Enriquecimento de Dados Pessoais
O tema deste artigo é um
tanto complexo quando o relacionamos com a proteção de dados pessoais, pois
trata do enriquecimento de dados, chamado também de supplier data enrichment,
prática que visa proporcionar as empresas interessadas uma base de dados mais
segura e eficiente, através do complemento ou atualização de dados pessoais de
diversas categorias.
Este tipo de serviço
costuma ser bastante utilizado por diversos seguimentos do mercado, nos quais,
buscam realizar ações direcionadas de marketing, vendas ou até mesmo atividades
de cobrança, ou seja, em situações em que é primordial que o contato com os consumidores/titulares seja célere e certeiro.
Além do intuito de
abordar e contatar com efetividade determinado público, muitas empresas buscam
o enriquecimento de suas bases de dados para que possam realizar estudos,
planejar estratégias e tomar as melhores decisões (data driven) em
diversas esferas de sua atuação.
Não é novidade que
estamos na era da informação, onde dados são extremamente relevantes para que
as empresas atuem com mais eficiência e competitividade, sendo o enriquecimento
de dados uma prática factual, haja vista a necessidade de tais bases serem as mais seguras e assertivas possíveis.
Observe que o enriquecimento de dados pessoais pode vir a ocorrer acerca de inúmeras categorias de dados, como dados de identificação, geolocalização, econômicos, padrões de consumo, hábitos sociais entre outros. A contratação do enriquecimento de dados parte de empresas que já possuem uma base primária de dados, mas em algum momento observam que os dados estão defasados ou insuficientes para executar as atividades de que almejam.
Momento em que procuram a alternativa de contratarem serviços e ferramentas que permitam que a empresa, a partir do fornecimento do CPF do titular, venha a obter os dados pessoais de que precisam (veja que não estamos falando aqui de listas fechadas/puramente novas). Como exemplo podemos citar o caso de uma empresa credora de algum crédito diverso, que possui os dados básicos de identificação e contato de um titular devedor, mas ao tentar abordá-lo por telefone percebe que os dados que possui em sua base estão obsoletos, tendo insucesso em suas tentativas de negociação.
Em adendo, observo que há
serviços no mercado que permitem que a empresa interessada realize buscas com
base no fornecimento do CPF, mas também através do fornecimento à prestadora de outros dados complementares
que já possuí e almeja que seja retornado apenas resultados diferentes (duplo compartilhamento de dados). Exemplo:
tenho o CPF do titular e um telefone, ao realizar buscas forneço estes dados que possuo e
peço que o retorno seja apenas de telefones que ainda não tenho. Isso permite
que a empresa interessada economize em suas buscas, já que cada dado fornecido
é cobrado, bem como a prestadora mantenha organicamente sua base higienizada e
atualizada.
Até aqui falamos do conceito do enriquecimento de dados pessoais, a importância destes tratamentos no mundo corporativo e como basicamente funciona este tipo de serviço, mas pensando agora no olhar do titular dos dados, ou seja, eu, você, este tipo de serviço é positivo? Num viés mais prático, para nós consumidores, me parece proveitoso que oportunidades cheguem até nós de forma rápida, bem como seus conteúdos sejam direcionados e relacionados a coisas e assuntos que nos são úteis, isso facilita muito nossas vidas e evita de sermos importunados exaustivamente.
Por um outro lado, pensar
que nossos dados pessoais podem estar sendo utilizados ou até mesmo comercializados
sem nosso conhecimento, sem dúvida nenhuma nos causa desconforto e receios, ou
ao menos deveria causar. Afinal, quais tipos de informações será que as
empresas possuem sobre nós? Possuem também dados financeiros e dados sensíveis?
O quanto isso pode nos ser prejudicial? Será que queremos ter nossas
informações pessoais divulgadas sem nossa autorização ou conhecimento? Se a cada dia nos
expomos mais através de diversas tecnologias disponíveis, onde isso tudo vai chegar?
