O Ministério Público do Distrito Federal, por sua Unidade Especial de Proteção de Dados e Inteligência Artificial, ajuizou recentemente uma Ação Civil Pública contra a Serasa Experian, ao ter identificado a comercialização maciça de dados pessoais de brasileiros por meio dos serviços “Lista Online” e “Prospecção de Clientes”.
Com base na Lei Geral de Proteção de Dados (LGPD), a Justiça acatou o pedido do Ministério Público, e determinou que a empresa cessasse imediatamente a comercialização dos dados pessoais, até que se julgue em definitivo o processo. A decisão é preliminar/não definitiva,, podendo a decisão, contudo, ser alterada a qualquer momento, até o fim do processo.
Mas a decisão liminar já é um indicativo do entendimento do Poder Judiciário, que aplicou, prudentemente, os princípios e regras da LGPD.
O que ocorreu no caso é que a Serasa Experian vendia informações relacionadas à pessoa natural identificada (nome, endereço, CPF, 3 números de telefones, localização, perfil financeiro, poder aquisitivo e classe social) para fins de publicidade e captação de novos clientes. Isto sem nenhuma relação com a sua atividade principal: a proteção do crédito!
Ou seja, por R$ 0,98 a cada indivíduo, a Serasa vendia o núcleo da privacidade do cidadão brasileiro.
Atente-se para os dados pessoais, não comumente coletados: perfil financeiro, poder aquisitivo e classe social. Dados visivelmente discriminatórios, o que é vedado pela LGPD (art. 6º, inciso IX).
Nas palavras do Ministério Público: “(…) a Serasa está vendendo os dados pessoais de mais de 150 milhões de brasileiros para empresas interessadas em prospectar novos clientes, sem que exista qualquer tipo de conhecimento por parte dos titulares das informações. Venda de dados para fins publicitários das empresas contratantes, sem que o titular do CPF tenha qualquer tipo de relação contratual com a compradora de seus dados”.
A empresa defendeu-se justificando que o tratamento dos referidos dados pessoais estaria apoiado na base legal do legítimo interesse (art. 7º, inciso IX).
Ocorre que, para que se possa fundamentar o tratamento de dados no interesse legítimo do controlador, há uma série de requisitos que a lei impõe, e ela é clara quando diz que o tratamento não se justifica “(…) no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”, o que ocorre no presente caso.
Os requisitos do legítimo interesse são bastante teóricos. Conforme a Lei, para que o tratamento de dados seja fundamentado no legítimo interesse do controlador é necessário que seus propósitos sejam legítimos, específicos, explícitos e informados ao titular do dado, sendo que as finalidades do tratamento devem ser compatíveis com aquelas informadas ao titular, bem como que o tratamento seja limitado ao mínimo necessário à realização de suas finalidades, trazendo clara obediência aos princípios da finalidade, da adequação e da necessidade preconizados na Lei Geral de Proteção de Dados (artigo 6º, incisos I, II e III, da Lei n. 13.709/20189).
Para que esses requisitos se consolidem na prática, especialistas na área recomendam que seja realizado o teste de balanceamento/proporcionalidade, para que com base nos requisitos, se possa fazer uma avaliação concreta de que o tratamento dos dados atende aos requisitos acima citados.
Não só, deveria o Serasa ter apresentado um Relatório de Impacto à Proteção de Dados, que é obrigatório, quando o tratamento for baseado no legítimo interesse. Este documento é necessário para aquelas atividades cujo o tratamento implique em riscos às liberdades civis e aos direitos fundamentais. Se assim for avaliado o risco, cabe ao responsável do tratamento fazer o RIPD.
Em resumo, acertou o Tribunal do Distrito Federal, ao entender que a atividade realizada pela Serasa, em nada tem a ver com o legítimo interesse. Ademais, para que houvesse, no presente caso, a legitimidade do tratamento, deveria a empresa ter o consentimento específico para cada finalidade da coleta e armazenamento dos dados. Quando o consentimento for genérico, e não foi específico para o compartilhamento de dados para fins de marketing, este deverá ser considerado nulo.
Por todas essas razões, tivemos nesta semana mais decisão pioneira no sentido de obstaculizar o tratamento inadequado e excessivo dos dados pessoais. Lembrando que a LGPD não impede, de forma alguma, o tratamento (coleta, armazenamento e outros) dos dados pessoais. A lei somente exige, que o tratamento seja adequado aos seus parâmetros. Vender dados pessoais de 150 milhões de brasileiros, por um custo de R$ 0,98 centavos, que foram coletados com uma finalidade que não condiz com o tratamento é, claramente, um desrespeito aos brasileiros, titulares dos seus dados.