Seu CPF, por favor: consentimento no estabelecimento físico
O consentimento fornecido no estabelecimento comercial pode ensejar diversos descumprimentos à LGPD, consumidores e fornecedores precisam estar atentos à legislação.
terça-feira, 9 de março de 2021
Atualizado às 13:12
Recentemente, a exigência de fornecimento de biometria e/ou do CPF para a concessão de desconto em medicamentos causou grande polêmica nas redes sociais e foi objeto de discussão nos portais de notícias. No Estado de São Paulo, a lei 17.301/20 dispõe expressamente a respeito do dever do fornecedor de "informar de forma adequada e clara sobre a abertura de cadastro ou registro de dados pessoais e de consumo".
Neste aspecto, a legislação estadual pouco inovou sobre o que já prevê a LGPD a respeito do tema, visto que o consentimento que autoriza o tratamento de dados deve ser uma "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada" (art. 6º, XII, da LGPD).
Note-se, a finalidade do tratamento de dados deve ser devidamente informada ao titular dos dados, sendo nulo o consentimento genérico ou com vício de consentimento (art. 8º, §§ 2º e 3º, da LGPD).
Além disto, não basta apenas esclarecer a finalidade do tratamento de dados, sendo necessário também indicar ao titular elementos como "forma e duração do tratamento", "contato do controlador", "informações acerca do uso compartilhado de dados" e demais itens previstos no art. 9º da LGPD.
Diante de tantos requisitos e minúcias, sem nem mesmo adentrar nas especificidades do tratamento de dados pessoais sensíveis, como ocorre em farmácias e drogarias, questiona-se a viabilidade de fornecimento do consentimento no estabelecimento comercial do fornecedor de produtos e/ou serviços/controlador.
Realmente, integrou-se à vida quotidiana o pedido de CPF do consumidor no caixa do estabelecimento comercial para a verificação de descontos ou ainda simplesmente sem qualquer contrapartida. Este roteiro não causa espanto, visto que há bom tempo o consumidor já havia se acostumado a informar seu CPF para participar de políticas públicas de incentivo à requisição de Notas Fiscais (no Município de São Paulo, o programa recebe o convidativo nome de Nota do Milhão).
Se a emissão de Notas Fiscais interessa ao Fisco, o tratamento de dados pessoais interessa ao controlador/fornecedor para compreender como seus clientes se comportam dentro e fora da internet, enviar publicidades, oferecer descontos e personalizar produtos e serviços.
Estas finalidades não são ilícitas em si mesmas e tampouco correspondem a grandes ameaças à privacidade do titular dos dados. O que compromete a proteção de dados pessoais é a obtenção de consentimentos que descumprem a LGPD.
Neste cenário, o simples questionamento do CPF do consumidor, sem qualquer informação a respeito das finalidades de tal pedido e muito menos de eventual compartilhamento dos dados com outros controladores, certamente esbarra na estrutura de proteção de dados vigente no Brasil.
Este cenário é agravado porque os trabalhadores dos caixas via de regra não dispõem de conhecimentos suficientes sobre proteção de dados para esclarecer aos consumidores o disposto na legislação e a própria finalidade do tratamento de dados pretendido pelo fornecedor.
Noutras palavras, os caixas, que têm desempenhado um heroico trabalho durante a pandemia, submetendo-se a riscos de saúde elevadíssimos, são tão inocentes quanto o consumidor diante de pedidos de consentimento que não respeitam as previsões da LGPD.
A superação deste cenário de descumprimento generalizado da LGPD somente pode ocorrer por meio de: i) treinamento dos funcionários; ii) educação dos consumidores; e iii) criação de mecanismos de transmissão de informação ao consumidor para além do estabelecimento comercial físico.
Assim, caso o fornecedor deseje tratar dados obtidos por meio do estabelecimento comercial físico, deverá treinar exaustivamente seus colaboradores para que compreendam o que significa a solicitação do CPF e possam esclarecer as dúvidas dos titulares dos dados. Evidentemente, isto aumenta os custos de transação e dificulta a obtenção dos dados pessoais, mas a legislação, boa ou ruim, deve ser cumprida.
A educação dos consumidores também assume importância fundamental, mostra-se necessário pontuar que o tratamento de dados não é algo inerentemente nocivo, pelo contrário, pode gerar ganhos informacionais ao titular dos dados e auxiliá-lo na personalização de seus produtos e serviços. Ao mesmo tempo, as consequências da perfilização também devem ser bem esclarecidas, pois há risco de que o consumidor entre em um funil de escolhas que lhe limita o conhecimento de novos produtos e serviços não aderentes ao seu perfil ou venha a sofrer discriminação por meio de tratamento de dados.
Por fim, ainda que trabalhadores e consumidores estejam devidamente educados sobre os rudimentos do tratamento de dados, isto não significa que seria possível, no caixa de um estabelecimento comercial, transmitir e receber todas as informações necessárias, sob pena de filas quilométricas enquanto são repassadas oralmente ou por meio de papel políticas de privacidade.
Assim, os fornecedores devem munir os consumidores de informações relevantes por meio de endereços eletrônicos que podem ser acessados por instrumentos de fácil manuseio (como o QR Code, por exemplo), inclusive se utilizando de instrumentos visuais e audiovisuais para a educação dos consumidores.
Somente por meio de tais esforços é possível considerar válido o consentimento transmitido no estabelecimento comercial do fornecedor, sob pena da criação de um ciclo infindável de reclamações fundadas na ausência de transparência no pedido de CPF dos consumidores.