Entrevista para o LexLegal. Leia a íntegra
O mercado de dados pessoais tornou-se um dos setores mais valiosos do mundo digital, movimentando bilhões de reais por meio da coleta, tratamento e compartilhamento de informações dos usuários. Dados como nome, endereço, CPF, localização, preferências de consumo, histórico de navegação e até informações de saúde são utilizados por empresas para direcionar campanhas publicitárias, melhorar serviços e aumentar receitas. No entanto, quando essa comercialização ocorre sem o consentimento do titular ou em desconformidade com a legislação, ela se torna ilegal e pode gerar multas milionárias.
Leia também: LGPD: o que isso afeta os condomínios?
No Brasil, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) é a principal norma que regula o tratamento de dados pessoais, impondo regras claras sobre coleta, armazenamento, uso e compartilhamento dessas informações. Desde que entrou em vigor, a LGPD tem sido usada pela Autoridade Nacional de Proteção de Dados (ANPD) e pelo Poder Judiciário para coibir práticas abusivas e punir empresas que comercializam dados pessoais sem autorização.
A LGPD estabelece que os dados pessoais são de titularidade do indivíduo, e não das empresas que os coletam. Isso significa que qualquer organização que utilize informações pessoais deve ter uma base legal para tal uso. Entre as hipóteses previstas pela lei estão: consentimento do titular, cumprimento de obrigação legal, execução de políticas públicas, estudos por órgãos de pesquisa, execução de contrato, proteção da vida ou da saúde, proteção do crédito, e legítimo interesse do controlador, desde que não se sobreponha aos direitos do titular.
O problema da comercialização indevida de dados
A comercialização de dados pessoais é considerada indevida quando ocorre sem uma das bases legais previstas na LGPD. Por exemplo, empresas que vendem listas com nomes, telefones e e-mails para publicidade sem autorização dos titulares estão em desacordo com a lei. Essa prática era comum antes da entrada em vigor da LGPD, mas agora pode gerar multas que chegam a até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
A ANPD já tem atuado de forma mais rigorosa contra empresas que comercializam dados pessoais. Em 2023, por exemplo, uma companhia de marketing digital foi multada em R$ 7,2 milhões por negociar listas de consumidores sem consentimento. Em outro caso, um aplicativo de comparação de preços foi notificado por compartilhar informações de geolocalização de seus usuários com terceiros sem aviso prévio.
Além da ANPD, o Ministério Público e os Procons estaduais e municipais também podem investigar e processar empresas que descumprem a LGPD. As ações podem resultar em indenizações individuais ou coletivas, bloqueio de dados, suspensão de atividades e até responsabilização criminal em casos graves.
O conceito de ativo econômico e o valor dos dados pessoais
A discussão sobre o mercado de dados pessoais se intensificou porque as informações dos usuários passaram a ser vistas como um ativo econômico estratégico. Empresas de tecnologia, redes sociais, e-commerces e bancos investem em sistemas avançados de coleta e análise de dados para personalizar produtos e serviços.
A monetização dos dados ocorre de várias formas. Uma delas é o direcionamento de anúncios, que gera receitas bilionárias para plataformas digitais. Outra é a venda ou compartilhamento de dados com empresas parceiras, que podem usar as informações para campanhas de marketing ou para avaliar riscos de crédito.
A relação entre consentimento e legítimo interesse
Um dos pontos mais sensíveis da LGPD é a exigência de consentimento do titular para o tratamento dos dados. O consentimento deve ser livre, informado e inequívoco, ou seja, o titular precisa saber exatamente para que e como suas informações serão usadas.
Algumas empresas, porém, tentam justificar a comercialização de dados com base no chamado “legítimo interesse”, outra hipótese legal prevista na LGPD. Essa base pode ser usada quando o uso dos dados é necessário para atender uma finalidade legítima do controlador, desde que não prejudique os direitos e liberdades do titular.
O problema é que o legítimo interesse não pode ser usado de forma genérica para justificar a venda de dados. A empresa precisa fazer uma análise de impacto, documentar as razões que justificam o uso dos dados e informar o titular sobre a prática. Caso contrário, poderá ser autuada pela ANPD e condenada judicialmente.
Conforme precedente definido pelo STJ a partir do julgamento AREsp 2.130.619, o Titular que tiver dados vazados tem o dever de comprovar dano efetivo para pleitear eventual indenização. “Assim, caberá ao debate jurídico se tal comercialização indevida pode ser equiparada a um vazamento de dados, para fins de indenização, ou se o procedimento assume o dano presumido”, diz Luis Felipe Tolezani, advogado de Direito Digital e Compliance da Lopes & Castelo Sociedade de Advogados.
