A LGPD e seus desafios na Indústria
20/06/2023
Aspectos gerais e discussões acerca da aplicação da LGPD em farmácias e drogarias
12/07/2023
Newton de Lavra Pinto Moraes[1]
Mestre em Direito
A evolução tecnológica permite que o comércio seja realizado em circunstâncias extremamente favoráveis porquanto fornecedores e consumidores podem ser aproximados mediante equipamentos tecnológicos e processos automatizados, conferindo efetividade às ações de marketing. Todavia tais facilidades podem implicar severas violações a direitos dos titulares dos dados pessoais, sendo a conformidade com a LGPD e demais normas pertinentes condição à legitimidade do marketing direto.
Technological evolution allows trade to be carried out under extremely favorable circumstances because suppliers and consumers can be brought closer together through technological equipment and automated processes, making marketing actions more effective. However, such facilities may imply severe violations of the rights of two holders of two personal data, being in accordance with the LGPD and other relevant regulations, conditions for the legitimacy of direct marketing.
Marketing. LGPD. Conformidade.
Introdução
O gigantesco desenvolvimento significativo do ambiente online nas últimas décadas revela-se pelo aumento, nas mesmas proporções, das mídias sociais e pelo tratamento de dados pessoais. Cada vez mais empresas e titulares de dados pessoais utilizam os dados pessoais para manter contato com a família e amigos, para se envolver em redes profissionais ou para se conectar em torno de interesses e ideias, para a demonstração de preferências políticas e, notadamente, a geração de riqueza.
Na mesma senda, as mídias sociais podem ser compreendidas como genuínas plataformas de lançamento online, agregadas em rede, de modo a permitirem com velocidade e conectividade extremas a instituição de comunidades de usuários, unidos por objetivos e interesses comuns, sem limitações geográficas, culturais ou políticas, bastando, para que haja a conexão, no mais das vezes, apenas a vontade de se conectar, por intermédio de computadores que permitem o compartilhamento de dados pessoais e de conteúdos, bem como o tratamento dos dados pessoais com o objetivo de divulgação de produtos e serviços.
Exatamente em face desse incremento da circulação dos dados pessoais, é que os ordenamentos jurídicos se ocupam, nas últimas décadas, com o correto tratamento dos dados pessoais, notadamente por se tratarem de informações ligadas à própria personalidade e pelo potencial de risco que essa atividade representa aos titulares dos dados pessoais, com a inserção do direito fundamental à proteção dos dados pessoais em textos constitucionais, como no inciso LXXIX da Constituição Federal brasileira, segundo o qual “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”, bem como com a elaboração de leis ordinárias como a Lei 13.709/2018 – LGPD. Para tanto o presente estudo busca refletir sobre o marketing e o tratamento dos dados pessoais, com breve análise normativa e doutrinária.
- O Marketing em conformidade com a LGPD
As atividades de marketing encontram no meio eletrônico terra fértil em razão da imensa capacidade de conexão entre as pessoas mediante a criação de “contas” ou “perfis” nas redes sociais e, também, pela facilidade e agilidade de acesso a sítios da internet como forma de interação e de compartilhamento de conteúdos gerados, tanto pelos próprios usuários, quanto de terceiros, de forma direta ou, ainda, com o acréscimo de outras informações e, mesmo, de opiniões do compartilhador.
E tais facilidades e agilidades repercutem, de forma inexorável nas atividades de marketing, levadas a efeito mediante o massivo tratamento de dados pessoais, o que desperta atenção do legislador e dos demais operadores do direito tanto para indicar o caminho correto a ser trilhado, quanto na busca de reparações quando violado direito.
- Falando em Marketing:
Segundo a American Marketing Association – AMA[2], em tradução livre, tem-se o marketing como “a atividade, ou conjunto de ações e processos para criar, comunicar, entregar e trocar ofertas que tenham valor para clientes (2017)”.
Também segundo a AMA, podem ser reconhecidos alguns tipos de marketing como o “marketing de influenciadores” que consistiria na alavancagem, por indivíduos qualificados como “influenciadores”, do consumo de bens e de serviços, atuando tais agentes de direcionamento de mensagens, muitas das vezes subliminares, de mensagens ao mercado consumidor relativa a determinada marca ou prestador de serviço ou mesmo de produto, sendo tais influenciadores (celebridades, artistas e comunicadores digitais) recompensados por tal divulgação, porquanto emprestam seu nome e reputação ao produto.
