7min de leitura

LGPD: O que fazer quando recebo a ligação de um vendedor desconhecido? Diferença entre Abordagem e Assédio.

De acordo com o Ministério Público Federal (http://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd), a Lei Geral de Proteção de Dados, também conhecida como LGPD (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.

A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos. 

Neste sentido, há o empoderamento do cidadão no que se refere à coleta, tratamento, armazenamento e compartihamento dos seus dados pessoais. Ou seja, para que dados pessoais sejam coletados e geridos por uma empresa (e até mesmo pelo governo), é necessário ter uma boa governança na proteção da informação e transparência nas regras de como estes dados estão sendo protegidos e manuseados.

E, para tanto, é necessário atender, pelo menos, uma das hipóteses abaixo, que são as bases legais para uma empresa coletar e tratar dados:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Assim sendo, quando alguém recebe uma abordagem comercial, incluindo uma ligação via call center-telemarketing, quais perguntas devem ser feitas?

A primeira é saber qual é a fonte dos seus dados pessoais. Ou seja, saber de onde a empresa conseguiu suas informações para que fosse possível entrar em contato. Entender se houve consentimento no uso dos dados ou se veio de um compartilhamento com alguma empresa que você já teve relacionamento. Se o telemarketing não conseguir responder esta pergunta, já é um indício negativo de uma possível infração de dados.

A segunda é saber qual das 10 bases legais acima se baseia o contato. E, neste sentido, existe uma das 10 bases legais que traz subjetividade no que se refere à interpretação no eventual contato de um comercial na prospeção de um cliente: " IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;"

Se não houver contextualização e afinidade, não há "legítimo interesse".

Afinal, o que seria "legítimo interesse"? A interpretação pode ser baseada na General Data Protection Regulation (GDPR), o que podemos traduzir como Regulamento Geral sobre a Proteção de Dados, que é a legislação de proteção de dados da comunidade européia:

"Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta."

A Senacon (Secretaria Nacional do Consumidor), do Ministério da Justiça, determinou a aplicação de uma multa no valor de R$ 9,6 milhões ao Banco Itaú Consignado S.A. pelo uso indevido de dados pessoais de clientes. A ação se dá em decorrência de denúncias do Instituto de Defesa Coletiva e do Instituto Brasileiro de Defesa do Consumidor (Idec), feitas em 2019, a respeito de comportamentos abusivos identificados na oferta e contratação de empréstimos consignados.

De acordo com o Senacon, o banco permitiu que terceiros contratados pela instituição financeira assediassem consumidores idosos, oferecendo empréstimos a partir de dados obtidos sem consentimento prévio.

A secretaria afirma que a empresa atuou “em violação às normas de proteção ao consumidor, na medida em que tais consumidores não eram informados da abertura de banco de dados e de cadastro, o que acabou consubstanciando em evidente exploração da hipervulnerabilidade de idosos aposentados e pensionistas do INSS”.

Assim sendo, a questão do "legítimo interesse" requer CONTEXTUALIZAÇÃO e é exatamente essa a diferença entre ABORDAGEM e ASSÉDIO, no contexto da LGPD. Colocar-se no lugar do cliente e entender se, aquele contato comercial, tem alguma afinidade, relacionamento ou interesse por parte do interlocutor, ou se é meramente uma propaganda sem sentido. É como oferecer desconto em uma churrascaria para alguém vegano.

Neste contexto, se não for feita a análise de risco (Relatório de Impacto a Dados Pessoais) em uma ação promocional que envolva ativação via call center ou atividade correlata para prospecção massiva de clientes, há grandes chances de ocorrer infração de dados, passível de autuação por parte da Autoridade Nacional de Proteção de Dados (ANPD), bem como indenização por parte da pessoa lesada.

Então, muito cuidado!

0 comentários

Deixe seu comentário