Nathalia Ferreira (*)
Quantas vezes somos abordados no nosso dia a dia em situações que precisamos conceder o nosso CPF para concluir uma compra ou para ganhar um desconto?
Sob este aspecto, vale questionar até que ponto a solicitação dos dados pessoais é um exagero das empresas ou uma necessidade para o negócio e para nossos interesses. Com a LGPD sancionada em agosto de 2020, regulamentando todo o ecossistema de coleta e tratamento de dados pessoais, ficou definido como dado pessoal uma informação que identifica a pessoa física e dados sensíveis seriam informações como de saúde, raça, vida sexual, informações biométricas, entre outros, que podem causar algum tipo de prejuízo ou discriminação ao titular de dados.
A LGPD também traz à tona princípios gerais que devem nortear qualquer tratamento de dados pessoais. Um desses princípios é o da necessidade, ou seja, a coleta deve ser proporcional à realização da atividade e os dados não podem ser excessivos. Por exemplo, caso seja necessário fornecer o CPF para realizar a identificação do titular de dados, não faz sentido fornecer a biometria para a mesma finalidade, ou seja, este é um caso de captura excessiva de informação.
Neste ano tivemos uma situação similar com uma rede de farmácias que, além do CPF, iniciou a coleta de biometria (dado sensível) para identificação e liberação de desconto personalizado. Após um questionamento do Instituto Brasileiro de Defesa do Consumidor (IDEC), a rede voltou atrás. Assim, quando o tratamento de dados pessoais atende obrigações legais, contratuais e de proteção ao crédito, a coleta de dados torna-se justificável perante a LGPD.
Todavia, quando a coleta é excessiva perante a finalidade da atividade e além, envolvendo dados sensíveis, como no caso acima, o tratamento passa a não ter uma base legal adequada e compromete os direitos e liberdades fundamentais do titular de dados. Outra situação que pode ocorrer são os anúncios personalizados. Neste caso, as empresas utilizam os dados para identificar gostos e necessidades dos consumidores, podendo, neste caso, ter uma boa receptividade a partir do momento que se torna uma ação proporcional.
Quando o titular acessa um aplicativo de supermercado e consta na primeira página os alimentos que já foram consumidos no passado, destacando descontos exclusivos, é uma situação que concede rapidez ao titular na hora das compras e, ao receber um desconto, este será afetado positivamente nas suas economias pessoais. Aqui, ambos empresa e titular se beneficiam mutualmente com o tratamento de dados pessoais.
Por isso, é importante que as empresas definam quais informações devem ser, de fato, utilizadas e quais suas finalidades. Além disso, para resguardar a proteção de dados de consumidores brasileiros, a própria Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável em fiscalizar a implementação da LGPD, em conjunto com a Secretaria Nacional do Consumidor (Senacon), aprovaram um acordo técnico em março de 2021 visando este objetivo. E a ANPD e o Conselho Nacional de Defesa do Consumidor divulgaram um guia chamado “Como proteger seus dados pessoais”, direcionada para os consumidores.
Ações como essas são imprescindíveis, todavia, a linha é tênue quando se refere ao tratamento de dados pelas instituições, visto que podem ser proporcionais em alguns casos e exagerados em outros. Desta forma, se faz necessário definições mais robustas para que as empresas tenham uma segurança jurídica maior e os titulares de dados tenham segurança e governança com seus dados pessoais.
(*) – É consultora sênior de Data Privacy da ICTS Protiviti, especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.