Há, ainda o “marketing de relacionamento”, segundo a AMA, como sendo o relativo às estratégias e táticas de segmentação de consumidores para a fidelização, e, para tanto, aproveita-se de bancos de dados, publicidade comportamental e análise das informações e dos dados pessoais, permitindo, com precisão, que o fornecedor desenvolva produtos e fidelize o consumidor.
Como “marketing viral”, a AMA reconhece o fenômeno que “facilita e incentiva as pessoas a transmitir determinada mensagem publicitária”, adotando o termo viral exatamente porque o número de pessoas expostas a uma mensagem imita o processo de transmissão de um vírus ou doença entre os humanos.
De extrema atualidade, tem-se o “marketing verde” como o desenvolvido para a promoção de produtos presumidamente seguro em relação ao meio ambiente, atento ao processos de produção, promoção, embalagem e a recuperação dos produtos de forma sensível e responsivo às preocupações ecológicas.
Cabe referir o “marketing de guerrilha” como sendo a adoção de estratégias não convencionais e criativas na busca de resultados mediante o reduzido emprego de recursos[3], o “marketing de saída”, como sendo aquele em que o profissional de marketing inicia o contato com o cliente por meio de métodos como TV, rádio e painéis digitais, com o potencial de influenciar o mercado na opção por determinada marca, enquanto que o “marketing” de entrada ou o inbound, ocorre quando os clientes iniciam o contato com o profissional de marketing em resposta a vários métodos utilizados para chamar a atenção do consumidor, tais como e-mail, eventos, conteúdo e web-design, com o propósito de estabelecer o negócio como fonte de informações valiosas e de soluções para problemas, fomentando a fidelização do cliente[4].
Ainda, o “marketing de conteúdo” é aquela atividade que utiliza técnicas de criação e de distribuição de conteúdo relevante e consistente como potencial de atrair público claramente definido. São os “contadores de histórias”, profissionais da publicidade que geram aderência e vínculos emocionais com o consumidor[5], sendo que para o presente estudo adota a noção de produto como o conjunto de atributos “características, funções, benefícios e usos, capazes de troca ou uso, combinando formas tangíveis e intangíveis, porquanto o produto também pode ser uma ideia, podem ser bens físicos ou imateriais, ou, ainda, serviços, que também podem ser combinados, com o propósito milenar da troca na satisfação de objetivos individuais e coletivos.
Nessa esteira a conectividade atual integra ou representa o próprio modelo de negócios, porquanto permite o direcionamento da divulgação e da própria criação da necessidade de forma específica aos titulares dos dados pessoais conectados, ensejando negócios tanto no ambiente digital, pelo e-commerce, quanto físico, nas tradicionais “lojas de rua”. Percebe-se, também, desse cenário de direcionamento que o próprio ajuste entre as pessoas e/ou os grupos pode ser alvo para A realização de negócios, otimizando os resultados uma vez que quanto melhor o ajuste, maior será a taxa de recepção (conversão), ou seja, quanto mais eficaz a campanha de segmentação, maior será o retorno do investimento.
Para tanto, os mercadores, na condição de controladores de dados pessoais[6] utilizam vasta gama de critérios para a formação do perfil de consumidores, na condição de titulares de dados pessoais, em regra desenvolvidos pelo tratamento[7] de dados pessoais, no mais das vezes fornecidos ou compartilharam ativamente pelos titulares, observados ou inferidos, seja pelo provedor de mídia social ou por terceiros, e coletados (agregados) pela plataforma ou por outros atores para apoiar opções de direcionamento de anúncios.
Há, também, o exercício de funções adicionais fornecidas pelas mídias sociais as quais podem incluir, por exemplo, personalização, integração de aplicativos, plug-ins sociais, autenticação do usuário, análise e publicação.
Chama-se a atenção que as mensagens de marketing podem ser veiculadas de forma integrada a outras ofertas de serviços, além das plataformas de mídia social “tradicionais”, como plataformas de relacionamento, ou de jogos on line, nas quais os usuários estão inseridos com o objetivo de se relacionar, mas acabam expostos a ofertas de produtos.