Com base em preocupações
como estas é que aqui no Brasil foi regulamentada a Lei Geral de Proteção de
Dados Pessoais – LGPD (Lei 18.709/2018), que tem como objetivo proteger exatamente
os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento
da personalidade da pessoa natural. Ou seja, assegurar os direitos do titular, do real dono dos dados pessoais.
Lembrando que dado
pessoal é toda informação que possa identificar ou tornar identificável uma
pessoa natural, não sendo aplicada a referida lei a dados anonimizados, ou seja,
dados que não possuem a possibilidade de serem associados a um indivíduo, seja
direta ou indiretamente, tão pouco se aplica a dados de titularidade de pessoas
jurídicas.
E com base na LGPD outras perguntas chaves deste artigo são essenciais: As empresas que atuam com o enriquecimento de dados pessoais podem comercializar os dados pessoais dos titulares? As empresas interessadas podem contratar este tipo de serviço? Como dito inicialmente, este é um tema bastante complexo, repleto de discussões desafiadoras e passível de amadurecimento, mas acredito que a base da resposta seja a transparência com o titular dos dados e o respeito a seus direitos.
Veja que a
LGPD determina que haja transparência nas atividades de tratamento realizadas
pelos agentes, com informações claras, precisas e de fácil acesso e entendimento pelo titular, ou seja, é direito do titular saber minimamente quais, o que é feito com seus próprios
dados pessoais e o por quê.
“Art. 6º As
atividades de tratamento de dados pessoais deverão observar a boa-fé e os
seguintes princípios:
VI - transparência:
garantia, aos titulares, de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de
tratamento, observados os segredos comercial e industrial;”
Ainda sobre a transparência com o titular, em sucintas pesquisas a sites de empresas que fornecem este tipo de serviço de enriquecimento, observei que muitas ainda não estão adequadas à LGPD, seja pelo simples motivo de nem terem uma Política de Privacidade Externa disponível para consulta, ou até mesmo por não deixarem claro em sua política como são obtidos os dados que compartilham, trazendo apenas referências genéricas dos conceitos básicos elencados pela referida lei.
Notei também que
há empresas que utilizam a justificativa de que os dados pessoais que
compartilham com seus clientes são copilados e compartilhados com base em
informações tornadas públicas pelo próprio titular ou o Estado. Argumento já
rechaçado pela aplicação do melhor direito, posto que independente da
publicidade deliberadamente realizada pelo titular, não é permitido que a
empresa trate tais dados pessoais ao seu bel prazer.
Outras políticas, até de
difícil leitura, nos levam ao entendimento que os dados pessoais contidos em
sua base são armazenados e compartilhados apenas com a autorização do titular,
ou seja, tendo ele próprio fornecido os dados e consentido com a finalidade
de compartilhamento realizada pela empresa.
Neste sentido, lhes convido a leitura de duas Políticas de Privacidade disponibilizadas por uma das empresas líderes deste seguimento no mercado (Serasa), a primeira empresa com sede aqui no Brasil e a segunda no Reino Unido, observem a riqueza de informações e esclarecimentos da Política estrangeira frente a brasileira:
https://www.serasaexperian.com.br/termos-de-uso-e-politicas-de-privacidade/
(BR – atualizada em 20/07/2021)
https://www.serasaexperian.com.br/termos-de-uso-e-politicas-de-privacidade/
(UK – Vigente até 07/11/2022).
Adiante, utilizando-nos
um pouco de casos análogos, cabe citar o fluxo de dados compartilhados no
âmbito de grupos societários (intercompany), em que há o entendimento da autorização do
titular ser necessária, senão vejamos dizeres da obra de Raul Murad e
Rodrigo Requena[1]:
“Não
obstante, a LGPD demanda o consentimento específico do titular em qualquer
instância de compartilhamento de dados entre entes privados, o que implica que
o controlador apenas poderá transmitir (ou melhor, instruir que o operador o
faça) tais dados ou conceder acesso a terceiros caso o titular assim consinta,
consoante seus arts. 5º, XVI e 7º, § 5º. Logo, mesmo entre integrantes de grupo
empresarial, será necessário o consentimento específico do titular, ou que tal
circunstância conste com destaque entre os termos por ele aceitos.”
