Com a aprovação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), praticamente todos os setores da sociedade, tanto no âmbito público quanto no privado, devem tomar medidas para se adequar às novas exigências legais sobre o tratamento de dados pessoais.

Um dos setores que será afetado mais diretamente pela nova lei será o de publicidade e marketing, especialmente em relação ao modelo de publicidade direcionada com base em análises comportamentais, que individualiza e segmenta os anúncios de acordo com os perfis do público-alvo.

Para criar esses perfis, é necessário tratar um grande volume e uma ampla variedade de dados, como histórico de navegação na Web, uso de aplicativos, hábitos de compras, dados de geolocalização, endereço de IP, dados de rede, registro de data e hora de ações executadas, tempo de permanência em cada página, links clicados e buscas realizadas.

Hoje esses dados costumam ser coletados e tratados livremente, muitas vezes sem o consentimento ou mesmo o conhecimento dos titulares (isto é, a pessoa a quem se referem os dados). Em alguns casos, o argumento para essa prática é que tais dados não seriam, a rigor, dados pessoais, por não serem capazes de identificar uma pessoa, apesar da definição trazida no art. 14 do Decreto nº 8.771/2016, que regulamenta a Lei nº 12.965/2014 (Marco Civil da Internet). Esse modelo, contudo, precisará ser revisto para se ajustar à LGPD, que entrará em vigor em agosto de 2020.

Nos termos da nova lei, o tratamento de dados pessoais somente poderá ser realizado em uma das dez hipóteses previstas em seu artigo 7º.[1] Além disso, será preciso levar em conta o disposto no §2º do art. 12 da LGPD, segundo o qual poderão ser considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Vale destacar que nenhuma das bases legais que legitimam o tratamento de dados tem preponderância ou maior importância em relação às demais, devendo ser realizada uma análise caso a caso para identificar aquela que mais se adequa à situação concreta.

A análise deste artigo é limitada às hipóteses dos incisos I e IX – o consentimento do titular dos dados e o legítimo interesse do controlador – por serem elas as mais comumente invocadas para fundamentar o tratamento de dados para fins de análise comportamental e oferta de publicidade direcionada. As demais hipóteses muito raramente se aplicariam a essa finalidade.

Em relação ao legítimo interesse do controlador, a LGPD determina expressamente que ele só poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, incluindo, por exemplo, o apoio e a promoção de atividades do controlador (isto é, a pessoa a quem competem as decisões acerca do tratamento dos dados pessoais), desde que tal tratamento não implique violação desproporcional dos direitos e liberdades fundamentais do titular dos dados.

Assim, seria possível questionar o legítimo interesse como fundamento legal para o tratamento de dados pessoais para fins de análise comportamental e oferta de publicidade direcionada, na medida em que, pela própria natureza dos dados, sua coleta e tratamento poderiam ser considerados demasiadamente intrusivos, violando de forma desproporcional a privacidade e a intimidade de seus titulares.

Uma decisão recente nesse sentido foi a da Comissão Nacional de Proteção de Dados da França (CNIL), que condenou o Google a pagar multa de 50 milhões de euros por entender que a empresa tratava dados para fins de análise comportamental e segmentação de publicidade sem adequada fundamentação em uma das hipóteses autorizativas previstas pelo GDPR (o Regulamento Geral Europeu de Proteção Dados, que inspirou a LGPD).

No entendimento do CNIL, “se o grande número de dados processados permite determinar por si só o caráter massivo e intrusivo dos tratamentos realizados, a própria natureza de alguns dos dados descritos, como os de geolocalização ou os conteúdos consultados, reforça esse entendimento. Considerada isoladamente, é provável que a coleta de cada um desses dados revele com alto grau de precisão muitos dos aspectos mais íntimos da vida das pessoas, incluindo seu estilo de vida, seus gostos, seus contatos, suas opiniões ou até mesmo suas viagens. O resultado da combinação desses dados reforça consideravelmente a natureza massiva e intrusiva dos tratamentos em questão”.[2]

Tendo em vista esse entendimento, parece-nos, em princípio, que, embora o legítimo interesse possa ser utilizado como fundamento legal para a coleta e o tratamento de dados mais pontuais e menos invasivos, quando se trata do tratamento massivo de grandes quantidades de dados de natureza mais intrusiva, como é o caso do Google, é mais aconselhável obter o consentimento prévio dos titulares dos dados pessoais como fundamentação legal para o tratamento realizado para fins de análise comportamental e oferta de publicidade direcionada. No entanto, como já destacado, a escolha da base legal para fundamentar o tratamento de dados deve sempre ser feita caso a caso, analisando-se, entre outros aspectos, o tipo e a quantidade de dados coletados, a viabilidade da obtenção do consentimento e os riscos decorrentes de cada escolha.

