Completando um ano de vigência parcial, começam a ser divulgadas as primeiras decisões judiciais envolvendo a aplicação da Lei Geral de Proteção de Dados (Lei n° 13.709/2018 – LGPD). Podemos, então, imaginar que a partir de agora, pelo menos dentro dos limites judiciais, será possível traçar certas tendências de interpretação.
O trabalho de compilação de decisões envolvendo a LGPD é, no caso brasileiro, verdadeiramente hercúleo. Isso porque sua incidência transversal (de relações trabalhistas a empresariais e de consumo) e a estrutura de acesso ao Judiciário permitem a ampla discussão e a pluralidade de interlocutores (individuais ou coletivos, decisões preliminares ou definitivas e, claro, diferentes estâncias estaduais e federais). Afirmar, portanto, a existência, em breve, de verdadeira jurisprudência, revela certo otimismo.
Por outro lado, ainda que não possam ser tomadas para fins estatísticos, importantes iniciativas vêm sendo adotadas. Destaquemos, assim, o trabalho da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) que compila, em seu site, várias decisões sobre o tema; e, claro, o papel da imprensa, que tem noticiado casos variados de aplicação da LGPD.
Também podemos destacar a sensação de uma mudança de postura: da abordagem inicial bastante alarmista (focada nas multas possivelmente aplicáveis pela Autoridade Nacional), passou-se a destacar a importância da compliance, no sentido de cumprimento da norma (independentemente da lógica sancionatória). Acredito que esta seja a melhor abordagem.
Como sabemos, a LGPD não se apresenta apenas como ‘lei’ a ser cumprida (e que ‘pegou ou pegará’), mas reforça uma tendência natural de mapeamento e avaliação de riscos e profissionalização da administração. A preocupação com seu cumprimento, então, está mais associada à prevenção que a defesa. É, pois, exemplo de uma mudança de postura que vem influenciando a gestão e a atuação dos escritórios e departamento jurídico há algum tempo.
É claro que o mapeamento e a avaliação de riscos têm influência nos custos e lucratividade, mas não se limitam a eles. A imagem, a publicidade, as decisões estratégicas e os investimentos também são impactados.
Um exemplo corriqueiro de como esta avaliação pode (ou deve) ser feita é a externada em recente caso julgado pelos Juizados Especiais do Paraná. O caso envolvia o pedido indenizatório de um hóspede por suposta violação da LGPD que seria comprovada, por exemplo, pelo recebimento indesejado de e-mails. A decisão considerou, entre outros fundamentos, que a opção de ‘deixar de receber’ no próprio corpo do e-mail seria suficiente para afastar a reclamação.
Sem adentrarmos ao mérito da questão (e sobre a necessidade de tratamento dos dados), convém destacar que ela oferece oportunidade de análise da decisão estratégica que incidiu/incidiria sobre este tipo de publicidade. Isso porque, por exemplo, o gestor precisaria avaliar não apenas o custo do envio, mas também a necessidade de consentimento (exigido pela LGPD), a percepção de seu público (que pode encarar tal iniciativa como spam), a real efetividade da comunicação (o percentual de efetividade da publicidade), o custo jurídico de defesa, o desgaste da imagem, o investimento com bancos de dados e sua segurança, os cuidados com os profissionais que manipulam estes dados, etc.
Neste sentido, então, o que estamos a observar, no Brasil, é a oportunidade de avaliação da cultura corporativa. Investir – ou não – em um mailing list não é decisão leviana, nem deixa de trazer ‘custos’. Não precisamos lembrar que a ‘compra’ da lista de e-mails é prática nada recomendada, assim como coletar a autorização do uso de e-mail para envio da nota fiscal, mas aproveitá-lo para divulgação de publicidade.
O que se percebe, então, é que a decisão sobre este tipo de abordagem publicitária pode fugir do simples ‘é só aproveitar a base que já temos´ para o ‘como meu cliente receberá/perceberá’ esta tentativa de comunicação. Se a imagem que pretendo passar é, justamente, a de privacidade e conforto, por que invisto na sinalização contrária?
Por outro lado, o consumidor também tem responsabilidade e deve tomar certos cuidados. Sabe-se, por exemplo, neste meio, que quando o produto o serviço não é ‘cobrado’, os dados do consumidor são a ‘remuneração’. Conhecer as condições em que são coletados, as finalidades a que a coleta se destina e poder controlar a correção e a eliminação destes dados é, portanto, extremamente relevante. Daí porque o consumidor não deve encarar a demanda por estas informações de forma desatenta. Se os dados só podem ser tratados com o consentimento do consumidor e para a finalidade por ele consentida, melhor saber quais são para avaliar se, de fato, lhe interessa este negócio. O e-mail é um exemplo disso.
A Jurisprudência brasileira, por exemplo, já considerou que o envio de spam era mero incômodo. Todos sabemos, por outro lado, o volume e a dificuldade de termos nosso contato descadastrado (infelizmente, na maior parte das vezes não é mero exercício de opção constante do próprio e-mail). Pior, até pouco tempo atrás estes dados eram comercializados e, cruzados com outros, alimentaram um sem-número de fraudes, perfis falsos, sequestro de contas, etc. Além disso, conhece-se a dificuldade de demonstrar a origem do spam e vinculá-lo a um determinado vazamento de cadastro. Esta prova, por exemplo, foi considerada essencial no julgado antes mencionado. Diante disso, melhor é a prudência e cuidado e, quem sabe, como um amigo me recomendou, ter uma conta destinada só para esta comunicação indesejada…
Refletindo um certo otimismo, acredito que a LGPD reforça a oportunidade que temos de alinhamento estratégico entre a decisão empresarial e a valorização do investimento em prevenção e compliance.