Proteção de Dados do Consumidor: LGPD Aplicada ao Consumo
A proteção de dados pessoais do consumidor é tema cada vez mais relevante nas relações de consumo. A LGPD (Lei 13.709/2018) e o CDC formam um sistema integrado que garante ao consumidor controle sobre suas informações pessoais.
LGPD e CDC: proteção integrada dos dados do consumidor
A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde setembro de 2020, estabelece regras sobre coleta, uso, armazenamento e compartilhamento de dados pessoais no Brasil. Quando aplicada às relações de consumo, a LGPD complementa as proteções já previstas no CDC, especialmente no que se refere ao direito à informação (artigo 6, inciso III) e à proteção contra práticas abusivas (artigo 39).
O CDC já previa, em seu artigo 43, o direito do consumidor de acesso às informações existentes em cadastros, fichas, registros e dados pessoais arquivados sobre ele. A LGPD ampliou significativamente esse direito, incluindo o acesso facilitado (artigo 9), a confirmação da existência do tratamento (artigo 18, inciso I), a correção de dados incompletos, inexatos ou desatualizados (inciso III) e a eliminação de dados desnecessários ou excessivos (inciso IV).
Analisamos que a intersecção entre LGPD e CDC é particularmente relevante no comércio eletrônico, nos programas de fidelidade, nos serviços financeiros e nas plataformas digitais, onde a coleta e o uso de dados pessoais são intensivos e podem afetar diretamente os direitos do consumidor.
Direitos do consumidor sobre seus dados pessoais
O artigo 18 da LGPD confere ao titular dos dados (no caso, o consumidor) um conjunto abrangente de direitos. Além dos já mencionados, incluem-se: a anonimização, o bloqueio ou a eliminação de dados desnecessários; a portabilidade dos dados a outro fornecedor; a informação sobre com quem os dados foram compartilhados; e a revogação do consentimento a qualquer tempo.
Na prática, esses direitos significam que o consumidor pode, por exemplo, solicitar a uma loja virtual que exclua seu cadastro e todos os dados coletados durante as compras. Pode também exigir que uma operadora de cartão de crédito informe com quais empresas compartilhou seu perfil de consumo, ou que uma rede social pare de utilizar seus dados para direcionamento de publicidade.
O direito à explicação das decisões automatizadas (artigo 20 da LGPD) é especialmente relevante para consumidores. Quando uma empresa utiliza algoritmos para aprovar ou negar crédito, definir preços diferenciados ou restringir acesso a serviços, o consumidor tem direito a solicitar a revisão dessa decisão e a receber explicação sobre os critérios utilizados.
Verificamos que o uso indevido de dados pode resultar em negativação indevida quando informações incorretas são compartilhadas com birôs de crédito, gerando prejuízos concretos ao consumidor.
Violações mais comuns e como se proteger
As violações de dados do consumidor mais frequentes incluem: compartilhamento de dados com terceiros sem consentimento (gerando ligações e mensagens indesejadas de empresas desconhecidas), vazamento de dados por falhas de segurança, coleta excessiva de informações para cadastros simples, e uso de dados para práticas discriminatórias de preço ou serviço.
Para se proteger, recomendamos que o consumidor leia as políticas de privacidade antes de fornecer dados pessoais, limite as informações compartilhadas ao estritamente necessário para a transação, utilize senhas fortes e diferentes para cada serviço, e monitore regularmente seus dados em plataformas como o Registrato (Banco Central) e os birôs de crédito.
A prática conhecida como “geopricing” ou “geoblocking” (cobrança de preços diferentes com base na localização ou perfil digital do consumidor) pode configurar prática abusiva nos termos do artigo 39, inciso X, do CDC, que proíbe a elevação de preços sem justa causa. A utilização de dados de navegação para manipulação de preços também viola o princípio da boa-fé previsto no artigo 4, inciso III, do CDC.
Vazamento de dados: responsabilidade e indenização
Quando ocorre vazamento de dados pessoais do consumidor por falha de segurança do fornecedor, a responsabilidade é objetiva, ou seja, independe de comprovação de culpa. O artigo 44 da LGPD estabelece que o tratamento de dados será irregular quando não fornecer a segurança que o titular pode esperar, considerando as técnicas de tratamento disponíveis e os riscos do tratamento.
O consumidor vítima de vazamento pode pleitear indenização por danos materiais (quando o vazamento resulta em fraudes financeiras, por exemplo) e danos morais (pela violação da privacidade e pela exposição indevida de informações pessoais). Os tribunais têm reconhecido o dano moral por vazamento de dados, especialmente quando envolve dados sensíveis como informações de saúde, dados financeiros ou dados biométricos.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pela fiscalização do cumprimento da LGPD e pode aplicar sanções que vão desde advertência até multa de 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. O consumidor pode denunciar violações à ANPD pelo canal oficial de peticionamento.
Em situações de dano moral decorrente de relação de consumo, o vazamento de dados pessoais é um fator que os tribunais consideram na fixação do valor da indenização, levando em conta a extensão do dano e a sensibilidade das informações expostas.
Perguntas Frequentes
A empresa pode exigir CPF para realizar uma compra simples?
A LGPD exige que a coleta de dados seja limitada ao mínimo necessário para a finalidade pretendida (princípio da necessidade, artigo 6, inciso III). Em muitas compras presenciais, o CPF não é indispensável para a transação. A exigência pode ser justificada para emissão de nota fiscal ou para obrigações regulatórias, mas não pode ser condição para a venda sem justificativa legítima. O consumidor pode questionar a necessidade e recusar o fornecimento.
Como solicitar a exclusão dos meus dados de um cadastro comercial?
O consumidor deve enviar solicitação formal ao controlador dos dados (a empresa), preferencialmente por escrito (e-mail, formulário no site ou carta). A empresa tem o prazo de 15 dias para responder, conforme o artigo 18, parágrafo 5, da LGPD. Se a empresa não responder ou não atender à solicitação, o consumidor pode registrar reclamação na ANPD, no PROCON ou no Poder Judiciário.
Quem é responsável quando um vazamento de dados resulta em fraude financeira?
A empresa que sofreu o vazamento responde pelos danos causados, conforme o artigo 42 da LGPD e o artigo 14 do CDC. Se a fraude envolver operações bancárias, a instituição financeira também pode ser responsabilizada solidariamente por falha na verificação de segurança. O consumidor tem direito à reparação integral dos danos materiais e morais, podendo acionar qualquer dos responsáveis ou todos conjuntamente.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