A LGPD estabelece que o consentimento como base legal para o tratamento dos dados deve ser livre, informado e inequívoco, além de fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, caso contrário, não será considerado válido. O consentimento também deve se referir a finalidades determinadas, de modo que autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas.

Em outras palavras, para que o consentimento seja considerado válido e, portanto, hábil a legitimar o tratamento de dados, é essencial que o titular dos dados tenha acesso facilitado às informações sobre o tratamento, as quais deverão ser disponibilizadas de forma clara, adequada e ostensiva, incluindo informações acerca dos tipos de dados tratados, finalidade específica do tratamento, forma e duração do tratamento, identificação do controlador responsável pelas decisões referentes ao tratamento, consequências resultantes, impactos para os titulares dos dados e grau de intrusão em suas vidas privadas.

No caso do Google mencionado antes, o CNIL entendeu que o consentimento obtido não era válido, pois as informações sobre o tratamento estavam espalhadas por diversos documentos, o que tornava o acesso a elas difícil para os titulares dos dados. Além disso, as informações eram demasiadamente genéricas, e isso impedia que os titulares entendessem com suficiente clareza as consequências particulares do tratamento e avaliassem a extensão do tratamento e o grau de intrusão em suas vidas privadas.

O CNIL entendeu ainda que, para que o consentimento fosse considerado válido, seria necessário um ato positivo por parte do titular dos dados, não apenas opt-ins pré-selecionados. Ou seja, de acordo com o entendimento do CNIL, é imprescindível que o próprio titular dos dados selecione a caixa manifestando expressamente seu consentimento.

Por fim, o CNIL reiterou que o consentimento deve ser concedido de forma específica e separada para cada finalidade de tratamento (por meio de opt-ins específicos e separados para cada finalidade), não sendo aceito o mero “de acordo” com a política de privacidade como um todo, considerado demasiadamente genérico e, portanto, nulo. Em relação a esse ponto, cabe destacar que a LGPD, diferentemente do GDPR, apenas exige que o consentimento seja específico em situações excepcionais (como no caso do tratamento de dados sensíveis ou da transferência internacional de dados). Assim, em tese, não há nada na lei brasileira que impeça a obtenção de um único “de acordo” com a política de privacidade como um todo.

Embora essa decisão do CNIL tenha sido tomada com base no GDPR, ela constitui um precedente bastante relevante, que pode ser utilizado como referencial interpretativo para a aplicação da LGPD, sempre tendo em mente as semelhanças e as diferenças entre as duas legislações.

Assim, é de suma importância que as empresas de marketing e publicidade direcionada observem atentamente as questões analisadas neste artigo e se adaptem às novas exigências da LGPD, a fim de garantir que o tratamento de dados pessoais por elas realizado esteja sempre embasado em uma das hipóteses legais, evitando a aplicação de sanções, as quais incluem multas de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 milhões por infração.

[1] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

[2] Tradução livre. Texto original: “Par ailleurs, si le très grand nombre de données traitées permet de caractériser à lui seul le caractère massif et intrusif des traitements opérés, la nature même de certaines des données décrites, telles que les données de géolocalisation ou les contenus consultés, renforce ce constat. Considérée isolément, la collecte de chacune de ces données est susceptible de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs goûts, leurs contacts, leurs opinions ou encore leurs déplacements. Le résultat de la combinaison entre elles de ces données renforce considérablement le caractère massif et intrusif des traitements dont il est question” (COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS (CNIL) - DELIBERAÇÃO N.º SAN-2019-001 DE 21 DE JANEIRO DE 2019).