LGPD e varejo: O consentimento é a base legal mais adequada para o tratamento de dados pessoais?
Autor: Marcelo Augusto Fattori.
Privacy Legal Director at seusdados.com | Partner at Germano de Lemos Advogados | Digital, privacy, corporate law | DPO
Tem sido cada vez mais frequente ver experts em privacidade e proteção de dados demonizando a tecnologia e por via reflexa a proteção de dados pessoais, afirmando que o consenso é a base mais eficaz e garantida para o tratamento de dados pessoais. Mas será mesmo?
A primeira vista é sedutor se filiar a essa corrente, posto o maior conforto na condição de consultor e/ou responsável pela orientação da organização, afinal de contas a responsabilidade de ambos é sensivelmente reduzida, por se tratar de resposta cômoda e relativamente óbvia.
Adianto-me e afirmo meu posicionamento de que em determinadas circunstâncias apenas o consentimento permitirá o tratamento de dados pessoais. Mas, sob a minha ótica a resposta não deverá ser sempre sim.
A primeira reflexão que proponho está relacionada com a participação dos operadores do direito no processo de tomada de decisões das empresas.
Com efeito, a formação universitária desses profissionais, responsáveis na maioria dos programas de adequação das organizações à LGPD pela catalogação das bases legais dos dados pessoais existentes na respectiva base, quase sempre foi estruturada para o litígio, para o processo contencioso.
Esse profissional não é preparado na sua formação para a participação da construção da realidade e do desenvolvimento das empresas. Geralmente é o profissional tido como o "chato" e não criativo que só fala NÃO para todas as ações inovadoras, que não tem uma previsão legal específica.
As empresas precisam de advogados e consultores jurídicos que, além de atentos as possíveis ilicitudes e impactos que podem estar atreladas ao desenvolvimento de um novo modelo de negócio, tenham formação multidisciplinar e disposição de compreender o processo de desenvolvimento de ações inovadoras.
Deve-se, por óbvio pensar em mitigar e/ou minorar riscos, apontando-os ao C-Level das organizações, a quem cabe a opção por assumir ou não determinados riscos e, uma vez assumido pela companhia, utilizar o seu conhecimento jurídico na tentativa de minimizar o impacto destes e viabilizar formas criativas de colocar a inovação em prática sem desrespeito ao ordenamento jurídico.
É bem verdade que é preciso de disposição da empresa em investir tempo e recursos no amadurecimento desse processo de desenvolvimento. Sem esse apoio o mundo jurídico não poderá dar sua contribuição.
A partir dessa reflexão inicial proposta, tem-se que ao orientar o tratamento de dados apenas com base no consentimento é insistir no exercício do NÃO, sem qualquer ponderação da visão empresarial e de mercado, que tanto afasta o departamento jurídico das empresas das demais áreas de desenvolvimento e direção das organizações, além de ser uma visão míope do próprio intuito da Lei.
O filósofo israelense Yuval Noah Harari(1) afirma que
"estamos numa fase da história de criação de novos empregos e o retreinamento de pessoas para ocupá-los será um processo recorrente".
De acordo com o mesmo autor, é preciso ter a percepção que não existem mais empregos para a vida toda, até mesmo uma profissão para a vida toda, de modo que assim como as demais áreas, o profissional do direito terá que ser retreinado para esses novos desafios.
A LGPD é, portanto, uma oportunidade única para o mundo jurídico se correlacionar com a tecnologia e integrar de vez o processo decisório no mundo corporativo, participando ativamente com orientações legais com foco no mercado, visando a preservação dos direitos individuais e coletivos sem se esquecer do necessário desenvolvimento econômico para garantir condições de vida digna ao maior número de cidadãos, a preservação da atividade empresarial, a geração de empregos.
A lei de proteção de dados em seu artigo 2º, V, coloca como um de seus fundamentos "o desenvolvimento econômico e tecnológico e a inovação". Não fosse assim, como bem frisa Rony Vainzof(2), citando Andriei Gutierrez, o espírito do legislador visando não impossibilitar "o acesso às mais atuais tecnologias, prejudicando a competitividade de empresas nacionais e dos investimentos internacionais".
