Até o fim do ano, a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador sobre o uso de informações pessoais no Brasil, deverá estabelecer regras sobre um trecho da Lei Geral de Proteção de Dados (LGPD) que se transformou em um dos maiores mitos sobre a regulação de informações pessoais: para usar os dados pessoais, empresas precisam do consentimento do consumidor. Isso nem sempre é verdade.
Assine a nossa newsletter e fique atualizado sobre as principais notícias da experiência do cliente
A LGPD prevê 10 bases legais ou possibilidades de tratamentos de dados, sendo que apenas uma depende do consentimento da pessoa. Os demais casos acontecem bem longe dos olhos dos consumidores, porém com o respaldo legal.
“Existe quase um hábito na sociedade de achar que o consentimento é a principal base ou condição jurídica que autoriza o tratamento de dados pessoais. Não é. Existem outras formas de coletar dados sem pedir autorização. Quando você emite uma nota fiscal, os dados pessoais do contribuinte são compartilhados com a Receita (Federal) e ninguém pede autorização porque há uma lei sobre isso. É um mito da regulação que existe no Brasil e precisa ser discutido”, explica Fabrício da Mota Alves, advogado especialista em proteção de dados e conselheiro da ANPD.
Contratos, proteção do crédito e cumprimento legal
O exemplo da nota fiscal citado por Mota Alves é um bom ponto de partida para falar de outras formas de tratamento de dados. Em tese, ele poderia ser classificado como cumprimento da obrigação legal, outra das 10 bases legais que autorizam o tratamento de dados no País.
Em suma, essa base legal reconhece a existência de outras normas em vigência que obrigam o armazenamento de informações pessoais e dispensam a necessidade do consentimento. Empresas de telecomunicações, por exemplo, são obrigadas a manter os dados do consumidor por cinco anos, pois isso garante o acesso do consumidor a gravação de um contato feito no SAC da empresa. Outro exemplo é o setor de saúde. Prontuários devem ficar guardados por pelo menos 20 anos.
Outro exemplo de forma de tratamento de dado que dispensa consentimento é a chamada execução de contrato. Nela, a empresa não precisa da autorização do consumidor por causa da necessidade da companhia em fazer cumprir um contrato.
Leia ainda: Dois temas prioritários (e pouco comentados) sobre a Lei Geral de Proteção de Dados
Um bom exemplo dessa base legal é a relação de um cliente com uma companhia. O cliente comprou uma passagem aérea de uma empresa “A”, mas, para chegar ao destino, será necessário que um determinado trecho da viagem seja operado pela “empresa B”. Nesse caso, a primeira companhia aérea precisará repassar os dados para que o cliente chegue ao destino.
Há ainda a base legal que garante a proteção de crédito. Para que um banco ou uma financeira autorize um empréstimo de dinheiro, é preciso realizar uma pesquisa prévia sobre o perfil de consumo e de pagamento do consumidor.
A base legal é importante, pois tem finalidades importantes. Para a instituição financeira, a análise diminui o risco de calote no futuro. Para o consumidor, isso poderia impedir que ele se torne um endividado ou um superendividado – e ele perderia os benefícios de como a lei do superendividamento.
A regra não é tão clara
Há, por outro lado, hipóteses de tratamento de dados que mais deixam dúvidas do que certezas na cabeça do consumidor. Atualmente, o principal exemplo é interesse legítimo do controlador de dados, que foi pensado pelo legislador para as empresas.
À primeira vista, a ideia não parece algo muito difícil de entender. A empresa precisaria apenas comprovar que possui um interesse legítimo (e legal) para usar os dados pessoais sem a necessidade de consentimento do consumidor.
Se um aplicativo de mobilidade como o Uber ou 99 transferem os dados do passageiro para o motorista, haveria um legítimo interesse para que as informações fossem repassadas sem a autorização do consumidor.
Mas, e se as mesmas duas empresas de mobilidade utilizassem dados como nome, e-mail e telefone para inundar o seu e-mail ou celular com todo o tipo de publicidade indesejável? Será que as empresas poderiam alegar um legítimo interesse em divulgar os serviços ou diriam que possuem um legítimo interesse de faturar mais?
Para alguns especialistas, o legitimo interesse deve garantir a possibilidade de a empresa inovar, empreender, executar a sua atividade e/ou gerar empregos. Mas quais seriam os limites para esses movimentos da companhia?
E a ANPD vai dizer sobre o assunto?
Por enquanto, é difícil apontar qual deverá ser a palavra final da Autoridade de Dados sobre legítimo interesse e outras bases legais que muitos consumidores sequer sabem que existem.
Uma das certezas, segundo explica Bruno Bioni, especialista em privacidade e proteção de dados e um dos fundadores da instituição Data Privacy Brasil, é que a Autoridade deverá produzir um guia sobre o tema.
“É importante apontar que a própria Autoridade já disse: o tema será abordado por meio de um guia e isso passa uma mensagem de que a autoridade não será muito prescritiva nesse movimento de normatização. E nem poderia ser. Esse é um tema muito elástico, muito transversal, e ele vai acabar ganhando contornos muito específicos de acordo com cada setor que irá aplicar. Veremos um cenário na indústria do varejo, outra nas telecomunicações, um terceiro na saúde e, por fim, um quarto entendimento dentro do setor público. Quando a Autoridade utiliza desse mecanismo, ela passa muito mais diretrizes abertas para que existam rotas na lei”, explica.
É bom correr: queixas crescem
Enquanto o debate as bases legais ainda tenta desabrochar no campo regulatório, o fato é que o consumidor não pode esperar por muito tempo. O número de queixas sobre o tema está crescendo.
Em um recente levantamento sobre o tema, a Secretaria Nacional do Consumidor (Senacon) registrou um crescimento de 122% na comparação entre os sete primeiros meses de 2020 e 2021.
O número de consumidores que tiveram seus dados pessoais ou financeiros consultados, coletados, publicados ou repassados sem autorização entre janeiro e julho deste ano aumentou 122% na comparação com o mesmo período do ano passado.
As informações são da plataforma Consumidor.gov.br, que registra reclamações dos consumidores, e foram divulgadas pelo governo federal nesta quarta-feira (11).
Ao todo, houve 47.413 reclamações de janeiro a julho deste ano, enquanto em 2020 foram 21.310 no mesmo período. Os 7 primeiros meses deste ano já superam todo o ano passado, quando houve 44.750 reclamações desse tipo registradas.
“Existem milhares de reclamações sobre ligações de bancos contra devedores das instituições financeiras. As pessoas não querem receber ligações de cobrança dos bancos, então pedem que o banco elimine os dados para não serem incomodados. Acontece que o banco tem o direito de fazer uma cobrança. Ou seja, as empresas possuem um legítimo interesse, porém as pessoas não querem ser perturbadas. A ANPD precisa elucidar essas dúvidas”, explica Mota Alves.
Assine a nossa newsletter e fique atualizado sobre as principais notícias da experiência do cliente