(...)
O
fato de duas pessoas jurídicas comporem o mesmo grupo empresarial não
constituiria, portanto, bom critério para autorizar a veiculação livre, sem
quaisquer parâmetros delineadores, de dados pessoais de seus clientes, uma vez
que tais grupos poderão variar significativamente. E tal dinâmica poderá se dar
de forma ágil e pouco clara, sobretudo ao titular. Seria assim forma de
assegurar, inclusive, que o titular tenha seus direitos tutelados, impedindo a
disseminação descontrolada de seus dados – que na hipótese contrária, poderiam
ser remetidos à sociedade empresária do grupo que logo deixa de sê-lo, passando
a integrar outro grupo e podendo compartilhar dados com outro conjunto de
pessoas, e assim por diante.”
Em regra, o inciso XVI, do artigo 5º da LGPD diz que o tratamento compartilhado de banco de dados pessoais, no caso, realizado entre entes privados, exige uma autorização específica do titular, vejamos:
“Art. 5º Para os fins desta Lei, considera-se:
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;”
Ou seja, numa análise objetiva deste tema, nos parece que a base legal que justifica o tratamento pelas empresas que fornecem e contratam os serviços de enriquecimento de dados pessoais é o consentimento fornecido pelo titular (artigo 7ª, inciso I da LGPD). Entretanto, ao aprofundar o tema, cito relevante Ação Pública promovida pelo Mistério Público em face da empresa Serasa (processo nº. 0736634-81.2020.8.07.0001)[2].
Nesta ação foi discutida a venda de listas fechadas de dois produtos denominados “Lista Online” e “Prospecção de Clientes” oferecidos pela empresa demandada (vide abaixo), na qual o Tribunal competente manteve a sentença que proibiu a comercialização específica deste tipo de serviço.
Lista Online: “Com a Lista
Online, você monta em poucos passos e através de filtros exclusivos, uma lista
personalizada para encontrar novos clientes, com características aderentes aos
produtos e serviços que comercializa. A ferramenta permite que você selecione o
público (empresas ou pessoas físicas) e defina a quantidade de registros que
deseja adquirir. A cobrança é feita por cartão de crédito ou boleto, de maneira
fácil e rápida”.
Prospecção de
Clientes: “Toda empresa possui uma tarefa desafiadora na hora de buscar novos
clientes, mas a Serasa Experian oferece a solução ideal para facilitar esse
processo. Você conhece o perfil dos seus clientes melhor do que ninguém. Com a
nossa solução de prospecção, é possível definir as características que a sua
empresa precisa para criar uma lista personalizada e direcionada para o público
ideal, que tem mais chances de comprar do seu negócio”
Em síntese, o Serasa
disponibilizava uma lista (maling) com o nome, sexo, data de nascimento,
CPF, endereço e telefones para que as empresas interessadas pudessem fazer
filtros e atingir o público-alvo que almejassem (listas fechadas).
No caso em tela, a defesa da
ré utilizou-se de argumentos para que o judiciário relativizasse a aplicação da
LGPD, demonstrando o anseio das empresas na manutenção de produtos e serviços
relevantes ao mercado hodierno e que notoriamente sempre foram praticados sem
quaisquer restrições ou cuidados. Vejamos abaixo as teses apresentadas pela empresa:
"a) a legislação
pertinente à matéria não estabelece, como condição para o uso de dados tratados
voltados à proteção de crédito – ou quando houver interesse legítimo –, o
fornecimento de consentimento pelo titular; b) se o dado é tornado público pelo
próprio titular, nem o consentimento prévio seria necessário; c) o legítimo
interesse é uma das opções livremente oferecidas para o tratamento de dados e
está presente na disponibilização de serviço de ampla utilidade aos clientes;
d) os produtos existem há anos, sem questionamento e conta com a chancela do
Poder Judiciário (decisões favoráveis); e) os serviços não geram qualquer dano
aos consumidores, fato comprovado pela inexistência de reclamações; f) as
informações utilizadas nos produtos impugnados (dados cadastrais) não são
protegidas por sigilo; g) os dados cadastrais não têm o condão de violar a
intimidade, a vida privada ou qualquer direito de personalidade; h) o
consumidor que eventualmente possa se sentir prejudicado pode requerer a sua
exclusão".
