O marketing talvez tenha sido o setor mais impactado pela LGPD e os reflexos ainda serão sentidos conforme os estudos sobre a lei avançam e a atividade econômica retorne a patamares pré-covid-19.
Vigência da LGPD
A lei 13.709 de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), entrou em vigor no dia 18/9/2020, exceto quanto às sanções administrativas nela previstas. Nesse contexto, a área de marketing certamente foi uma das mais impactadas, visto que seus profissionais terão que adequar consideravelmente suas atuações no mercado, seja no modo de captação de leads ou na elaboração de campanhas publicitárias, dentre outras.
De partida, é essencial destacar ser necessário que os profissionais de marketing estudem a LGPD e busquem se informar por meio de fontes seguras e especializadas acerca da proteção de dados pessoais. Interpretações equivocadas ou açodadas da LGPD poderão gerar consequências graves para uma empresa.
Princípios
O artigo 6º da LGPD enumera dez princípios em seus incisos, além da boa-fé presente no caput, que devem nortear o tratamento de dados pessoais.
A área de marketing deve se atentar a todos os citados princípios, mas em especial destaca-se os da necessidade (art. 6º, III) e da transparência (art. 6º, VI).
Pelo princípio da necessidade ou minimização, a empresa deverá coletar o mínimo necessário de dados para a realização de sua finalidade. Logo, por exemplo, caso uma empresa ofereça um e-book gratuito, visando com isso obter dados pessoais para envios futuros de publicidades de cursos pagos, tal coleta deverá envolver o mínimo possível de dados, ou seja, a empresa poderá pedir o primeiro nome e o e-mail da pessoa interessada no e-book, sendo desnecessário solicitar o número de celular ou o nome completo.
Pelo princípio da transferência, a empresa deverá garantir aos titulares dos dados informações claras acerca do tratamento que será conferido àqueles. Assim, no exemplo acima, se a coleta de dados para o fornecimento do e-book gratuito visar também remessa futura de e-mail marketing, essa finalidade deverá ser informada à pessoa que for ter acesso ao e-book. A forma e o momento em que essa informação será prestada deve ser avaliada de acordo com o procedimento de download do material.
Bases legais
Após a LGPD, dados de pessoas naturais no país somente poderão ser tratados se tiver base legal autorizando tal atividade e se houver a observância estrita dos princípios elencados na LGPD.
Tratar dado pessoal não envolve apenas a coleta daquele, mas também o armazenamento, o acesso, a transferência, a reprodução, dentre outros verbos dispostos no artigo 5º, X, LGPD. Ou seja, tratar dados é um conceito legal abrangente e merece atenção.
As bases legais são as hipóteses autorizativas de tratamento de dados pessoais.
Os dados pessoais1 podem ser "comuns", cujas bases legais para tratá-los estão discriminadas no artigo 7º da LGPD, ou "sensíveis", que estão definidos pelo artigo 5º, II, e as bases legais estão dispostas no artigo 11, ambos da LGPD.
Quanto ao artigo 7º da LGPD, não há uma hierarquia entre as bases legais nele listadas, uma não "vale mais" que a outra. É imprescindível a análise do caso concreto no qual haja a necessidade de tratamento de dado pessoal e, ante as especificidades dele, seja avaliada qual será a base legal mais apropriada.
No que concerne ao artigo 11 da LGPD, há doutrinadores que defendem que o consentimento para tratar dado pessoal sensível é a regra, tendo uma elevação do status desta base legal2.
Consentimento
O consentimento do titular do dado é a base legal de tratamento de dados pessoais mais difundida para o setor de marketing, que está previsto no artigo 7º, I, e 11, I, ambos da LGPD.
Quanto ao consentimento deve-se destacar que ele tem que ser uma "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada" (art. 5º, XII, LGPD).
O artigo 8º, §4º, da LGPD é expresso ao prever que autorizações genéricas para o tratamento de dados pessoais serão nulas.
Portanto, consentimentos GERAIS não estarão em conformidade com a LGPD. O empresário que, no momento de uma venda coletar dados pessoais de seu cliente, necessários para executar a transação comercial (art. 7º, V), e aproveitar essa oportunidade para tentar obter a autorização daquele para também usar os dados futuramente a fim de "melhorar a sua experiência como consumidor", não terá coletado um consentimento inequívoco para tal finalidade, como exige a lei.
Assim sendo, a área de marketing não deve se apoderar dos mencionados dados pessoais, com base no exemplificado consentimento genérico, para enviar promoções para o WhatsApp do cliente ou ligar para o telefone dele oferecendo produtos.
O consentimento válido está relacionado ao exercício de opção pelo titular dos dados pessoais. Vale dizer, o titular tem que poder optar por receber a publicidade, sem que tal concordância seja requisito necessário para a concretização da compra do produto.
Para que publicidades direcionadas ocorram, com base no consentimento, é preciso que esse tenha sido dado de forma explícita. Por exemplo: o cliente concorda em receber publicidades de produtos da empresa, relacionados ao que ele já tenha comprado, em seu e-mail. Note, é um consentimento específico.
E, como já escrito acima, o consentimento visa a uma finalidade determinada. O setor de marketing na hipótese acima não deve compartilhar com empresas parceiras os dados que a tenham sido coletado com base no consentimento do titular, se tal consentimento tiver sido dado apenas para recebimento de publicidade da empresa apenas.
Aliás, convém ressaltar a condenação da construtora Cyrela em São Paulo por descumprir a LGPD3, porque compartilhou dados de um cliente com empresas parceiras sem autorização daquele. Após o cliente adquirir um imóvel, ele passou a receber ligações de instituições financeiras e empresas de decoração oferecendo serviços relacionados à compra do imóvel. Isso ocorreu porque a Cyrela compartilhou os dados do cliente em desconformidade com a LGPD e, em vista disso, foi condenada, em primeiro grau, ao pagamento de danos morais no importe de R$10.000,00.
Ainda, o setor de marketing que pautar sua atuação na base legal do consentimento tem que estar ciente de que ele "pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado", conforme artigo 8º, § 5º, da LGPD.
E, caso a empresa já possua um banco de dados robusto, formado antes da LGPD entrar em vigor, e agora pretenda enviar campanhas publicitárias para as pessoas que estão no citado banco, é indispensável haver a adequação à LGPD. E aí surgirão os seguintes questionamentos: o consentimento será a melhor base legal a ser usada nesta hipótese? É viável para a empresa contatar pessoa por pessoa do citado banco de dados em busca do consentimento inequívoco?
Legítimo interesse
É importante salientar que é o consentimento não é a única hipótese possível para que o setor de marketing de uma empresa lide com dados pessoais comuns.
A empresa também pode se valer do legítimo interesse, que é a base legal prevista no artigo 7º, IX, e 10 da LGPD, e tal interesse da empresa pode ser o comercial. Deve-se salientar que o legítimo interesse não é base legal para tratar dado pessoal sensível, já que essa hipótese autorizativa não foi elencada no rol do artigo 11, LGPD.
Fundamental compreender que o legítimo interesse é um conceito aberto, mas não é "um cheque em branco" para tratar dados pessoais. É uma base legal com maiores exigências, sendo imperioso que a empresa avalie se será a base mais vantajosa.
Afinal, nem todo interesse será legítimo. O artigo 10 da LGPD explicita as condições necessárias para a aplicação desta base legal.
O legítimo interesse torna-se atrativo para as empresas por ser uma base legal que pode permitir que a publicidade atinja um grande número de pessoas mas, de outro lado, não se pode desconsiderar que será uma escolha baseada em maior risco.
O artigo 37 da LGPD dispõe que "o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse".
Ou seja, uma vez verificada que a base legal mais adequada é o legítimo interesse, tudo que daí se seguir deve ser registrado de modo que possa ser apresentado para a Autoridade Nacional de Proteção de Dados4 (ANPD) conforme o caso.
Ao cogitar utilizar o legítimo interesse como base legal para tratar dados pessoais, é imprescindível que a empresa faça o LIA (Legitimate Interests Assessment), ou teste do legítimo interesse. Por meio deste teste, a empresa poderá avaliar se é possível ou não a utilização do legítimo interesse na hipótese pretendida5.
O teste do legítimo interesse envolve, em resumo, as seguintes fases:
1º Passo) Legitimidade: avaliar se a finalidade para tratar o dado pessoal é legítima (art. 10, caput e inciso I, LGPD) e se envolve uma situação concreta.
Exemplo: enviar e-mail marketing de um novo produto é uma finalidade legítima e diz respeito a uma situação concreta.