Outrossim, riscos aos direitos e liberdades fundamentais dos titulares dos dados pessoais decorrem da combinação e da análise de dados originários de diferentes fontes, juntamente com a natureza potencialmente sensível, em muitos dos casos, dos dados pessoais tratados nas ações de marketing, decorrentes da falta de transparência e de controle pelo titular.
III- O Marketing e a autodeterminação informativa
Com efeito, a noção de privacidade, em comunhão com a proteção dos dados pessoais assume feições que se alteram à medida em que a sociedade evolui, bem como cresce a importância adquirida pela autodeterminação informativa, como reflexo da contemporaneidade social em que preponderam a comunicação em massa, a conexão em rede e a vigilância permanente, evoluindo conceitos e, pois, os meios pelos quais devem ser reconhecidos e protegidos pelo direito.
Não mais se trata de opção pelo isolamento, como na célebre definição de Warren e Brandeis[8] no sentido de que seria o direito de estar a sós (wright to be alone), mas conforma-se como direito à autodeterminação informativa, ou seja, conforme Stefano Rodotà, “a privacidade também passa a ser definida como “o direito de manter o controle sobre suas próprias informações e de determinar como a privacidade é alcançada e, em última instância, como o direito de escolher livremente o seu modo de vida” (tradução livre)”[9].
O sempre mestre Danilo Doneda leciona sobre o tema, fazendo referência à lei federal de dados da República Federal da Alemanha, de 1977 – Bundesdatenchutzgesetz, e ao célebre julgamento da corte constitucional alemã – Bundesverfassungsricht, acerca da chamada “Lei do Censo”[10], suspensa, em 1982, em razão do “sentimento generalizado de insegurança, aliado à impressão de que o governo poderia se valer dos dados obtidos – que, a princípio, serviriam a finalidades estatísticas – para realizar um controle capilar das atividades e da condição pessoal dos cidadãos”, julgado no qual a corte adotou a autodeterminação informativa “para designar o direito dos indivíduos de “decidirem por si próprios, quando e dentro de quais limites seus dados pessoais podem ser utilizados”[11].
Vale notar que a autodeterminação informativa, expressamente prevista na LGPD[12] já foi reconhecida como direito fundamental em precedente que antecedeu à própria vigência plena da LGPD e à inserção do direito fundamental à proteção dos dados pessoais no Texto Constitucional pela Emenda 115/2022, por ocasião do julgamento da Ação Declaratória de Inconstitucionalidade nº 6387-DF, relatada pela Ministra Rosa Weber, proposta pelo Conselho Federal da OAB contra o inteiro teor da Medida Provisória nº 954, de 17 de abril de 2020, que dispunha sobre “o compartilhamento de dados por empresas de telecomunicações prestadoras de Serviço Telefônico Fixo Comutado e de Serviço Móvel Pessoal com a Fundação Instituto Brasileiro de Geografia e Estatística, para fins de suporte à produção estatística oficial durante a situação de emergência de saúde pública de importância internacional decorrente do coronavírus (Covid19), de que trata a Lei nº 13.979, de 6 de fevereiro de 2020”, assim ementado[13]:
MEDIDA CAUTELAR EM AÇÃO DIRETA DE INCONSTITUCIONALIDADE. REFERENDO. MEDIDA PROVISÓRIA Nº 954/2020. EMERGÊNCIA DE SAÚDE PÚBLICA DE IMPORTÂNCIA INTERNACIONAL DECORRENTE DO NOVO CORONAVÍRUS (COVID-19). COMPARTILHAMENTO DE DADOS DOS USUÁRIOS DO SERVIÇO TELEFÔNICO FIXO COMUTADO E DO SERVIÇO MÓVEL PESSOAL, PELAS EMPRESAS PRESTADORAS, COM O INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. FUMUS BONI JURIS. PERICULUM IN MORA. DEFERIMENTO. 1. Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais. 2. Na medida em que relacionados à identificação – efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados. 3. O Regulamento Sanitário Internacional (RSI 2005) adotado no âmbito da Organização Mundial de Saúde exige, quando essencial o tratamento de dados pessoais para a avaliação e o manejo de um risco para a saúde pública, a garantia de que os dados pessoais manipulados sejam “adequados, relevantes e não excessivos em relação a esse propósito” e “conservados apenas pelo tempo necessário.” (artigo 45, § 2º, alíneas “b” e “d”). 