LGPD: afirmar que cumpre a lei é diferente de efetivamente estar de acordo com legislação
sexta-feira, 4 de março de 2022
Atualizado às 09:36
Mês passado, um dos coautores desta coluna entrou em contato, via WhatsApp, com uma academia de uma das modalidades esportivas que mais cresce no país. A conta da empresa no aplicativo de mensagens possui atendimento virtual, ou seja, a ferramenta fornece opções e, de acordo com as respostas, direciona o usuário para as informações que - aparentemente - o cliente busca, tudo sem qualquer interação humana.
Porém, a conversa não começou nada bem, como se observa do print abaixo:
Em resumo: o atendimento virtual informou que a empresa está "em conformidade com a Lei Geral de Proteção de Dados (LGPD)" e, imediatamente, questionou se o cliente estaria de acordo com a política de privacidade. As opções colocadas para o usuário quanto à referida política foram apenas "sim" e "não". Ao optar pelo "não", o atendimento foi encerrado, sem qualquer outra possibilidade de discussão ou questionamento.
O primeiro dos vários problemas está no fato de que a política de privacidade com a qual é obrigatória a concordância para prosseguir com o atendimento não é apresentada ao titular dos dados. Não está disponível nem mesmo no site ou nas redes sociais da empresa. E, em todos os canais, o único atendimento disponibilizado é o do WhatsApp.
A impressão transmitida é de que a política de privacidade da empresa se resume lei 13.709/2018 - LGPD), seja porque o aceite neste caso não pode ser legalmente considerado consentimento - que é a base legal utilizada no exemplo - uma vez que absolutamente inexiste "manifestação livre, informada e inequívoca" do titular dos dados pessoais quanto ao tratamento que será realizado e sua finalidade (art. 5º, XII, da LGPD).
A empresa provavelmente deve contar que os potenciais futuros clientes e interessados nos serviços por ela prestados fatalmente acabem clicando na opção "sim", sem outros questionamentos. Até porque o cuidado com a proteção dos dados pessoais ainda não está totalmente consolidado no Brasil, tendo recebido impulso com a entrada em vigor da lei e, recentemente, com o novo status constitucional de direito fundamental.
Já com a ideia deste artigo em mente, decidimos prosseguir da única maneira possível, fornecendo o aceite do atendimento virtual (suposto consentimento). A situação, em vez de melhorar, piorou. Para conseguir agendar uma aula experimental, foi preciso fornecer os seguintes dados pessoais: nome completo, CPF, data de nascimento e e-mail1. Somente após informados todos estes dados é que o WhatsApp nos direcionou a um atendimento pessoal. Porém, como os horários disponíveis eram poucos e as regras não permitiam fazer o agendamento da aula para a semana seguinte, fomos obrigados a iniciar um segundo contato alguns dias depois e, assim, a fornecer novamente o "consentimento" e todos os dados para, finalmente, atingir o objetivo.
Aqui residem outros problemas. Além da boa-fé, um dos princípios mais importantes da LGPD é o da finalidade ou, nas palavras da lei, a "realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades" (art. 6º, I).
O princípio da finalidade está em ligação direta com os princípios da adequação (compatibilidade do tratamento com as finalidades informadas) e da necessidade (limitação do tratamento ao mínimo necessário para a realização das finalidades)2.
Retornando ao exemplo do texto, não há qualquer justificativa para a coleta de tantos dados quanto os solicitados de alguém que sequer mantém relação contratual com a empresa (que, aqui, age enquanto controladora dos dados). Os dados são exigidos como condição para que o titular possa obter informações sobre os serviços prestados pela academia. Não se está, no momento de fornecimento dos dados pessoais, realizando a matrícula ou qualquer ato negocial.
Assim, não há finalidade que justifique o tratamento de tantos dados para um simples fornecimento de informações. O nome do interessado e um meio de contato, como o número do celular e/ou o e-mail, seriam suficientes (o chamado "mínimo necessário") e adequados para o bom atendimento e ainda poderiam ser enquadrados - além do consentimento3 - como legítimo interesse do controlador (art. 7º, IX, da LGPD), na medida em que é de se esperar que a empresa possa ter informações sobre quem tem interesse em seus serviços e eventualmente enviar promoções e ofertas em busca de novos alunos.
Embora muitas empresas já tenham se adequado à lei, inclusive na prestação de informações de forma clara e inequívoca aos titulares de dados pessoais, observa-se que ainda há muito a ser feito. No contexto da LGPD, "gambiarras" como apenas informar que ela está sendo cumprida ou oferecer ao titular as hipóteses binárias de aceitar tudo ou não usufruir do serviço ofertado certamente não podem ser vistas como cumprimento efetivo da lei.
__________
1 Acrescente-se a todos estes dados o número do telefone, uma vez que o atendimento se deu pelo WhatsApp.
2 Art. 6º, II e III, da LGPD.
3 Caso este fosse corrigido pela empresa e passasse a seguir as exigências da lei e não o suposto consentimento do "você concorda com nossa política? Sim ou não?".