A comercialização de banco de dados para fins de marketing sob a óptica da LGPD

A venda de banco de dados é uma área lucrativa tanto quanto é polêmica. Muitas pessoas se sentem incomodas ao serem abordadas frequentemente por empresas desconhecidas oferecendo produtos ou serviços. Por outro lado, há empresas especializadas em coletar e organizar informações pessoais para vender a outras empresas com a finalidade de construir banco de dados para fins de marketing.

Contudo, com o advento da Lei Geral de Proteção de Dados foram estabelecidas diretrizes para o tratamento de dados pessoais que devem ser analisadas para a validação ou não da venda de banco de dados.

A LGPD é uma lei que, comparada ao Código de Defesa do Consumidor, também confere protagonismo à pessoa física como cidadã, dando maior poder de escolha para decidir se seus dados serão tratados, tanto em meios físicos, quanto digitais.

A existência da LGPD tem como motivos: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão; informação; a inviolabilidade da intimidade, honra e da imagem, dentre outros.

Com a finalidade de respeitar os motivos da sua existência e garantir a efetiva proteção de Dados, a LGPD determina no seu art. 6º os princípios que devem ser observados para que ocorra a atividade de tratamento de dados pessoais.

Desta forma, para o tratamento de dados pessoais, deverão ser atendido os seguintes requisitos: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência; segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Além disso, para o tratamento de dados pessoais, deve-se levar em conta as bases legais elencadas nos arts. 7º e 11 da LGPD: Consentimento, cumprimento da obrigação legal, execução de políticas públicas, estudos por órgão de pesquisa, execução de contrato/diligências pré-contratuais, exercício regular de direitos, proteção da vida, tutela da saúde, interesses legítimos do controlador/terceiro e proteção ao crédito.

Imprescindível ressaltar que para estar em conformidade com a LGPD é necessário atender todos os princípios estabelecidos em seu art. 6º e ainda fundamentar o tratamento de dados em uma das bases legais, previstas nos arts. 7º e 11 da Lei.

A base legal adequada para o uso e comercialização de bancos de dados pessoais para fins de marketing ainda é causa de divergência de opiniões, existindo duas correntes de entendimento: a comercialização destes dados respaldado na base legal do consentimento e a comercialização dos dados fundamentado na base legal do interesse legítimo do controlador ou de terceiros, definidos, desta forma, pela LGPD:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - Mediante o fornecimento de consentimento pelo titular;

[...]

IX - Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

A utilização da primeira base mencionada é autoexplicativa: O consentimento expresso do titular ou seu representante legal, com este tendo total ciência de como se dará o tratamento, quais serão as finalidades e a informação sobre seus direitos, como a revogação deste consentimento.

Diante desta base legal, os titulares dos dados devem especificadamente consentir para que a empresa comercialize as suas informações para outras empresas para fins de marketing.

A utilização da segunda base legal, o legitimo interesse apoia-se no fundamento que a comercialização do banco de dados ocorre para atender o legitimo interesse do controlador e de terceiros que utilizarão os dados para apoiar e promover as suas atividades.

Para a utilização da base legal do legitimo interesse, é necessário que um Teste Multifatorial de Avaliação do Legítimo Interesse (LIA), devendo ser cumpridas quatro etapas para que esta base legal possa ser utilizada de forma lícita: finalidade legítima no interesse do controlador; observância do princípio da necessidade; um teste de proporcionalidade, onde se verifica se o novo uso atribuído ao dados se encontra dentro das legítimas expectativas de seu titular, se o uso era esperado e o impacto em suas vidas, por fim, o dever (e princípio) de transparência deve ser devidamente cumprido, com a clara informação aos titulares sobre o tratamento dos dados.

As críticas quanto a utilização da base legal do legitimo interesse para a comercialização do banco de dados são muitas e a maior parte da doutrina não entende que seja a base legal adequada.

Dentre as críticas, as principais são que as empresas que comercializam banco de dados normalmente não possuem uma Política de Privacidade clara, não informando aos titulares que suas informações são comercializadas para outras empresas.

Ainda, o entendimento é que a comercialização não estaria dentro das legítimas expectativas do titular devido o compartilhamento com empresas estranhas do seu relacionamento para utilizarem para seu marketing. Ademais, defendem que a comercialização de um compilado de informações cadastrais de uma pessoa ofende os seus direitos e liberdades fundamentais se realizadas sem o consentimento deste.

Assim, majoritariamente conclui-se pela impossibilidade do uso do legítimo interesse para a comercialização do banco de dados, por não cumprir os requisitos do Teste Multifatorial de Avaliação do Legítimo Interesse (LIA), pelos motivos acima expostos.

Neste sentido, entendeu juízo do Distrito Federal em uma Ação Civil Pública movida pelo MPDF, por sua Unidade de Proteção de Dados e Inteligência Artificial - Espec - em face da empresa Serasa Experian S.A¹.

