Muito tem se falado nos últimos dias sobre a primeira decisão sancionatória da ANPD (Autoridade Nacional de Proteção de Dados), publicada no último 6/7/2023, no âmbito do Processo Administrativo Sancionador nº 00261.000489/2022-62, no qual foi autuada a empresa Telekall Infoservice.
De tudo se ouviu, e são todas críticas que precisam ser analisadas, é claro — e tenho certeza de que a ANPD o fará, separando o joio do trigo, sem rompantes emocionais, dentro da sua filosofia de regulação responsiva e não punitiva, que tem orientado a construção deste novo ecossistema de proteção de dados que estamos erguendo no Brasil.
O ponto que quero aprofundar neste artigo é uma questão antiga no Brasil, que em certa medida foi enfrentada pela ANPD nesse processo e requer a nossa atenção, que é a comercialização de base de dados. Estamos iniciando a era da privacidade no Brasil, e velhas práticas de compras de bases de dados, assim como novas práticas de ferramentas automatizadas de remarketing, por exemplo, precisam ser revisitadas.
Neste artigo analisarei uma das facetas da infração penalizada pela ANPD, que é a falta de hipótese legal para ter os dados e a venda desta base de dados. A ANPD aplicou uma multa simples no valor de R$ 7.200 por infração ao artigo 7º da LGPD, que é a falta de hipótese legal de tratamento de dados pessoais.
Esta foi considerada uma infração de maior gravidade, uma vez que os artigos que tratam sobre bases legais (7º, 11 e 14 da LGPD) são a espinha dorsal da LGPD, sem os quais não existe fundamento legal para um tratamento legítimo de dados. Além disso, haveria evidências de que a empresa tinha a pretensão de auferir vantagem econômica com a conduta, o que foi considerada uma circunstância agravante.
Todos sabemos que a LGPD é bastante flexível em relação a outras regulações, como a GDPR por exemplo, e busca garantir o desenvolvimento econômico, tecnológico e da inovação, assim como a livre iniciativa e a livre concorrência. Entretanto, o uso dos dados pessoais nos negócios precisa avaliar se o titular está sendo respeitado e se não há um tratamento abusivo, que possa atentar contra seus direitos e liberdades fundamentais assegurados pela LGPD.
Na decisão da ANPD, a mensagem original de oferta da base, que gerou a investigação, dizia: “melhor listagem de contatos WhatsApp de sua cidade. Agora você tem a possibilidade de sincronizar milhares de números em suas contas de campanha Google sem precisar digitar no seu celular. Nossa lista de contatos, é segmentada e filtrada por região e bairro o que possibilita a personalização de sua comunicação com o eleitor“. Quem nunca recebeu um WhatsApp desses ou e-mails assim, ofertando leads, contatos, emails, etc?
Pois é, a ANPD entendeu que a prática acima mencionada, com os elementos trazidos aos autos, não possuiria hipótese legal de tratamento dos dados, pois não dispunha do consentimento dos titulares, não encontrava amparo em cumprimento de obrigação legal ou regulatória, não se referia a ente da administração pública ou que desenvolva estudos como órgão de pesquisa, não envolvia execução de contrato, não configurou exercício regular de direitos, não envolveu proteção da vida ou da incolumidade física do titular, não se tratava de tutela da saúde, nem tampouco eram necessários para a proteção ao crédito.
A argumentação da empresa de que seriam dados públicos, que poderiam ter sido usados em sua atividade comercial, foi afastada pela ANPD com base no artigo 6º, I, da LGPD — princípio da finalidade —, que não teria sido atendido, pois não se identificou a observância de propósitos legítimos, específicos, explícitos e informados ao titular.
Na verdade, a ANPD entendeu que o tratamento foi realizado de forma incompatível com essas finalidades, pois o desenvolvimento de atividade comercial estava baseado no uso de dados disponíveis na internet sem respaldo legal, infringindo os artigos 7º, § 3º e §4º da LGPD, por não haver evidências de que os titulares tinham condições de saber que os seus dados estavam sendo tratados pela empresa. A ANPD também não conseguiu avaliar se o tratamento teria sido feito resguardando os direitos do titular e os princípios na LGPD. Em outras palavras, os titulares, na ótica da ANPD, não tinham conhecimento do tratamento, suas finalidades e de que forma poderiam exercer seus direitos.
Quanto ao tratamento posterior para novas finalidades, conforme previsto no §7º do artigo 7º da LGPD, a ANPD entendeu que também não seria possível afirmar que Telekall tenha considerado a finalidade, a boa-fé e o interesse público que justificassem a disponibilização dos números de telefone. Isso porque, a falta de indicação das fontes de dados para elaboração do mailing list não permitiria validar a sua legitimidade, portanto, afasta a possibilidade da atividade comercial da Telekall ser considerada adequada aos propósitos legítimos e específicos para preservar os direitos dos titulares.
Segundo a ANPD, o esclarecimento da empresa ficou restrito ao método técnico, sem esclarecer como o banco de dados teria sido construído, nem tampouco se os números telefônicos foram legitimamente obtidos ou fornecidos pelos titulares. Assim, entendeu a ANPD que como não haveria tratamento posterior compatível com a finalidade inicial — dados divulgados na internet — não seria possível considerar amparada pela LGPD a atividade comercial desenvolvida pela empresa.
