ANPD decidiu: dados pessoais disponíveis na internet não podem ser usados livremente
Ultimamente, a crescente facilitação do acesso a ferramentas de tecnologia tem ampliado muito o número de empresas e pessoas que as utilizam para coletar informações pessoais “disponíveis” na internet, cruzar estes dados e segmentá-los, oferecendo dados pessoais como um produto no mercado.
A atividade chamada raspagem de dados, consistente na utilização de programas para extração de dados de sites na internet, é um exemplo desta prática de forma empresarial.
Entretanto, esta cobiçada matéria-prima, representada pelos dados pessoais, não está livre para ser utilizada simplesmente porque pode ser facilmente encontrada na internet. Há muito que este espaço deixou de ser “terra de ninguém”, sendo objeto de diversos tipos de regulação em todo o mundo.
No Brasil, a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) disciplina a utilização de dados pessoais, instituindo as hipóteses em que o uso destas informações é lícito (as bases legais), os princípios que devem ser aplicados, os direitos que precisam ser assegurados aos titulares dos dados e parâmetros para que o tratamento destes dados se faça de forma segura e respeitosa dos direitos e liberdades fundamentais dos titulares de dados.
A identificação das informações pessoais encontradas na internet como “dados públicos” pode conduzir ao equivocado entendimento que faz corresponder o adjetivo “público” à acepção daquilo “que serve para uso de todos”, quando, na realidade, trata-se de dados de acesso público, no sentido de que são informações passíveis de serem conhecidas do público.
Sendo assim, os dados pessoais de acesso público não estão disponíveis para uso e apropriação, sendo a sua utilização somente permitida se cumpridos os critérios estabelecidos pela Lei Geral de Proteção de Dados.
Esta interpretação foi confirmada agora em 07/07/2023, quando a Autoridade Nacional de Proteção de Dados – ANPD, ao proferir a decisão administrativa que aplicou a primeira sanção por violação de dados pessoais, teve a oportunidade de se manifestar sobre o tema e então afirmou ser ilegal esta atividade de tratamento de dados realizada sem base legal. Afinal, a empresa multada não contava com o consentimento dos titulares dos dados, nem se fundava no cumprimento de obrigação legal, ou na necessidade para execução de contrato, ou exercício regular de direito, nem noutra hipótese prevista nos art. 7º e 11 da LGPD.
Afirmou a Autoridade de Controle que a empresa considerar que pode usar dados pessoais públicos na sua atividade empresarial é uma violação do princípio da finalidade de duas formas: tanto pelo uso posterior da informação de modo incompatível com a finalidade que ensejou a sua exposição pública, quanto pela ausência de propósito legítimo, devido ao uso dos dados sem respaldo legal.
A LGPD é clara ao dispor que “o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa fé e o interesse público que justificaram a sua disponibilização”. E ainda, para o tratamento dos dados tornados manifestamente públicos pelo próprio titular, como é o caso das publicações das redes sociais, é preciso observar os princípios da proteção de dados como os da finalidade, necessidade, adequação, transparência, acesso aos dados e outros, bem como os direitos dos titulares.
Isto significa que sempre que houver uma oferta de dados pessoais, ou de “leads”, deve-se procurar saber a origem destes dados e qual a base legal utilizada pelo ofertante para este comércio, sob pena do adquirente se sujeitar a responder juntamente com o fornecedor perante o titular dos dados e perante a ANPD.
Por outro lado, o titular dos dados deve ser o primeiro interessado na proteção das suas informações, sendo atento e proativo. Ao ser contactado por empresas desconhecidas, também deve se inteirar de como os seus dados foram obtidos e realizar o requerimento formal de acesso a eles, com base no art. 19 da LGPD que, ao garantir o acesso aos seus dados, determina que a empresa deve fornecer “declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento”, no prazo de até 15 (quinze) dias. Ressalta-se que esta requisição de acesso aos dados também pode ser feita judicialmente, como ocorreu na decisão judicial sobre a qual eu escrevi o
artigo mencionado acima.
Desta forma, na decisão administrativa de imposição da primeira sanção, a ANPD acabou por esclarecer vários pontos de aplicação da Lei e um deles foi o de que dados pessoais, disponíveis ou passíveis de serem encontrados na Internet, não podem ser livremente utilizados por quem os acessa.