Enriquecimento de bases de dados: como realizá-lo em conformidade com a LGPD?

Enriquecimento de bases de dados: como realizá-lo em conformidade com a LGPD?

Mariana Sbaite Gonçalves*

15 de junho de 2021 | 06h30

Mariana Sbaite Gonçalves. FOTO: DIVULGAÇÃO

Certamente, o enriquecimento de bases e dados é um dos temas mais difíceis, quando se pensa em privacidade e proteção de dados pessoais. Na Lei Geral de Proteção de Dados Pessoais, não há um artigo específico sobre o tema, e a maior dificuldade é encaixar as situações práticas na teoria.

É sabido o quanto as soluções de Big Data (de forma simplificada, grandes conjuntos de dados, maiores e mais complexos) e BI (Business Intelligence) ajudam as empresas, principalmente os setores de vendas e marketing, no entanto, com o advento da LGPD, a coleta dos dados pessoais precisa ser feita de forma a respeitar a privacidade de todos.

O enriquecimento de dados, de forma simples, é a captação de informações que a empresa ainda não tem em sua base para complementar um banco de dados existente. Por exemplo: a empresa tem o nome e o CPF, mas deseja enriquecer o seu banco de dados com o telefone de contato do cliente/consumidor. Por conta das atividades negociais, inteligência de mercado e estratégias, toda organização acaba por construir um banco de dados, no entanto, há a necessidade de cautela, pois a privacidade deverá ser considerada quando da construção da base, independentemente se ela é feita de forma manual ou via ferramenta.

O mesmo cuidado deve ser levado em consideração quando houver um enriquecimento de base realizado por terceiros. Além de, previamente, verificar se o terceiro está se adequando à LGPD, é salutar verificar de onde vêm os dados, por quais motivos são coletados e para quais finalidades eles serão utilizados.

Obviamente, já se considera que as empresas estejam em processo de adequação à LGPD, levando em consideração a necessidade de data mapping, de análise de riscos, análise e revisão de documentos, governança de dados, dentre outras ações essenciais. No entanto, ao focar diretamente no enriquecimento de bases, há alguns pontos que precisam de atenção.

Inicialmente, é válido pensar em dois pontos: transparência com os titulares de dados e boa-fé (ambos, princípios já mencionados pela Lei Geral de Proteção de Dados Pessoais). Ainda que a LGPD não tenha um artigo específico sobre o enriquecimento de bases, os tratamentos devem ser realizados de forma que o titular tenha ciência sobre a utilização dos seus dados, bem como de que aqueles sejam utilizados apenas para a finalidade informada.

Nos casos de empresas de cobrança, por exemplo, nada impede a utilização dos dados, desde que haja uma proporcionalidade, ou seja, que os dados coletados e armazenados sejam usados de acordo com as finalidades informadas e obedecendo à Lei. É salutar que o tratamento seja autorizado por uma das 10 hipóteses de tratamento elencados pela referida Lei, qual seja, as bases legais constantes do artigo 7º, bem como atenda o que dispõe o artigo 6º, que trata dos princípios da Lei. Ainda, é de extrema importância a aplicação de medidas e controles de segurança, a fim de preservar a confidencialidade e a integridade dos dados pessoais.

Outro ponto importantíssimo é a rastreabilidade. É necessário saber de onde veio o dado, qual sua origem e por qual motivo ele consta naquela base de dados. Antes de qualquer coisa, e fazendo menção ao princípio da finalidade, constante do artigo 6º, inciso I, da LGPD, a pergunta inicial sempre deve ser: por qual motivo preciso acessar esse dado? Todo tratamento deve ser justificado, ou seja, ter uma finalidade informada ao titular bem como se encaixar em uma das dez bases legais elencadas pela LGPD.

Ter qualidade e gestão de dados coopera, não somente para a organização interna, mas também para a evolução da saúde financeira da empresa, logo, conhecer o valor, bem como a forma correta de tratar os dados pessoais ajuda na continuidade dos negócios da empresa, melhora processos e evita prejuízos financeiros.

É primordial ter em mente que, caso ocorra algum incidente, a reconstrução de processos e, principalmente, da confiança com clientes e parceiros será extremamente prejudicial à empresa. Sem contar a forte responsabilização dos agentes de tratamento, trazida pelo artigo 42 da LGPD. Fato é, que dados pessoais são necessários e serão cada vez mais utilizados, no entanto, as organizações precisam ter ciência de suas responsabilidades quando tratarem da privacidade alheia.

*Mariana Sbaite Gonçalves é advogada e sócia da Lee, Brock, Camargo Advogados (LBCA)

Comentários

Os comentários são exclusivos para assinantes do Estadão.