LGPD e os limites da publicidade bancária

Embora existam rumores da prorrogação da vacatio legis da Lei Geral de Proteção de Dados a menos de 6 meses de sua entrada em vigor, nesta data, é preciso se preparar para que no dia 16 de agosto de 2020, sua organização esteja em conformidade com a LGPD, implementando medidas de segurança e boas práticas para o tratamento de dados pessoais.

Dadas as considerações iniciais, uma fintech roxinha e querida por muitos, inovou ao realizar ações de marketing, que foram no mínimo questionáveis em tempos de discussões sobre a privacidade e proteção de dados pessoais.

A empresa simplesmente resolveu enviar cartas escritas a mão para pessoas que não possuíam qualquer relação com ela, convidando-as a abrirem conta junto de seu aplicativo e afirmando que tomaram tal atitude por não tratar "ninguém como número, e sim como pessoa".

Diante deste cenário, a pergunta que resta é: onde foi possível encontrar o endereço e a identificação pessoal de indivíduos com quem nunca mantiveram qualquer vínculo?

A resposta ao público foi dada pela própria fintech, a qual assumiu que obteve tais dados em uma parceria realizada junto ao "Boavista SCPC", empresa que presta serviços de proteção ao crédito, justificando que as bases de dados não possuem informações bancárias ou mesmo possam comprometer o score de crédito. 

Muitos dos consumidores sequer sabiam da existência de seu cadastro junto da instituição de proteção ao crédito e, embora a LC 166/19 tenha alterado a lei 12.414/11 tornando a abertura de cadastros positivos obrigatória, antes de mais nada, o art. 43, §3º do Código de Defesa do Consumidor (lei 8.078/90) dispõe que:

§2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

E a própria Lei do cadastro Positivo (lei 12.414/11) faz previsão que de que quando da abertura do cadastro, deve ocorrer a comunicação ao cadastrado em até 30 dias:

Art. 4º, §4º: A comunicação ao cadastrado deve:

I - ocorrer em até 30 (trinta) dias após a abertura do cadastro no banco de dados, sem custo para o cadastrado;

Logo, além do dever de informar o titular da abertura de seu cadastro junto aos órgãos de proteção ao crédito, também não nos parece que a consulta realizada pela fintech foi realizada de forma correta, vez que extrapolou os limites legais estabelecidos no art. 7º da Lei do Cadastro Positivo, já que seu único objetivo foi de angariar novos clientes.

Art. 7º As informações disponibilizadas nos bancos de dados somente poderão ser utilizadas para:

I - realização de análise de risco de crédito do cadastrado; ou

II - subsidiar a concessão ou extensão de crédito e a realização de venda a prazo ou outras transações comerciais e empresariais que impliquem risco financeiro ao consulente.

Mas quem pode garantir? E ainda que assim o fosse (não houvesse compartilhamento de informações bancárias ou que pudessem comprometer o score de crédito das pessoas), a prática se justificaria com a vigência tão próxima (e, ao mesmo tempo, tão distante) da Lei Geral de Proteção de Dados?

 Inicialmente, com a entrada em vigor da LGPD, qualquer operação realizada com dados pessoais durante seu ciclo de vida deverá observá-la, sendo assim entendidas como a "coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º, X).

Além do mais, seus dados somente poderão ser tratados em uma das bases legais previstas no art. 7º, quando se tratem de dados pessoais simples, ou em uma das bases legais previstas no art. 11, se for o caso de dados pessoais sensíveis e, ainda, será preciso observar os princípios para o tratamento dos dados pessoais (art. 6º).

No caso em comento, o consentimento do titular dos dados é a única base legal em que se poderia apoiar o tratamento de dados das ações de marketing levadas a cabo para angariar novos clientes, não havendo como se cogitar o seu enquadramento na proteção ao crédito, em razão da natureza do serviço prestado com a base de dados.

A análise da base legal para tratamento de dados deve ser realizada em consonância com a intenção que deles a empresa espera extrair. Posto isso, fica nítido que a proteção ao crédito não era o objetivo da Fintech, até porque sequer possuía relação com o titular dos dados a justificar tal intento, mas sim o desenvolvimento de ações de marketing para a captação de clientela.

Mas não se trata apenas do consentimento informado do titular, como as empresas costumam realizar hoje em dia, mas sim a manifestação livre, informada e inequívoca de vontade para que o controlador realize o processamento para aquela finalidade específica.

Também em razão da natureza da atividade da Boa Vista SCPC, não se pode afirmar que a fintech realizou atitude discriminatória selecionando e enviando as cartas apenas para aqueles que possuíam maior Score de crédito, e consequentemente, poderiam parecer melhores opções de clientes.

Afinal, a publicidade foi direcionada a determinados consumidores que não deram seu consentimento para que fosse enviada e sequer esperavam recebe-la.

Nas palavras de Bruno Bioni¹ a publicidade direcionada "[...] segmentada se foca no aspecto subjetivo, isto é, no próprio público-alvo do bem ofertado. Não importa propriamente o conteúdo do ambiente em que será direcionada a publicidade, mas o público que a ele tem acesso".

Dentre os princípios trazidos pela LGPD no art. 6º, destaca-se os Princípios da Transparência, Finalidade, Adequação e Necessidade, tendo em vista que o controlador deve fornecer informações claras, precisas e facilmente acessíveis para o titular dos dados, limitando a coleta apenas aos dados necessários e compatibilizando o tratamento com a finalidade específica que autorizou o titular, sem possiblidade de tratamento posterior.

Por enquanto no Brasil, apenas se ouve falar sobre a implementação do "Open banking", caso em que se já estivesse em funcionamento, poderiam tentar levantar a longínqua hipótese sobre o tratamento ter sido realizado com base no legítimo interesse, que padece de regulação, e não parecer ser a melhor opção a fim de evitar possíveis punições.

Em se tratando das sanções administrativas previstas no caso incidentes relacionados a dados pessoais tratados em desconformidade com a LGPD, a que nos parece ser a menor ofensiva, pelo menos em termos de reputação, estão a de receber uma simples advertência e até mesmo as multas nos valores de 2% do faturamento global da empresa, limitada a 50 milhões de reais, por infração.

Deve-se buscar ao máximo a conformidade com a LGPD, pois, passando a vigorar, ao nosso ver, poderá ocorrer sérios danos a reputação dos controladores que se encontrem em desconformidade já que uma das sanções é a de publicização da infração cometida, que pode acarretar no desprestigio da marca perante seus consumidores.

Como hoje não há uma Lei de Proteção de Dados em vigor no País, resta nos mantermos vigilantes com relação a nossos dados e cobrar explicações em casos parecidos como este, na medida em que nossos representantes presentes em Brasília deixam a desejar na tentativa de prorrogar, mais uma vez, a entrada em vigor da LGPD.

_____________

1 BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2020, p. 15.

___________________________________________________________________________

*Lucas Grandini Arthuso é advogado, sócio do escritório Arthuso & Moraes Advocacia.

*Gabriel Oliveira Pires de Moraes é advogado, sócio do escritório Arthuso & Moraes Advocacia.