Certamente, o enriquecimento de bases de dados é um dos temas mais difíceis, quando se pensa em privacidade e proteção de dados pessoais. Na Lei Geral de Proteção de Dados Pessoais, não há um artigo específico sobre o tema, e a maior dificuldade é encaixar as situações práticas na teoria.
É sabido o quanto as soluções de Big Data (de forma simplificada, grandes conjuntos de dados, maiores e mais complexos) e BI (Business Intelligence) ajudam as empresas, principalmente os setores de vendas e marketing, no entanto com o advento da LGPD a coleta dos dados pessoais precisa ser feita de forma a respeitar a no entanto, com o advento da LGPD, a coleta dos dados pessoais precisa ser feita de forma a respeitar a privacidade de todos.
O enriquecimento de dados, de forma simples, é a captação de informações que a empresa ainda não tem em sua base de dados para complementar um banco de dados existente. Por exemplo: a empresa tem o nome e o CPF, mas deseja enriquecer o seu banco de dados com o telefone de contato do cliente/consumidor. Por conta das atividades negociais, inteligência de mercado e estratégias, toda organização acaba por construir um banco de dados, no entanto, há a necessidade de cautela, pois a privacidade deverá ser considerada quando da construção da base de dados, independentemente se ela é feita de forma manual ou via ferramenta.
O mesmo cuidado deve ser levado em consideração quando houver um enriquecimento de base de dados realizado por terceiros. Além de, previamente, verificar se o terceiro está se adequando à LGPD, é salutar verificar de onde vêm os dados, por quais motivos são coletados e para quais finalidades eles serão utilizados. Obviamente, já se considera que as empresas estejam em processo de adequação à LGPD, levando em consideração a necessidade de data mapping, de análise de riscos, análise e revisão de documentos, governança de dados, dentre outras ações essenciais. No entanto, ao focar diretamente no enriquecimento de bases, há alguns pontos que precisam de atenção.
Inicialmente, é válido pensar em dois pontos: transparência com os titulares de dados e boa-fé (ambos, princípios já mencionados pela Lei Geral de Proteção de Dados Pessoais). Ainda que a LGPD não tenha um artigo específico sobre o enriquecimento de bases, os tratamentos devem ser realizados de forma que o titular tenha ciência sobre a utilização dos seus dados, bem como de que aqueles sejam utilizados apenas para a finalidade informada.
Nos casos de empresas de cobrança, por exemplo, nada impede a utilização dos dados, desde que haja uma proporcionalidade, ou seja, que os dados coletados e armazenados sejam usados de acordo com as finalidades informadas e obedecendo à Lei. É salutar que o tratamento seja autorizado por uma das 10 hipóteses de tratamento elencados pela referida Lei, qual seja, as bases legais constantes do artigo 7o, bem como atenda o que dispõe o artigo 6o, que trata dos princípios da Lei. Ainda, é de extrema importância a aplicação de medidas e controles de segurança, a fim de preservar a confidencialidade e a integridade dos dados pessoais.
Outro ponto importantíssimo é a rastreabilidade. É necessário saber de onde veio o dado, qual sua origem e por qual motivo ele consta naquela base de dados. Antes de qualquer coisa, e fazendo menção ao princípio da finalidade, constante do artigo 6o, inciso I, da LGPD, a pergunta inicial sempre deve ser: por qual motivo preciso acessar esse dado? Todo tratamento deve ser justificado, ou seja, ter uma finalidade informada ao titular bem como se encaixar em uma das dez bases legais elencadas pela LGPD.
Ter qualidade e gestão de dados coopera, não somente para a organização interna, mas também para a evolução da saúde financeira da empresa, logo, conhecer o valor, bem como a forma correta de tratar os dados pessoais ajuda na continuidade dos negócios da empresa, melhora processos e evita prejuízos financeiros.
É primordial ter em mente que, caso ocorra algum incidente, a reconstrução de processos e, principalmente, da confiança com clientes e parceiros será extremamente prejudicial à empresa. Sem contar a forte responsabilização dos agentes de tratamento, trazida pelo artigo 42 da LGPD. Fato é, que dados pessoais são necessários e serão cada vez mais utilizados, no entanto, as organizações precisam ter ciência de suas responsabilidades quando tratarem da privacidade alheia.
*Mariana Sbaite Gonçalves é advogada e sócia da Lee, Brock, Camargo Advogados (LBCA)
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a