MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. LGPD não veda o enriquecimento de bases de dados pessoais

LGPD não veda o enriquecimento de bases de dados pessoais

Mariana Sbaite Gonçalves title=Mariana Sbaite Gonçalves e Paulo Henrique Atta Sarmento

Apesar de não haver tratamento específico, a ocorrência do enriquecimento de bases deve ser sempre justificada nos demais artigos da LGPD visando sempre assegurar transparência aos titulares dos dados e a boa gestão.

sexta-feira, 30 de julho de 2021

Atualizado às 08:42

 (Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

Não é novidade que o enriquecimento de bases de dados é um tema complexo. Todavia, para quem atua nos segmentos de cobrança e contact center, por exemplo, compreendê-lo é essencial, a fim de evitar prejuízos futuros.

De forma simplificada, o enriquecimento de bases consiste na captação de informações que o captador ainda não tem em sua base com o objetivo de complementar um banco de dados existente. Cita-se como exemplo, quem já tem o nome e o telefone de um cliente, mas precisa também do seu e-mail para enviar propagandas, e busca um serviço para obter este dado.

Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18, todo tratamento de dado pessoal precisará seguir determinadas regras, no entanto, a própria Lei não menciona um artigo específico sobre este tema. O mesmo ocorre no caso da legislação de proteção de dados pessoais em vigor na Europa - GDPR (General Data Protection Regulation).

Apesar de não haver tratamento específico, a ocorrência do enriquecimento de bases deve ser sempre justificada nos demais artigos da LGPD visando sempre assegurar transparência aos titulares dos dados e a boa gestão.

Com o intuito de fazer um estudo comparativo apresenta-se tabela abaixo, demonstrando ambas as legislações de forma comparativa:

LGPD

  • Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
  • I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
  • I - confirmação da existência de tratamento;
  • II - acesso aos dados;
  • III - correção de dados incompletos, inexatos ou desatualizados;
  • IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
  • VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

GDPR

  • Artigo 5º 1. Os dados pessoais são:
  • b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins 
  • c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
  • c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
  • d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);
  • Artigo 15º 1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
  • Artigo 16º O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
  • Artigo 13º (2). Para além das informações referidas no nº 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:
  • b) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
  • d) Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea a), ou no artigo 9º, nº 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

Com base na comparação acima, tanto na legislação pátria quanto na estrangeira, o tratamento dos dados pessoais coletados deve sempre guardar respeito para com a finalidade que este foi coletado e, caso haja alteração da referida finalidade, esta deve possuir correlação com a inicialmente adotada, bem como o titular de dados deve ser informado a respeito desta alteração, evitando, assim, qualquer tipo de violações à lei brasileira.

Além disso, para manter uma base de dados e enriquecê-la constantemente, há a necessidade de que essa atividade consiga ser justificada por uma das 10 hipóteses de tratamento elencadas pela Lei Geral de Proteção de Dados Pessoais. Uma ilustração interessante, é o Código de Práticas Leais para a Informação, de 1973, que trazia como princípio "Não devem existir bancos de dados pessoais que sejam secretos". E, também: "Toda entidade que utilize dados pessoais deve garantir sua qualidade e segurança". Ou seja: nada impede o aumento de capacidade ou informações de um banco de dados pessoais, no entanto, há a necessidade de transparência sobre o referido enriquecimento.

É salutar entender que, ao criar um banco de dados, há uma maior exposição e facilitação de acessos à dados pessoais, podendo sim, comprometer a privacidade alheia e tirar o controle do titular sobre seus próprios dados pessoais, caminhando, dessa forma, de encontro ao disposto no artigo 5º, inciso X, da Carta Magna de 1988: "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação".

É notório que, mesmo com toda a evolução tecnológica e a chamada Sociedade da Informação, as leis de proteção de dados e privacidade vigentes objetivam permitir que as pessoas tenham autonomia sobre seus dados pessoais. E para isso, aculturar as organizações e utilizar medidas de segurança são caminhos extremamente relevantes.

Para possibilitar o enriquecimento de bases, devemos considerar dois pontos principais: primeiro, que o tratamento cumpra a finalidade informada ao titular, e segundo, que a rastreabilidade dos dados seja possível. Ou seja, nada impede a utilização dos dados, desde que haja uma proporcionalidade, ou seja, que os dados coletados e armazenados sejam usados de acordo com as finalidades informadas e obedecendo à lei. No que tange ao rastreio, é necessário saber de onde veio o dado, qual sua origem e por qual motivo ele consta naquela base de dados.

E, a comparação feita anteriormente, direciona para esses caminhos: respeito aos princípios, clareza e objetividade com os titulares, gestão organizada de dados, estruturação interna, dentre outras ações, ilustram este cenário. Ainda, é salutar conhecer o tamanho da base de dados, aplicar a higienização de forma correta e sempre considerar o princípio da minimização dos dados, ou seja, coletar apenas o que for estritamente necessário para o cumprimento da finalidade informada aos titulares, sem que ocorra qualquer tipo de desvio.

Importante salientar que, a LGPD não veda o enriquecimento de bases externo, desde que haja rastreabilidade dos dados, cumprimento da finalidade e respeito aos direitos fundamentais dos titulares. Quanto à distribuição dos contatos adquiridos em base externa, deve ser informado ao titular a finalidade do tratamento e respeitada pela organização que enriquecerá o banco e, para tanto, deve ser garantida que a aquisição da base seja de fonte segura e confiável.

Mariana Sbaite Gonçalves

VIP Mariana Sbaite Gonçalves

Advogada e sócia da Lee, Brock, Camargo Advogados (LBCA).

Paulo Henrique Atta Sarmento

Paulo Henrique Atta Sarmento

Advogado e sócio da Lee, Brock, Camargo Advogados (LBCA).

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca