Facebook Linkedin Instagram Youtube Spotify

Publicações

Home » Publicações »
Aplicação da primeira multa pela ANPD e abordagens internacionais de ‘web scraping’
  • Boletim, Inovação e Tecnologia, Privacidade e Proteção de Dados

Aplicação da primeira multa pela ANPD e abordagens internacionais de ‘web scraping’

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou sua primeira multa por violação às regras da Lei Geral de Proteção de Dados (LGPD) contra uma empresa de serviços de telemarketing. O caso envolveu o uso de técnicas de “raspagem de dados” para a coleta de informações disponíveis publicamente na internet, sem o devido consentimento dos titulares. A decisão da ANPD alerta para a ilegalidade dessa prática, mesmo quando os dados pessoais são de acesso público.

O recado principal da ANPD

  • A coleta e venda de bases de dados pessoais para telemarketing não é amparada pela LGPD e pode acarretar sanções severas às empresas que recorram a essas práticas ilícitas no Brasil.
  • A simples disponibilidade dos dados na internet não é suficiente para legitimar o uso dessas informações para qualquer finalidade.
  • É imprescindível que a empresa tenha uma correspondência com a finalidade para a qual o dado pessoal foi solicitado e obtenha o consentimento dos titulares, caso não haja base legal específica.

Raspagem de dados

A expressão “raspagem de dados” ou “web scraping” é uma técnica automatizada de coleta de informações disponíveis publicamente na internet mediante a utilização de tecnologias e sem a devida autorização dos titulares.

Ainda que os dados pessoais estejam publicamente disponíveis, seu uso comercial exige uma correspondência com a finalidade original para a qual foram coletados. Por isso, a prática é considerada desconforme à Lei Geral de Proteção de Dados.

Riscos e precauções recomendáveis para empresas que compram bancos de dados

Não são apenas as empresas que oferecem a venda deste banco de dados que estão em risco de sanções. Aquelas que compram bancos de dados provenientes de fontes duvidosas também podem ser responsabilizadas. Alguns riscos e precauções recomendáveis são:

  • Verificar a procedência dos dados: Antes de adquirir qualquer base de dados, é essencial verificar a procedência dos dados e garantir que a empresa fornecedora possui a devida autorização ou base legal para coletar e vender essas informações. O risco, nesse caso, está por conta da empresa adquirente que negocia uma base de dados “contaminada”, portanto, em desconformidade com a LGPD.
  • Consentimento dos titulares: Mesmo que a empresa compre uma base de dados, ela precisa garantir que possui o consentimento dos titulares para o tratamento dessas informações, caso não haja outra base legal que justifique a atividade.
  • Conformidade com a LGPD: As empresas compradoras devem se certificar de que suas atividades de tratamento de dados estejam em conformidade com a LGPD, respeitando os princípios e direitos previstos na lei.
  • Auditoria de fornecedores: Realizar auditorias regulares nos fornecedores de bases de dados para garantir que eles também estão agindo em conformidade com a LGPD e que não estão violando os direitos dos titulares.
  • Minimização de dados: Praticar a minimização de dados significa coletar e reter apenas as informações pessoais necessárias para a finalidade específica e informada, evitando a coleta excessiva e desnecessária de dados pessoais.
  • Acurácia dos Dados Pessoais Colhidos em Fontes Públicas: A acurácia dos dados pessoais coletados em fontes públicas é um aspecto crítico a ser considerado pelas empresas. A ANPD em sua decisão ainda ressalta a importância de assegurar que os dados pessoais obtidos sejam precisos e atualizados. A falta de verificação adequada pode levar a tratamentos inadequados e afetar negativamente a confiabilidade das informações utilizadas nas atividades comerciais. No caso em questão, a empresa limitou-se a informar que usava determinado método, sem fornecer informações detalhadas sobre como os bancos de dados foram construídos. A ausência de clareza sobre as fontes de dados pessoais utilizadas impediu a validação da legitimidade das informações coletadas, o que, por sua vez, levou à conclusão de que o tratamento dos dados foi realizado de forma incompatível com os propósitos legítimos e específicos estabelecidos pela LGPD.

Boas práticas internacionais sobre o assunto

Observar como diferentes países enfrentam o desafio do “web scraping” e as penalidades por violações de dados é fundamental para uma visão global mais abrangente e aprimoramento das práticas adotadas no Brasil.

Em diversos países, as leis de proteção de dados abordam o tema de “web scraping” e uso de dados pessoais de fontes públicas de maneiras diferentes. Algumas jurisdições possuem regulamentações específicas para o tratamento de dados obtidos por “web scraping”, enquanto outras se baseiam em princípios gerais de proteção de dados.

Em algumas jurisdições, dados pessoais que são publicamente disponíveis e não contêm informações sensíveis podem ser coletados e usados para fins legítimos. No entanto, mesmo para dados públicos, é essencial garantir a conformidade com os princípios de finalidade, transparência e minimização de dados.

