A Lei Geral de Proteção de Dados (LGPD), Lei n nº 13.709/2018, impõe que todos os setores da sociedade, públicos ou privados, adotem medidas de adequação para o tratamento de dados pessoais.

As empresas que utilizam serviços de marketing e publicidade direcionados, fragmentando anúncios, de acordo análises comportamentais de perfis do público-alvo, são as mais impactadas.

Para análise comportamental e criação de perfis, uma infinidade de dados é tratada, tais como: aplicativos utilizados, geolocalização, hábitos de consumo, endereço de IP, dados de rede, período de permanência em cada página ou anúncios correlatos, buscas realizadas, links clicados, entre outros tantos.

Referidos dados sempre foram coletados e tratados livremente, muitas vezes sem conhecimento de seus titulares, sob a premissa de que não seriam suficientes para identificá-los, inobstante o preceito trazido pelo art. 7º do Decreto nº 8.771/2016, que regulamenta a Lei nº 12.965/2014 (Marco Civil da Internet).

Contudo esta prática deve ser revista obrigatoriamente com o advento da Lei Geral de Proteção de Dados (LGPD), que determina hipóteses específicas de permissão para o tratamento de dados. Ainda, de acordo com o artigo 12, §2º da referida Lei, poderão ser considerados dados pessoais os utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

A Lei Geral de Proteção de Dados (LGPD) determina que o controlador (pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais) somente poderá promover o tratamento de dados pessoais para finalidades legítimas e que não impliquem violação desproporcional dos direitos e liberdades fundamentais do titular dos dados.

Assim, há que se sopesar o legítimo interesse do controlador para fins de análise comportamental e oferta de publicidade direcionada versus a violação de privacidade e a intimidade de seus titulares.

A par disso, a Comissão Nacional de Informática e Liberdades (CNIL) da França, uma espécie de autoridade nacional de proteção de dados, aplicou uma multa de 50 milhões de euros ao Google por uma suposta “falta de transparência, informações insuficientes e falta de consentimento válido para a personalização de publicidade”.

No entendimento do CNIL, “se o grande número de dados processados permite determinar por si só o caráter massivo e intrusivo dos tratamentos realizados, a própria natureza de alguns dos dados descritos, como os de geolocalização ou os conteúdos consultados, reforça esse entendimento. Considerada isoladamente, é provável que a coleta de cada um desses dados revele com alto grau de precisão muitos dos aspectos mais íntimos da vida das pessoas, incluindo seu estilo de vida, seus gostos, seus contatos, suas opiniões ou até mesmo suas viagens. O resultado da combinação desses dados reforça consideravelmente a natureza massiva e intrusiva dos tratamentos em questão”.

Desta forma, mesmo que o legítimo interesse possa ser utilizado como fundamento legal para a coleta e o tratamento de dados, deve-se analisar, caso a caso, a quantidade de dados coletados, a viabilidade da obtenção do consentimento e os riscos decorrentes de cada escolha.

O consentimento como base legal para o tratamento dos dados deve ser livre, informado e inequívoco, além de fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, caso contrário, não será considerado válido.

Ainda, o consentimento deve se referir a finalidades determinadas. Autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas.

Embora a comentada decisão do CNIL tenha sido tomada com base no GDPR, constitui precedente bastante relevante, que poderá ser utilizado como referencial interpretativo para a aplicação da LGPD.

Neste cenário, incumbe advertir que todas as empresas, especialmente aquelas que exploram, sob qualquer forma, marketing e publicidade direcionados, devem se adequar às exigências da LGPD, para garantir que a coleta e o tratamento dos dados estejam contemplados pelas hipóteses legais, fundamentação jurídica crível, evitando aplicação de sanções que incluem multas de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 milhões por infração.

O escritório Duarte Tonetti está disponível para esclarecer todas as dúvidas e auxiliar seus clientes nos procedimentos para adequação à Lei Geral de Proteção de Dados.