Vinícius Bechtlufft Rezende*
Antes da LGPD e de outras legislações de proteção de dados para regularem de forma mais detalhada o tratamento de informações pessoais, era comum a coleta indiscriminada e a sua livre negociação pelas denominadas “Big Techs”.
A coleta acontecia quando o usuário utilizava algum serviço “on line”, aplicativo ou rede social/plataforma digital.
A prática era pouco conhecida das pessoas e, na área de tecnologia, era vista como uma praxe comercial.
Quase tudo na internet era gratuito e algumas pessoas já alertavam para o risco do uso desses serviços e aplicações: “Se é grátis, é porque o produto é você”, diziam.
Aos poucos, isso foi mudando ao redor do mundo com a consolidação da legislação e o surgimento de autoridades responsáveis pela fiscalização da conformidade das empresas e corporações na utilização das informações que circulavam pela internet.
Nesse período de transição do analógico para o digital, houve intensos debates sobre os mais diversos temas, envolvendo a utilização dos dados pessoais e algumas teses se destacaram pelo seu enfoque na defesa do interesse econômico das grandes corporações em detrimento das liberdades individuais.
Mark Zuckerberg, CEO da Meta, por exemplo, em seu depoimento no Congresso dos Estados Unidos sobre o escândalo da Cambridge Analytics, afirmou que “é inevitável que haja certa necessidade de regulação na Internet”, mas “devemos ser cuidadosos e não adotar algumas [medidas] que podem ser fáceis de cumprir para uma empresa grande como o Facebook, mas não para uma companhia que está começando”. Sua preocupação era se antecipar à regulamentação para influenciar a interpretação das normas sobre proteção de dados pessoais, especialmente o GDPR.
“Dados públicos” pertencem a quem?
Foi nesse contexto que foi cunhada a tese de que as informações disponibilizadas pelos usuários nas redes sociais e plataformas digitais, os denominados “dados públicos”, “não pertenceriam a ninguém” e, portanto, não estariam sujeitos a legislação que regularia somente os dados pessoais.
Mas será que essa tese ainda tem fundamento? Será que está alinhada com a mens legis das normas que regem o tema?
Essas informações tornadas públicas por seus titulares não estariam sujeitas à regulamentação e, portanto, poderiam ser utilizadas livremente?
Essa ideia, na verdade, tentou solucionar dois problemas emergentes:
- a enorme quantidade de informações armazenadas e negociadas pelas “Big Techs” com empresas interessadas em expandir seu mercado antes da vigência das leis de protetivas; e
- a necessidade de adequar as práticas de marketing direcionadas (o envio de e-mails, SMS) com a legislação.
Felizmente essa tese não vingou, porque os chamados “dados públicos”, pertencem aos seus respectivos titulares e não estavam dentro das exceções, ou seja, era preciso observar as normas para o seu regular tratamento.
Dados públicos e LGPD
O assunto também foi abordado na Lei Geral de Proteção de Dados (Lei nº 13.709/18), com o objetivo de coibir abusos na utilização dessas informações.
Durante a adequação e monitoramento do programa de proteção de dados das empresas, é muito importante, dentre outros fatores, a utilização da base legal adequada para justificar o correto tratamento dos dados pessoais e evitar a aplicação de sanções.
Não é uma tarefa simples e, quando observamos a experiência da União Europeia com o GDPR, é possível notar que as autoridades de proteção de dados (DPA’s) têm aplicado diversas sanções em razão do uso incorreto ou da falta de indicação da base legal.
Com relação ao tema especificamente abordado, a redação do artigo 7º pode ainda confundir quanto a necessidade ou não da indicação da base legal ao tratar de duas situações: “dados pessoais de acesso público” (§3º) e os “manifestamente públicos” (§4º).
O propósito deste artigo é justamente esclarecer essa questão de forma a auxiliar os Controladores e os Operadores (agentes de tratamento) na busca da conformidade. Vejamos como o dispositivo aborda o tema em análise.
“Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:”
Inicialmente, é interessante notar que a regulamentação desse artigo foi feita de forma gradual (em dois momentos temporais diferentes).
Com a publicação da Lei nº 13.709/18, vieram os §§ 3º e 4º. Posteriormente, ainda durante o período de vacatio legis, foi acrescentado o §7º, incluído pela Lei nº 13.853, de 2019, para tentar esclarecer melhor o tema, mas ainda permaneceram algumas dúvidas.
