Legítimo interesse

A Lei Geral de Proteção de Dados (ou LGPD) foi criada com a intenção de proteger os dados pessoais das pessoas físicas. Essa proteção se faz necessária, porque havia (e há) ainda muitos abusos na utilização desses dados.

Para entendermos o que é o Legítimo Interesse, é importante que a gente conheça algumas práticas e situações de uso de dados pessoais de pessoas físicas que até hoje vêm sendo utilizadas por algumas empresas, mas que, conforme a LGPD, podem ser consideradas abusivas.

Vamos imaginar a seguinte situação: a Empresa X LTDA., com matriz em São Paulo-SP, que tem 20 anos de funcionamento, ao longo dos anos vendeu seus produtos e serviços para diversos clientes, emitindo as respectivas notas fiscais para eles. Esses clientes fazem parte de uma base de dados que totaliza 100.000 clientes.

Geralmente, alguns parceiros da a Empresa X LTDA. enviam para ela e-mails e outros dados (leads) de pessoas físicas/naturais, relativamente às pessoas físicas/naturais que se presumem interessadas no marketing dos produtos, acessórios e/ou serviços da Empresa X (os quais podem se tornar potenciais clientes dela).

A Empresa X LTDA. pretende expandir a sua base de dados de clientes e, para isso, pretende aumentar sua clientela e atingir outras pessoas que não fazem parte da base de dados que tem atualmente. Para isso, a Empresa X pretende também comprar uma base de dados que possa atingir umas 50.000 pessoas a mais.

Então, a Empresa X entra em contato com a Empresa AUMENTE SEUS LEADS LTDA. A Empresa AUMENTE SEUS LEADS LTDA. “garimpa” dados pessoais de diversas pessoas, como nome, telefone, CPF, RG, e-mail e outros dados, sem procedência exata de onde esses dados foram extraídos e forma uma enorme base de dados dessas pessoas, sem autorização delas. Mesmo assim, a Empresa AUMENTE SEUS LEADS LTDA vende dados de contato de 50.000 pessoas para a Empresa X Ltda..

De posse desses dados de contato, a Empresa X Ltda. faz diversas ações de marketing, enviando promoções, informações, solicitações, pesquisas e outras para os telefones, endereços eletrônicos e físicos dessas pessoas que nunca tiveram contato com a Empresa X.

Então, você que está lendo essa matéria (e que pode estar em qualquer lugar do mundo), acaba de receber uma ligação dessa Empresa X, que você nunca teve contato, ofertando os produtos e serviços dela, mas você não quer nada. Aliás, você pensa: “Como é que essa empresa conseguiu meu telefone, se eu nunca fui cliente dela?”. A cada 3 dias, você recebe, novamente, novos contatos telefônicos da Empresa, em diversos horários diferentes (muitas vezes, horários impróprios). Além disso, ela envia para você, toda semana, e-mails promocionais para suas caixas de mensagem. Não bastasse isso, ela ainda envia panfletos para a sua caixa de correio, ofertando os produtos.

Então, como você está se sentindo? Você se sente incomodado com a situação? Esses contatos atendem às suas expectativas? Você gostou que seus dados pessoais fossem compartilhados sem a sua autorização?

Certamente, você deve ter se sentido chateado, incomodado com esses contatos, especialmente porque veio de uma empresa que você nunca teve qualquer relacionamento anterior.

É lógico que a Empresa X Ltda. tem o direito de ofertar seus produtos e serviços, realizando ações de apoio e promoção de suas atividades. Num primeiro momento, poderíamos chamar essas ações de legítimo interesse da Empresa, pois ela está promovendo as suas atividades junto ao público em geral.

Ocorre que, no exemplo acima, seja recebendo leads de parceiros, seja adquirindo uma base de dados sem origem exata, sem autorização dos titulares, sem autorização para compartilhamento desses dados, não pode ser considerada uma atitude justificável do legítimo interesse. Pelo contrário: pode identificar uma prática que considerada abusiva e, portanto, ilícita, ferindo tudo o que a LGPD pretende proteger.