4. Consideradas a necessidade, a adequação e a proporcionalidade da medida, não emerge da Medida Provisória nº 954/2020, nos moldes em que editada, interesse público legítimo no compartilhamento dos dados pessoais dos usuários dos serviços de telefonia. 5. Ao não definir apropriadamente como e para que serão utilizados os dados coletados, a MP nº 954/2020 desatende a garantia do devido processo legal (art. 5º, LIV, da CF), na dimensão substantiva, por não oferecer condições de avaliação quanto à sua adequação e necessidade, assim entendidas como a compatibilidade do tratamento com as finalidades informadas e sua limitação ao mínimo necessário para alcançar suas finalidades. 6. Ao não apresentar mecanismo técnico ou administrativo apto a proteger, de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na transmissão, seja no tratamento, o sigilo, a higidez e, quando o caso, o anonimato dos dados pessoais compartilhados, a MP nº 954/2020 descumpre as exigências que exsurgem do texto constitucional no tocante à efetiva proteção dos direitos fundamentais dos brasileiros. 7. Mostra-se excessiva a conservação de dados pessoais coletados, pelo ente público, por trinta dias após a decretação do fim da situação de emergência de saúde pública, tempo manifestamente excedente ao estritamente necessário para o atendimento da sua finalidade declarada. 8. Agrava a ausência de garantias de tratamento adequado e seguro dos dados compartilhados a circunstância de que, embora aprovada, ainda não vigora a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), definidora dos critérios para a responsabilização dos agentes por eventuais danos ocorridos em virtude do tratamento de dados pessoais. O fragilizado ambiente protetivo impõe cuidadoso escrutínio sobre medidas como a implementada na MP nº 954/2020. 9. O cenário de urgência decorrente da crise sanitária deflagrada pela pandemia global da COVID-19 e a necessidade de formulação de políticas públicas que demandam dados específicos para o desenho dos diversos quadros de enfrentamento não podem ser invocadas como pretextos para justificar investidas visando ao enfraquecimento de direitos e atropelo de garantias fundamentais consagradas na Constituição. 10. Fumus boni juris e periculum in mora demonstrados. Deferimento da medida cautelar para suspender a eficácia da Medida Provisória nº 954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel. 11. Medida cautelar referendada. Decisão por maioria.
Nessa senda, para a análise da conformidade das ações de marketing, em relação aos dados pessoais, tem-se que ter em mente os referidos filtros, em especial da autodeterminação informativa, como também da atenção aos princípios pertinentes e às bases legais que autorizem a pletora de tratamento de dados pessoais necessários às ações de marketing.
IV- Os agentes de tratamento:
A importância de identificar corretamente os papéis dos diversos agentes de tratamento dos dados pessoais é de extrema relevância para a verificação das responsabilidades por violações.
Isso porque é comum o reconhecimento da responsabilidade conjunta entre os profissionais de marketing, em alguns casos, os segmentadores e os provedores de mídia social, além dos próprios comerciantes
Isso porque as ações de marketing podem, ainda que de modo indireto ou mascarado, envolver dados pessoais sensíveis e dados pessoais de crianças e de adolescentes, os quais demandam ainda mais cautela para que sejam realizados em conformidade, o que já foi, também, reconhecido no âmbito da União Europeia pelo Grupo de Trabalho do art. 29[14].
Destarte, no que concerne ao marketing digital, há a presença de diferentes atores envolvidos no processo de segmentação.
V- Da Licitude do Tratamento de Dados Pessoais em Ações De Marketing
Todo tratamento de dados pessoais envolve, ao menos de forma potencial riscos aos titulares. Nessa esteira, importa reiterar que somente poderá ocorrer o tratamento para a finalidade de desenvolvimento de ações de marketing desde que o controlador demonstre dispor da competente autorização ou base legal que permita o tratamento, conforme se depreende dos arts. 7º e 11 da LGPD.
