Marketing direto e Lei Geral de Proteção de Dados: como compatibilizar?
Estamos trocando dados a todo momento, como um hábito intrínseco e inconscientemente cravado na nossa rotina. O compartilhamento e fornecimento de informações têm ocorrido de forma extremamente fluida, cotidiana e, na maioria das vezes, sem a percepção do titular sob a sua extensão e dimensão.
Ora, quando se navega na internet, ou em redes sociais, quando se compra um determinado produto, ou mesmo se clica em sites, lê notícias ou se cadastra em sites, todas essas informações/dados podem ser armazenados e utilizados por pessoas/empresas das mais variadas maneiras.
O direcionamento de conteúdo, os e-mails marketing e a correlação dos anúncios visualizados com os gostos e perfis dos consumidores, utilizam referida base de dados gigantesca, de milhões de usuários que fazem com que os titulares sejam cada cada vez mais bombardeados com essas “propagandas”.
Este fluxo ganha cada vez mais espaço, movimentando quantias estratosféricas e relativas às mais variadas fontes de consumo, podendo-se aí identificar a importante e complexa atuação do marketing direto, responsável por chamar a atenção do consumidor aos produtos e serviços ofertados, de forma cada vez mais personalizada – ou individualizada.
Com isso em pauta, os Estados têm formulado e aplicado políticas protetivas nesse sentido, emitindo regulamentos (no caso da União Europeia, o GDPR, ou Regulamento Geral de Proteção de Dados, em tradução livre) e sancionando leis. Neste último caso, o Brasil decidiu regular a matéria através da Lei n.º 13.709/2018, denominada Lei Geral de Proteção de Dados[1], inspirada no Regulamento Europeu, e cuja aplicação será efetiva a partir de agosto de 2020.
Como dito, os impactos dessas novas diretrizes são tão grandes que extrapolam – e muito – o âmbito jurídico, provocando uma iminente necessidade de adequação das empresas em geral, não apenas das grandes corporações, mas também de empresas de varejo, supermercados, farmácias, e também das agências de marketing.
Em que pese as inúmeras implicações de referida legislação, nosso foco, no presente artigo, é entender como referida legislação tem o potencial de alterar diametralmente a maneira como as empresas em geral praticam o chamado marketing direto.
Preliminarmente, é preciso salientar que entendemos como marketing direto a oferta de produtos, promoções, serviços direcionadas a uma pessoa física. Desta feita, cada vez que se recebe um e-mail de uma loja ou newsletter, alguma propaganda ou panfleto em sua casa, ou se atende uma ligação com oferta de produtos direcionada, estamos falando de marketing direto.
Veja-se que, atualmente, são muitas as ferramentas utilizadas pelas empresas para a coleta de dados pessoais com o objetivo de realizar marketing direto. Exemplificando, pode haver coleta de dados como gênero, idade, situação econômica, localização e até mesmo interesses para a venda de produtos e/ou serviços específicos.
Fato é que nunca o marketing direto foi potencialmente tão invasivo.
Diante desse cenário, como compatibilizar o marketing direto com as normas e diretrizes da LGPD, nomeadamente no que diz respeito à privacidade e à inviolabilidade da intimidade?
Será possível compatibilizar, ou haverá necessidade de alteração completa do modus operandi das empresas que praticam esse tipo de marketing?
A resposta é encontrada na própria Lei. Veja-se que a LGPD traz, em seu artigo 7º, as hipóteses em que estão autorizados os tratamentos dos dados dos titulares. Dentre referidas hipóteses, merecem destaque aquelas dos incisos I e IX, nomeadamente o fornecimento de consentimento pelo titular e o legítimo interesse do controlador ou de terceiro, respectivamente.
Ou seja, aquela empresa que possui interesse em realizar marketing direto terá duas opções de embasamento legal para fazê-lo: ou obtém o consentimento específico do titular para tanto, ou embasa referida atividade no conceito de legítimo interesse.
A primeira hipótese – do consentimento – transfere ao usuário o poder de decidir se consente com o uso de seus dados pessoais para determinado fim (opt-in). Salientamos que o consentimento deve ser livre, informado e inequívoco, pelo qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada – no caso, para que seja alvo de marketing direto.
