O tratamento de dados pessoais é definido pelo inciso X do art. 5º, da Lei Geral de Proteção de Dados, como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Portanto, qualquer atividade realizada com, ou sobre, os dados pessoais, se enquadra no conceito legal de tratamento.
Normalmente, as operações de tratamento têm início com a coleta, que é a captura dos dados pessoais, a sua obtenção por meio de uma das bases legais previstas em lei, de acordo com a necessidade e para atingir uma finalidade específica.
Uma forma comum de coleta de dados pessoais na internet é o web scraping, que, em uma tradução literal para o português, significa “raspagem da rede” e consiste no uso de programas automatizados (como rastreadores de rede, ou web crawlers ou bots), que realizam buscas e coletam dados de sites na internet, organizando-os e transformando-os em informações.
Por exemplo, os sites de comparação de preços utilizam esses programas para a realização das pesquisas e das relações entre os valores de um mesmo produto em sites diferentes (a existência de verificação de CAPTCHA em alguns sites é uma forma de evitar – que não necessariamente impede – as pesquisas automatizadas).
Esses rastreadores são usados para diversas finalidades, como a busca e indexação de websites e documentos e mecanismos de pesquisa (como, por exemplo, o Googlebot utilizado para a indexação na página de pesquisas do Google).
O uso de rastreadores para a coleta (e outras atividades de tratamento) de dados pessoais deve levar em conta as normas legais sobre tratamento e de proteção de dados pessoais.
No Brasil, por exemplo, o web scraping deve respeitar as normas da LGPD quando os dados pessoais forem coletados no território nacional, ou quando o site estiver hospedado no Brasil, ou quando a coleta tiver entre suas finalidades o tratamento de dados pessoais de pessoas localizadas no Brasil, ou, ainda, quando a oferta, ou o fornecimento de bens ou serviços, se destinar às pessoas localizadas no território nacional (art. 3º).
Em consequência, a coleta deve levar em conta os fundamentos da proteção de dados pessoais (art. 2º), os princípios de tratamento (art. 6º), além de cumprir uma das bases legais para a prática dessa operação (art. 7º ou 11 da LGPD).
Apesar de o web scraping não ser uma atividade ilícita, deve-se ter atenção especialmente com a coleta genérica e indiscriminada de dados pessoais na internet, o que pode violar o princípio da necessidade (art. 6º, III, da LGPD). Ainda, os dados pessoais de acesso público não dispensam o cumprimento das normas de proteção de dados e, nessa hipótese, a coleta deve considerar a mesma finalidade que levou à divulgação (art. 7º, § 3º, da LGPD).