Isso porque o art. 6º da referida Lei indica a finalidade de forma expressa, com um dos princípios, consistindo na “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, no inciso I, bem como integra os demais princípios da adequação, da necessidade e da qualidade do tratamento.
É o que se depreende da leitura do inciso II, segundo o qual o princípio da adequação consiste na “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”, bem como o da necessidade refere-se à “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Ao comentar o princípio da finalidade, no âmbito do RGPD, Alexandre de Sousa Pinheiro e Carlos Jorge Gonçalves lecionam, em resumo[15]:
O princípio da finalidade postula que os titulares dos dados deverão ser alertados para os riscos, regras, garantias e direitos associados ao respetivo tratamento e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento.
E tal se aplica, por exemplo além da coleta, à própria armazenagem dos dados pessoais, o que abarca as bases legadas, as conhecidas “listas de e-mails” e de contatos telefônicos, muitas das vezes “adquiridas” em mercado ilícito, e que, portanto, contaminam todo ciclo de vida dos dados pessoais no âmbito da organização.
Outrossim, é essencial a transparência, como princípio exigido no inciso VI do art. 6º da LGPD para a “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade” e, como já visto, para o cumprimento da finalidade do tratamento”.
Conforme dito pelo professor português Alexandre Souza Pinheiro, citando Alexander Robnagel “sem transparência suficiente o titular dos dados é colocado numa situação de facto sem direitos”, bem como, na mesma obra, Souza Pinheiro refere que a transparência, nos termos do RGPD, mas, também em consonância com a LGPD, “está relacionada não com o acesso à informação, mas com a transmissão da informação de acordo com critérios de compreensibilidade, produzida em linguagem clara e simples (considerando 58), expressão já utilizada para o pedido de consentimento nos termos no nr. 2, do artigo 7º)[16].
Tais primados, ao lado dos demais inscritos no art. 6º da LGPD, como a boa-fé (objetiva) são pertinentes, também, para vedar que controladores, sob o pretexto de realização de ações de marketing, promovam, por exemplo, a criação de perfis para o direcionamento desautorizado de propagandas, por meio da inferência de interesses ou outras características, que o titular não havia divulgado ativamente, sob pena de ofensa ao direito fundamental, já referido, da autodeterminação informativa.
Outrossim, as empresas devem atentar à necessidade da implementação efetiva de medidas técnicas e organizacionais adequadas para garantir e demonstrar que o processamento é realizado de acordo com a LGPD, atentando à natureza, ao escopo, ao contexto e às finalidades do tratamento dos dados, atentando aos riscos aos titulares e aos direitos e liberdades desses.
Necessária a atenção, também, em relação aos dados pessoais tratados para fins de construção de perfis o que já mereceu atenção abordagem, já em 2010 na Opinião 2/2010 do WP29 a respeito da “publicidade comportamental online”, no sentido de que “existem duas abordagens principais para a construção de perfis de usuários: i) Perfis preditivos são estabelecidos por inferência de observar o comportamento individual e coletivo do usuário ao longo do tempo, particularmente monitorando páginas visitadas e anúncios visualizados ou clicados. ii) Perfis explícitos são criados a partir de dados pessoais que os próprios sujeitos de dados fornecem a um serviço web, como por meio do registro”[17].
Por exemplo, um provedor de mídia social ou um targeter pode inferir que um titular provavelmente estará interessado em um produto com base em seu comportamento de navegação na Web e/ou conexões de rede, ou, ainda, os dados pessoais fornecidos pelos usuários de mídia social podem ser usados pelo provedor de mídia social para desenvolver critérios, como se a empresa X vende sapatos masculinos e deseja promover a venda de sua coleção de inverno. Para sua campanha publicitária, com o público alvo de homens entre 30 e 45 anos, que compartilharam tais informações em perfis de redes sociais.
Tem-se, nesse caso, controladores conjuntos porquanto tanto a empresa fornecedora dos calçados quanto o prestador dos serviços de marketing que utilizou a tecnologia para a construção do perfil determinam as atividades e realizam-nas, o responsável pela construção do perfil e a vendedora, bem como caso se utilizem de provedor de mídia social para relatar ao segmentador sobre os resultados da campanha de segmentação. O controle conjunto, no entanto, não se estende às operações que envolvem o processamento de dados pessoais em outras etapas ocorridas antes da seleção dos critérios de segmentação relevantes ou após a conclusão do direcionamento e do relatório.
