Não é novidade que o enriquecimento de bases de dados é um tema complexo. Todavia, para quem atua nos segmentos de cobrança e contact center, por exemplo, compreendê-lo é essencial, a fim de evitar prejuízos futuros.
De forma simplificada, o enriquecimento de bases consiste na captação de informações que o captador ainda não tem em sua base com o objetivo de complementar um banco de dados existente. Cita-se como exemplo, quem já tem o nome e o telefone de um cliente, mas precisa também do seu e-mail para enviar propagandas, e busca um serviço para obter este dado.
Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18, todo tratamento de dado pessoal precisará seguir determinadas regras, no entanto, a própria Lei não menciona um artigo específico sobre este tema. O mesmo ocorre no caso da legislação de proteção de dados pessoais em vigor na Europa - GDPR (General Data Protection Regulation).
Apesar de não haver tratamento específico, a ocorrência do enriquecimento de bases deve ser sempre justificada nos demais artigos da LGPD visando sempre assegurar transparência aos titulares dos dados e a boa gestão.
Com o intuito de fazer um estudo comparativo apresenta-se tabela abaixo, demonstrando ambas as legislações de forma comparativa:
LGPD
- Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
- I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
- I - confirmação da existência de tratamento;
- II - acesso aos dados;
- III - correção de dados incompletos, inexatos ou desatualizados;
- IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
- VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
GDPR
- Artigo 5º 1. Os dados pessoais são:
- b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins
- c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
- c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
- d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);
- Artigo 15º 1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
- Artigo 16º O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
- Artigo 13º (2). Para além das informações referidas no nº 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:
- b) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
- d) Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea a), ou no artigo 9º, nº 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
Com base na comparação acima, tanto na legislação pátria quanto na estrangeira, o tratamento dos dados pessoais coletados deve sempre guardar respeito para com a finalidade que este foi coletado e, caso haja alteração da referida finalidade, esta deve possuir correlação com a inicialmente adotada, bem como o titular de dados deve ser informado a respeito desta alteração, evitando, assim, qualquer tipo de violações à lei brasileira.
Além disso, para manter uma base de dados e enriquecê-la constantemente, há a necessidade de que essa atividade consiga ser justificada por uma das 10 hipóteses de tratamento elencadas pela Lei Geral de Proteção de Dados Pessoais. Uma ilustração interessante, é o Código de Práticas Leais para a Informação, de 1973, que trazia como princípio "Não devem existir bancos de dados pessoais que sejam secretos". E, também: "Toda entidade que utilize dados pessoais deve garantir sua qualidade e segurança". Ou seja: nada impede o aumento de capacidade ou informações de um banco de dados pessoais, no entanto, há a necessidade de transparência sobre o referido enriquecimento.
É salutar entender que, ao criar um banco de dados, há uma maior exposição e facilitação de acessos à dados pessoais, podendo sim, comprometer a privacidade alheia e tirar o controle do titular sobre seus próprios dados pessoais, caminhando, dessa forma, de encontro ao disposto no artigo 5º, inciso X, da Carta Magna de 1988: "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação".
É notório que, mesmo com toda a evolução tecnológica e a chamada Sociedade da Informação, as leis de proteção de dados e privacidade vigentes objetivam permitir que as pessoas tenham autonomia sobre seus dados pessoais. E para isso, aculturar as organizações e utilizar medidas de segurança são caminhos extremamente relevantes.
Para possibilitar o enriquecimento de bases, devemos considerar dois pontos principais: primeiro, que o tratamento cumpra a finalidade informada ao titular, e segundo, que a rastreabilidade dos dados seja possível. Ou seja, nada impede a utilização dos dados, desde que haja uma proporcionalidade, ou seja, que os dados coletados e armazenados sejam usados de acordo com as finalidades informadas e obedecendo à lei. No que tange ao rastreio, é necessário saber de onde veio o dado, qual sua origem e por qual motivo ele consta naquela base de dados.
E, a comparação feita anteriormente, direciona para esses caminhos: respeito aos princípios, clareza e objetividade com os titulares, gestão organizada de dados, estruturação interna, dentre outras ações, ilustram este cenário. Ainda, é salutar conhecer o tamanho da base de dados, aplicar a higienização de forma correta e sempre considerar o princípio da minimização dos dados, ou seja, coletar apenas o que for estritamente necessário para o cumprimento da finalidade informada aos titulares, sem que ocorra qualquer tipo de desvio.
Importante salientar que, a LGPD não veda o enriquecimento de bases externo, desde que haja rastreabilidade dos dados, cumprimento da finalidade e respeito aos direitos fundamentais dos titulares. Quanto à distribuição dos contatos adquiridos em base externa, deve ser informado ao titular a finalidade do tratamento e respeitada pela organização que enriquecerá o banco e, para tanto, deve ser garantida que a aquisição da base seja de fonte segura e confiável.