Ouça este conteúdo
Completando um ano de vigência parcial, começam a ser divulgadas as primeiras decisões judiciais envolvendo a aplicação da Lei Geral de Proteção de Dados (Lei 13.709/2018). Podemos, então, imaginar que a partir de agora, pelo menos dentro dos limites judiciais, será possível traçar certas tendências de interpretação.
O trabalho de compilação de decisões envolvendo a LGPD é, no caso brasileiro, verdadeiramente hercúleo. Isso porque sua incidência transversal (de relações trabalhistas a empresariais e de consumo) e a estrutura de acesso ao Judiciário permitem a ampla discussão e a pluralidade de interlocutores (individuais ou coletivos, decisões preliminares ou definitivas e, claro, diferentes estâncias estaduais e federais). Afirmar, portanto, a existência, em breve, de verdadeira jurisprudência revela certo otimismo.
Por outro lado, ainda que não possam ser tomadas para fins estatísticos, importantes iniciativas vêm sendo adotadas. Destaquemos, assim, o trabalho da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), que compila, em seu site, várias decisões sobre o tema; e, claro, o papel da imprensa, que tem noticiado casos variados de aplicação da LGPD.
Também podemos destacar a sensação de uma mudança de postura: da abordagem inicial bastante alarmista (focada nas multas possivelmente aplicáveis pela Autoridade Nacional), passou-se a destacar a importância da compliance, no sentido de cumprimento da norma (independentemente da lógica sancionatória). Acredito que esta seja a melhor abordagem.
Como sabemos, a LGPD não se apresenta apenas como “lei” a ser cumprida (e que “pegou ou pegará”), mas reforça uma tendência natural de mapeamento e avaliação de riscos e profissionalização da administração. A preocupação com seu cumprimento, então, está mais associada à prevenção que à defesa. É, pois, exemplo de uma mudança de postura que vem influenciando a gestão e a atuação dos escritórios e departamento jurídico há algum tempo.
É claro que o mapeamento e a avaliação de riscos têm influência nos custos e lucratividade, mas não se limitam a eles. A imagem, a publicidade, as decisões estratégicas e os investimentos também são impactados.
Um exemplo corriqueiro de como esta avaliação pode (ou deve) ser feita é a externada em recente caso julgado pelos Juizados Especiais do Paraná. O caso envolvia o pedido indenizatório de um hóspede por suposta violação da LGPD que seria comprovada, por exemplo, pelo recebimento indesejado de e-mails. A decisão considerou, entre outros fundamentos, que a opção de “deixar de receber” no próprio corpo do e-mail seria suficiente para afastar a reclamação.
Sem adentrarmos ao mérito da questão (e sobre a necessidade de tratamento dos dados), convém destacar que ela oferece oportunidade de análise da decisão estratégica que incidiu/incidiria sobre este tipo de publicidade. Isso porque, por exemplo, o gestor precisaria avaliar não apenas o custo do envio, mas também a necessidade de consentimento (exigido pela LGPD), a percepção de seu público (que pode encarar tal iniciativa como spam), a real efetividade da comunicação (o porcentual de efetividade da publicidade), o custo jurídico de defesa, o desgaste da imagem, o investimento com bancos de dados e sua segurança, os cuidados com os profissionais que manipulam estes dados etc.
Neste sentido, então, o que estamos a observar, no Brasil, é a oportunidade de avaliação da cultura corporativa. Investir ou não em um mailing list não é decisão leviana, nem deixa de trazer ‘custos’. Não precisamos lembrar que a “compra” da lista de e-mails é prática nada recomendada, assim como coletar a autorização do uso de e-mail para envio da nota fiscal, mas aproveitá-lo para divulgação de publicidade.
Se os dados só podem ser tratados com o consentimento do consumidor e para a finalidade por ele consentida, melhor saber quais são para avaliar se, de fato, lhe interessa este negócio.
O que se percebe, então, é que a decisão sobre este tipo de abordagem publicitária pode fugir do simples “é só aproveitar a base que já temos” para o “como meu cliente receberá/perceberá” esta tentativa de comunicação. Se a imagem que pretendo passar é justamente a de privacidade e conforto, por que investir na sinalização contrária?
Por outro lado, o consumidor também tem responsabilidade e deve tomar certos cuidados. Sabe-se, por exemplo, neste meio, que quando o produto ou serviço não é “cobrado”, os dados do consumidor são a “remuneração”. Conhecer as condições em que são coletados, as finalidades a que a coleta se destina e poder controlar a correção e a eliminação destes dados é, portanto, extremamente relevante. Daí porque o consumidor não deve encarar a demanda por estas informações de forma desatenta. Se os dados só podem ser tratados com o consentimento do consumidor e para a finalidade por ele consentida, melhor saber quais são para avaliar se, de fato, lhe interessa este negócio. O e-mail é um exemplo disso.
A jurisprudência brasileira, por exemplo, já considerou que o envio de spam era mero incômodo. Todos sabemos, por outro lado, o volume e a dificuldade de termos nosso contato descadastrado (infelizmente, na maior parte das vezes não é mero exercício de opção constante do próprio e-mail). Pior, até pouco tempo atrás estes dados eram comercializados e, cruzados com outros, alimentaram um sem-número de fraudes, perfis falsos, sequestro de contas etc. Além disso, conhece-se a dificuldade de demonstrar a origem do spam e vinculá-lo a um determinado vazamento de cadastro. Esta prova, por exemplo, foi considerada essencial no julgado antes mencionado. Diante disso, melhor é a prudência e cuidado e, quem sabe, como um amigo me recomendou, ter uma conta destinada só para esta comunicação indesejada...
Refletindo um certo otimismo, acredito que a LGPD reforça a oportunidade que temos de alinhamento estratégico entre a decisão empresarial e a valorização do investimento em prevenção e compliance.
Frederico E. Z. Glitz é advogado e professor de Direito Internacional e Contratual.