Note-se que, conforme orientação da EDPB, autoridade de proteção de dados da união europeia “a responsabilidade conjunta de vários atores pelo mesmo processamento não exige que cada um deles tenha acesso aos dados pessoais, porquanto o acesso real aos dados pessoais não é pré-requisito para a responsabilidade conjunta. A propósito dos agentes de tratamento, a ANPD, Autoridade Nacional de Proteção de Dados brasileira elaborou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado[18].
VI- Bases Legais pertinentes:
Como já referido, a licitude de qualquer tratamento de dados pessoais pressupõe a existência de autorização legal em um dos incisos dos artigos 7º e 11 da LGPD.
Vale lembrar, também, que não há hierarquia entre as bases legais, como já referenciado pela autoridade europeia em relação ao RGPD. Nessa senda, o controlador precisa garantir que a base legal selecionada corresponda à finalidade e ao contexto do tratamento que viabilize a ação de marketing.
Obviamente que o consentimento do titular autoriza, desde que dado nos exatos termos do art. 8º da LGPD, ou seja, “fornecido por escrito ou outro meio que demonstre a manifestação de vontade do titular”, também em necessária combinação com o art. 104 do Código Civil brasileiro que exige, para a validade do ato jurídico, que se tenha agente capaz, forma prescrita ou não devesa em lei, além da licitude do objeto.
Todavia, há hipótese em que se pode cogitar da utilização do legítimo interesse do controlador, especificado no artigo 10 da LGPD.
Nesse caso, afere-se, por exemplo, a necessidade da elaboração de prévio relatório de impacto à proteção de dados pessoais, conforme previsto no inciso XVII do art. 5º, e 10, § 3º, ambos da LGPD, que preveem:
Art. 5º (…)
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Art. 10 (…)
- 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
VI – Considerações sobre o e-mail marketing:
Dentre as diversas formas de marketing, notadamente no ambiente tecnológico, tem-se as comunicações diretas oriundas do controlador na condição de ofertante, com ênfase ao marketing de e-mail como parte relevante do universo de marketing online.
Todavia, em regra, essas ações, por envolverem o tratamento de dados pessoais são vedadas, como qualquer outra que não conte com a base legal pertinente, bastando, para tanto a leitura do caput do art. 7º da LGPD, no sentido de que “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:”
Observa-se que muito embora o consentimento receba destaque, seja pelos modos de sua obtenção ou os seus limites, é necessário ressaltar que não existe hierarquia em relação às demais autorizações legitimadoras para tratamento de dados.
Todavia, somente a avaliação circunstancial demonstra adequada base legal a ser sustentada como forma de viabilizar a garantia do atendimento dos interesses e direitos dos titulares.
Nessa esteira, comunicações eletrônicas são utilizadas pelos fornecedores em diversos formatos , como, por exemplo, correio eletrônico, mensagens SMS/MMS ou por chamadas telefônicas, por intermédio de aparelhos de chamada automática ou por intervenção humana.
Com efeito, o envio de uma comunicação eletrônica implica tratamento de dados pessoais antecedente, ao menos quanto aos dados de contato do destinatário.
Assim, o respeito aos princípios e aos demais preceitos da LGPD e a todo o sistema normativo do tratamento dos dados pessoais, notadamente a Constituição Federal, Marco Civil da Internet, Código de Proteção e Defesa do Consumidor, entre outros permite o necessário equilíbrio entre as salvaguardas específicas para evitar a intrusão na privacidade dos titulares por intermédio de comunicações eletrônicas não solicitadas para efeitos de marketing direto, ao mesmo tempo que se pretende viabilizar a atividade econômica, porquanto o desenvolvimento econômico, tecnológico e a inovação também são referidos, expressamente na LGPD como fundamentos, nos termos do inciso V do art. 2º.
Importa reforçar que esse encaixe de peças, referentes às atividades econômicas e a satisfação de necessidades dos próprios titulares dos dados pessoais, e a proteção que da qual este é credor, não deve ser meramente superficial e formal (burocrática), devendo os agentes de tratamento adotar todas as medidas de conformidade à LGPD mediante regular avaliação substantiva e profunda das operações de tratamento e do impacto que as tecnologias implicam no funcionamento das suas organizações e, no caso dos dados pessoais, dos riscos para os direitos e liberdades dos titulares.