Desarticulado está, portanto, qualquer argumento que tente vincular a proteção de dados a uma cruzada contra o desenvolvimento tecnológico. Ao contrário, a LGPD tem como política principiológica o incentivo a esse desenvolvimento, mas com regras claras para todos.
Demonstrado, portanto, que a preocupação com proteção de dados e privacidade do titular dos dados não pode ser obstáculo intransponível para o desenvolvimento tecnológico, empresarial e econômico. Analisarei a questão do consentimento para o tratamento de dados pessoais, que, sob minha ótica se visto como a forma segura e adequada de tratamento de dados pessoais, estará a se negar um dos objetivos fundamentais da LGPD tratado acima.
De antemão peço escusas pelo termo, mas em direito é conhecida uma expressão de que a testemunha é a prostituta das provas, haja vista que uma aparente excelente testemunha, pode, na frente do Tribunal comprometer totalmente a sua tese, por inúmeros fatores, como a simples tentativa em querer colaborar e acabar por dizer coisas contraditórias ou que enfraqueçam o seu depoimento.
O consentimento pode ter esse mesmo viés, pelo simples fato de ser revogável a qualquer momento pelo cidadão, ao passo que quando o tratamento é autorizado por uma das outras nove bases legais, esse problema pode ser evitado e/ou contornado.
Esse é um dos motivos pelo qual tenho minhas reservas com a afirmação nua e crua de que esta é a base mais segura para o tratamento de dados pessoais.
De acordo com Bruno Bioni(3), há uma "hipertrofia do consentimento" como base legal de tratamento de dados, ao passo que temos outras bases que cumprem o mesmo propósito de proteção dos dados pessoais. De acordo com o citado autor, podemos identificar alguns pontos problemáticos a partir dessa realidade:
- a "fadiga do consentimento";
- prejuízo para inovações;
- exigência de escopo inventivo pré-definido seria inviabilizar a própria criação;
Nesse contexto, há uma necessidade evidente de equalizar as assimetrias e, nos dizeres de Bruno Bioni, que reclama a solução de problemas das atuais políticas de privacidade - baseadas em supostas manifestações de consentimento, como:
- consentimento manifestado em relação contratual de adesão;
- assimetria de informação;
- fornecedor que determina o fluxo informacional, eliminando praticamente qualquer controle do titular;
- usuários não têm poder de barganha;
- Acabam por ser um cheque em branco;
- As políticas de privacidade e tratamento informado geralmente violados;
- O controle de privacidade é realizado ex post;
- Ao passo que o racional da LGPD é o controle ex ante;
Por tais motivos e outros que aqui tratarei, entendo que o consentimento deva ser uma das últimas bases legais a ser buscada pelo empresário para justificar um tratamento de dados pessoais.
Imagine-se, por exemplo, um projeto de clube de vantagens de uma empresa de varejo concebido e desenhado de acordo com as regras de privacy by design, que pensou em privacidade dos dados pessoais desde o momento zero, todo calcado na base legal do consentimento informado do cidadão.
A política de privacidade desse clube de vantagens é coerente, bem estruturada, clara e transparente sobre coleta, tratamento, armazenamento, retenção, eliminação dos dados, informa o tratamento de perfil de usuário e hábitos de consumo para fim específico de oferta de produtos apropriados àquele consumidor e para desenvolvimento da atividade empresarial e previsão de estoques, veda o compartilhamento dos dados com terceiros e é regularmente auditado por auditores externos para garantir a observância dessas práticas informadas aos seus consumidores, com relatórios anuais disponibilizados em seu site.
O programa de Clube de Vantagens é um sucesso, suas ofertas são realmente interessantes e os seus números de aderentes e de faturamento não param de crescer.
Contratação de funcionários, aumento e reposição de estoque, investimento em tecnologia de ponta, inauguração de novas lojas, tudo fundamentado nos números e indicadores do Clube de Vantagens.
As pesquisas quantitativas realizadas por empresas terceirizadas revelam que os seus membros estão satisfeitos com o produto e com a transparência com que o Varejo em comento tem tratado suas informações.
Essas pesquisas refletem os números de reclamações ao SAC que é insignificante e na maioria das vezes relacionada a questões operacionais do dia a dia não relevantes.