O legítimo interesse do Controlador ou de terceiro é uma hipótese de tratamento de dados pessoais pela Lei n. 13.709/18 (LGPD), desde que prevaleçam os direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais (art. 7º, IX).

Como se observará, o legítimo interesse é uma “via de mão dupla”. Ele não deve atender só o lado da Empresa. O legítimo interesse da Empresa na promoção de vendas de produtos, ou de prestação de serviços que beneficiem o cliente (pessoa física, porque a LGPD protege os dados de pessoas físicas) deve considerar, ao mesmo tempo, as legítimas expectativas do Titular de Dados, seus direitos fundamentais e o exercício regular de seus direitos.

Veja-se que tudo isso que foi dito acima é confirmado pelo art. 10, da LGPD, que diz assim:

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; E

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.” (grifado).

Atente-se para a locução conjuntiva aditiva “E” que aparece entre os incisos I e II acima. O inciso I se refere ao legítimo interesse do Controlador; o inciso II se refere à legítima expectativa do titular. Portanto, o legítimo interesse do Controlador sempre deverá estar vinculado à legítima expectativa do titular.

A exemplo do Código de Defesa do Consumidor, que defende especialmente o Consumidor, a LGPD protege especialmente o titular de dados, determinando que haja sempre uma relação equilibrada e nunca abusiva por parte do Controlador com relação aos dados pessoais dos titulares.

Outra informação importante: quando o tratamento de dados pessoais for baseado no Legítimo Interesse do Controlador (no exemplo acima, da Empresa X), somente poderão ser tratados os dados pessoais estritamente necessários para a finalidade pretendida.

Assim, por exemplo, se a “finalidade pretendida” for uma ação de marketing, dependendo da forma dessa ação, poderiam ser considerados dados necessários o “nome da pessoa natural”; o seu CPF, ou RG (para diferencia-la de pessoas com o mesmo nome); o endereço físico (se a ação envolver entrega de material físico, como panfletos, jornais, adesivos etc.); endereço eletrônico (se a ação envolver envio de material eletrônico); telefone para contato (para envio de mensagens por SMS, ou contato por aplicativos de conversação como WhatsApp, Telegram e outros).

Lembre-se: para efeitos de ações de marketing poderiam ser considerados desnecessários (e, portanto, não se orienta coletar) dados como dados bancários, dados biométricos, imagem ou outros dados pessoais considerados sensíveis.

Se o Controlador realizar o tratamento de dados pessoais com base no legítimo interesse (como a coleta, armazenamento, compartilhamento e as outras formas de tratamento mencionadas no art. 5, X, da LGPD), deverá adotar todas as medidas para garantir a transparência do tratamento de dados. Essa “transparência” é a garantia que os Titulares têm de ter acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, conforme o art. 6º, VI, da LGPD.

Agora, voltando ao exemplo da   X Ltda., se você fizesse parte das 50.000 pessoas cujos dados foram vendidos pela Empresa AUMENTE SEUS LEADS LTDA. e você, sentindo-se violado nos seus dados, solicitasse à Empresa que, com base no princípio da transparência, informasse de onde ela conseguiu os seus dados pessoais, é obrigação da Empresa informar a fonte de onde adquiriu. Como a fonte da aquisição, ou seja, a Empresa AUMENTE SEUS LEADS LTDA. reuniu seus dados numa base e, sem sua autorização/consentimento compartilhou, através da venda de seus dados à Empresa, essa situação pode ser compreendida como um incidente, podendo se tratar de uma forma abusiva de utilização dos dados pessoais.

Quando o tratamento de dados tiver como fundamento o legítimo interesse, o Titular de Dados que se sentir violado nos seus direitos poderá acionar a Autoridade Nacional de Proteção de Dados (ANPD) e solicitar ao Controlador (no exemplo, a Empresa X), o “relatório de impacto à proteção de dados pessoais”. O “relatório de impacto à proteção de dados pessoais” é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (art. 5º, XVII, da LGPD).

A lei obriga os Controladores e Operadores a manter o registro das operações de tratamento de dados pessoais realizadas quando esse tratamento de dados tiver por base o legítimo interesse (art. 37, da LGPD).

