Enriquecer base da dados para efeito de marketing e cumprimento da LGPD
27 de agosto de 2022, 6h02
Enriquecer bases de dados não é proibido, desde que seja feito de forma legítima, ou seja, tendo uma base legal que permita esse tratamento de dados. Caso a organização compre bases e faça cruzamentos, é fundamental que as origens dessas bases sejam regulares e haja rastreabilidade.
Voltando um pouco no tempo, ensinava o Código de Práticas Leais para a Informação, de 1973: "Não devem existir bancos de dados pessoais que sejam secretos". E, também: "Toda entidade que utilize dados pessoais deve garantir sua qualidade e segurança". Moderno, não? Ou seja: nada impede o aumento de capacidade ou informações de um banco de dados pessoais, no entanto, há a necessidade de transparência sobre o referido enriquecimento.
Inicialmente, para efeito de marketing, e pensando no enriquecimento de bases de dados, consideraremos aqui apenas duas das bases legais elencadas pela Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018.
Dispõe o artigo 7º, da LGPD:
"O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Mediante o fornecimento de consentimento pelo titular;
IX – Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais…".
E como escolher a base legal para as ações de marketing? Depende:
Ao optar pelo consentimento, a organização precisará ter uma forte gestão dos consentimentos e das evidências, bem como ter a ciência de que o titular pode revogar o referido consentimento a qualquer tempo. Ao escolher o legítimo interesse, precisará elaborar um LIA — Legitimate Interests Assessment — que é uma avaliação de legítimo interesse – e um RIPD (Relatório de Impacto a Proteção de Dados), justificando que, sim, a companhia tem interesse legítimo para realizar aquele tratamento de dados pessoais.
Fato é, que independentemente da base legal escolhida, o enriquecimento da base de dados precisa ser realizado de forma a demonstrar a legalidade dos tratamentos que envolvam dados pessoais. Aqui, atender aos princípios da transparência e da boa-fé coopera para que os tratamentos sejam realizados de forma segura e com legitimidade!
Um ponto de atenção: compreender, de fato, o que são dados públicos e para quais finalidades eles serão coletados. Não é porque as pessoas postam dados em suas redes sociais, por exemplo, que esses dados podem ser coletados pelas empresas, sem conhecimento do titular, para utilizá-los para seus fins econômicos.
Estabelecem, os parágrafos do artigo 7º, da LGPD:
"§3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização".
Aqui, cumprir os princípios elencados no artigo 6º da LGPD é indispensável!
"§4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei".
A companhia poderá tratar os dados pessoais, no entanto, permitir o exercício dos direitos dos titulares e respeitá-los é imperioso para a regularidade do tratamento.
"§7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei".
Ou seja, havendo novas finalidades o titular precisará ter ciência de como e porque seus dados pessoais estão sendo tratados.
Pensemos em exemplos práticos:
Se a organização optar por utilizar a base do consentimento, para enviar propagandas, o titular tem que dar o opt-in, ou seja, o aceite para que a empresa utilize seus dados pessoais. Se o cliente não consentir, não envie propagandas, ponto. Caso ele consinta, se arrependa e revogue o consentimento, não envie mais propagandas. Lembrem-se: os direitos dos titulares precisam ser respeitados, conforme o artigo 18 da LGPD.
Já no caso do legítimo interesse, a organização, por exemplo, enviará e-mails marketing aos clientes, deixando sempre o opt-out, ou seja, dando a opção do titular se opor ao tratamento e não receber mais propagandas. A partir do momento que o cliente pede para não receber mais propagandas, esse direito deve ser respeitado.
Em suma: não confunda as bolas! Independentemente da base legal escolhida, a organização tem a responsabilidade de realizar tratamento de dados pessoais consoante à LGPD.
E não esqueçamos da rastreabilidade: caso um titular de dados questione como e onde a companhia conseguiu seus dados pessoais, a resposta precisará ser dada. É necessário saber qual a origem do dado e por qual motivo ele consta naquela base de dados. Se a organização enriquece a própria base de dados, o titular deve saber como os dados foram coletados e para qual finalidade. No caso da utilização de bases de terceiros, para empresas que comercializam os serviços de enriquecimento, elas precisam demonstrar aos seus clientes que cumprem a LGPD, ou seja, que coletaram os dados de acordo com uma das hipóteses de tratamento listadas pela referida Lei, tal como conseguir evidenciar a forma regular da coleta e do armazenamento dos dados pessoais.
Ainda, a higienização da base de dados, que limpa, organiza e padroniza o banco, permitirá a validação das informações, a permanência de dados pessoais coletados e armazenados em conformidade com a Lei Geral de Proteção de Dados Pessoais e a manutenção da integridade da referida base.
Por fim, e obviamente longe de esgotar o assunto, salientamos que as ações descritas anteriormente devem ser consideradas com o intuito de cumprir os princípios da transparência e da boa-fé, permitir a continuidade dos negócios, demonstrar a legitimidade da construção da base de dados e evitar as sanções administrativas trazidas pelo artigo 52 da LGPD.
Encontrou um erro? Avise nossa equipe!