Outrossim, as operações de marketing devem ser desenhadas, desde a sua conceção (privacy by design), de modo a garantir que os dados pessoais sejam objeto de tratamento lícito, leal e transparente em relação ao respetivo titular dos dados. Para tanto, o tratamento dos dados pessoais somente será lícito se o controlador adotar as medidas necessárias e puder evidenciar tais procedimentos, bem como esteja apto a garantir o efetivo exercício dos direitos dos titulares como o de oposição ao tratamento, revogação do consentimento, portabilidade, dentre outros, previstos no art 18 da LGPD.
VI- O Legítimo Interesse como base legal ao tratamento de dados pessoais no âmbito do marketing.
Questão ainda não resolvida de forma harmônica pelos ordenamentos jurídicos, o legítimo interesse, ao lado do consentimento, caso esgrimido como base legal, deverá, necessariamente, ser realizado em conformidade com os preceitos já referidos, notadamente no art. 10 da LGPD, em que não for viável o consentimento.
Isso porque os dois fundamentos não são alternativos ou dependentes da “escolha” arbitrária do controlador, como bem referido pela Autoridade de Dados Pessoais de Portugal, CNPD, na Diretriz 2022/1[19], no sentido de que “se já existe uma relação de clientela, o fundamento é diferente em função do conteúdo promocional; assim, (i)Se o marketing respeita a produtos ou serviços análogos aos adquiridos anteriormente pelo cliente, não é necessário o seu consentimento; (ii)Se o marketing respeita a produtos ou serviços diferentes dos adquiridos anteriormente pelo cliente, depende do consentimento prévio e expresso do cliente; b.Se não existe uma relação jurídica prévia entre o responsável e o destinatário, apenas com o consentimento prévio e expresso do titular dos dados”. Bem assim, “tendo o legislador da União Europeia ponderado em abstrato os diferentes interesses em presença, parece ter presumido que, quanto aos produtos e serviços iguais ou similares aos já adquiridos pelo cliente, é também do interesse do cliente conhecer as promoções ou novos produtos ou serviços similares ou, pelo menos, que ele terá a expectativa razoável de receber promoções sobre tais bens ou serviços”, sendo que “não obstante, deverá ser providenciada ao cliente a possibilidade de recusar, fácil e gratuitamente, a utilização dos seus dados para o efeito, quer no momento da respetiva recolha, quer por ocasião de cada mensagem enviada, devendo a identidade e o meio de contacto do fornecedor estar explícitos em cada mensagem”. Portanto, na ausência de uma relação jurídica entre responsável pelo tratamento e destinatário da comunicação, ou existindo esta, quando a ação promocional incida sobre produtos ou serviços diferentes dos transacionados com o cliente, as comunicações eletrônicas de marketing direto só poderão ocorrer mediante consentimento prévio do titular dos dados.
VIII- Conclusão:
Pelo fio do exposto, tem-se que as atividades de marketing devem, necessariamente estar em conformidade com o disposto na LGPD e demais normas, com a demonstração, pelos agentes de tratamento, de que atentaram aos preceitos normativos, mediante indicação precisa da base legal, notadamente o consentimento, ou, em raros casos, o legítimo interesse, alpém da adoção de medidas que viabilizem o exercício dos direitos pelos titulares, grafados no art. 18 da LGPD, o que ocorrem em face da multiplicação de oportunidades de contato e, pois, de intrusão na esfera jurídica dos dados pessoais dos titulares.
