Enriquecer base da dados para efeito de marketing e cumprimento da LGPD

Enriquecer bases de dados não é proibido, desde que seja feito de forma legítima, ou seja, tendo uma base legal que permita esse tratamento de dados. Caso a organização compre bases e faça cruzamentos, é fundamental que as origens dessas bases sejam regulares e haja rastreabilidade.

Inicialmente, para efeito de marketing, e pensando no enriquecimento de bases de dados, consideraremos aqui apenas duas das bases legais elencadas pela Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018.

Dispõe o artigo 7º, da LGPD:

"O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Mediante o fornecimento de consentimento pelo titular;
IX – Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais…".

E como escolher a base legal para as ações de marketing? Depende:

Ao optar pelo consentimento, a organização precisará ter uma forte gestão dos consentimentos e das evidências, bem como ter a ciência de que o titular pode revogar o referido consentimento a qualquer tempo. Ao escolher o legítimo interesse, precisará elaborar um LIA — Legitimate Interests Assessment — que é uma avaliação de legítimo interesse – e um RIPD (Relatório de Impacto a Proteção de Dados), justificando que, sim, a companhia tem interesse legítimo para realizar aquele tratamento de dados pessoais.

Fato é, que independentemente da base legal escolhida, o enriquecimento da base de dados precisa ser realizado de forma a demonstrar a legalidade dos tratamentos que envolvam dados pessoais. Aqui, atender aos princípios da transparência e da boa-fé coopera para que os tratamentos sejam realizados de forma segura e com legitimidade!

Um ponto de atenção: compreender, de fato, o que são dados públicos e para quais finalidades eles serão coletados. Não é porque as pessoas postam dados em suas redes sociais, por exemplo, que esses dados podem ser coletados pelas empresas, sem conhecimento do titular, para utilizá-los para seus fins econômicos.

Estabelecem, os parágrafos do artigo 7º, da LGPD:

"§3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização".

Aqui, cumprir os princípios elencados no artigo 6º da LGPD é indispensável!

"§4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei".

A companhia poderá tratar os dados pessoais, no entanto, permitir o exercício dos direitos dos titulares e respeitá-los é imperioso para a regularidade do tratamento.

"§7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei".

Ou seja, havendo novas finalidades o titular precisará ter ciência de como e porque seus dados pessoais estão sendo tratados.

Pensemos em exemplos práticos:

Se a organização optar por utilizar a base do consentimento, para enviar propagandas, o titular tem que dar o opt-in, ou seja, o aceite para que a empresa utilize seus dados pessoais. Se o cliente não consentir, não envie propagandas, ponto. Caso ele consinta, se arrependa e revogue o consentimento, não envie mais propagandas. Lembrem-se: os direitos dos titulares precisam ser respeitados, conforme o artigo 18 da LGPD.

Já no caso do legítimo interesse, a organização, por exemplo, enviará e-mails marketing aos clientes, deixando sempre o opt-out, ou seja, dando a opção do titular se opor ao tratamento e não receber mais propagandas. A partir do momento que o cliente pede para não receber mais propagandas, esse direito deve ser respeitado.

Em suma: não confunda as bolas! Independentemente da base legal escolhida, a organização tem a responsabilidade de realizar tratamento de dados pessoais consoante à LGPD.

E não esqueçamos da rastreabilidade: caso um titular de dados questione como e onde a companhia conseguiu seus dados pessoais, a resposta precisará ser dada. É necessário saber qual a origem do dado e por qual motivo ele consta naquela base de dados. Se a organização enriquece a própria base de dados, o titular deve saber como os dados foram coletados e para qual finalidade. No caso da utilização de bases de terceiros, para empresas que comercializam os serviços de enriquecimento, elas precisam demonstrar aos seus clientes que cumprem a LGPD, ou seja, que coletaram os dados de acordo com uma das hipóteses de tratamento listadas pela referida Lei, tal como conseguir evidenciar a forma regular da coleta e do armazenamento dos dados pessoais.

Ainda, a higienização da base de dados, que limpa, organiza e padroniza o banco, permitirá a validação das informações, a permanência de dados pessoais coletados e armazenados em conformidade com a Lei Geral de Proteção de Dados Pessoais e a manutenção da integridade da referida base.

Por fim, e obviamente longe de esgotar o assunto, salientamos que as ações descritas anteriormente devem ser consideradas com o intuito de cumprir os princípios da transparência e da boa-fé, permitir a continuidade dos negócios, demonstrar a legitimidade da construção da base de dados e evitar as sanções administrativas trazidas pelo artigo 52 da LGPD.