Topo

Quando pode e quando não pode pedir CPF em troca de desconto?

iStock
Imagem: iStock

Melissa Cruz Cossetti

Colaboração para Tilt

08/07/2021 04h00Atualizada em 08/07/2021 15h56

Já virou rotina. Quando você vai pagar suas compras no caixa da farmácia ou de uma loja, vem a pergunta: "por favor, informe o CPF? Sem ele não é possível dar desconto". Mas as empresas podem exigir nossos dados pessoais em troca de algo?

As regras da LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro de 2020, determinam que empresas e governos precisam pedir autorização para a coleta de dados pessoais e explicar de um modo claro como eles serão usados em uma série de situações — salvo exceções. Por isso é preciso ligar um alerta quando solicitações assim forem feitas em estabelecimentos comerciais, por exemplo, segundo especialistas ouvidos por Tilt.

Antes de tudo é importante ter bem claro que o nosso CPF é um dado pessoal, pois é capaz de nos identificar. Assim como ele, o nosso nome, número de celular, localização do GPS, RG, entre outros.

A LGPD ainda trabalha com o termo dado pessoal sensível, que envolve informações sobre origem racial ou étnica, convicção religiosa, opinião política, biométrico (incluindo impressões digitais dos dedos e reconhecimento facial), dado referente à saúde ou à vida sexual e ainda dado genético. São registros que devem ter maior nível de proteção para evitar formas de discriminação.

Olhar atento para as definições, segundo a Lei:

  • Consentimento do titular: é a nossa autorização para que empresa ou serviço público usem nossas informações pessoais.
  • Tratamento de dados: é toda operação realizada com nossos dados pessoais, como coleta, transmissão, processamento, armazenamento e eliminação das informações dos indivíduos.

Quando as lojas podem pedir nossos dados?

Em lojas físicas, o consumidor geralmente não é obrigado a fornecer nenhum dado pessoal para realizar uma compra além do seu método de pagamento. No entanto, o cenário muda quando o mesmo deseja fazer um cadastro para receber promoções ou registrar a garantia do que comprou.

Existem casos, por força de lei, em que determinados produtos são vendidos apenas para maiores de 18 anos, como tintas spray e bebidas alcoólicas. No ato de aquisição, pode ser exigido um documento de identidade — o que não justifica retê-lo, além da sua conferência.

Em farmácias, por obrigação legal, pode ser exigida uma receita médica para a venda de remédios controlados. O que muda com a LGPD é que a solicitação e retenção desses dados, porém, precisa respeitar princípios de boa-fé, como a finalidade com propósitos legítimos, a necessidade, a não discriminação, a transparência e a segurança dos dados.

E a história do desconto em troca do CPF?

Estela Aranha, presidente da Comissão de Proteção de Dados e Privacidade da OAB-RJ, afirma que, para dar acesso a produtos e serviços que a empresa usualmente já oferta, uma farmácia, por exemplo, não pode solicitar o fornecimento do CPF.

Apenas ela poderia oferecer desconto em ações como a adesão em programas de fidelidade e de pontos. Neste caso, a companhia precisa deixar muito claro para os consumidores os motivos de necessidade do uso de seus dados. Não basta só pedir sem dar explicações.

"A questão é que a finalidade da coleta do dado tem que ser clara e transparente para o titular [consumidor], se haverá compartilhamento de dados, como e com quem", explica Aranha.

O advogado Nicolo Zingales, professor da Escola de Direito do Rio de Janeiro da FGV (Fundação Getúlio Vargas), acrescenta que, mesmo nas situações em que as farmácias podem solicitar os dados, os consumidores devem ficar atentos, pois o desconto não pode ter um valor tão alto que torna um impeditivo comprá-lo caso você se recuse a fornecer o CPF (ou outras informações). Isso, de acordo com Zingales, pode ser equiparado à chantagem.

"Pode-se considerar abusiva qualquer prática contratual que coloque o consumidor em desvantagem exagerada ou seja incompatível com a boa-fé ou a equidade", completa o docente.