Exemplo disso é aplicação das regras do GDPR (Regulamento Geral de Proteção de Dados) em operações envolvendo venda de dados pessoais na União Europeia:

  • Restrições rigorosas à venda de dados pessoais.
  • Exigência de base legal adequada e consentimento informado.
  • Transparência nas práticas de venda e proteção dos direitos dos titulares.
  • Garantia dos direitos de acesso, retificação e oposição.

Na Califórnia (EUA), observamos os requisitos estabelecidos no CCPA (California Consumer Privacy Act) para a venda de dados pessoais como um direcionar para as autoridades, que incluem:

  • Requisito de Aviso: Informar os consumidores sobre seu direito de optar por não permitir a venda de seus dados. Esse aviso deve constar na política de privacidade da empresa e em sua página inicial do site.
  • Direito de Optar por Não Participar: Oferecer mecanismo de opt-out que permita aos consumidores escolherem não permitir a venda de suas informações pessoais. Isso pode ser feito por meio de um link “Do Not Sell My Personal Information” no site ou por outros meios acessíveis.
  • Não Discriminação: As empresas são proibidas de discriminar os consumidores que optarem por não participar. Isso significa que as empresas não podem negar produtos ou serviços, cobrar preços diferentes ou oferecer um nível de serviço diferente para os consumidores que optarem por não participar.
  • Verificação de Solicitações: As empresas devem ter procedimentos para verificar a identidade dos consumidores que fazem solicitações relacionadas à venda de suas informações pessoais.
  • Consentimento Parental: Para consumidores com menos de 16 anos, as empresas devem obter o consentimento de opt-in, ou para consumidores com menos de 13 anos, devem obter o consentimento de um pai ou responsável, antes de vender suas informações pessoais.
  • Obrigações com Terceiros: Se uma empresa vende informações pessoais para terceiros, ela deve incluir determinadas disposições em seus contratos com esses fornecedores para garantir que as informações pessoais sejam tratadas adequadamente e em conformidade com a CCPA.
  • Divulgação Anual: Empresas que vendem informações pessoais devem divulgar determinadas informações em suas políticas de privacidade, incluindo as categorias de informações pessoais vendidas e as categorias de terceiros para quem as informações são vendidas.
  • Opt-In para Menores: Se uma empresa tem conhecimento real de que um consumidor tem entre 13 e 16 anos, ela deve obter o consentimento de opt-in antes de vender suas informações pessoais.

Conclusão

A aplicação da primeira multa pela ANPD demonstra que necessário respeitar os direitos dos titulares e garantir que o tratamento dos dados pessoais seja fundamentado em bases legais válidas ou no consentimento dos titulares.

Empresas que coletam e comercializam bases de dados pessoais para telemarketing devem estar cientes de que essa prática não é legal e pode levar a penalidades significativas.

Portanto, é fundamental que as empresas adquirentes exerçam a devida diligência na verificação da origem dos dados e em sua conformidade com a LGPD. Isso evitará prejuízos financeiros e danos à reputação das organizações.

Ao adotar boas práticas, exercer a devida diligência na aquisição de bancos de dados e garantir a acurácia das informações, as empresas demonstram respeito aos titulares e constroem uma relação de confiança com seus clientes.

Olhar para boas práticas internacionais também pode ser uma referência importante na busca por uma abordagem responsável e respeitosa em relação aos dados pessoais dos cidadãos. A privacidade dos dados é uma prioridade global, e as empresas precisam se adequar a essa nova era da proteção de dados para garantir um ambiente de confiança e respeito aos direitos.

Coautoria: Ana Carolina Gontijo, Carolina Britski Puga, Esther Jerussalmy Cunha, Denise Berzin Reupke Fabrício Bertini Pasquot Polido

Outras notícias
Marco Legal das Garantias (Lei 14.711/2023)
16/5/2024 A Lei 14.711/2023 (Marco Legal...
Aquisição no mercado de drywall é a primeira operação reprovada pelo Conselho Administrativo de Defesa Econômica (CADE) em 2024
15/5/2024 Tendo reprovado apenas duas operações...
Empregada doméstica usa Google Maps para provar vínculo com patrões
G1 14/5/2024 O celular guarda uma...
Atualização da Instrução Normativa do DREI que trata das Normas e Diretrizes Gerais do Registro Público de Empresas
14/5/2024 Em 24 de janeiro de...
Está no ar a 2ª edição do guia “Boas práticas na Comunicação de Incidentes”
14/5/2024 Não podemos ignorar o aumento...
Anteprojeto de atualização do código civil exclui cônjuge como herdeiro necessário
13/5/2024 Foi apresentado no Senado Federal...
Tags
Categorias

São Paulo

Avenida Paulista, 1294  – 8º andar

São Paulo  |  SP  |  Brasil | 01310-100

 

+ 55 11 3147 0800

[email protected] 

Minas Gerais

Rua Araguari 1156, sala 1301

Belo Horizonte | MG | Brasil | 30190-111

L.O. Baptista Advogados 2019 – Todos os direitos reservados. Por   |  Aviso de Privacidade | Termos de Uso | Política de ComplianceCanal de Denúncias