Para tanto, se existente uma relação jurídica prévia e, se o marketing respeita a produtos ou serviços análogos aos anteriormente negociados pelas partes, não é necessário novo consentimento, havendo, portanto, interesse legítimo a autorizar o tratamento dos dados pessoais, o que, contudo, não afasta a obrigatoriedade de que seja garantido o direito de oposição, pelo titular evidenciado em cada mensagem enviada. Na mesma senda, se o marketing respeita a produtos ou serviços diferentes dos adquiridos anteriormente pelo titular dos dados pessoais, será necessário o consentimento prévio e expresso do titular, sendo que o controlador deve efetiva correta gestão do consentimento uma vez que o ônus da prova desse consentimento, bem como das condições em que fornecido, além de que fora garantido o direito de oposição, é do controlador, bem como de que não foram exigidos como condição de acesso a websites ou de participação em determinadas atividades (v.g., passatempos, visionamento de conteúdos), além de que , quando invocado o legítimo interesse do controlador, deverá, ainda mais ser garantido o exercício do direito de oposição ao tratamento, como forma de garantia do direito fundamental à proteção dos dados pessoais, grafado no inciso LXXIX, e à autodeterminação informativa, assim reconhecida pelo egrégio STF.
Bibliografia:
DONEDA, Danilo, Da Privacidade à Proteção de Dados Pessoais. Ed. RT, versão eletrônica, 2020.
RODOTÀ, Stefano. In diritto di avere . Roma: Laterza, 2012.
PINHEIRO, Souza, Alexandre e Carlos Jorge Gonçalves, em Comentário ao Regulamento Geral de Proteção de Dados, ed. Almedina, Lisboa .
WARREN e BRANDEIS, 1890, P. 196, disponível em https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf, acessado em 18 de outubro de 2022, às 18h40min.
[1] Mestre em Direito pela FMP/RS, assessor do MP/RS, professor de disciplinas relativas à LGPD na LLM LGPD & GDPR da FMP/RS, na especialização em Direito Digital da UniRitter, professor convidado da Escola Superior da Magistratura do RS – AJURIS, advogado licenciado da OAB/RS, consultor da DPOfficer brazil em mais de 30 projetos de adequação de empresas e associações à LGPD.
[2] https://www.ama.org/the-definition-of-marketing-what-is-marketing/, acessado em 17 de outubro de 2022, às 19h43min.
[3] Idem.
[4] Idem.
[5] Idem.
[6] Brasil, Lei Federal 13.709/2018, art. 5º,
[7] Idem, art. 5º (tratamento).
[8] WARREN e BRANDEIS, 1890, P. 196, disponível em https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf, acessado em 18 de outubro de 2022, às 18h40min.
[9] RODOTÀ, Stefano. In diritto di avere . Roma: Laterza, 2012, p. 321.
[10] BUNDESVERFASSUNGSGERICHT (BVerfG). Zitiervorschlag: BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983 – 1 BvR 209/83 -, Rn. 1-215. Disponível em: http://www.bverfg.de/e/rs19831215_1bvr020983.html. Acesso em: 16 out. 2021.
[11] DONEDA, Danilo, Da Privacidade à Proteção de Dados Pessoais. Ed. RT, versão eletrônica, 2020.
[12] A LGPD trata como um dos fundamentos da disciplina da proteção de dados pessoais no art. 2º, inciso II.
[13] Inteiro teor disponível em https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629, acessado em 16 de outubro de 2020, às 22h45min.
[14] A propósito: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-03-13-statement-on- elections_en.pdf ; https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/07/findings- recommendations-and-actions-from-ico-investigation-into-data-analytics-in-political-campaigns/ ; https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance- 638_en.pdf; https://www.personuvernd.is/information-in-english/greinar/nr/2880
[15] PINHEIRO, Souza, Alexandre e Carlos Jorge Gonçalves, em Comentário ao Regulamento Geral de Proteção de Dados, ed. Almedina, Lisboa, p. 209.
[16] Idem, p. 341.
[17]In its Opinion 2/2010 on online behavioural advertising the WP29 noted that “there are two main approaches to building user profiles: i) Predictive profiles are established by inference from observing individual and collective user behaviour over time, particularly by monitoring visited pages and ads viewed or clicked on. ii) Explicit profiles are created from personal data that data subjects themselves provide to a web service, such as by registering” (Article 29 Data Protection Working Party, Opinion 2/2010 on online behavioural advertising, WP 171, p. 7), referido em https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202008_onthetargetingofsocialmediausers_en.pdf.
[18] Disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf , acessado em 19 de outubro de 2022, às 21h32min.
[19] file:///C:/Users/Lenovo/Downloads/Diretriz_CNPD_2022_1_20220125%20(1).pdf
