202001.14
2

Impressões iniciais sobre a Consulta Pública da Autoridade de Proteção de Dados do Reino Unido sobre Marketing Direto

Fonte: Paulo Eduardo Lilla e Marcos Vinícius Pessin

O Information Commissioner’s Office (ICO), Autoridade de Proteção de Dados do Reino Unido, iniciou, em 8 de janeiro de 2020, a consulta pública para elaboração do Código de Conduta para Marketing Direto, o qual auxiliará as organizações a garantir a adequação ao General Data Protection Regulation (GDPR), Regulamento Geral de Proteção de Dados da União Europeia.

Em razão da influência do GDPR em todo o processo de elaboração da Lei Geral de Proteção de Dados (LGPD) no Brasil, a atual expectativa é de que os entendimentos das autoridades nacionais de proteção de dados dos Estados-Membro da União Europeia sirvam, em um primeiro momento, como a principal referência sobre o tema para a futura Autoridade Nacional de Proteção de Dados (ANPD), ainda em fase de estruturação, como também para os demais órgãos fiscalizadores, o que evidencia a importância da análise de tal consulta pública sobre marketing direto para as empresas brasileiras.

A consulta inicia-se com uma proposta do ICO de Código de Conduta[1], que considera como marketing direto todo método de comunicação direcionado a indivíduos específicos, contemplando qualquer operação de tratamento de dados pessoais relacionada ao envio de marketing direto.

Dentre os principais pontos de atenção da referida proposta, destacamos as seguintes conclusões do ICO:

  • O consentimento e o legítimo interesse são as duas bases legais mais suscetíveis a fundamentar o tratamento de dados pessoais para fins de marketing direto;
  • No Reino Unido, as regras de privacidade para a Internet estão previstas no Privacy and Eletronic Communications Regulation (PECR), que é derivado da ePrivacy Directive da União Europeia. O PECR estabelece direitos de privacidade mais específicos para as comunicações eletrônicas, por isso, quando ele exigir o consentimento do titular dos dados pessoais para fins de marketing direto, as demais bases legais do GDPR não seriam adequadas para fundamentar o tratamento dessas informações;
  • É improvável que se possa tratar dados pessoais para as finalidades de marketing direto como condição para a contratação de serviços ou para a compra de produtos;
  • É importante garantir a exatidão e a atualização dos dados, de acordo com o tempo necessário para o cumprimento da finalidade do seu tratamento;
  • Dados de crianças exigem proteção específica em operações de tratamento para fins de marketing direto;
  • As operações de tratamento de dados pessoais para as finalidades de marketing direto devem ser transparentes para assegurar o direito do titular dos dados de ser informado sobre a coleta e o tratamento de suas informações;
  • A compra e o aluguel de listas de marketing direto devem ser realizados somente após a conclusão da auditória adequada;
  • O perfilamento e o enriquecimento de dados pessoais devem ser realizados de maneira legítima, lícita e transparente. A contratação de serviços para tais propósitos exige a conclusão de auditória apropriada;
  • O tratamento de dados pessoais sensíveis para os fins de marketing direto exige o consentimento destacado do titular dos dados;
  • Na maioria dos casos, a compra de informações adicionais de contato de clientes para fins de marketing direto não é justificável, exceto quando o respectivo titular dos dados tenha concordado previamente sobre a coleta de tais informações extras;
  • A venda e o compartilhamento de dados pessoais para as finalidades de marketing direto devem ser legítimos e lícitos, sempre informando os titulares dos dados sobre tais tratamentos de informações;
  • É improvável que se justifique o rastreamento de um indivíduo para envio de marketing direto para seu novo endereço, uma vez que tal prática impede que o titular dos dados opte por não informar seus novos dados de contato;
  • A utilização de cookies e de tecnologias semelhantes para fins de marketing direto exigem o consentimento e o fornecimento de informações claras e acessíveis ao titular dos dados pessoais;
  • O uso de novas tecnologias para marketing e propaganda online aumenta a importância da elaboração de um Relatório de Impacto à Proteção de Dados Pessoais;
  • Além do direito de ser informado, os direitos do titular de objeção, de retificação, de eliminação e de acesso são os mais relevantes para o contexto de marketing direto;
  • O direito de oposição ao tratamento de dados pessoais para fins de marketing direto é absoluto, logo, se algum indivíduo pleitear tal direito, a operação de tratamento deve ser interrompida, o que não se limita ao não envio de marketing direto. Deve-se adicionar tais informações a uma lista de oposição, visando garantir esse direito em quaisquer novas listas de marketing.

Se os entendimentos iniciais do ICO forem consolidados no Código de Conduta para Marketing, diversas atividades corriqueiras para muitas empresas podem ser impactadas, como a compra e o enriquecimento de dados de clientes junto a empresas de Big Data, o perfilamento (profiling) de indivíduos para a definição de perfis comportamentais, a utilização de cookies e tecnologias de rastreamento, dentre outras atividades típicas que envolvam marketing direto.

Trata-se apenas de uma proposta do ICO, por isso, espera-se que as contribuições das partes interessadas, as quais serão aceitas até 4 de março de 2020, moldem o desenvolvimento da versão final de tal Código de Conduta, considerando as ponderações necessárias e as visões práticas sobre a realidade das atividades de marketing do meio corporativo.

Sejam quais forem as repercussões desse debate no Brasil, é desejável que a LGPD e as demais normas setoriais de privacidade e proteção de dados pessoais sejam interpretadas de maneira adequada e equilibrada, sem inviabilizar atividades de marketing direto, as quais são essenciais para a promoção das atividades das empresas, bem como para dar maior liberdade de escolha de produtos e de serviços aos consumidores, além de incentivar a livre concorrência.

Referência:

[1] INFORMATION COMMISSIONER’S OFFICE. Direct marketing code of practice: draft code for consultation. Disponível em: https://ico.org.uk/media/about-the-ico/consultations/2616882/direct-marketing-code-draft-guidance.pdf. Acesso em: 09.01.2020.

Paulo Eduardo Lilla é Doutor e Mestre em Direito Internacional pela Universidade de São Paulo. Especialização em Direito e Tecnologia da Informação pela Escola Politécnica da Universidade de São Paulo. Extensão em Direito Digital Aplicado pela FGV/EDESP. Foi Visiting Scholar na Stanford Law School (2012). Foi Professor de Direito na Escola de Administração da FGV. É especialista em Direito Concorrencial, Propriedade Intelectual, Direito Digital e Proteção de Dados. É Data Protection Officer certificado pelo European Centre of Privacy and Cybersecurity -ECPC da Universidade de Maastricht, possuindo o certificado “ECPC-B Professional Data Protection Officer – DPO”. É membro do Instituto dos Advogados de São Paulo – IASP, do Instituto Brasileiro de Estudos sobre Concorrência, Consumo e Comércio Internacional – IBRAC, da Associação Brasileira de Direito das Tecnologias da Informação e das Comunicações – ABDTIC e do International Association of Privacy Professionals (IAPP).
Marcos Vinícius Palomo Pessin é advogado da equipe consultiva em Direito Digital e Proteção de Dados no Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, bacharel em Direito pela Universidade de São Paulo, com experiência em tecnologia, privacidade e proteção de dados pessoais.


Siga-nos

Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados

Primeira boutique jurídica brasileira especializada em Direito Digital.
Siga-nos

Últimos posts por Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados (exibir todos)

Leave a Reply

Your email address will not be published. Required fields are marked *