Frise-se, aqui, que esta destinação deve ser bem delimitada e de maneira absolutamente clara informada ao titular, de forma que, uma vez alterada, um novo consentimento deverá ser requerido.
Ainda, no caso do consentimento, a lei faculta ao titular a possibilidade de requerer exclusão de seus dados a qualquer momento do banco da controladora (opt-out).
Ora, se embasarmos referida atividade de marketing direto no consentimento, como as empresas operacionalizarão referido consentimento para todas as pessoas que seriam alvo de seu marketing? E quando sua obtenção, do ponto de vista prático, não for viável? As empresas terão que acessar toda a sua base de dados e solicitar o consentimento de todos os titulares de dados a partir de agosto de 2020? E se não for outorgado o consentimento por grande parte dos consumidores?
O questionamento que se faz é: como será feito esse consentimento? Políticas de privacidade e termos e condições extensos e prolixos como os atuais, serão considerados pela lei sem a possibilidade de serem desafiados pelo titular? Não nos parece que essa resposta seja positiva.
Veja-se que o silêncio do titular, o uso de caixas pré selecionados, termos generalistas ou prolixos, todas essas situações podem complicar sobremaneira a operação de uma empresa cujo modelo de negócio e tratamento de dados para marketing direto é baseado no consentimento.
Existe, no entanto, uma segunda base legal para realização desse marketing direto, qual seja, o legítimo interesse do controlador ou de terceiro. Nesses termos, a Lei autoriza o tratamento de dados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
A esse teor, existe menção expressa na LGPD, em seu art. 10, inciso I, que autoriza a utilização da base legal do legítimo interesse para fundamentar tratamento de dados pessoais para finalidades legítimas, tais como apoio e promoção de atividades do controlador.
Em que pese esta autorização expressa, é fato que referido tratamento deve ser realizado em consonância com os princípios elencados na lei retromencionada, de maneira que o controlador deve realizar os seguintes filtros ou testes:
- Aferição da legitimidade da atividade do ponto de vista legal;
- Constatação da necessidade de utilização daqueles dados, com o mínimo de intrusão possível;
- Realização de balanço entre o interesse da empresa e a privacidade do consumidor;
- Confirmação da existência de expectativa por parte do usuário de que seus dados sejam processados naquele contexto, dado o relacionamento com a empresa;
- Adoção de medidas de transparência, de oposição (opt-out)e de mitigação dos potenciais riscos.
Especificamente sobre a adoção de medidas de transparência, menciona-se a necessidade de criação e publicização pelo Controlador de Política de Privacidade que seja de fácil acesso e de fácil apreensão pelos titulares dos dados.
Do mesmo norte, sobre a adoção de medidas de mitigação dos potenciais riscos, menciona-se a obrigação disposta no § 3º do art. 10, que aduz a necessidade de elaboração, pelo controlador, de relatório de impacto à proteção de dados pessoais quando o tratamento tiver como fundamento seu interesse legítimo.
Desta feita, desde que tomadas as precauções acima mencionadas e atendidos os princípios dispostos na Lei Geral de Proteção de Dados, parece-nos possível a utilização da base legal do legítimo interesse do controlador para justificar e autorizar a prática de marketing direto.
Destarte, é inegável o impacto da LGPD em qualquer empresa que pratique marketing direto, sendo premente a necessidade de que estes operadores, de fato, analisem quais são os dados que são tratados, quais as bases legais que autorizam referido tratamento, e que tomem as medidas e as precauções necessárias para estar em conformidade.
Natália Brotto – Advogada com atuação nas áreas de direito cível, empresarial e contratual. Graduada pela Universidade Federal do Paraná – UFPR, especialista em Direito Constitucional pela Academia Brasileira de Direito Constitucional – ABDCONST, pós graduada em Direito Contratual pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV, e Legal Law Master em Direito Empresarial pela ISAE/FGV. Mestranda em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV. Coordenadora da Câmara de Direito, Orientação e Prevenção da Associação Comercial do Paraná. Membro do Conselho de Direito Empresarial da OAB/PR.
Aleff Ribeiro – Advogado com atuação nas áreas de direito cível e empresaria, graduado pela PUC-PR.
[1] Veja, neste sentido, o artigo que publicamos em nosso portal, com nossas primeiras impressões da LGPD: https://bit.ly/2X3QePt