A Justiça do Maranhão condenou a rede de farmácias Drogasil ao pagamento de R$ 10 milhões por danos morais coletivos em razão da prática de vincular a concessão de descontos ao fornecimento do CPF dos consumidores sem a devida transparência sobre o tratamento dessas informações.
A decisão foi proferida em ação civil pública que questionou a forma como os dados pessoais eram coletados nos pontos de venda. Segundo o entendimento adotado pelo Judiciário, embora a coleta de dados pessoais não seja proibida pela legislação, o consumidor deve receber informações claras, adequadas e acessíveis sobre a finalidade da coleta, o período de armazenamento dos dados e eventual compartilhamento com terceiros.
Para a Justiça, a manifestação de vontade do titular dos dados deve ser livre, informada e inequívoca. Quando o consumidor é induzido a fornecer seus dados para obter acesso a preços mais vantajosos, sem compreender plenamente como essas informações serão utilizadas, há comprometimento da validade desse consentimento e possível violação dos direitos à privacidade e à proteção de dados pessoais.
Além da indenização, que será destinada ao Fundo Estadual de Proteção dos Direitos Difusos, a empresa deverá adequar suas práticas de atendimento e seus programas de fidelidade, garantindo maior transparência no tratamento das informações coletadas.
O que essa decisão representa para as empresas?
A condenação reforça uma tendência cada vez mais presente nas decisões judiciais e na atuação dos órgãos de fiscalização: a proteção de dados pessoais deixou de ser uma preocupação exclusiva de grandes empresas de tecnologia e passou a integrar a rotina de qualquer organização que coleta informações de clientes, colaboradores ou fornecedores.
Muitas empresas solicitam CPF, telefone, e-mail, endereço ou outros dados pessoais durante vendas, cadastros, programas de fidelidade e ações de marketing. Contudo, a coleta desses dados deve estar acompanhada de informações claras sobre:
- A finalidade da utilização dos dados;
- O fundamento legal que autoriza o tratamento;
- O prazo de retenção das informações;
- O compartilhamento com terceiros, quando aplicável;
- Os direitos dos titulares previstos na Lei Geral de Proteção de Dados (LGPD).
Um alerta para empresários
O caso demonstra que o risco não está apenas em vazamentos de dados ou ataques cibernéticos. Processos internos aparentemente simples, como a solicitação de CPF no caixa ou o cadastro em programas promocionais, podem gerar questionamentos jurídicos quando não observam os princípios de transparência, necessidade e adequação previstos na LGPD.
Por essa razão, é recomendável que empresas revisem seus formulários, políticas de privacidade, programas de fidelidade e procedimentos de atendimento, garantindo que a coleta de dados pessoais ocorra de forma transparente e alinhada às exigências legais.
A conformidade com a LGPD não deve ser vista apenas como uma obrigação regulatória, mas como uma medida de proteção jurídica, reputacional e estratégica para o negócio.
Se possui dúvidas, entre em contato com nossos especialistas em proteção de dados!