solicitação de CPF

Os limites da solicitação de CPF em compras à luz da LGPD e seus impactos 

A solicitação do Cadastro de Pessoas Físicas (CPF) em transações comerciais é uma prática comum no Brasil, utilizada frequentemente para fins como emissão de nota fiscal, participação em programas de fidelidade e análise de crédito. Contudo, com a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018 —, surgem questionamentos sobre os limites dessa prática, especialmente no que tange à necessidade, à transparência e à segurança no tratamento desses dados. 

Escrito por Júlia Medeiros 

Regras da LGPD 

A LGPD estabelece regras claras para o tratamento de dados pessoais, impondo princípios que devem ser seguidos pelas empresas, como: 

  • Necessidade: Os dados coletados devem ser estritamente necessários para a finalidade pretendida. 
  • Finalidade: A coleta de dados deve ter uma finalidade específica, lícita e clara. 
  • Transparência: O titular dos dados deve ser informado sobre a razão da coleta e como seus dados serão utilizados. 
  • Segurança: Medidas adequadas devem ser adotadas para proteger os dados pessoais de acessos não autorizados e vazamentos. 

Leia também: 10 princípios da LGPD para tratamento de dados 

Quando a solicitação de CPF é permitida? 

A coleta do CPF é permitida quando há uma base legal prevista pela LGPD que justifique o tratamento desse dado. Algumas situações comuns incluem: 

Emissão de Nota Fiscal 

A legislação tributária exige a emissão de nota fiscal com identificação do comprador em transações acima de um determinado valor. Nesse caso, a base legal é o cumprimento de obrigação legal ou regulatória (art. 7º, II, LGPD). A obrigatoriedade de identificar o comprador na Nota Fiscal de Consumidor Eletrônica (NFC-e) varia conforme a legislação de cada estado brasileiro.  

De acordo com o Decreto Nº 46.087, publicado em maio de 2018, no estado de Pernambuco, é obrigatório que o emissor informe o destinatário da NFC-e para qualquer documento com valor igual ou superior a R$ 1.000,00 (um mil reais). 

Programas de fidelidade 

Para o cadastramento de consumidores em programas de fidelidade, pode-se utilizar a base legal do legítimo interesse (art. 7º, IX, da LGPD), desde que os benefícios sejam claramente apresentados ao consumidor e que o tratamento de dados seja proporcional e necessário. Essa abordagem exige a elaboração de um Relatório de Impacto à Proteção de Dados (RIPD), comprovando que os direitos e liberdades dos titulares não serão comprometidos.  

Outra possibilidade é o uso da base legal do consentimento (art. 7º, I, da LGPD), o que requer a obtenção de uma manifestação clara, livre e inequívoca do titular. Nesse caso, é essencial que a empresa informe, de forma transparente, como os dados serão utilizados, além de respeitar o direito do titular de revogar o consentimento a qualquer momento. 

Análise de crédito 

A consulta ao CPF para avaliação de crédito encontra respaldo na LGPD com fundamento na proteção ao crédito (art. 7º, X, LGPD). Essa base legal permite o tratamento de dados pessoais para assegurar a análise de risco e a confiabilidade nas relações comerciais e financeiras, desde que observados os princípios da finalidade, necessidade e transparência.  

É importante destacar que o uso dessa base legal exige que sejam respeitados os direitos e liberdades fundamentais do titular, garantindo que o tratamento seja realizado de forma proporcional e adequada ao propósito legítimo de proteção ao crédito. 
 
Leia também: O que você precisa saber sobre tratamento de dados pessoais 

Práticas irregulares e riscos de penalização 

Solicitar o CPF do cliente sem justificativa adequada ou utilização para finalidades além das informadas configura tratamento irregular de dados pessoais. Exemplos incluem: 

  • Coleta compulsória do CPF sem informar a razão. 
  • Uso do CPF para envio de publicidade ou venda de dados sem o consentimento do titular. 
  • Falha em proteger os dados contra acessos não autorizados, resultando em vazamentos. 

Essas práticas podem levar a penalizações administrativas impostas pela Autoridade Nacional de Proteção de Dados (ANPD), como multas de até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração, além de danos à reputação corporativa. 

Leia também: LGPD: Como a lei protege suas imagens e dados biométricos 

Boas práticas aplicáveis 

As empresas precisam adotar medidas para assegurar a conformidade com a LGPD na coleta de CPFs. Algumas boas práticas incluem: 

  • Avaliar a necessidade da coleta: Verifique se a solicitação do CPF é realmente necessária para a finalidade pretendida. 
  • Informar o titular: Esclareça de forma clara e acessível o motivo da coleta e como os dados serão tratados. 
  • Adotar medidas de segurança: Implemente controles técnicos e administrativos para proteger os dados pessoais coletados. 
  • Treinar colaboradores: Capacite sua equipe para que compreenda a importância do cumprimento da LGPD e saiba lidar corretamente com dados pessoais. 

Conclusão  

A LGPD trouxe uma nova dinâmica para o tratamento de dados pessoais, exigindo que empresas reavaliem suas práticas para garantir o respeito aos direitos dos titulares e evitar sanções legais. No caso da solicitação de CPF em compras, é essencial que essa coleta seja justificada, transparente e segura, promovendo a confiabilidade entre empresas e consumidores.  

A conformidade com a LGPD não é apenas uma obrigação legal, mas também uma estratégia para construir relações de longo prazo baseadas na confiança.