Então, como minimizar, ou afastar os riscos do LEGÍTIMO INTERESSE da Empresa X Ltda, no exemplo acima?

No exemplo acima, qual a base de dados que mais oferecia risco à Empresa X: a base de dados dos 100.000 clientes que já tiveram um relacionamento com a empresa ao longo dos 20 anos de sua existência, ou a base de dados dos 50.000 contatos que a Empresa X comprou para aumentar a oferta de seus produtos?

Não é preciso pensar muito para saber que a base de dados dos 50.000 novos contatos apresenta maior risco à empresa. Mas vamos falar sobre a situação de cada uma dessas bases de dados para entendermos melhor como o legítimo interesse pode ser considerado uma base legal nesses casos:

a) BASE DE DADOS DE CLIENTES QUE JÁ TIVERAM ALGUMA RELAÇÃO ANTERIOR COM A EMPRESA (exemplo da base de dados dos 100.000 clientes):

No exemplo acima, vimos que a Empresa X, durante os 20 anos de sua existência, acumulou em sua base de dados 100.000 contatos de pessoas físicas que tiveram alguma relação negocial com a empresa.

Com a vigência da LGPD, entende-se que se passou a ter duas categorias de titulares de dados Clientes: 1. Clientes antigos: aqueles que já tiveram alguma relação com a empresa; 2. Clientes novos: aqueles que estão iniciando a relação negocial com a empresa, que são aquelas pessoas que procuraram a empresa com a intenção de negociar algum produto ou serviço que pudesse beneficiá-lo.

Com relação aos Clientes antigos, observa-se que a base legal do legítimo interesse da empresa em contactá-los através dos dados de contato já coletados dos mesmos para a oferta de produtos e/ou serviços que possam beneficiá-los não é tão agressiva, pois se está realizando o apoio e promoção de atividades do controlador e que se pressupõe, com base no relacionamento anterior, que podem beneficiar o cliente.

No entanto, para reforçar a garantia de que a Empresa X LTDA. possa continuar entrando em contato com os Clientes antigos, sugere-se que a empresa utilize um Termo de Consentimento para tratamento de dados pessoais, de forma escrita, ou outro meio (inclusive digital), no qual deverão constar quais os dados serão tratados e as finalidades desse tratamento (marketing, por exemplo), estabelecendo-se a possibilidade de compartilhamento de seus dados com outros parceiros em cláusula específica e destacada das demais cláusulas (por exemplo, compartilhamento dos dados necessários com uma empresa de marketing terceirizada, se o marketing não for realizado pela própria empresa; compartilhamento das informações de notas fiscais com escritório de contabilidade terceirizado; com controladores conjuntos; fabricantes do produto; suboperadores etc. – art. 8º, § 1º, da LGPD).

Além disso, poderá, no Termo de Consentimento, inserir outras cláusulas, informando ao cliente claramente os objetivos da cláusula (pois, nesse caso, quando o consentimento é requeiro, será considerado nulo se as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo, no não sejam transparentes, de forma clara e inequívoca), dando a opção ao cliente para aceita-las, ou rejeitá-las. Além disso, importante salientar que “as autorizações genéricas para o tratamento de dados pessoais serão nulas” (art. 8º, § 4º, da LGPD).

Quanto aos Clientes novos, orienta-se que, no instante em que o novo cliente entra em contato com a empresa, que, sutilmente, e numa linguagem amistosa, mostrando ao cliente a importância da proteção de seus dados pessoais pela empresa, seja entregue ao mesmo o Termo de Consentimento para Tratamento de Dados Pessoais acima mencionado. Com isso, a relação empresa-cliente já inicia com uma relação transparente e consensual sobre a utilização dos dados pessoais do cliente.

Deve-se lembrar, no entanto, que, ainda que o Cliente antigo, ou novo, tenham autorizado o tratamento de seus dados pessoais pela empresa, a qualquer momento ele poderá ser revogado mediante manifestação expressa dele, por procedimento gratuito e facilitado.

