“Você pode informar seu CPF, por favor?”. Ouvir essa frase de atendentes e balconistas virou cena comum em vários estabelecimentos. As empresas solicitam esse – e outros -, dados com diversas finalidades. É preciso, porém, que os clientes estejam cientes e concordem com esse objetivo.
Há quase 1 em ano entrou em vigor no Brasil, a Lei Geral de Proteção de Dados, a LGPD, que define limites para essas transações.
A lei coloca o Brasil ao lado de mais de 100 países com normas específicas para definir as condições na coleta, armazenamento e tratamento de informações pessoais de clientes. O LIVRE conversou com a presidente em exercício da Comissão de Estudos Permanentes de Compliance da Ordem de Advogados do Brasil (OAB) em Mato Grosso, Luciana Serafim sobre os principais pontos.
Pessoas físicas e jurídicas
A lei vale tanto para pessoas físicas quanto jurídicas e envolve todas as transações com finalidade comerciais que envolvam a solicitação de dados pessoais.
“Mesmo que uma pessoa física receba um dado pessoal, mas isso dentro de uma relação comercial, ela esta sujeita a observar a LGPD pra tratamento desses dados. Como vai ser coletado? Como serão processados? Eliminados?”, reflete.
Consentimento
Para essa coleta, é preciso que o titular do dado oferte o consentimento. Quando a empresa solicita esse consentimento, tem que informar de forma muito transparente qual a finalidade da solicitação.
“E essa finalidade não pode ser da cabeça da empresa. Tem que estar vinculada a uma base legal que permita a coleta desse dado para utilizar para finalidade citada”, explica.
Antes da lei, era comum que serviços de internet, por exemplo, coletassem dados indiscriminadamente, para, posteriormente, tratá-los, sem finalidade específica. Agora, o objetivo deve estar bem claro e ser previamente informado ao titular dos dados pessoais, que pode concordar, ou não, em se submeter ao procedimento.
Para dar o consentimento
A empresa passou a solicitar a impressão digital dos clientes para validar o uso do CPF para conceder descontos. Para Luciana, há outros meios de se registrar o aval do cliente.
“Eles associam mais um dado, que é a biometria – classificada como um dado sensível. E não há garantia de que o CPF vai estar sendo usado somente para essa finalidade. Nem com quem eles estão compartilhando esse dado para essa finalidade. Tem outros meios de fazer essa obtenção, se o consumidor não quiser fornecer biometria eles tem que ter outras formas de obtenção desse consentimento”, explica.
Sanções e fiscalização
A LGPD lista um conjunto de sanções para o caso de violação das regras previstas, entre as quais destacam-se advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.
Em Cuiabá, a Drogasil foi multada em R$ 572.680,71. Por meio de nota, a empresa informou que cumpre todos os itens da Lei Geral de Proteção de Dados e que orienta os funcionários a esclarecer os clientes sobre o que representa o consentimento sobre o uso da informação captada.
