O enriquecimento de bases de dados à luz da LGPD
sexta-feira, 27 de maio de 2022
Atualizado em 26 de maio de 2022 14:18
A incursão na era da informação, o desenvolvimento da big data e a hiperconectividade tornaram essencial, enquanto diferencial competitivo para empresas, a construção e manutenção de um banco de dados com informações atualizadas e detalhadas de seus clientes.
Essa necessidade impulsionou a prática chamada de enriquecimento de base de dados, consistente na atualização e/ou adição de dados ao cadastro de clientes. Por exemplo: a empresa tem o nome, CPF e telefone de um cliente, e deseja confirmar se o telefone ainda é o mesmo e obter o endereço de e-mail. Basta uma rápida consulta na internet para constatar a existência de dezenas de empresas oferecendo esse serviço, por meio de variadas ações e ferramentas.
Contudo, embora o enriquecimento de base de dados seja um relevante instrumento de marketing, o advento da lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais - LGPD, incrementou a privacidade das pessoas, impondo, com isso, importantes restrições aos mecanismos passíveis de serem utilizados para atualizar e agregar informações pessoais.
Isso porque a LGPD exige que as atividades de tratamento - assim entendidas como qualquer operação realizada com dados pessoais, inclusive a sua coleta, utilização e armazenamento - de informações relacionadas a pessoas naturais estejam baseadas em ao menos uma das hipóteses descritas em seu artigo 7º, bem como que observem determinados princípios, enumerados no artigo 6º da LGPD, com destaque para a finalidade (propósitos legítimos, específicos, explícitos e informados ao titular dos dados, sem possiblidade de tratamento posterior de forma incompatível com essas finalidades), a adequação (compatibilidade do tratamento com as finalidades informadas ao titular dos dados, de acordo com o contexto do tratamento) e a necessidade (limitação do tratamento ao mínimo necessário para a realização de suas finalidades).
Fora desses parâmetros, o tratamento de dados pessoais será ilegal e abusivo, sujeitando os responsáveis não apenas às sanções administrativas previstas no artigo 52 da LGPD - que incluem multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, a eliminação do banco de dados e a suspensão ou proibição de seu uso -, como também às penalidades civis e penais aplicáveis.
Da análise das hipóteses legais do artigo 7º da LGPD, aliadas aos princípios acima mencionados - finalidade, adequação e necessidade - conclui-se, a rigor, que o tratamento de dados pessoais para fins de marketing - e, mais especificamente, para fins de enriquecimento da base de dados - poderá se dar apenas mediante o consentimento do titular (artigo 7º, I) ou com base no legítimo interesse da empresa (artigo 7º, IX).
O consentimento, nos termos do artigo 5º, XII, da LGPD, exige a manifestação livre, informada e inequívoca do titular, concordando com o tratamento de seus dados pessoais para uma finalidade determinada.
O legítimo interesse, por sua vez, aplica-se apenas ao tratamento de dados para finalidades legítimas, que, de acordo com o artigo 10, I, da LGPD, incluem o apoio e a promoção das atividades da empresa, respeitadas as expectativas do titular e seus direitos e liberdades fundamentais.
Daí extrai-se que os dados pessoais obtidos pela própria empresa no contexto da relação comercial com seus clientes poderão ser tratados, para fins promocionais diretos, com base no legítimo interesse. Porém, outras atividades de marketing mais específicas, que não estejam na esfera de expectativa ordinária do cliente - como, por exemplo, uma análise mais aprofundada do seu perfil - só poderão ser realizadas mediante consentimento do titular.
Diante desse novo panorama criado pela LGPD, verifica-se que boa parte dos serviços de enriquecimento de base de dados disponíveis no mercado são ilegais, expondo a risco aqueles que os utilizam.
Essa ilegalidade reside no fato de que muitos desses serviços se baseiam no cruzamento dos dados já existentes na base do titular com outros coletados por meios ilegítimos, sobretudo via buscas na internet utilizando tecnologias de inteligência artificial, ou a partir de bancos de dados próprios, obtidos e/ou mantidos sem a observância de uma das hipóteses do artigo 7º da LGPD.
Nesse aspecto, vale destacar que os dados pessoais disponíveis na rede mundial de computadores, ainda que tornados públicos pelo próprio titular, não podem ser livre e discricionariamente utilizados, muito menos comercialmente explorados. O artigo 7º, § 3º, da LGPD é claro ao dispor que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização.
Em outras palavras, não é aceitável que os dados pessoais que alguém voluntariamente torne público para uma certa finalidade (manifestação em redes sociais, acesso a serviços, identificação em reportagens etc.) sejam rastreados, coletados e utilizados por terceiros para outras finalidades, totalmente alheias às expectativas do titular e visando ganhos financeiros, ainda que indiretos.
Acrescente-se, por oportuno, que esse raciocínio vale inclusive para dados pessoais disponibilizados por órgãos estatais, que tornam determinadas informações públicas visando a uma finalidade específica, a qual não pode ser desvirtuada por terceiros para benefício econômico próprio.
Portanto, para que o mencionado cruzamento de dados seja legal, ele deve se dar com base em conteúdos legitimamente obtidos pelas duas partes: (i) do lado da empresa que quer enriquecer sua base, a partir de dados pessoais por ela própria obtidos no contexto da relação comercial com seus clientes; e (ii) do lado das empresas que oferecem serviços de enriquecimento, a partir de bancos de dados criados, obtidos e/ou mantidos especificamente para este fim, com base em uma das hipóteses do artigo 7º da LGPD e respeitados os princípios do artigo 6º da lei.
No caso das empresas que oferecem os serviços de enriquecimento, elas dificilmente terão bancos de dados pessoais aderentes à LGPD capazes de realizar o referido cruzamento, não apenas porque isso pressuporia uma base com dezenas de milhões de titulares, mas também porque, na prática, elas teriam de contar com o consentimento desses titulares para que seus dados fossem utilizados especificamente para enriquecer bases de terceiros.
Por isso, ao contratar ou mesmo realizar diretamente o enriquecimento de bases de dados, as empresas devem estar atentas aos mecanismos que podem ser efetivamente utilizados para tanto, de modo a evitar o tratamento ilegal e abusivo de dados pessoais. Exemplos de ações/oportunidades legítimas são a call to action (chamadas em sites ou aplicativos para que o próprio titular informe e/ou atualize seus dados), os call centers (aproveitamento do serviço de chamadas para manter atualizados os dados dos clientes) e os eventos (aproveitamento do contato presencial ou virtual para confirmar e agregar novos dados do cliente).
Enfim, na contratação do serviço de enriquecimento de base de dados, deve-se ter em vista a rastreabilidade dos dados que serão utilizados para fins desse enriquecimento, ou seja, saber a origem desses dados e se há base legal para o seu tratamento/cruzamento. Lembre-se de que, em caso de fiscalização pelas autoridades competentes e, principalmente, de incidentes de segurança, será fundamental demonstrar que todos os dados pessoais em poder da empresa estão sendo tratados de maneira legítima, respeitando as regras e princípios da LGPD.