A seguir é colacionada ementa do acórdão proferido pela 2ª Turma do Tribunal de Justiça do Distrito
Federal, na qual demonstra o desfecho da ação, mas ressalto que vale a leitura apurada desta decisão
colegiada, posto que traz um arcabouço de conceitos e fundamentos relevantes ao entusiasta pelo tema de proteção de dados pessoais:
APELAÇÃO.
AÇÃO CIVIL PÚBLICA. PRELIMINAR DE NEGATIVA DE PRESTAÇÃO JURISDICIONAL.
REJEITADA. COMERCIALIZAÇÃO DE PRODUTOS E FERRAMENTAS DE TRATAMENTO DE DADOS
PESSOAIS. PROTEÇÃO DOS DIREITOS DO CONSUMIDOR. INOBSERVÂNCIA DA LEGISLAÇÃO DE
REGÊNCIA. 1. Apelação interposta contra sentença
que, em sede de ação civil pública, julgou procedente a pretensão formulada
pelo Ministério Público para condenar a requerida a se abster de comercializar
dados pessoais de consumidores, por meio de duas específicas ferramentas de
tratamento de dados, sob pena de imposição das medidas indutivas, coercitivas,
mandamentais ou sub-rogatórias necessárias para assegurar o cumprimento de
ordem judicial, conforme legislação processual civil. 2. A eventual discrepância
entre as teses defendidas pelos litigantes e a interpretação conferida pelo
julgador às disposições normativas que disciplinam determinada matéria posta em
debate não se confunde com a negativa de prestação jurisdicional. 3. Se o que
está em pauta é a comercialização de dados tratados, resta evidente que as
condições do tratamento – em todas as dimensões do conceito legal – devem ser
examinadas. 4. A Lei nº 13.709/2018 (LGPD) dispõe que eventual dispensa da
exigência do consentimento do titular das informações processadas não desobriga
os agentes de tratamento das obrigações de garantir transparência acerca de
todo o processo (coleta dos metadados, da metodologia utilizada, da duração do
tratamento, ou do uso compartilhado, por exemplo). A referida norma determina,
ainda, que sejam respeitadas a legitima expectativa do titular das informações
tratadas e os direitos e liberdades fundamentais. E somente em uma relação de
efetiva transparência é possível conceber a existência de legítima expectativa.
5. Mesmo que o produto final dos serviços impugnados garanta ao contratante um
apanhado de informações de natureza meramente cadastral, é inafastável a
conclusão de que a segmentação e o direcionamento de mercado – prometidos pela
requerida – depende de tratamento de informações outras, de natureza
socioeconômica e comportamental, elementos intrinsecamente vinculados à esfera
da privacidade. Assim, não havendo transparência sobre os trâmites de coleta e
tratamento, é impositivo o acolhimento da pretensão autoral. 6. Recurso
conhecido e desprovido. (Apelação Cível nº 0736634-81.2020.8.07.0001. TJ/DF. Acórdão
1397176. Relator: Desembargador Sandoval Oliveira. 09/02/2022).
Em suma, o tribunal
argumenta que a empresa ao comercializar dados pessoais dos titulares cadastrados,
ultrapassa o limite permitido pela legislação e fere os direitos de privacidade
e intimidade, por realizar o tratamento de dados de forma irregular. Considera
violadas disposições constantes no Código Civil, Código de Defesa do
Consumidor, Marco Civil da Internet e na Lei Geral de Proteção de Dados - LGPD.
Diz que há de se
reconhecer que o tratamento de dados é expressamente contemplado pelas
finalidades da empresa, deixando evidente a existência de interesse legítimo,
caso em que está legalmente dispensado o consentimento do titular, pois, como
visto, as hipóteses de cabimento previstas no artigo 7º da LGPD são autônomas e
não cumulativas.
