compilação de mailing lists para comercialização.

Dessa forma, ao adquirir mailing lists é essencial certificar-se de que os dados pessoais nela contidos tenham sido obtidos por meios lícitos, sob pena de a empresa adquirente poder vir a ser responsabilizada pelo tratamento ilegal de tais dados.

Em suma, portanto, é fundamental que as empresas revisem as suas estratégias de marketing, verificando se há base legal para o tratamento das informações contidas em suas bases de dados, elaborando o LIA sempre que necessário, redobrando o cuidado na aquisição de mailing lists, enfim, ajustando todos os procedimentos que envolvam o tratamento de dados pessoais.

__________

1 Listas de endereçamento eletrônico para distribuição de informações/propagandas em larga escala para usuários da rede mundial de computadores.

2 Análise comportamental do cliente/consumidor para identificar hábitos de consumo e realizar um marketing direcionado.

3 O LIA é um teste de ponderação dividido em 4 fases: (i) legitimidade (real interesse no tratamento dos dados); (ii) necessidade (se os dados utilizados são os menos intrusivos e estritamente necessários para atingir a finalidade pretendida); (iii) balanceamento (verificação da compatibilidade do tratamento dos dados frente à expectativa do titular e à preservação de seus direitos e liberdades fundamentais) e (iv) salvaguardas (medidas empregadas para garantir o cumprimento dos direitos dos titulares, tal como controles de acesso aos dados).

4 Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Daniel Bittencourt Guariento é sócio da área contenciosa do Machado Meyer Sendacz e Opice Advogados, especialista em Direito Digital e tecnologia. Membro da Comissão Especial de Tecnologia e Informação da OAB, do Conselho de Tecnologia e Informação do IASP e do Comitê de Direito Digital do Centro de Estudos das Sociedades de Advogados (CESA). Ex-assessor de ministros do STJ, na sessão de Direito Privado.

Ricardo Maffeis Martins é advogado especialista no Contencioso Digital e de Proteção de Dados. Professor de Direito Processual Civil da Escola Paulista de Direito e do Curso Damásio. Foi assessor de ministros e coordenador da Segunda Seção do STJ. Certificado em Privacidade e Proteção de Dados pelo Data Privacy Brasil. Membro da Comissão de Direito, Inovação e Tecnologia do IASP.