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
“Dados pessoais cujo acesso é público”
Os “dados pessoais cujo acesso é público” é uma informação pessoal que está acessível a todos. Não significa dizer que não pertencem a ninguém ou que são de domínio público. Exemplo: um registro em cartório de que determinada pessoa é proprietária de um imóvel, ou sócia de uma empresa. Estas informações podem ser tratadas, desde que sejam observadas a finalidade, a boa-fé e o interesse público (§3º, do artigo 7º).
Entretanto, a literalidade da lei não esclareceu como na prática isso seria feito.
A doutrina reconhece que a finalidade que tornou a informação pública, não, necessariamente, será a mesma pela qual está sendo coletada para a nova utilização.
Vejamos agora o que estabelece o §4º sobre os dados “manifestamente públicos”:
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Informações divulgadas em redes sociais
Esse parágrafo trata das informações que o titular divulga, por exemplo, em alguma rede social/plataforma (Linkedin, Facebook, TikTok, Tinder).
Existem dois entendimentos sobre esse parágrafo:
O primeiro defendia que essa informação poderia ser utilizada livremente, sem a necessidade de indicação de nenhuma base legal, porque, segundo seus defensores, a única base legal aplicável na hipótese, seria o consentimento, que estaria dispensado em virtude da publicidade dada pelo titular (entendimento superado).
O segundo defendia que, ao tornar pública a informação, quando esta fosse utilizada por terceiro, estaria dispensada a exigência do consentimento pelo titular de dados, porém, esta informação tornada pública poderia ser reutilizada, desde que a nova atividade de tratamento de dados fosse enquadrada dentro de uma das bases legais previstas na LGPD (artigo 7º e artigo 11). Este é o entendimento dominante.
O §7º, que foi introduzido posteriormente, veio esclarecer essa divergência de interpretação decorrente da redação dos mencionados parágrafos:
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
Como cumprir os requisitos da LGPD
Em outras palavras, para o posterior tratamento desses dados pessoais (reutilização), é necessário cumprir com todos os requisitos previstos na LGPD: cibersegurança, finalidade, transparência, aplicar a um fim específico e indicar a nova base legal (exceto se esta for o consentimento).
Exemplo: Uma empresa possui um programa de prevenção à fraude. Quando um novo cliente (pessoa física) ingressa em sua base de dados, pode ser feito um processamento dos dados de acesso público com base do legítimo interesse. Será necessário também fazer o LIA (“Legitimate Interests Assessment”) e, se a atividade de processamento oferecer risco ao titular, elaborar o relatório de impacto (DPIA) e o uso de fator de mitigação de risco (exemplo: restringir o acesso à determinado grupo de informações).
Conclusão
Não existe tratamento de dados pessoais “fora” dos princípios e deveres estabelecidos na LGPD.
As exceções estão previstas expressamente nos incisos I e II, do artigo 4º.
Vale lembrar da importância de se observar as leis setoriais que tratam do tema, como o Código de Defesa do Consumidor, por exemplo.
Também temos as normas decorrentes da autorregulação, como o Guia de “Boas Maneiras” da Associação Brasileira de Marketing de Dados (“ABEMD”) e o Código de Autorregulação para Prática de E-mails de Marketing (“CAPEM”), que estabelecem importantes orientações.
A inobservância dessas regras pode resultar na aplicação de uma sanção administrativa pela ANPD, outro órgão regulador ou ainda um questionamento em processo judicial.
Entretanto, nem tudo é despesa e obrigação. A adequação e monitoramento do Programa de Proteção de Dados Pessoais é um excelente diferencial para atrair investidores e fidelizar clientes quanto à solidez e ao compliance da empresa em relação aos princípios legais, em especial os princípios da prevenção, da segurança, da responsabilização e da prestação de contas.
Vinícius Bechtlufft Rezende: Advogado especializado em Direito Digital e Encarregado de Dados Pessoais com certificação CDPO/BR (LGPD + CIPM) pelo IAPP, GDPR pela University of Groningen; Cibersegurança pela CISCO Networking Academy, Compliance pela FGV e docente convidado na área de proteção de dados pessoais pela UNIFEI/MG.