Em determinado ponto da execução do Clube de Vantagens é disseminada uma fake news em redes sociais por um funcionário demitido e replicado por um concorrente local mal intencionado, que dava conta de que os dados pessoais de todos os membros eram vendidos para terceiros o que permitiria a apresentação de supostas ofertas vantajosas e que alguns membros teriam sido vítimas de golpes decorrente da negociação desses dados com empresas inidôneas.
Após dois anos de vigência do Clube de Vantagens, uma proporção relevante dos seus membros assustados com a informação disseminada em horas pela internet efetivaram pedido de exclusão dos seus dados pessoais da base daquele Varejo, que vem estruturando ao longo dos últimos anos o seu business em cima do programa que nos últimos anos tinham curva ascendente.
Passados dois meses do incidente, que foi tratado com relativa rapidez, todos os titulares de dados que estavam no programa foram informados que se tratava de fake news. Todavia, segundo pesquisa realizada pelo Varejo após o incidente, a grande maioria daqueles que se descadastraram revelaram ainda haver certa desconfiança com o sistema do programa e que não pretendiam mais se associar, em que pese os seus benefícios.
Nesse contexto, mesmo após dissipada a fake news e estancada a perda de membros do Clube de Vantagens, este jamais voltou a ter adesões relevantes de novos membros.
Esse Varejo que adotou como base legal apenas o consentimento informado como política para tratamento de dados pessoais se viu, do dia para a noite, sem ter a disponibilidade de grande parte da sua base de dados que permitiu ao longo dos últimos anos traçar, por metodologias de inteligência de mercado, o desenvolvimento da sua atividade empresarial, de modo que sua operação perdeu valor e não tem conseguido sequer chegar aos números de faturamento de antes da criação do programa há dois anos.
O Varejo não tinha naquele momento do incidente, tampouco no curto espaço de tempo que a lei exige para atendimento da demanda de exclusão do titular dos dados, outro mecanismo que permitisse a manutenção daqueles no seu banco de dados.
Visando não ter uma perda reputacional ainda maior, tampouco uma pena pecuniária, que inviabilizassem sua operação ou mesmo a proibição de tratamento de dados pessoais, o Varejo procedeu ao apagamento desses dados da sua base e dos backups existentes.
A manutenção dessa base de dados pessoais seria absolutamente relevante, pois, através de ações de marketing direto para os associados haveria uma possibilidade maior de reversão desse quadro.
Isso estava inviabilizado, pois, com a exclusão das bases de dados do Varejo, este não poderia mais se comunicar por aquelas vias e dados obtidos com referidos consumidores.
Houve aqui duas crises, uma reputacional e outra do processo de tratamento de dados.
A primeira, que em algumas vezes pode representar a falência do negócio, foi de certa forma contornada e as pessoas informadas da fake news, tanto que ainda mantinham certa relação comercial com aquele Varejo.
A segunda crise, relativa ao tratamento dos dados pessoais, impactou de tamanha ordem na empresa que implicou no fechamento de lojas e demissões, haja vista que o processo de inteligência de mercado a partir do desenvolvimento de perfis e hábitos de consumo, ofertas diretas e fomento da vinda destes consumidores com maior frequência para as suas lojas, restou inviabilizado implicando em sensível queda de faturamento.
Haveria nesse caso outra concepção para o processo de tratamento de dados, sem que fosse baseada no consentimento informado dos consumidores? A resposta, ao meu entender, é positiva.
Um primeiro problema específico do consentimento para o exemplo aqui tratado está relacionado ao fato de se tratar de uma contratual duradoura ao longo do tempo, essa modalidade de contrato e sua política de privacidade não poderiam prever todas as informações necessárias para ter um consentimento informado nos termos da lei, para situações futuras não previstas naquela política de privacidade.
Apenas por esse ponto, portanto, já não se poderia ter o consentimento como uma base de tratamento absolutamente segura para essa hipótese em comento.
Nessa linha, na concepção do projeto e no desenvolvimento do relatório de impacto de risco no tratamento de dados pessoais pelo Clube de Vantagens, deveria ter sido aventada a utilização da base legal do cumprimento de contrato e procedimento preliminar relacionado a este contrato. Com um pouco mais de ousadia, até mesmo o legítimo interesse, poderia ser tido como uma outra base apropriada.