Para o advogado Pedro Saliba, pesquisador da Associação Data Privacy Brasil, a prática de impor condição de forma agressiva é uma violação coletiva e sistemática, que deve ser reclamada junto a órgãos como de defesa do consumidor — como o Procon e Ministério Público — para inibir potenciais atos ilícitos.

"O que nós temos visto é quase uma imposição. Você chega no balcão e pedem seu CPF, sem informar quais são as finalidades. O preço do desconto é enorme, torna-se quase uma imposição. Isso viola a LGPD, é o que a gente chama de vício de consentimento", afirma Saliba.

Ainda de acordo com o pesquisador, toda essa discussão em torno do assunto é importante porque promove o debate público sobre a proteção de dados e desnaturaliza essa prática que já se tornou comum.

A biometria merece um capítulo separado

A solicitação do cadastro de impressão digital (ou qualquer dado biométrico) é mais complexa porque trata-se de um dado sensível. Algumas empresas até argumentam que a coleta é usada para evitar fraude sobre a identidade do comprador, por exemplo, para comprovar que você é você mesmo. Mas fica o alerta.

Segundo os entrevistados, a biometria não deveria ser um dado solicitado no dia a dia como se fosse algo banal. Ela só deve ser solicitada em casos que exijam maior segurança. Para eles, se for possível identificar uma pessoa usando um número de documento ou um email, que assim seja feito.

O professor Nicolo Zingales exemplifica quando o uso da biometria pode ser necessário: quando é exigido por lei ou clara necessidade maior segurança e dupla autenticação usando biometria, como no setor bancário.

"No contexto de uma farmácia, por exemplo, não vejo como isso possa ser necessário, sobretudo em virtude do risco muito alto de exposição desses dados considerados sensíveis pela legislação. É difícil justificar a necessidade sob um perfil de segurança", diz Zingales.

Mariana Valente, presidente do InternetLab, viveu recentemente uma experiência negativa em termos de privacidade em um caixa de uma farmácia. Um vendedor a orientou a cadastrar a sua digital como parte de uma exigência da nova Lei de Proteção de Dados para ter acesso a desconto em um medicamento.

Porém, a lei não obriga ninguém a fornecer dados pessoais, sensíveis ou não. Esses dados podem ser cedidos, desde que respeitem princípios como o da necessidade (mínimo necessário para o cumprimento de uma finalidade) e adequação, como já explicado ao longo do texto.

"Eu achei chocante. A lei estabelece uma série de garantias em torno de dados biométricos, limites para a coleta e tratamento de dados e informação para o consumidor. O que estava acontecendo era o contrário", afirma Valente.

Para ela, desinformação como essa faz com que os consumidores pensem que são obrigados a oferecer o dado biométrico para a farmácia. Quando não são. "Ali eu estava sendo mal informada a respeito da lei e ninguém me informou porque eu precisava fornecer a minha biometria para ter acesso a um desconto. Parece claramente excessivo. Neste sentido, sempre deve ser escolhido um método menos intrusivo."

O que fazer diante da solicitação de dados?

A recomendação ao consumidor é a de sempre questionar o que será feito com os seus próprios dados e o motivo do pedido, é assumir uma postura ativa diante das solicitações, segundo a orientação dos especialistas.

Já para as empresas, o caminho é o de se adequar às novas regras da lei. "A LGPD não deve ser vista como uma barreira. Os modelos de negócios são completamente ajustáveis a ela. Dizemos isso porque vemos empresas exemplares que mesmo antes da vigência da lei já estavam aplicando seus princípios e garantindo políticas de privacidade facilmente acessíveis", diz Saliba.

A empresa que solicita dados pessoais — sejam eles sensíveis ou não — precisa esclarecer a finalidade de forma clara. Além disso, a exclusão dessas informações deve ser tão fácil quanto a sua concessão. Esses esclarecimentos podem ser oferecidos em termos de consentimento em textos de placas e QR Codes, que podem ser acessados via celular.

Em alguns casos, isso pode também acontecer oralmente, desde que essa modalidade seja adequada para o dado solicitado. Um bom exemplo é quando um lojista pede o seu endereço de email para enviar uma newsletter com novas ofertas toda semana ou mês.