Chamadas automatizadas, consentimento e proteção de dados pessoais

No dia 24 de junho de 2021, a autoridade nacional de proteção de dados da Finlândia (Data Protection Ombudsman) aplicou uma multa de 8.500 euros a uma editora que realizava marketing direto com o uso de ligações automatizadas, sem o consentimento válido dos titulares de dados pessoais.

O controlador (editora de revistas) utilizava um sistema de chamadas automatizadas (as robocalls), com mensagens pré-definidas e sem atendimento humano, o que não permitia aos titulares dos dados pessoais o exercício dos seus direitos, especialmente o direito de informação (sobre a forma de coleta dos dados, a base legal utilizada, a finalidade do tratamento, a possibilidade de eliminação dos dados, entre outras informações).

Na sua resposta, o controlador afirmou que as chamadas automatizadas eram realizadas com o consentimento prévio dos titulares, que eram (ou tinham sido) assinantes de revistas da editora e, na aceitação dos termos do contrato, permitiam o marketing direto a partir do tratamento de seus dados.

Por isso, a autoridade finlandesa concluiu que havia vício de consentimento, que não foi obtido em cláusula específica para o marketing direto, mas em conjunto com o consentimento exigido para a assinatura da revista e das demais cláusulas contratuais. Além disso, constatou que as cláusulas contratuais não eram transparentes e claras sobre o tratamento dos dados pessoais para esse fim de ligações e realização de marketing.

Em consequência, além da multa imposta, também determinou o cumprimento de obrigação de não fazer, consistente em não realizar o tratamento dos dados pessoais dos assinantes para fins de marketing direto com base nesse consentimento dado para a assinatura de revista.

No Brasil, o inciso XII do art. 5º da Lei Geral de Proteção de Dados define o consentimento do seguinte modo: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Trata-se da autorização do titular para a realização do tratamento dos dados pelo controlador (ou pelo operador em nome deste), que deve ser expressa em uma manifestação livre, informada e inequívoca, para a coleta e a realização de outras atividades de tratamento dos seus dados pessoais. É, portanto, um vínculo de confiança entre o titular dos dados e o controlador.

Nos termos do art. 8º da LGPD, deve ser expresso (manifestação positiva da vontade do titular), realizado por escrito (ou por outro meio que comprove a manifestação de vontade), é revogável e deve constar de uma cláusula exclusiva, com finalidade específica e limitada (tendo em vista que não há poder absoluto e genérico para o tratamento dos dados pessoais).

O consentimento não pode ser genérico: o titular deve ter o pleno conhecimento de todo o ciclo de vida do tratamento dos dados pessoais pelo controlador (da coleta ao descarte).

Por isso, em situação semelhante à ocorrida na Finlândia, o uso do consentimento como base legal para tratamento de dados com a finalidade de marketing direto no Brasil também não poderia se realizada com fundamento na mesma cláusula de consentimento para a assinatura da revista, considerando que, nos termos do art. 8º da LGPD, cada consentimento precisa ter uma finalidade específica e limitada, e constar de cláusula exclusiva. Contudo, seria possível a realização desse marketing com outra base legal (como por exemplo, o interesse legítimo do controlador - art. 7º, IX, da LGPD), mas desde que observados os direitos dos titulares, que, no caso ocorrido na Finlândia, foram descumpridos em virtude do uso exclusivo de ligação automatizada, sem a prestação das informações adequadas e sem a possibilidade de contato com atendente humano.