Por que essa história de pedir o CPF no caixa está com os dias contados

Qual é o seu CPF? Se você fez uma compra recente em uma loja física, deve ter ouvido a pergunta logo que chegou ao caixa, sem muitas explicações. É uma prática comum (e insistente) de vários estabelecimentos comerciais, e muita gente fornece o dado por achar que a conclusão da compra depende do número. Mas isso está com os dias contados.

Em 2020, a nova Lei Geral de Proteção de Dados (LGPD) entra em vigor. Com ela, a relação entre clientes, empresas e informações pessoais sofrerá mudanças significativas, com direito a multas pesadas caso as regras sejam violadas.

Na prática, o brasileiro nunca foi obrigado a informar o CPF, conforme assegura o próprio Código de Defesa do Consumidor. Mas sabemos que nem todo mundo gosta de seguir regras... A estratégia de convencimento usada por algumas drogarias, lojas de roupas e outros tipos de estabelecimentos comerciais é parecida: informe o seu CPF e faremos um simples cadastro em nosso sistema.

Um pedido simples e aparentemente inocente, não? O que algumas esquecem de contar é por qual motivo fazem tanta questão de registrar o número e como exatamente usarão o dado. Isso devia ser obrigação.

Em posse do CPF, o armazenamento de outros dados pessoais fica mais fácil e o cruzamento deles também, explica a professora Alessandra de Ávila Montini, pesquisadora há mais de dez anos nas áreas de ciência de dados e Big Data da FEA-USP (Faculdade de Economia Administração e Contabilidade da Universidade de São Paulo).

A partir daí "só Deus sabe" como os registros poderão ser usados, já que nem sempre as políticas das empresas são claras.

Com a ajuda de Montini, que também é diretora do Laboratório de Análise de Dados da FIA (Fundação Instituto de Administração), separamos abaixo algumas perguntas e respostas para entender melhor como a coleta dos nossos dados vai funcionar com a nova lei:

Por que querem tanto saber o nosso CPF?

O CPF é o ponto de partida que conduz para dentro do universo gigantesco dos dados. Ele está atrelado a uma série de outras informações pessoais: nome completo, endereço, email, telefone. Todos andam de mãos dadas.

Quando pensamos na compra de um produto em uma loja, fornecer o CPF pode ser vantajoso para descontos, promoções e participação em programas de pontos. Mas na outra ponta, a empresa consegue alimentar o próprio banco de dados armazenando todo o histórico de nossas compras —hora, dia, mês, ano, produtos adquiridos, com qual periodicidade.

Em seguida, tudo é cruzado com dados pessoais que podem facilmente nos identificar. Tudo fica ali, salvo no sistema da empresa. Mas já pensou se os registros são vendidos para outras empresas sem autorização? O nosso perfil de consumo, padrão de comportamento e tantas outras informações são entregues de bandeja.

Um exemplo disso: a farmácia sabe que todo mês você compra 2 caixas de um remédio para diabetes e 3 de um para depressão, porque associa a compra ao seu CPF. Não é difícil saber qual seu histórico de saúde a partir disso. E se esses dados fossem entregues para o seu plano de saúde, que passaria a cobrar mais por doenças preexistentes? Ou isso fosse informado ao RH de um empresa que está interessada em te contratar?

Os riscos são potenciais, por isso é preciso controle. No mínimo, você deve saber que estão fazendo isso.

O que muda com a nova lei?

A LGPD, sancionada em 14 de agosto do ano passado, diz como os dados pessoais da população podem ser usados por empresas ou governos —e considera dado pessoal toda informação que pode ser usada para identificar alguém. A nova lei começa a valer em agosto de 2020, então muitas empresas já estudam como se adequar — a lei entraria em vigor em fevereiro de 2020, mas uma medida provisória adiou o prazo.

Em relação ao comércio de produtos e serviços, a lei diz que uma empresa só poderá solicitar um dado pessoal de alguém se receber o consentimento explícito dessa pessoa. Outra condição importante é que a informação seja usada com uma finalidade específica que tenha ligação com a compra.

Um exemplo é a Nota Fiscal Paulista, programa de São Paulo que permite o resgate de até 30% do valor cobrado em um dos impostos inserido em produtos/serviços. Se o cliente quiser que seu CPF seja usado neste caso, a empresa poderá solicitar. Então, o "quer CPF na nota" neste caso é legal, porque você está dando o consentimento explícito para que o dado seja usado neste programa.

Se você está comprando uma blusa e não quer informar o seu CPF, a empresa não pode insistir. Caso contrário, poderá ser punida.

Outra situação é se o cliente quiser participar de programas de fidelidade mediante o fornecimento do CPF. Neste caso, a empresa deverá explicar claramente e em detalhes como tudo vai funcionar e como o dado será usado, inclusive como vai protegê-lo.

A mesma regra vale para outras informações pessoais. Um estabelecimento comercial não pode solicitar e nem manter registrado o seu gênero se isso não interessar para a compra. O mesmo vale para nome completo, email, estado civil.

Se seu endereço é necessário para uma compra for online, por exemplo, ela deve perguntar se você pode fornecê-lo e perguntar também se pode armazená-lo no sistema. Caso contrário, deve apagá-lo assim que a entrega for concluída. O mesmo vale para os dados do cartão para a fatura da compra.

Mesmo que você tenha fornecido o seu CPF (ou nome, email, telefone, entre outros) em algum momento, o estabelecimento não poderá armazená-lo em nenhum banco de dados interno da empesa se não houver uma finalidade muito específica.

Neste ponto, todas as empresas deverão alertar de um modo claro e explícito que os consumidores possuem as duas opções.

Como será a punição?

Se descumprirem as regras, as empresas infratoras podem pagar multa de até 2% de seu faturamento, com a condição de o valor não passar de R$ 50 milhões.

Ainda não está claro como a fiscalização será feita. Mas um órgão foi criado pelo governo passado especificamente para isso. É a chamada Autoridade Nacional de Proteção de Dados (ANPD), que funcionará como "xerife da privacidade" no Brasil.