A base legal da execução do contrato ou de procedimentos preparatórios relacionados a este contrato, se sustentaria na medida em que o Clube de Vantagens é um contrato entre o titular dos dados e o Varejo, em que aquele aceita fornecer seus dados pessoais como forma de vincular-se àquele estabelecimento para obter vantagens (ofertas, sorteios, brindes, dentre outros) e este último garante ao membro ofertas exclusivas.
A ressalva aqui para o tratamento de dados pessoais no cadastro calcado nesta base legal de procedimento prévio para execução de contrato, seria, ao meu ver, para dados financeiros, de cartão de crédito, biométricos e faciais. Quanto aos demais dados de identificação a base legal se aplicaria tranquilamente.
Tendo sido realizadas compras por aquele associado, o pedido de exclusão dos dados pessoais poderia ser rejeitado pelo Varejo com base na justificativa legal de execução de contrato e na necessidade de tratamento desses dados ao menos pelo tempo da prescrição de eventuais ações, que no Código de Defesa do Consumidor de acordo com recentes decisões do STJ pode ser de até dez anos.
Não havendo tratamento de dados sensíveis (como dados de saúde, biométricos, religião, entre outros), haveria, ainda, a possibilidade de utilização do legítimo interesse, após a realização do teste de balanceamento exigido pela lei, para averiguar se o tratamento daqueles dados não frustrariam a expectativa do cidadão.
Pelas informações aqui disponibilizadas não parece difícil compreender e imaginar que estaria na expectativa do consumidor que os seus dados seriam tratados para que a ele fosse ofertado marketing direto de produtos que melhor se adequem ao seu perfil de consumo a preços melhores, logo, o legítimo interesse seria uma base legal possível a justificar a manutenção e tratamento dos dados pessoais na sua base.
A manutenção do tratamento de dados pessoais dos associados no caso em apreço é de fundamental relevância para superar o incidente da fake news, seja para conscientizar os seus clientes, seja para oferecer novos produtos e ofertas a ponto de contornar o episódio. A proibição de utilização desses dados inviabilizou a recuperação da empresa frente a esse episódio.
Nesse prisma, o desenvolvimento de um programa de privacidade e de adequação da empresa às normas da LGPD, não pode se dar por uma visão xiita e negar o tratamento de dados ou exigir consentimento para tudo. Essa é uma visão deturpada da lei e que fatalmente travará ou irá inviabilizar a atividade empresarial.
O objetivo do presente artigo é, pois, deixar claro que revela-se equivocado tratar LGPD sob o enfoque de que consentimento é a base mais segura para tratamento e que ela deverá ser sempre buscada preferencialmente.
Essa verdade é relativa e se aplica em alguns casos, sendo que nas demais hipóteses a preferência deve ser pela utilização de outras bases legais menos voláteis e não sujeitas a uma revogação intempestiva que pode inviabilizar o desenvolvimento da atividade empresarial, da tecnologia e do mercado como um todo pelos seus efeitos reflexos.
Autor: Marcelo Augusto Fattori. Advogado em Direito Digital e Proteção de Dados.
Membro do grupo de pesquisa em Direito Digital e Proteção de Dados da USP, Faculdade de Direito de Ribeirão Preto "Tutela jurídica dos dados pessoais na Internet & Observatório do Marco Civil da Internet no Brasil";
Sócio da seusdados.com . Empresa de consultoria em Proteção de Dados Pessoais.
Sócio de Germano de Lemos Advogados Associados
Jundiaí-SP | Ribeirão Preto-SP
Endereço eletrônico: marcelo@germanodelemos.com.br
site: http://germanodelemos.com.br/advogados/marcelo-augusto-fattori/
linkedin: https://www.linkedin.com/in/marcelofattori
lattes: http://lattes.cnpq.br/3341732439789359
--------------------------------------
Notas de Rodapé e Explicativas:
(1) HARARI, Yuval Noah. 21 Lições para o Século 21. Companhia das Letras. São Paulo. 2018. p. 56;
(2) VAINZOF, Rony; MALDONADO, Viviane Nóbrega(coord.); BLUM, Renato Opice. (coord.) Lei Geral de Proteção de Dados Comentada. Revista dos Tribunais. São Paulo. 2018. p. 40/41;
(3) BIONI, Bruno. Proteção de Dados Pessoais. A função e os limites do consentimento. Forense. Rio de Janeiro. 2019. p. 170 e seguintes.