Valor Econômico, v.20, n. 4863, 22/10/2019. Legislação & Tributos p.E2
Ricardo Oliveira
Há certa preocupação no mercado em relação às ações de marketing pós-vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), que passa a vigorar em 16 de agosto de 2020. Isso porque o tratamento de dados pessoais (armazenamento, transmissão, compartilhamento, utilização, distribuição ou qualquer outra ação com tais dados) só poderá se dar mediante o enquadramento em uma hipótese legal, que vem sendo chamada de base legal ou jurídica, como o consentimento e o legítimo interesse.
O grande receio das empresas é a perda de bancos de dados criados antes da LGPD e a impossibilidade de prospecção de novos clientes mediante encaminhamento de e-mail marketing ou “Short Message Service” (SMS), sem que para isso seja necessário requerer o consentimento do titular dos dados pessoais (cliente ou futuro cliente).
Inicialmente, devemos perceber que, apesar de ser uma lei muito parecida com a lei europeia de proteção de dados europeia (GDPR), por lá se vem estudando o tema do marketing direito e do legítimo interesse muitos anos antes do Brasil - sendo que a LGPD não é tão descritiva e detalhada como é a GDPR. Em outras palavras, ainda que a LGPD não tenha todos os elementos da GDPR, parece uma boa prática aplicar o raciocínio europeu no caso de dúvida, pois é um parâmetro sobre o qual o tratamento de dados pessoais ocorreu.
Isto posto, para solução da problemática, precisamos fazer uma primeira grande divisão: clientes (já tiveram alguma relação jurídica com a empresa) de não clientes (prospects). Iniciando pelos primeiros, por em algum momento no passado já ter havido uma relação prévia do controlador (empresa que decide e é responsável pelo tratamento de dados) com o titular, é justificável a abordagem para oferecimento de novos produtos ou serviços, desde que os titulares não tenham se manifestado em sentido contrário (não gostariam de receber publicidade). Em outras palavras, o oferecimento de novos produtos e serviços não dependeria de consentimento, mas seria realizado mediante enquadramento no legítimo interesse do controlador.
Desta forma, se no passado o titular adquiriu um produto em uma determinada loja virtual, o que demonstrou certa relação de confiança, não parece o fim do mundo que a loja contate novamente o cliente para a finalidade de encaminhamento de ofertas. Tal medida não estaria fora da expectativa do titular e poderia lhe trazer benefício, pois poderia não saber das promoções da loja se não fosse avisado por ela.
Obviamente que há limites para a abordagem, pois os dados pessoais tratados precisam ser o mínimo necessário para alcançar a finalidade que se pretende. Isso não quer dizer que o controlador deveria manter só o endereço de e-mail ou telefone por serem estes os dados mínimos necessários para encaminhamento de mailing ou SMS. Na verdade, é possível tratar mais dados, sob argumento de que, conhecendo melhor o cliente, as promoções serão direcionadas aos produtos que são de seu interesse.
Contudo, no caso de não clientes, ou seja, pessoas que jamais tiveram qualquer relação jurídica com o controlador, é possível a abordagem para oferecimento de novos produtos e serviços?
Vamos pensar no seguinte exemplo: uma empresa encaminha promoção por e-mail sem qualquer indicação de dados pessoais com exceção do endereço de e-mail (esse endereço pode ser um dado pessoal, a depender do contexto). Os dizeres de entrada são: “aproveite agora nossas promoções”. É possível afirmar, neste exemplo, que houve violação da privacidade do titular? Dificilmente.
Todavia, se no corpo do e-mail os dizeres de entrada fossem “Ricardo Oliveira, no mês do seu aniversário, aproveite nossas promoções”, haveria maior probabilidade de se concluir pela violação da privacidade? Sim, com certeza, pois neste caso a empresa possui consigo mais dados do que o necessário e, considerando que não havia relação jurídica prévia, como tais dados se tornaram de seu conhecimento?
Quer dizer então que possuir uma relação prévia com o cliente é pressuposto para encaminhamento de publicidade? Não necessariamente, pois, como visto, um endereço de e-mail ou número telefônico, por si só, podem não ser dado pessoal e, ainda que fossem, não ensejam violação da privacidade do titular.
Contudo, há mais uma variável que deve ser considerada. Imagine-se que uma vendedora de bebidas alcoólicas tenha acesso aos dados pessoais de um abstêmio e passe a abordar para oferta de seus produtos. Esta pessoa nunca teve qualquer interesse na aquisição de bebidas alcóolicas, então a expectativa de que seus dados pessoais estejam em posse de uma vendedora deste tipo de produto é nula. Manter a oferta de produtos e serviços alinhada com a expectativa do titular é altamente recomendável para enquadramento do tratamento no legítimo interesse.
Em ambos os casos (clientes e não clientes), na União Europeia, se dá bastante importância à possibilidade de o titular interromper as abordagens, como exemplo, o oferecimento de link de descadastramento ou responder o SMS com a senha de descadastro. Isso aumenta o controle que o titular tem sobre os seus dados pessoais, o que é uma das premissas da LGPD.
Ricardo Oliveira é sócio do Cots Advogados, escritório especializado em Direito dos Negócios Digitais, Tecnologia da Informação e E-commerce. Professor Universitário de Direito aplicado aos Negócios Digitais, em cursos de MBA. Coautor do livro Lei Geral de Proteção de Dados Pessoais Comentada (Revista dos Tribunais) e Marco Civil Regulatório da Internet (Editora Atlas)