Dr. Sandrei Almeida[1]
Jaime Ferreira[2]
Ainda que você não esteja tão necessitado daquele produto, a palavra-mágica “DESCONTO” faz ele ser atrativo; aliás, é extremamente comum que isso seja decisivo para a compra. Assim, perguntamos: quantas vezes, no momento da compra, já te solicitaram seus dados pessoais, por exemplo o CPF, como condição, para que fosse conferido algum desconto? Farmácias são lugares famosos por tais práticas.
Já em 2018, a Drogaria Araújo foi condenada a pagar quase 8 milhões de reais por exigir o fornecimento do CPF, para conceder descontos nas compras. O grande problema, nesse caso, estava no fato de não haver uma comunicação clara ao consumidor a respeito do serviço ofertado, nem da abertura de cadastros. Tudo isto, inclusive, já estava protegido pelo Código de Defesa do Consumidor (art. 43, §2º)[3].
Diante deste cenário, na última terça-feira (01/12), o Estado de São Paulo publicou a Lei 17.301/20. Espelhando a Lei Geral de Proteção de Dados (Lei n. 13.709/18), ela proíbe farmácias e drogarias de exigirem o CPF do consumidor, no ato da compra, sem informar de maneira inequívoca quanto a criação de cadastros que condiciona a concessão de descontos.[4] Contudo, essa lei é supérflua e não é clara o suficiente.
A LGPD é uma lei de abrangência nacional (art. 1º, parágrafo único) e já é ampla o suficiente para atingir todos os ramos comerciais que realizem tratamento de dados (art, 3º) – inclusive as farmácias e drogarias – excepcionando-se apenas as restritas hipóteses legais (art. 4º). É uma lei que trouxe também algumas inovações, mas a gênese dos seus princípios (art. 6º) e fundamentos (art. 2º) já estavam presentes, embora dispersos e implícitos, na estrutura normativa brasileira.
Ora, nos dias atuais, quando se fala em desburocratização, objetividade na atividade parlamentar e princípio da eficiência na administração pública (art. 37, caput, da CF), o parlamento paulista não deveria se dar ao luxo de labutar sobre um texto legal inócuo. Entretanto, não apenas isso, mas ele ainda é contraditório. Senão vejamos.
O art. 1º, da Lei do Estado de São Paulo, prevê que as farmácias e drogarias poderiam exigir o CPF, caso prestassem informações aos consumidores quanto ao cadastro e registro. Segue texto na íntegra:
“As farmácias e drogarias ficam proibidas de exigir o Cadastro de Pessoas Físicas – CPF do consumidor, no ato da compra, sem informar de forma adequada e clara sobre a abertura de cadastro ou registro de dados pessoais e de consumo, que condiciona a concessão de determinadas promoções”.
Ocorre que o art. 2º, da mesma lei, estabelece que “nas farmácias e drogarias deverão ser afixados avisos contendo os dizeres ‘PROIBIDA A EXIGÊNCIA DO CPF NO ATO DA COMPRA QUE CONDICIONA A CONCESSÃO DE DETERMINADAS PROMOÇÕES’. Ora, afinal, esta lei autoriza ou proíbe o compartilhamento do CPF? Não sabemos ao certo! Enquanto o art. 1º confere a possibilidade, caso haja a informação certa, o art. 2º determina a proibição, sem apresentar qualquer exceção.
Sobre o assunto, a LGPD fixou o conceito de “bases legais” (arts. 7 e 11): hipóteses sobre as quais alguma organização pode fazer o tratamento dos dados pessoais de alguém – por exemplo, a farmácia colher o CPF do cliente. Não há tratamento autorizado pela lei fora destas situações indicadas e uma das primeiras bases legais é o “consentimento”.
Segundo a própria LGPD, esse consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, XII). Embora não seja a base legal mais segura para todas as situações, pois ele é efêmero, o “consentimento” é, em regra geral, a melhor forma para que as farmácias e drogarias solicitem o CPF ao cliente, mas não há autorização legal para que seja feito mediante a oferta de descontos ou a chantagem da retirada de benefícios.
Afinal, as farmácias podem pedir o CPF? Sim, desde que façam a operação da forma correta.
E o consumidor é obrigado a informar? Não!
E se for condicionado a benefícios? É possível apresentar uma reclamação formal aos órgãos de fiscalização e até buscar uma reparação cível, caso haja constrangimento.
Vê-se, portanto, que, independentemente do disposto na Lei do Estado de São Paulo citada, a própria LGPD já é suficiente para regular as práticas comerciais. Isso exige que os empresários e representantes organizacionais envidem esforços para conferir a implementação da LGPD na sua organização.
[1] Advogado, Mestre em Direito, Data Protection Officer (DPO) pela Embrace Digital Transformation, EXIN, e possui mais de uma década de experiência em criação e manutenção de redes e servidores.
[2] Estagiário do “SS Advocacia, Consultoria e Assessoria Jurídica” e Responsável pelo Núcleo Técnico Jurídico (NTJ) de Inovações, Compliance e Proteção de Dados.
[3] Disponível em: <https://sincofarma.org.br/noticias/drogaria-araujo-e-multada-em-mais-de-r-7-milhoes-por-condicionar-descontos-a-fornecimento-de-cpf/#:~:text=A%20Drogaria%20Ara%C3%BAjo%20foi%20condenada,sobre%20a%20abertura%20de%20cadastro.>. Acesso em 03 dez 2020.
[4] Disponível em: < https://www.editoraroncarati.com.br/v2/Diario-Oficial/Diario-Oficial/LEI-ESTADUAL-SP-N%C2%BA-17-301-DE-01-12-2020.html#:~:text=Voltar-,LEI%20ESTADUAL%20(SP)%20N%C2%BA%2017.301%2C%20DE%2001.12.2020,Estado%2C%20e%20d%C3%A1%20outras%20provid%C3%AAncias>. Acesso em 03 dez 2020