2º Passo) Necessidade: observar o princípio da necessidade (ou da minimização), ou seja, utilizar o mínimo de dados pessoais e buscar a forma menos intrusiva no tratamento realizado (10, §1º, LGPD).
Exemplo: a empresa não precisa coletar o nome completo da pessoa, e-mail, celular e idade. Para a finalidade a que se destina, bastam o primeiro nome e o e-mail.
3º Passo) Fazer o balanceamento (artigos 6º, I, 7º, IX, e 10, III, LGPD) entre o legítimo interesse da empresa e a legítima expectativa do titular do dado.
Exemplo: caso o titular já possua uma relação comercial com a empresa, ainda que anterior à LGPD, é possível supor uma legítima expectativa de uma publicidade relacionada aos produtos já adquiridos. Portanto, a empresa poderá enviar para o e-mail do titular uma publicidade de livro jurídico, caso aquele já tenha efetuado compra deste mesmo tipo de produto no site da citada empresa.
Importante esclarecer que a legitima expectativa está relacionada a um comportamento que se espera de uma empresa, como, no caso, o envio de publicidade para um cliente cadastrado.
Os três passos acima deverão estar em conformidade com os princípios da adequação e da boa-fé, conforme art. 6º, caput e II, LGPD, e art. 421 do Código Civil.
4º) Haver salvaguarda (Art. 10, §2º e 3º da LGPD) e transparência no tratamento dos dados. Ainda, deverá ser dado ao cliente o direito de oposição (opt-out), que é a opção de não mais receber este tipo de publicidade.
Exemplo: na primeira oportunidade deve ser facultada ao titular dos dados pessoais a possibilidade de não mais receber aquele tipo de publicidade. No e-mail que a empresa enviar da publicidade do produto, deverá conter a opção do titular se descadastrar da lista de contados da empresa ("opt-out").
Responsabilidades
Outro aspecto de evidente relevância é a cadeia de conformidade, em que os parceiros comerciais devem exigir entre si o respeito à proteção de dados pessoais. Aliás, o isolamento do mercado é um risco enorme para as empresas que não atuarem em compliance6 com a LGPD.
Deste modo, caso uma empresa de marketing seja contratada por um cliente que a repasse dados pessoais de seus consumidores e a citada empresa deixe vazar os aludidos dados, ambos poderão ser solidariamente responsabilizados pelo tratamento irregular daqueles, conforme previsto pelo artigo 42, §1º, LGPD.
Em vista disso, empresas de marketing que não atuem em conformidade com a LGPD não deverão ser contratadas.
É importante deixar claro que a LGPD não almeja dificultar o tratamento de dados pessoais no Brasil ou impedir o Inbound Marketing. A lei visa traçar os parâmetros que deverão ser observados pelos agentes de tratamento de dados pessoais, a fim de que esses dados sejam tratados de forma íntegra, transparente e em respeito à privacidade e à intimidade das pessoas naturais.
---------
1 A classificação envolve ainda os dados pessoais públicos, como os dados pessoais publicados ou acessíveis em razão da Lei de Acesso à Informação, lei 12.527/201.
2 ZAVANELLA, Fabiano; JUNIOR, Gilberto Carlos Maistro. Utilização dos Dados Pessoais do Trabalhador. In: MIZIARA, R.; PESSOA, A.; MOLICONE, B. (Org.). Reflexos da LGPD no Direito e no Processo do Trabalho. 1. Ed. São Paulo: Thomson Reuters, 2020. pág. 239.
3 ANGELO, Thiago. Consultor Jurídico. Set. 2020. Acesso em 3.fev.2021
4 A Autoridade Nacional de Proteção de Dados é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, dentre outras competências.
5 BIONI, Bruno; RIELLI, Mariana; KITAYAMA, Marina Observatório. Fev. 2020. Acesso em 10.fev.2021.
6 "O termo compliance deriva do termo inglês: "to comply", que significa, realizar ou satisfazer o que foi imposto. E, no âmbito de uma organização, as obrigações a serem observadas são extremamente diversificadas (ambientais, cíveis, empresariais, consumeiristas, trabalhistas, dentre outras)". In PINHEIRO, Iuri; SILVA, Fabrício Lima; BONFIM, Vólia. Manual do compliance trabalhista: teoria e prática. 2. ed., rev. e ampl. Salvador: Editora JusPodivm, 2021. Pág. 50.