Posso enviar email para uma base de dados que já tenho com fundamento no legítimo interesse próprio ou de terceiros à luz da LGPD?
Temos visto uma avalanche de informações sobre se adequar a LGPD, muitos termos novos, uma verdadeira mudança cultural dentro das organizações. Porque, convenhamos, poucas são empresas que realmente tratam os dados de forma adequada antes da LGPD, mas agora este jogo tem regras e processos e todos devemos nos adequar.
O QUE É O LEGÍTIMO INTERESSE?
Para iniciarmos temos que entender o que é o legítimo interesse e onde ele está regulamentando no art. 7º, IX da LGPD.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
…
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
…
Ou seja, o controlador de dados poderá fazer o tratamento de dados baseado no interesse legítimo, mas o que é este legítimo interesse e como se fundamenta na prática dentro das organizações.
O legítimo interesse é o caminho mais flexível para justificar o processamento, mas não necessariamente é a única forma ou a mais adequada.
É um recurso que no primeiro momento aparenta ser a solução para todas as ações da organização, mas segue um alerta: o legítimo interesse deve ser justificado e documentado como deixa claro o art. 10, § 3º
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
…
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Entende-se que o legítimo interesse é a base legal que justifica o tratamento de dados respeitando os direitos e liberdades fundamentais do titular que devem ter seus dados protegidos.
CASO PRÁTICO
Tenho uma lista de e-mails e gostaria de fazer contato com estas pessoas.
Sua organização tem uma base de dados de cartões de visitas coletados de anos de relacionamento ou contatos que foram adquiridos em um evento ou até mesmo comprados e agora você quer abordar estas pessoas.
Tecnicamente você não tem o consentimento delas para enviar um e-mail promocional.
Como proceder para que não tenha problemas com a LGPD (Lei Geral de Proteção de Dados)?
O primeiro passo é criar um processo de análise para utilização dos dados de forma razoável e que tenha total aderência com as necessidades da sua organização.
Existem três elementos que podem te ajudar a tomar esta decisão:
1 – Porque preciso enviar este email?
Sim você precisa se perguntar isso, qual é o interesse que legitima o uso desta base. Você vai ter esta resposta na hora em sua mente, porque preciso vender e pronto, respondeu ao primeiro elemento? Sim, o legítimo interesse pode conter interesse comercial, mas crie um procedimento básico na sua empresa para ajudar a documentar este legítimo interesse, pois ao optar por confiar no legítimo interesse para fundamentar seu tratamento de dados, você estará assumindo uma responsabilidade extra já que deverá proteger os direitos e interesses das pessoas envolvidas neste tratamento.
2 – Só consigo contactar essas pessoas utilizando este canal?
Isso mesmo, questione a forma como irá fazer esta abordagem, será que posso fazer de outra forma, muitas vezes não, pois pode acontecer que esta base de dados só tenha e-mails ou seja grande demais para fazer um contato telefônico um a um.
3 – Coloque na balança os seus interesses e as liberdades do indivíduo
Isso mesmo, equilibre os interesses pois, vamos pensar, se um indivíduo te entregou um cartão ele, na razoabilidade, esperaria um eventual contato seu, caso você venda este contato por exemplo (um exemplo bem extremo, mas já vi acontecer demais na prática) pode ser que os interesses da pessoas se sobreponham ao seu interesse legítimo e sua ação será considerada ilícita e poderá ser notificado por isso.
Uma simples decisão de contactar um indivíduo sem o consentimento dele pode gerar um problema para a sua empresa.
Qual é a melhor forma de trabalhar esta base de dados?
Então temos uma base de dados, temos um interesse legítimo e agora vamos colocar mais algumas regras no jogo.
Veja alguns passos:
1 – Crie uma rotina que deve ponderar os 3 elementos citados acima: o que vou fazer com esta base tem um interesse legítimo e fundamente isso, registre este documento seja em uma ata ou o melhor em um documento padronizado da sua organização. Mostre porque é necessário este processamento (esta ação de marketing) e seja razoável, equilibre os interesses, pois você poderá ser questionado e deverá apresentar a fundamentação / documentação para justificar o seu tratamento de dados (sua ação de marketing), o art. 10º § 3º deixa claro esta possibilidade.
2 – Crie um email onde o objetivo dele será justamente informar ao indivíduo os seus legítimos interesses, deixe claro como obteve o contato, qual o objetivo do seu contato e dê a opção do indivíduo aceitar ou não, faça um link para sua política de privacidade, deixe claro como será utilizado o dado, qual dado você possui e como ele poderá alterar e até mesmo pedir a exclusão dos dados. O Art. 9º lista as informações que devem estar claras em sua comunicação.
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
3 – Feito o primeiro contato, obtendo a permissão, siga à risca o que se comprometeu a fazer, caso altere o propósito a qual obteve a permissão, deverá novamente informar ao titular do dado e cabe a ele permitir ou não, conforme art 9º § 2º. – ” Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.”
Um exemplo para tentar facilitar o entendimento:
A organização tem permissão para envio de newsletters, mas agora ela fez uma parceria com um terceiro para envio de e-mail marketing a esta base. Não tem esta permissão do indivíduo e portanto deverá pedir.
Este processo vai mudar a forma como sua organização vai trabalhar. Digo sempre que, às vezes, pode até mudar o produto que sua organização oferece, pois as adequações podem inviabilizar a comercialização de alguns produtos ou serviços.
Fiz um resumo de itens básicos a serem considerados para resolver o problema do primeiro contato a uma base de dados que ainda não tem o consentimento. Veja que se trata de um procedimento agora regulamentado e por isso deve ser apreciado com muito cuidado dentro da organização e até mesmo repassado a terceiros como as agências de marketing digital, agências de publicidade as quais sua organização eventualmente poderá ter contratos para elaboração e envio de ações de ativação de prospects.
Portanto, você poderá sim enviar o email para sua base de dados que ainda não obteve a permissão baseado no legítimo interesse, mas veja que este legítimo interesse deverá ser validado, documentado e existem algumas regras a serem seguidas na sua comunicação.
Ficou interessado em como documentar e fundamentar o seu legítimo interesse, nós podemos te ajudar com uma consultoria para implementar o processo dentro da sua empresa.
Marco Antonio Estanislau
Graduado Administração de empresas pela Newton Paiva, Pós graduado em Marketing pela Fundação João Pinheiro e Gestão avançada de RH pela PUC-MG e cursando Direito na Newton Paiva.
Mais de 20 anos de experiência com Gestão de Empresas e relações de consumo digital.