Portanto, observa-se que é possível acionar, sem abuso, os Clientes antigos da empresa para a realização de contatos com os mesmos com base no legítimo interesse, pois há uma presunção de que possam lhe ser benéficos os serviços e/ou produtos oferecidos, com base na relação negocial anterior havida entre a empresa e o cliente.

No entanto, dados para contato, é uma coisa; dados para compartilhamento, é outra. Não se presume que o fato de a empresa ter os dados de contato de clientes que eles estão autorizando o compartilhamento desses dados com terceiros. Aliás, conforme a LGPD, é a empresa (Controlador) quem deverá comprovar que o consentimento foi obtido em conformidade com a lei (art. 8º, § 2º, da LGPD). A isso se dá o nome de “inversão do ônus da prova”, ou seja, o titular alega que não autorizou a utilização, ou compartilhamento de seus dados, e quem deve comprovar o contrário é o Controlador (empresa).

Assim, como garantia da empresa e para afastar, ou reduzir o risco de algum incidente de segurança, ou abuso no uso dos dados pessoais, o que se orienta é que a empresa faça uso do Termo de Consentimento para tratamento de Dados pessoais, a fim de solicitar o tratamento de dados pessoais do cliente (dentre eles, o compartilhamento dos dados), dando-lhe a oportunidade de escolha. Com essas ações, entende-se que se reforça o legítimo interesse da empresa para tratar os dados pessoais do cliente.

b) BASE DE DADOS COMPRADA DE TERCEIROS PELA EMPRESA (exemplo da base de dados dos 50.000 clientes), ou LEADS RECEBIDOS DE PARCEIROS

Se não se sabe a origem dos dados, se eles não têm procedência da coleta, nem autorização para compartilhamento com terceiros, como a empresa que comprou uma base de dados com esse teor poderá utilizar esses dados com base no legítimo interesse sem que isso possa ser considerado um ato abusivo, ou ilícito?

Comprar base de dados de pessoas que nunca tiveram qualquer relacionamento com a empresa é um dos maiores riscos que a empresa pode incorrer.

Portanto, em regra, entende-se que a aquisição dessas bases de dados não pode ser utilizada e fundamentada com base no legítimo interesse, pois se está desrespeitando está afrontando diversos fundamentos da LGPD, tais como o respeito à privacidade, intimidade, honra, imagem e liberdade do titular; a autodeterminação informativa, dentre outros.

Se a intenção de uma empresa for a de adquirir uma base de dados, ou receber leads, ou prospects de parceiros, devem ser tomados muitos cuidados e, mesmo assim esses cuidados podem não afastar riscos ao contactar os “proprietários” desses dados.

Em hipótese nenhuma deverão ser compradas bases de dados sem que se saiba a procedência dos dados. Além disso, o vendedor dessa base de dados deverá comprovar ao comprador que organizou essa base de dados com a coleta expressa dos respectivos titulares, com a especial e específica cláusula de compartilhamento de seus dados com terceiros e para finalidades específicas de marketing. Sem isso, a aquisição de base de dados para fins de marketing levará a empresa adquirente a incorrer no grau máximo de perigo de incidente de dados pessoais.

Se, no entanto, a empresa também optar por receber leads de parceiros, enviando dados de titulares para a Empresa, alguns cuidados devem ser providenciados para, no mínimo, tentar se encontrar uma justificativa que não seja considerada abusiva, ou ilegal. Dentre essas medidas, sugerem-se os seguintes cuidados (que, ainda assim, podem não eliminar completamente os riscos de afronta à LGPD):

i) se, por exemplo, algum parceiro da Empresa possuir cadastros de e-mails e outros dados (leads) de pessoas físicas/naturais e que pretende enviá-los à Empresa, relativamente às pessoas físicas/naturais que se presumem interessadas no marketing dos produtos, acessórios e/ou serviços da Empresa (os quais podem se tornar potenciais clientes dela), ou se a empresa pretender adquirir uma base de dados de terceiros (situação de maior risco), sugere-se:

