Está cada vez mais comum a abordagem direta por e-mail, ou até mesmo ligações telefônicas, por empresas que nunca ouvimos falar, ofertando seus mais diversos produtos ou serviços.
Esta sempre foi uma prática muito comum de mercado: a identificação de uma persona para aquela oferta específica, ou simplesmente a oferta massiva e indiscriminada de um presente, que por trás vinha acompanhado de uma venda, metaforicamente, uma pescaria (não é à toa a incorporação do termo fishing, para, modernamente, definir uma prática intrusiva em ambientes privativos).
Tudo isso, até o big data, era realizado com um esforço humano absurdo. Como precursores do telemarketing, milhares de pessoas se debruçavam sobre guias telefônicos (um catálogo, com mais de 1.000 páginas contendo o nome de pessoais seus números de telefone e endereço. acreditem, isso existiu: o que pode imaginar de mais old school, em termos de banco de dados da época) extraído dados pessoais para gerar as abordagens de venda, através de ligações telefônicas.
O Avanço tecnológico sempre foi movido necessidade de diminuir ou resolver “a dor” gerada pelas dificuldades dos mais diferentes processos. Para esta que estamos falando, chegou-se até a raspagem de dados automatizada (Data Scraping), quando é possível extrair da web e redes sociais, quaisquer tipos de dados, sejam pessoais ou não.
Existem hoje diversas soluções em tecnologia que fazem, de forma totalmente automatizada, desde a simples raspagem indiscriminada de dados até aquelas que são parametrizados a persona, os dados pessoais que se quer que sejam extraídos e o seu uso, por exemplo, o envio de um e-mail padrão. Há a definição de uma persona e ele sai atrás desse perfil coletando os dados pessoais como por exemplo “nome” e “e-mail”.
O data scraping em si, não é ilegal, mas sim a forma como os resultados obtidos são utilizados. Por exemplo quando se vende os dados coletados, na forma de uma base de dados estruturada a partir desta prática ou quando a coleta de dados é massiva, sem um propósito legítimo.
Facebook e o Linked In, já foram alvo de data scraping, este último com a exposição, por uma única pessoa, dos dados de 92% de todos os seus usuários. o que o levou a incorporar ao seu contrato de usuário a proibição do uso desta técnica.
O centro da questão é se, em razão da LGPD, pode haver essa coleta de dados (data scraping), para as finalidades que as Empresas os estão utilizado: a abordagem para a venda dos seus serviços e produtos.
A primeira impressão é a de que, se os dados estão na web ou em redes sociais, eles são públicos e, portanto, poderiam ser utilizados (tratados) por qualquer pessoa.
Mas não é bem assim. A LGPD estabelece que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização (Art. 7º, §3º). Em seguida, vem a disposição de que é dispensada a exigência do consentimento (Art. 7º, I), para os dados tornados manifestamente públicos pelo titular, resguardados os seus direitos e princípios previstos na lei (Art. 7º, §4º), lembrando que a dispensa no consentimento, não dispensa a existência de outra hipótese legal para os tratamentos de dados realizados por essas Empresas.
Aproveitando o exemplo do Linked In, a sua política de privacidade define a finalidade da coleta de dados dos seus usuários da seguinte maneira:
“A missão do LinkedIn é conectar profissionais do mundo todo, tornando-os mais produtivos e bem-sucedidos. Para nós, é fundamental sermos transparentes sobre os dados pessoais que coletamos a seu respeito, sobre como eles são usados e com quem os compartilhamos.”
Então, a finalidade do compartilhamento de dados pelo titular com a rede social e a forma como eles foram tornados “públicos” foi para conectar profissionais do mundo todo, dentro da plataforma (ou, entre usuários da plataforma, formando uma rede de profissionais). Mas poderia se dizer então que da finalidade surge um “interesse público”, o que seria questionável, porque a plataforma não é pública (no sentido de interesse da sociedade), mas de acesso público, bastando possuir um dispositivo conectado à internet e a criação de um usuário com login e senha. Mas aí, esta condição já limita a rede social e mostra o quão ela não é pública.
Então, se uma Empresa faz data scraping, estrutura os dados coletados em uma base formada por dados pessoais do tipo “nome do profissional” e “e-mail”, disparando mailing em massa para venda de serviços, ela faz isso para uma finalidade diferente da qual os dados foram compartilhados com o Linked In e “tornados públicos”.
Além disso, particularmente, no próprio contrato de usuário desta rede social está estabelecido:
- O que não fazer:
- Desenvolver, dar suporte ou utilizar software, dispositivos, scripts, robôs ou quaisquer outros meios ou processos (incluindo crawlers, plugins e add-ons para navegadores ou quaisquer outras tecnologias) para fazer varredura nos Serviços ou copiar de outra forma perfis e outros dados dos Serviços;
Então, ao que parece, data scraping, especialmente no Linked In, mas sem excluir-se outras redes sociais que já adotaram providências bem semelhantes, está em desacordo com as próprias políticas da plataforma.
Voltando ao enfoque da LGPD, ainda que o tema não seja pacificado, é preciso que se encare o data scraping como algo em desacordo com essa legislação, porque sempre se colocará em jogo, garantias e direitos fundamentais do titular de dados pessoais.
Mesmo que se diga que poderia ocorrer essa coleta e tratamento de dados pessoais amparada na hipótese legal do legítimo interesse do Controlador.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(…)
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Ocorre que, um interesse legítimo, deve ser justo e lícito, mas quando vemos a proibição do próprio Linked in para esse tipo de coleta de dados, não se encontra esse uso lícito.
Para além dos direitos e liberdades fundamentais do titular, também deve ser consideradas suas legítimas expectativas com essa coleta e tratamento de dados para a oferta de produto/serviço, realizando uma espécie de teste de balanceamento entre o que pretende o Controlador e o que pode esperar o Titular em seu benefício. E me parece que esta é a grande dificuldade aqui, estabelecer essa proporcionalidade, por todas as razões acima, sem contar a falta de atendimento dos princípios gerias da LGPD como os da transparência, necessidade, adequação e segurança (Art. 6º).
A título comparativo, o Regulamento Geral de Proteção de Dados da Europa (GDPR), diz que quando os dados pessoais não forem obtidos diretamente do titular, o responsável pelo tratamento deverá fornecer a ele algumas informações, entre elas: a finalidade do tratamento bem como a base legal que o justifica (Art. 14). Então, indo além, não bastaria dar ao titular a opção de se descadastrar do mailing, porque a coleta foi realizada antes do seu conhecimento.
Além disso, o fato de Empresas fazerem coleta de dados de titulares tomando as decisões a respeito dos “novos” usos e finalidades no seu tratamento para uma oferta de produto/serviço (fim econômico), faz delas uma Controladora e, portanto, a coloca no dever de cumprir a LGPD, obrigando-a a comprovar o uso justo e lícito dos dados pessoais, frente aos titulares e à Autoridade Nacional de Proteção de Dados.
Por todo esse contexto, é que se conclui que a prática de data scraping, no contexto de tratamento aqui discutido, não está em conformidade com a LGPD, sujeitando a Empresa que o pratica às sanções da própria Lei e a possibilidade de o titular de dados pessoais postular alguma reparação indenizatória pela ofensa aos seus direitos.
por Luciano Escobar
