Você é um robô? A raspagem de dados sob a ótica da LGPD e do RGPD
Se você navega na internet, provavelmente já foi questionado por algum website se é um robô ou teve que provar que era humano clicando em fotografias de hidroaviões, caminhões, montanhas ou hidrantes. Um dos motivos para que websites façam esse tipo de pergunta é para evitar a “raspagem de dados”, também conhecida por “data scraping“, “web scraping” ou “web crawling“.
A raspagem de dados consiste na extração de grandes quantidades de dados disponíveis na internet a partir do uso de softwares automatizados conhecidos como “bots“, sendo prática comum em tempos de Big Data[1]. As informações “raspadas” pelos bots são organizadas de forma estruturada, permitindo a análise de dados públicos para os mais diversos propósitos[2], inclusive para mapear ambientes competitivos e aumentar a eficiência de processos levados a cabo por determinadas empresas.
Os dados obtidos em uma raspagem podem incluir desde preços de produtos e serviços disponíveis online até dados pessoais. Se a raspagem incluir dados pessoais não anonimizados, a atividade estará sujeita à Lei 13.709/2018 (Lei Geral e Proteção de Dados Pessoais ou “LGPD”). Por isso, o objetivo deste artigo é analisar como a raspagem de dados dialoga com a LGPD e como a experiência da União Europeia na aplicação do Regulamento Geral de Proteção de Dados (“RGPD”) nestes casos pode esclarecer dúvidas surgidas nas operações realizadas em território brasileiro.
O objeto da raspagem de dados é o tratamento de dados pessoais públicos ou que foram tornados públicos pelos próprios titulares dos dados, razão pela qual não é vedado pela LGPD. O art. 7º, § 3º, da LGPD prevê que o “tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização“. Já o art. 7º, § 4º, dispensa a exigência de consentimento para o processamento de informações que foram tornadas públicas pelo titular de dados pessoais, desde que sejam observados os direitos e princípios previstos na LGPD.
Todavia, a existência de informações tornadas públicas pelos usuários na rede mundial de computadores não corresponde a um “cheque em branco” para o uso desses dados pelos agentes de tratamento. O art. 7º, § 7º, da LGPD estabelece que o tratamento de dados pessoais poderá ser realizado para novos fins quando presentes: (i) propósitos legítimos e específicos para o novo processamento; (ii) preservação dos direitos do titular de dados; e (iii) respeito aos fundamentos e princípios da LGPD.
O requisito de “propósitos legítimos” indicado na LGPD está relacionado à base legal do interesse legítimo (art. 7º, IX). Essa hipótese autorizativa para o processamento de dados pessoais foi formulada de forma ampla e flexível para abarcar situações de interesses privados legítimos de controladores de dados. Todavia, tais interesses poderão, em algumas oportunidades, conflitar com as legítimas expectativas, direitos ou liberdades dos titulares dos dados.
De acordo com a LGPD, a expectativa legítima do titular é um elemento significativo e deve ser examinado por meio de um teste de ponderação ou teste do legítimo interesse (“LIA”).[3] Para tanto, deverá ser considerada a proximidade contextual entre o uso dos dados que o controlador pretende fazer e o que uma pessoa pode razoavelmente esperar. Há que se questionar, por isso, se é razoável que um titular espere ou deva esperar que os seus dados pessoais publicizados possam ser utilizados para determinada finalidade ou, em termos mais coloquiais, se o titular do dado não se sentirá traído ou assustado.
Assim, caso se pretenda empregar dados raspados de outros sites em um segundo uso, deve-se perquirir se o processamento adicional está próximo do uso original dos dados pessoais e se o titular dos dados poderia esperar o uso secundário. Exemplificativamente, quando uma pessoa natural anuncia a venda de bens particulares em um market place C2C, parece razoável esperar que seus anúncios sejam considerados para a formação de estatísticas de preço sobre aquele determinado produto, mas talvez não seja razoável esperar que suas informações de contatos sejam utilizadas para o oferecimento de crédito consignado por instituições bancárias.
Na União Europeia, o tema não é desconhecido. Em 2019, a Autoridade Francesa de Proteção de Dados (CNIL) realizou pesquisa com empresas que raspam dados acessíveis publicamente na Internet e disponibilizou, ao final, diretrizes gerais a serem observadas pelos agentes envolvidos em atividades de raspagem de dados. Essas diretrizes incluem: (i) registrar a duração da raspagem de dados; (ii) saber a origem dos dados raspados e se o site do qual são obtidos restringe sua coleta e reutilização comercial; (iii) minimizar a coleta de dados pessoais e se abster de coletar quaisquer dados que sejam irrelevantes para o uso secundário almejado com a extração de dados; (iv) informar titulares afetados pela coleta de quaisquer dados pessoais; e (v) conduzir uma avaliação do impacto da proteção de dados.[4]
A raspagem de dados pode servir a muitos propósitos úteis, tanto para agentes de tratamento quanto para titulares. Porém, é importante que a opção por raspar dados com finalidades secundárias seja tomada de forma consciente e seja devidamente documentada, com diretrizes claras a respeito das atividades que se quer realizar e computando-se custos operacionais eventualmente necessários para contatar titulares de dados pessoais afetados.
Websites não são obrigados a questionar se seus usuários são robôs para impedir que as suas próprias informações sejam também raspadas e tampouco precisam se abster de raspar dados públicos. Tanto a LGPD quanto a experiência europeia indicam que atividades de raspagem de dados podem ser realizadas de forma compatível com normas de proteção de dados. A questão não é de restringir a atividade, mas de adaptá-la à LGPD e às demais normas eventualmente aplicáveis.