A Lei Geral de Proteção de Dados (LGPD, Lei Federal n. 13.709, de 14 de agosto de 2018) dispõe de forma ampla sobre o tratamento de dados pessoais, inclusive nos meios digitais, seja por pessoa natural ou por pessoa jurídica de direito público ou privado. Seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural.
Ao dispor que se aplica ao tratamento de dados pessoais por pessoas jurídicas de direito privado, a legislação está impondo sua aplicação às associações e fundações de direito privado, pois constam no Código Civil como pessoas jurídicas de direito privado.
É inquestionável que a LGPD foi proposta e promulgada com o viés de proteger as pessoas físicas nas relações de consumo, especificamente, quanto ao uso de seus dados pessoais. Proteger, na verdade, o dado pessoal. Como dado pessoal, devemos entender toda e qualquer informação que permita a identificação de uma pessoa.
O conceito legal de dado pessoal é muito amplo, embora não inclua informações básicas como nome, RG, CPF, e-mail e endereço. É certo que existem outros meios de interação entre as organizações e as pessoas físicas, tais como os cookies, que são usados para rastrear informações dos visitantes de páginas de internet. Através deles, as organizações possuem condições de coletar informações e utilizá-las para impactar e gerar relacionamento com alguma pessoa física. Portanto, esse também deve ser considerado um dado pessoal.
Outra definição legal é a de dado pessoal sensível, que, como o próprio nome diz, são aqueles que permitem uma maior identificação da pessoa física. Por isso, a organização deve redobrar o cuidado no tratamento desse dado pessoal.
Como tratamento de dados, devemos entender qualquer operação executada com um dado pessoal, iniciando na coleta do dado e terminando no descarte.
Quanto à necessidade, é certo que a organização deve tratar apenas os dados que necessita para que possa relacionar-se com a pessoa física naquilo que está permitido por essa pessoa. Por exemplo, caso a organização esteja autorizada pela pessoa física a comunicar-se com ela através de e-mail marketing, a organização não está autorizada a solicitar o contato telefônico dessa pessoa física, pois esse não é um dado necessário para fins de envio do e-mail.
Portanto, é certo que em todas as ações desenvolvidas, seja na área do telemarketing ou em outras, ao envolver o tratamento de dados pessoais, a organização deverá observar os princípios descritos no art. 6º, da LGPD. É certo que o cumprimento dos princípios em questão fará com que a organização atua em harmonia com a LGPD.
Quanto ao tratamento dos dados, o rol apresentado é taxativo, não sendo permitido em outras situações que não as previstas na lei em questão. Essas hipóteses são denominadas de bases legais, em que a lei autoriza o tratamento de dados pessoais previstos no artigo 7º, da LGPD.
As organizações da sociedade civil poderão tratar os dados dos seus apoiadores com fundamento no legítimo interesse.
O legítimo interesse é uma hipótese mais flexível para o uso de dados pessoais, mas isso não significa que não se deva ter atenção às demais regras existentes na legislação. Devemos destacar que a lei em questão ainda está pendente de regulamentação.
Portanto, considerando o relacionamento que já existe entre as organizações e seus apoiadores por diversos meios, o legítimo interesse poderá subsidiar o tratamento dos dados pessoais, pois é certo que a existência de um relacionamento prévio e contínuo caracteriza o interesse da pessoa física nesse relacionamento, o que nos leva à conclusão de que o consentimento pode ser considerado desnecessário. Ademais, é certo que as causas sociais ganham cada dia mais relevância e interesse por parte de nossa sociedade, o que nos permite concluir que informações a seu respeito causam nenhum ou pouquíssimo impacto na pessoa física ou, ainda, que há uma justificativa convincente para que o contato com uma pessoa física seja feito pela organização.
As considerações acima se referem ao tratamento de dados com as pessoas físicas com as quais a organização já se relacionava antes da vigência da LGPD.
Entendemos que o legítimo interesse permite a continuidade do relacionamento realizado através do telemarketing com aqueles apoiadores que doam ou já doaram para a organização.
Por outro lado, para que seja feito contato através do telemarketing para a captação de recursos, deve existir um prévio consentimento, ou até mesmo, deve ser feito um contato prévio para que a pessoa física dê o consentimento. Nesse caso, se o consentimento for concedido por ligação telefônica, a organização deverá fazer a gravação do telefonema e informar à pessoa física.
Qualquer abordagem direta através de algum dado pessoal sem a finalidade de pedir o consentimento ou sem prévio consentimento afronta a LGPD.
Por fim, o recomendado é que cada organização da sociedade civil tenha um programa de proteção de dados específico, adequado ao tratamento que realiza, sob pena de sofrer as sanções administrativas e até mesmo ser responsabilizada judicialmente pelo tratamento indevido de dados.