Traz ainda importante trecho da
doutrina (Professor Doutor Tércio Sampaio Ferraz Júnior – ID 29804815): “a
própria lei, ao estabelecer que o legítimo interesse é base legal admissível,
exige, porém, uma série de cuidados e medidas especiais, antes e durante o
curso do tratamento de dados pessoais. O legítimo interesse conecta-se, assim,
com os princípios da transparência, responsabilização e prestação de contas,
previstos nos incisos VI e X do art. 6° da LGPD, aí encontrando especial
ressonância quando da sua utilização para o tratamento de dados”.
Finalizando que o tratamento de dados mesmo que seja necessário à consecução dos objetivos da empresa
– e ainda que estes se apresentem em consonância com os fundamentos da livre
iniciativa, da concorrência, da inovação e do desenvolvimento econômico e
tecnológico – o art. 7º, inciso IX, da LGPD expressamente ressalva os casos em
que os dados pessoais tratados reclamem proteção em razão dos direitos e
liberdades fundamentais do titular.
Ao passo que, o
consumidor precisa ter a exata noção acerca de quais dados pessoais foram
utilizados no tratamento, como foram coletados, a forma de processamento e qual
a política de compartilhamento, especialmente porque elementos socioeconômicos
e comportamentais estão intrinsecamente vinculados à esfera da privacidade e,
como tal, reclamam proteção (art. 2º, inciso I, Lei nº 13.709/2018). Não sendo elementos ou comportamentos plenamente acessíveis ao público ou suscetíveis de
serem conhecidos por todos, em absoluto.
Desta forma, concluo que não se pode negar os benefícios do enriquecimento de dados pessoais, tanto para os fins almejados pelas empresas que fornecem e contratam este tipo de serviço, mas também frente aos interesses do próprio titular. Acredito que mesmo com o avanço da aplicação da proteção de dados pessoais no país, este tipo de serviço de enriquecimento não irá perecer, afinal, cada vez mais dados pessoais serão fomentados, mas entendo que as empresas interessadas deverão agir com transparência e cautela.
As empresas que fornecem
e contratam este tipo de serviço devem estar atentas as diretrizes da LGPD, justificando o tratamento dos dados pessoais em
face de uma das bases legais previstas no artigo 7ª da lei, sendo priorizado o
consentimento do titular para que haja o compartilhamento, podendo ainda a finalidade do tratamento ser respaldada na
proteção do crédito (quando aplicável) e no legítimo interesse.
Deve haver extremo bom-senso
nos dados pessoais compartilhados, pois como visto no julgado trazido neste
artigo, práticas abusivas serão rechaçadas pelo próprio judiciário e demais órgãos administrativos competentes.
E o mais importante,
transparência, o titular tem o direito de saber o que é feito com seus dados
pessoais, deve ser claro como os dados são obtidos, para que finalidade, bem como a forma que o titular pode exigir do controlador dos dados seus direitos elencados no artigo 18 da LGPD.
As empresas que prestam o
serviço se enriquecimento devem garantir a licitude de suas bases e se responsabilizar
pela forma como realizam o tratamento dos dados pessoais que comercializam,
priorizando mais uma vez, a transparência e a honestidade junto ao titular.
No Brasil observaremos
muitos avanços no que tange a proteção de dados pessoais, assuntos espinhosos como este usualmente serão debatidos em nosso ordenamento jurídico,
sendo observada uma gradativa consolidação do tema.
Autora desde artigo: Nadya Prinet Godoy
Disponibilizado em: Outubro/2022
Photo
by Jason Dent on Unsplash
[1]
Fluxo de informação do âmbito
dos grupos societários e proteção dos dados pessoais. Lei Geral de Proteção de
Dados Pessoais e suas repercussões no Direito Brasileiro. Revista dos
Tribunais. 2º Triagem. 2019. Fls. 656 e 657.
Comentários
Postar um comentário