O MPDF argumentou em sua tese inicial sobre a identificação da comercialização maciça de dados pessoais brasileiros por meios dos serviços "Lista Online e "Prospecção de Clientes", fato esse que chamou de "grande incidente de segurança monetizável", ou seja, lucro sobre um vazamento de dados. Por fim, requisitou a suspensão da comercialização de dados pessoais dos titulares, sob pena de culminação de multa diária.

O Serasa argumentou, em sede de contestação, que o serviço está em vigor por anos sem quaisquer reclamações de consumidores e encontra-se em sintonia com dispositivos legais. Por fim, utilizou-se da tese de que o banco de dados que comercializa tem como base legal o legítimo interesse do controlador ou de terceiros (aqui entrariam as empresas que contratam esse serviço de banco de dados) com finalidade de marketing.

Por fim, após calorosas discussões sobre qual base legal seria mais adequada para tal serviço, decidiu o juízo, na sentença, que deve ser respeitada a legítima expectativa do titular de dados, os direitos e liberdades fundamentais e que o tratamento deve ocorrer com transparência, ressaltou que o tratamento e a comercialização dos referidos dados exigiria o consentimento claro e expresso do indivíduo, condição para viabilizar o fluxo informacional realizado, com caráter manifestamente econômico, cita-se parte da sentença proferida pelo Juiz de Direito Substituto José Rodrigues Chaveiro Filho:

"É exatamente por meio do consentimento inequívoco que o titular dos dados consegue controlar o nível de proteção e os fluxos de seus dados, permitindo ou não que suas informações sejam processadas, utilizadas e/ou repassadas a terceiros".

Em sede de recurso, foi mantida a decisão do juízo a quo, reforçando a necessidade de consentimento específico e determinando a suspensão da comercialização de dados pessoais sem o consentimento dos titulares, sob pena de multa.

Contudo, com entendimento divergente, em recente decisão proferida pelo Tribunal de Justiça do Estado de Santa Catarina², que também teve como réu o Serasa Experian, também tratando sobre a "Lista online" e "Prospecção de clientes",  diferenciando apenas a autora, que era pessoa física e encontrava-se irresignada com a venda de seus dados pessoais, requerendo danos morais e trazendo, ainda, que a venda de dados sigilosos sem consentimento do titular e promoção de score positivo para assinantes seria um tipo de venda casada. Seu pleito foi indeferido, com o juízo a quo entendendo pela inexistência de ato ilícito, inexistindo assim, dano moral a ser reparado. 

Em sede de recurso, o Relator Desembargador José Agenor de Aragão negou o provimento da autora, ora recorrente, visto não existir comprovação dos prejuízos concretos com o cadastro mantido pelo Serasa S.A, entendendo também que tal tratamento não fere de alguma forma o que preconiza o art. 5º, X da Constituição Federal, que trata sobre a inviolabilidade da intimidade, vida privada, honra e imagem das pessoas.

Contudo, cumpre assinalar que apesar do julgado ser de abril de 2022, nada citou a respeito da Lei Geral de Proteção de Dados Pessoais, os direitos do titular de dados e/ou qualquer princípio inerente ao tratamento destes dados ou bases legais existentes para que referido tratamento aconteça.

Ao analisar ambos julgados, podemos observar-se que, caso o Tribunal leve em consideração o que preconiza a LGPD de forma conjunta com demais leis, constitucionais ou infraconstitucionais, o tratamento destes dados deve ser feito de forma mais garantista ao titular.

Importante ainda destacar o despacho 25/22, publicado dia 18/7/22, emitido pelo órgão Ministério da Justiça e Segurança Pública/Secretaria Nacional do Consumidor/Departamento de Proteção e de Defesa do Consumidor determinando a suspenção dos serviços do telemarketing ativo abusivo em todo o Território Nacional, entendendo como abusivo aqueles que contatam uma pessoa para ofertar serviços ou produtos sem o prévio consentimento do consumidor. Verifica-se que, o entendimento do Departamento de Proteção e de Defesa do Consumidor é que para ser legitimo o contato por telefone com o consumidor, é necessário o seu expresso consentimento.

Sendo assim, observa-se que a comercialização de banco de dados para a finalidade de marketing é uma situação delicada, sendo o mais adequado a ciência e consentimento dos titulares de forma clara e inequívoca para a venda dos dados a terceiros.

Diante do exposto, quais cuidados uma empresa deve ter ao adquirir banco de dados de terceiros?

Nestes casos, será necessário verificar e registar quem forneceu os dados, firmar contratualmente a garantia da empresa fornecedora que somente compartilhará dados obtidos de forma lícita e com o consentimento dos titulares para o compartilhamento daquelas informações. Ainda, importante observar a minimização dos dados, para que sejam fornecidos apenas as informações estritamente necessárias para cumprir a finalidade de marketing.

Em que pese os obstáculos para continuar com a comercialização de banco de dados e a promoção das atividades para captação de clientes, importante a conscientização de que é direito fundamental a privacidade e proteção dos dados pessoais, devendo ser escolha dos titulares o poder de controlar se gostaria de fazer parte das listas de prospecção e ter controle de quais dados são tratados e para quais empresas estão sendo compartilhadas as suas informações pessoais.