i.i) que, antes de utilizar tais dados, a Empresa deverá exigir do Parceiro, ou do vendedor de alguma base de dados que, além da assinatura do PROTOCOLO DE TRATAMENTO DE DADOS,  também que o Parceiro ou vendedor da base de dados assine um TERMO DE RESPONSABILIDADE, no qual deverão constar as obrigações de o Parceiro, ou vendedor dos dados, no sentido de que os mesmos estão adequados às regras da LGPD e que os mesmos adotam boas práticas de governança e que possuem autorização expressa para enviar/compartilhar com a Empresa somente leads e outros dados de titulares de dados pessoas naturais que tenham outorgado CONSENTIMENTO EXPRESSO E ESPECÍFICO PARA COMPARTILHAMENTO DE TAIS DADOS COM TERCEIROS, ESPECIALMENTE PARA FINALIDADE DE MARKETING E TÃO SOMENTE PARA AS FINALIDADES AUTORIZADAS PELOS RESPECTIVOS TITULARES DE DADOS nos termos de consentimento;

i.ii) que, sem a realização das ações anteriormente identificadas, não ocorra a aquisição, ou recepção de base de dados, ou qualquer contato com a base de dados adquirida pela Empresa, ou enviada pelos leads de Parceiros;

i.iii) que somente sejam acionados para campanhas os clientes pessoas físicas que previamente tenham expressamente autorizado o seu contato para as finalidades de marketing.

CONSIDERAÇÕES FINAIS

Utilizar o legítimo interesse como base legal oferece um grande perigo à empresa, pois a tendência da empresa é observar apenas o seu interesse, enviando promoções, contatos e demais acessos aos seus clientes. Antes de usa-lo como base legal, sempre deverá se refletir as seguintes situações em conjunto em cada ação específica da empresa, que envolvem processos de propósito, necessidade e equilíbrio:

– qual a finalidade do contato? O que a empresa pretende com esse contato?

– qual a origem do dado que a empresa tem do cliente? Essa base de aquisição de dados é legal?

– quais dados a empresa está utilizando para se considerar legítimo interesse? Esses dados são éticos, ou legais, inclusive na sua aquisição?

– esses dados são estritamente necessários para esse contato?

– existe autorização do cliente para que esses dados sejam compartilhados pela empresa com terceiros?

– será que o cliente realmente quer, ou espera ser contactado?

– será que o cliente precisa do produto, ou serviço?

– qual a constância que esses contatos estão sendo realizados?

– o cliente tem acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento?

– a empresa disponibiliza (e como), a possibilidade de o cliente realizar o opt-out, ou seja, a determinação, pelo cliente, de que seus dados sejam excluídos da base, ou da forma de contato?

– se o Titular de Dados se sentir violado nos seus direitos e acionar a ANPD, a empresa consegue descrever os processos de tratamentos de dados pessoais que podem gerar riscos e as medidas, proteções e mecanismos para elaboração do relatório de impacto à proteção de dados pessoais exigido pela ANPD?

O legítimo interesse das empresas sempre deverá levar em consideração, ao mesmo tempo, a legítima expectativa dos clientes, sem realizar práticas comerciais abusivas e que possam desgastar a relação comercial já iniciada pela empresa com relação a Clientes antigos e novos que busquem da Empresa os produtos e serviços conforme suas necessidades.

Ao mesmo tempo, a prática de aquisição de contatos de potenciais clientes, seja com a aquisição da base de dados de alguém que venda dados coletados em diversas fontes, seja com base no envio desses dados por parceiros (leads) trazem um grave risco à empresa, caso não atendam às expectativas de tais pessoas.

Até pode ser considerado legítimo interesse por parte da Empresa contactar clientes para oferta de seus produtos e/ou serviços. No entanto, esses contatos não poderão ser a qualquer custo. Deverão ser observadas a legítima expectativa dos titulares, as prerrogativas da LGPD com relação aos dados de cada pessoa, de forma que tanto a ANPD, quanto o Poder Judiciário poderão entender como práticas abusivas as aquisições, ou envios de dados de forma indevida, em desrespeito aos direitos dos titulares de dados.

Prof. Diego Richard Ronconi, PHd.

Comments are closed