Você com certeza já ouviu a expressão “em casa de ferreiro, o espeto é de pau”. E parece que a área de privacidade é fértil para esta expressão.
Eu sou o tipo de pessoa que está sempre tentando participar dos eventos sobre proteção de dados pessoais. Afinal, considero que sempre há algo a aprender com outros profissionais da área, já que eles podem trazer inúmeras perspectivas diferentes daquilo que eu conheço – o que, por fim, me transforma em um melhor profissional de proteção de dados.
Mas tem certas coisas que me assustam negativamente ao realizar as inscrições para tais eventos.
Recentemente fiz a inscrição para um evento gratuito via YouTube. Se eu fosse radical demais, diria que nem inscrição é necessária – basta divulgar, indicar data e link, e tá feito o negócio. Mas eu entendo o racional de se fazer inscrição para este tipo de evento – a realização de divulgações de eventos futuros, ou mesmo de produtos e/ou serviços correlatos – e acho que isto é totalmente ok em termos de proteção de dados.
O que complica é você chegar no formulário de inscrição e o organizador solicitar os seguintes dados, todos eles obrigatórios:
- Nome
- Celular para WhatsApp
- Empresa
- Segmento da empresa
- Número de funcionários da empresa
- Cargo na empresa
- Departamento/área de atuação
Aí eu pergunto: todos esses dados são necessários para que a finalidade seja atingida?
Antes de responder com um retumbante “não”, fui lá olhar o aviso de privacidade – porque de repente a organização realizadora do evento dá uma justificativa plausível para a coleta de outros dados que claramente não são necessários para que um e-mail seja enviado. E no aviso indica-se que:
- São coletados apenas nome, telefone e e-mail;
- As finalidades são:
- Enviar atualizações, lembretes e orientações sobre o evento;
- Incluir o telefone em grupo do WhatsApp com informações sobre o evento;
- Conhecer o perfil do participante com objetivo de oferta futura mais customizada;
- O exercício de direitos pode ser feito se o titular entrar no site da organização e preencher um formulário.
A aceitação do aviso de privacidade é obrigatória.
Quais as conclusões que se tira daqui?
Bom, antes de dizer se os dados são coletados ou não em excesso, vale analisar as finalidades. Começando pela primeira, esta é a finalidade óbvia do evento, e portanto faz total sentido coletar nome e e-mail, mas não os demais dados.
Em relação à segunda, entendo que esta finalidade gera um risco para a organização que ela parece não estar vendo, dados os inúmeros alertas a respeito do risco à privacidade ao se fazer obrigatória a inclusão em grupo do WhatsApp. Este risco poderia ser mitigado com um convite ao usuário para que entre no grupo.
Por fim, a terceira finalidade parece ser legítima – toda empresa quer conhecer melhor o seu público. O problema aqui é que a maneira pela qual os dados estão sendo coletados: está-se vinculando a obrigatoriedade de indicação dos dados profissionais do participante à finalidade de participação no evento – e isso tudo sem consentimento, apesar da frase “Eu aceito o aviso de privacidade acima indicado”.
Eu não sei qual a base legal utilizada por esta organização, mas acredito que tenha sido o legítimo interesse. Se for, isto não faz sentido – ou, melhor dizendo, é muito arriscado -, já que não há relacionamento prévio entre os possíveis participantes e a organização. Ou, por outras palavras: alguém que vê uma chamada para um evento gratuito no YouTube tem a expectativa de ser perfilado para o recebimento de ofertas futuras sem um relacionamento prévio com a organização?
Isto sem falar em outros erros, como a já citada obrigatoriedade de aceitação do aviso de privacidade e o erro em seu conteúdo. Começando pelo erro, há mais dados pessoais coletados, mas a organização apenas indica “nome”, “telefone” e “e-mail”. E em relação ao primeiro, um aviso de privacidade é uma indicação ao titular, não necessitando de aceite ou não deste. Da maneira que foi colocado no formulário, fica parecendo que o titular está dando o consentimento – o que não é o caso -, consentimento este que seria inválido de qualquer forma não apenas porque o (suposto) consentimento, do jeito que foi solicitado, é obrigatório, mas porque o titular está (supostamente) dando um único consentimento para três finalidades distintas (ou duas, se formos generosos e considerarmos que a inclusão no grupo de WhatsApp tem relação com a divulgação de informações sobre o evento).
É por isso que eu disse no início: “em casa de ferreiro, o espeto é de pau”.
Em tempo: esta situação ocorreu em um evento a ser realizado na Europa.
Vamos que vamos e #colanopapai!
Abraços,
Prof. Matheus Passos
Passei por uma situação similar para participar de um evento online e gratuito sobre Proteção de Dados, pediram até endereço residencial, mas era um pouco pior pois não tinha nem aviso de privacidade rsrs obviamente desisti e nem me cadastrei no evento.
O que acrescentar? Você já disse tudo rs!
Já tive experiências semelhantes, como eu disse nesse post (https://t.me/PodApps/655) o evento que Cyber que já começa errado.
Na última apresentação em português, os campos para preenchimento estava em espanhol, coleta excessiva, obrigatoriedade de aceitar o recebimento mensagens e para cancelar esse recebimento, somente quando receber a mensagem que ainda será enviada pela empresa.
Passei pela mesma coisa recentemente. Me inscrevi para um evento para discutir Privacidade na América Latina, com alguns painelistas, em que me pediram nome, email, empresa, número e cargo que eu trabalhava. Após o evento recebi uma ligação do setor de vendas, que queria saber qual solução de software a minha empresa usava para privacidade. Algumas semanas depois, recebi até um convite no LinkedIn, de uma das pessoas do time dessa empresa que organizou o evento, pedindo conexão e querendo conversar mais (com o objetivo de venda). Nada disso estava transparente no convite do evento… casa de ferreiro, o espeto é de pau mesmo