Não é novidade que o enriquecimento de bases de dados pessoais é um tema complexo. Todavia, para quem atua nos segmentos de cobrança e contact center, por exemplo, compreendê-lo é essencial, a fim de evitar prejuízos futuros.
De forma simplificada, o enriquecimento de bases consiste na captação de informações que o captador ainda não tem em sua base com o objetivo de complementar um banco de dados existente. Cita-se como exemplo, quem já tem o nome e o telefone de um cliente, mas precisa também do seu e-mail para enviar propagandas, e busca um serviço para obter este dado.
Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18, todo tratamento de dado pessoal precisará seguir determinadas regras, no entanto, a própria Lei não menciona um artigo específico sobre este tema. O mesmo ocorre no caso da legislação de proteção de dados pessoais em vigor na Europa – GDPR (General Data Protection Regulation).
Apesar de não haver tratamento específico, a ocorrência do enriquecimento de bases deve ser sempre justificada nos demais artigos da LGPD visando sempre assegurar transparência aos titulares dos dados e a boa gestão.
Com o intuito de fazer um estudo comparativo apresenta-se tabela abaixo, demonstrando ambas as legislações de forma comparativa:
LGPD
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
GDPR.
Artigo 5º 1. Os dados pessoais são:
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);
Artigo 15º 1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
Artigo 16º O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
Artigo 13º (2). Para além das informações referidas no nº 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:
b) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
d) Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea a), ou no artigo 9º, nº 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
Com base na comparação acima, tanto na legislação pátria quanto na estrangeira, o tratamento dos dados pessoais coletados deve sempre guardar respeito para com a finalidade que este foi coletado e, caso haja alteração da referida finalidade, esta deve possuir correlação com a inicialmente adotada, bem como o titular de dados deve ser informado a respeito desta alteração, evitando, assim, qualquer tipo de violações à lei brasileira.
Além disso, para manter uma base de dados e enriquecê-la constantemente, há a necessidade de que essa atividade consiga ser justificada por uma das 10 hipóteses de tratamento elencadas pela Lei Geral de Proteção de Dados Pessoais. Uma ilustração interessante, é o Código de Práticas Leais para a Informação, de 1973, que trazia como princípio “Não devem existir bancos de dados pessoais que sejam secretos”. E, também: “Toda entidade que utilize dados pessoais deve garantir sua qualidade e segurança”. Ou seja: nada impede o aumento de capacidade ou informações de um banco de dados pessoais, no entanto, há a necessidade de transparência sobre o referido enriquecimento.
É salutar entender que, ao criar um banco de dados, há uma maior exposição e facilitação de acessos à dados pessoais, podendo sim, comprometer a privacidade alheia e tirar o controle do titular sobre seus próprios dados pessoais, caminhando, dessa forma, de encontro ao disposto no artigo 5º, inciso X, da Carta Magna de 1988: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
É notório que, mesmo com toda a evolução tecnológica e a chamada Sociedade da Informação, as leis de proteção de dados e privacidade vigentes objetivam permitir que as pessoas tenham autonomia sobre seus dados pessoais. E para isso, aculturar as organizações e utilizar medidas de segurança são caminhos extremamente relevantes.
Para possibilitar o enriquecimento de bases, devemos considerar dois pontos principais: primeiro, que o tratamento cumpra a finalidade informada ao titular, e segundo, que a rastreabilidade dos dados seja possível. Ou seja, nada impede a utilização dos dados, desde que haja uma proporcionalidade, ou seja, que os dados coletados e armazenados sejam usados de acordo com as finalidades informadas e obedecendo à lei. No que tange ao rastreio, é necessário saber de onde veio o dado, qual sua origem e por qual motivo ele consta naquela base de dados.
E, a comparação feita anteriormente, direciona para esses caminhos: respeito aos princípios, clareza e objetividade com os titulares, gestão organizada de dados, estruturação interna, dentre outras ações, ilustram este cenário. Ainda, é salutar conhecer o tamanho da base de dados, aplicar a higienização de forma correta e sempre considerar o princípio da minimização dos dados, ou seja, coletar apenas o que for estritamente necessário para o cumprimento da finalidade informada aos titulares, sem que ocorra qualquer tipo de desvio.
Importante salientar que, a LGPD não veda o enriquecimento de bases externo, desde que haja rastreabilidade dos dados, cumprimento da finalidade e respeito aos direitos fundamentais dos titulares. Quanto à distribuição dos contatos adquiridos em base externa, deve ser informado ao titular a finalidade do tratamento e respeitada pela organização que enriquecerá o banco e, para tanto, deve ser garantida que a aquisição da base seja de fonte segura e confiável.