Além disso, em relação a utilização da hipótese legal mais flexível do legítimo interesse do controlador, esta exigiria cuidados adicionais para assegurar direitos e liberdades fundamentais do titular. No entanto, não foi possível verificar se esses cuidados teriam sido adotados, tendo em vista que os titulares sequer tinham conhecimento de que a Telekall seria controladora de seus dados pessoais, impedindo assim que estes exercessem, por exemplo, seus direitos previstos no artigo 18 da LGPD.
Vale lembrar, que não só nesse caso de venda de bases de dados, mas também em outros casos em que não exista uma hipótese legal amparada pela LGPD para tratamento de dados pessoais, as empresas que obtêm vantagem econômica com o tratamento de dados pessoais poderão ser sancionadas de forma mais severa. A ANPD quer com isso diminuir a atratividade do ganho econômico, mediante o aumento do impacto da sanção.
Nesse caso inclusive, apesar de não existir notícias da comprovação do auferimento da vantagem, bastou a pretensão de auferir a vantagem econômica, de acordo com o que prevê o artigo 52§1º, III da LGPD, para que a ANPD fosse enérgica em desestimular o agente a correr o risco do ganho econômico, progredindo a gravidade da aplicação da sanção de advertência para a aplicação de multa simples, nos termos do art. 10, III, do Regulamento de Dosimetria.
E quanto aos adquirentes da base de dados, que seriam os clientes da empresa que adquiriram tal base de dados? A ANPD não abordou essa questão na decisão, sendo que do ponto de vista estritamente classificatório, surge uma dúvida acerca se os clientes seriam considerados controladores independentes ou conjuntos, na esteira dos esclarecimentos trazidos pela ANPD no Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.
No primeiro momento, tem-se a impressão de estarmos diante de uma controladoria conjunta, por decisão convergente, pois supostamente a empresa faria “disponibilização de plataforma digital de disparo de mensagens de Voz, Sms e Whatsapp, anunciando um banco de dados de 130 milhões de pessoas”, dando a ideia de que as decisões se complementariam de tal forma que o tratamento não seria possível sem a participação de ambos os controladores. Mas as informações não são conclusivas o suficiente para entendermos se de fato as decisões seriam tomadas em conjunto entre a Telekall gerindo sua plataforma digital e o cliente contratante, que determinaria os filtros de uso dos disparos de mensagens.
Mais adiante na decisão, a Telekall parece ter um outro modelo de negócios, segundo o qual o cliente contratante adquiriria a própria base de dados, podendo tratá-la de maneira autônoma e independente, inclusive enriquecendo a base, caso assim deseje, conforme a oferta de fornecimento: “nome do usuário, número whatsapp e endereço completo. Entrega via download no formato Excel, o que facilita a importação em vários aplicativos. Adquiria a sua base whatsapp ainda hoje e saia na frente. Oferecemos pacote com 5, 10, 25, 50 e 100 mil contatos.”. Nesse caso, ambas as empresas passariam a usar a lista de clientes, assim estas atuariam como controladores singulares, cada uma atuando em suas próprias campanhas.
Independente do papel que o cliente assumiria sob o prisma da LGPD, o mais importante é avaliar a legalidade da aquisição de uma base de dados não aderente as regras da LGPD. Estaria tal cliente sendo negligente em seu dever de diligência na condução dos negócios?
Embora a ANPD não tenha discutido isso, entendo que possa ocorrer a responsabilização do cliente. Se os dados não respeitarem as normas da LGPD desde a origem, não há maneira de torná-los legais posteriormente. Tenho insistido muito que não adianta comprar base de dados se o vendedor não possui origem daquele ativo que ampare aquela venda, pois o dado pessoal não é mais uma mercadoria alheia a vontade do titular ou cumprimento da LGPD.
As empresas, que adquirirem as listas de marketing, deverão fazer uma checagem rigorosa, por exemplo, se o terceiro obteve os dados pessoais de maneira justa e com hipóteses legais sustentadas na LGPD, como o consentimento por exemplo, mas não exclusivamente, se o uso secundário está de acordo com a boa-fé e o propósito de publicização anterior da informação, se as pessoas entenderam que seus dados seriam compartilhados para propósitos de marketing.
Na dúvida, recomenda-se não realizar nenhuma ação que vá além da expectativa razoável dos titulares, comercializando produtos ou serviços semelhantes aos que foram promovidos a esses clientes no passado, ou que eles tenham uma razão clara para esperar a comunicação. Busque soluções que atendam aos requisitos desta nova era da privacidade, sem colocar o seu negócio em risco, pois de fato já existem várias empresas atuando de maneira responsável nos mercados de bases de dados.
Takeaways
O que levar então dessa decisão da ANPD nos cuidados com compras de bases de dados? Práticas de compra de bases de dados e uso de ferramentas automatizadas de remarketing precisam ser revisadas. Busque soluções aderentes à LGPD, nas quais a privacidade seja garantida, e que haja respeito ao titular dos dados, em seus direitos fundamentais. Venda de bases de dados sem hipótese legal que ampare a transação viola a LGPD. O legítimo interesse não foi considerado como adequado para a venda de base de dados, no contexto desta decisão. O uso de dados disponíveis na internet sem respaldo legal também foi considerado uma violação da LGPD. O adquirente da base de dados será considerado um controlador e deve zelar para que os dados pessoais tenham sido obtidos de acordo com a LGPD. Em qualquer situação seja transparente e evite ações que vão além da expectativa razoável dos titulares no uso dos seus dados.
Helio Ferreira Moraes é sócio de proteção de dados no Pinhão e Koiffman Advogados.
