Foi ajuizada pelo Ministério Público do Paraná, em 26/5/2022, ação civil pública contra um grande supermercado de Campo Mourão [1]. O estabelecimento estaria coletando dados pessoais dos clientes em desconformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
A origem do tratamento de dados tido como irregular estaria em práticas anteriores à vigência da LGPD. A rede de supermercados lançou, em 2015, um programa de descontos no qual o cliente poderia se cadastrar por meio das plataformas disponibilizadas (site, app ou totem). Com a adesão, confere-se ao cliente a obtenção de descontos sem a necessidade de acúmulo de pontos, taxas ou anuidades.
Segundo consta nos autos do processo, como a base de dados foi criada antes do advento da LGPD, o supermercado adotou o seguinte procedimento para poder validar o consentimento do titular no uso de seus dados relativamente ao programa de pontos: ao chegar no caixa, o atendente solicita que o cliente aperte um botão verde na máquina de cartão para concordar com o uso de seus dados pessoais.
Ocorre que, segundo o Ministério Público, em momento algum, é informada qual a finalidade da coleta do consentimento ao cliente, sequer é entregue um extrato ou documento com o conteúdo do que foi aceito e, os funcionários não possuem informações básicas para auxiliar o titular dos dados.
A empresa alega estar adequada à LGPD, pois (1) oportuniza a exclusão dos dados do cliente que não desejar continuar com os benefícios do clube de desconto; (2) dispõe de folders com informações sobre a legislação; e (3) disponibiliza cópia física da LGPD para consulta dos clientes, tal qual ocorre com o Código de Defesa do Consumidor. Também destaca possuir Política de Segurança e Privacidade e espaço específico no site apenas para atualização do consentimento.
Contudo, a LGPD é explícita ao estabelecer que as informações acerca da coleta e destinação dos dados pessoais deve se dar de forma clara, inequívoca e no momento em que o titular expressar seu consentimento. Aliás, veja o quadro ilustrativo apresentado na petição inicial de lavra do MP-PR:
No caso em tela, o supermercado deveria ter atualizado o consentimento dos clientes de maneira clara e transparente, informando aquilo que estava sendo aceito, a finalidade, oportunizando a escolha pela exclusão dos dados aos titulares que não desejem continuar com o benefício ofertado, bem como ter ofertado treinamento assertivo aos seus funcionários, para que pudessem solucionar dúvidas básicas.
Inclusive, após a propositura da ação civil pública, o supermercado suspendeu de pronto o procedimento de coleta de consentimento. Em 13/6/2022 foi realizada audiência de conciliação que restou infrutífera, desta forma o processo seguirá seu curso.
É essencial que as empresas respeitem os direitos dos titulares ao solicitar seu consentimento. Veja algumas orientações:
- Agir com transparência, garantindo informações claras, precisas e facilmente acessíveis sobre como será realizada a coleta, onde serão armazenados os dados, com quem será compartilhado, ou seja, e as consequências dessa autorização, em caso de obtenção de consentimento;
- É necessário que o consentimento seja fornecido de forma livre, informada e inequívoca;
- Utilizar os dados pessoais apenas para a finalidade informada ao titular, ou seja, não os tratar, posteriormente, de forma incompatível com o objetivo apresentado inicialmente;
- Caso questionada, a empresa deve garantir ao titular a forma e duração do tratamento dos dados;
- Caso os dados sejam compartilhados com um controlador, deverá ser informado o agente junto da finalidade;
- Comunicar os direitos que o titular possui.
E o que pode ser feito com a base de dados anterior à LGPD? A lei não proíbe a utilização deste legado, desde que seja adequado à lei para que seu manuseio ocorra sem causar, eventualmente, danos aos titulares.
Ademais, a LGPD prevê em seu artigo 63, que a Autoridade Nacional de Proteção de Dados (ANPD) estabelecerá normas de adequações progressivas aos bancos de dados constituídos até a data de entrada em vigor da lei. Contudo, a agência, até o presente momento, não trouxe estas orientações.
Apesar dessa salvaguarda, é necessária cautela, se recomenda verificar caso a caso a forma que a base de dados foi constituída e consultar um especialista em proteção de dados, para que seja tomada a decisão correta.
Fonte: Revista Consultor Jurídico