A Secretaria Nacional do Consumidor (SENACON) do Ministério da Justiça e Segurança Pública divulgou recentemente a instauração de uma averiguação preliminar, para apurar condutas de possível violação das normas de proteção de dados dos consumidores por cinco empresas que estão entre as principais redes de drogarias no país.
A investigação é realizada pelo Departamento Nacional de Proteção e Defesa do Consumidor (DPDC) da SENACON e tem com objeto principal a coleta ilícita de dados pessoais, baseada em um consentimento não informado dos consumidores titulares dos dados.
Recorda-se que o o CPF é um dado pessoal, mas, em determinadas situações pode se tornar um dado pessoal sensível.
A principal situação em que isso ocorre no Brasil está na exigência do CPF para a realização de compras (e, muitas vezes, para a obtenção de um desconto ou promoção) em farmácias e drogarias. Ao relacionar o CPF de uma pessoa às compras de medicamentos e outros produtos ou serviços relacionados à sua saúde, esse dado passa a ser enquadrado no conceito de dado pessoal sensível do art. 5º, II, da LGPD.
Na situação específica de farmácias e drogarias, a informação do número do CPF deve ter uma base legal, que, por envolver um dado pessoal que se torna sensível no caso, deve ser prioritariamente o consentimento do titular (art. 11, I, da LGPD).
Por isso, o consentimento deve ser informado, expresso (manifestação positiva da vontade do titular), realizado por escrito (ou por outro meio que demonstre a manifestação de vontade do titular.), é revogável e deve constar de uma cláusula exclusiva, com finalidade específica e limitada (tendo em vista que não há poder absoluto e genérico para o tratamento dos dados pessoais), de acordo com o art. 8º da LGPD.
Logo, não é mais suficiente a mera declaração oral do CPF no ato da compra, mas depende de um registro escrito. Ainda, o consentimento não deve ser uma condição para assinatura do contrato, tampouco pode ser imposto como uma cláusula de tudo ou nada, ou seja, que a sua prestação seja indispensável para a prestação de um serviço ou o fornecimento de um bem ao titular dos dados pessoais (o que pode caracterizar a abusividade da cláusula).
Por isso, nesse caso há uma proteção diferenciada do CPF, o que compreende inclusive a necessidade da indicação pelo controlador (farmácia ou drogaria) de uma base legal prevista no art. 11 (e não no art. 7º) da LGPD.
A utilização de outra base legal do art. 11 deve ser acompanhada da comprovação de sua indispensabilidade. Por exemplo, a exigência do CPF como meio para o cumprimento do contrato de compra e venda de medicamentos é uma base legal adequada e justifica a dispensa do consentimento?
Além disso, o titular tem o direito de conhecimento do que será feito com o seu CPF e outros dados pessoais e a finalidade do tratamento (será informado para outras farmácias e drogarias da mesma rede ou de outras , os seus hábitos de comora serão repassados para os laboratórios farmacêuticos e para os planos de saúde, ou será usado apenas para a obtenção de descontos e promoções?). Da mesma forma, o consumidor titular de dados pessoais tem o direito de ser informado sobre o seu direito de não fornecer o consentimento para informar o número do CPF e sobre as consequências da negativa (art. 18, VIII, da LGPD).
Portanto, o fornecimento de CPF para a realização de compras em farmácias e drogarias passou a ter uma regulação nova (e as empresas precisam se adequar a ela) desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais.
Em consequência, condicionar a concessão de descontos ou outras vantagens à realização de cadastro prévio e ao fornecimento do CPF (e de outros dados pessoais) no momento da compra viola normas do Código de Defesa do Consumidor (especialmente o art. 43, que contém as regras de coleta de dados do consumidor) e da Lei Geral de Proteção de Dados (especialmente o art. 8º, que contém as regras sobre o consentimento).