Proteção de Dados e Relações de Consumo: CDC e LGPD

A convergência entre o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados cria um novo paradigma jurídico que exige atenção redobrada de empresas e consumidores nas relações de consumo digitais.

A Intersecção entre CDC e LGPD nas Relações de Consumo

Quando analisamos o cenário jurídico brasileiro contemporâneo, percebemos que duas legislações de enorme relevância passaram a dialogar de forma cada vez mais intensa: o Código de Defesa do Consumidor (Lei nº 8.078/1990) e a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). Embora tenham sido concebidas em momentos históricos distintos e com finalidades específicas, ambas compartilham um objetivo central, que é a proteção da parte vulnerável nas relações jurídicas, seja o consumidor, seja o titular de dados pessoais.

A LGPD trouxe para o ordenamento jurídico brasileiro um conjunto robusto de princípios, direitos e obrigações que impactam diretamente a forma como as empresas coletam, armazenam, tratam e compartilham dados pessoais de seus clientes. No contexto das relações de consumo, isso significa que toda operação comercial que envolva dados pessoais precisa observar simultaneamente as normas consumeristas e as regras de proteção de dados. Verificamos, na prática, que muitas empresas ainda não compreenderam a profundidade dessa integração normativa e continuam tratando as duas legislações como compartimentos estanques.

O conceito de due diligence de dados, originário das práticas corporativas de governança, ganha especial relevância nesse contexto. Trata-se do processo sistemático de verificação, avaliação e adequação das práticas de tratamento de dados pessoais dentro de uma organização, com foco particular nas operações que envolvem relações de consumo. Essa diligência prévia permite identificar riscos, corrigir falhas e estabelecer processos que garantam conformidade tanto com o CDC quanto com a LGPD.

Bases Legais e Princípios Compartilhados

Ao examinarmos os fundamentos de ambas as legislações, identificamos princípios que se complementam e se reforçam mutuamente. O princípio da transparência, presente tanto no CDC (art. 6º, III) quanto na LGPD (art. 6º, VI), exige que o fornecedor ou controlador de dados informe de maneira clara, adequada e ostensiva sobre as características dos produtos, serviços e sobre o tratamento de dados pessoais realizado. Na prática, isso significa que termos de uso, políticas de privacidade e contratos de adesão precisam ser redigidos em linguagem acessível, sem cláusulas abusivas que autorizem tratamentos de dados incompatíveis com a finalidade declarada.

O princípio da finalidade, estabelecido no art. 6º, I, da LGPD, determina que o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular. Quando transportamos esse princípio para as relações de consumo, verificamos que a coleta de dados do consumidor deve estar estritamente vinculada à prestação do serviço ou fornecimento do produto contratado. A prática comum de coletar dados excessivos para fins de perfilamento comercial, venda de bases de dados a terceiros ou direcionamento publicitário sem consentimento específico viola simultaneamente a LGPD e os princípios de boa-fé objetiva do CDC.

A necessidade (art. 6º, III, LGPD) também merece destaque. As empresas devem limitar o tratamento de dados ao mínimo necessário para a realização de suas finalidades. No âmbito consumerista, isso se traduz na vedação de exigir do consumidor informações que não guardem relação direta com a transação pretendida. Solicitar dados como orientação política, convicção religiosa ou informações de saúde para a simples compra de um produto online configura, além de violação à LGPD, prática abusiva nos termos do CDC.

O Consentimento nas Relações de Consumo Digitais

O consentimento do titular, previsto no art. 7º, I, da LGPD, assume contornos especiais quando inserido em uma relação de consumo. Consideramos fundamental destacar que o consentimento deve ser livre, informado e inequívoco, o que afasta a validade de autorizações genéricas embutidas em contratos de adesão extensos que o consumidor aceita sem real possibilidade de negociação. A prática dos chamados “dark patterns” (interfaces projetadas para induzir o usuário a consentir com tratamentos de dados indesejados) pode ser enquadrada como prática comercial abusiva pelo CDC e como vício de consentimento pela LGPD.

Ressaltamos que o consentimento não é a única base legal para o tratamento de dados nas relações de consumo. A execução de contrato (art. 7º, V, LGPD), o legítimo interesse do controlador (art. 7º, IX) e a proteção do crédito (art. 7º, X) são bases legais frequentemente aplicáveis. Contudo, mesmo quando o tratamento se fundamenta em base legal diversa do consentimento, os demais princípios da LGPD (finalidade, necessidade, transparência) continuam plenamente vigentes e devem ser observados em conjunto com as garantias consumeristas.

A due diligence de dados nas relações de consumo não é apenas uma exigência legal, mas um diferencial competitivo que demonstra respeito ao consumidor e maturidade organizacional na governança de informações pessoais.

Due Diligence de Dados: Implementação Prática

A implementação de um programa efetivo de due diligence de dados nas relações de consumo exige uma abordagem estruturada que contemple múltiplas dimensões da operação empresarial. Recomendamos que esse processo seja conduzido em etapas bem definidas, começando pelo mapeamento completo dos fluxos de dados pessoais dentro da organização.

O mapeamento de dados (data mapping) consiste na identificação detalhada de todos os pontos de coleta, armazenamento, tratamento, compartilhamento e eliminação de dados pessoais de consumidores. Esse levantamento deve abranger desde o cadastro inicial do cliente até o pós-venda, incluindo programas de fidelidade, ações de marketing direto, atendimento ao consumidor, análise de crédito e eventuais compartilhamentos com parceiros comerciais. Cada ponto de contato com dados pessoais precisa ser documentado, com indicação da base legal utilizada, da finalidade específica e do prazo de retenção.

Avaliação de Riscos e Medidas Corretivas

Após o mapeamento, procedemos à avaliação de riscos (risk assessment), que consiste na análise sistemática das vulnerabilidades identificadas em cada etapa do ciclo de vida dos dados. Essa avaliação deve considerar tanto os riscos jurídicos (sanções administrativas pela ANPD, ações judiciais individuais e coletivas, danos reputacionais) quanto os riscos operacionais (incidentes de segurança, vazamentos, acessos não autorizados). O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD, é um instrumento valioso nessa etapa, especialmente quando o tratamento envolve dados sensíveis de consumidores ou grandes volumes de informações pessoais.

As medidas corretivas identificadas na avaliação de riscos devem ser priorizadas conforme a gravidade e a probabilidade de materialização do risco. Observamos que as correções mais urgentes geralmente envolvem a adequação de políticas de privacidade (que frequentemente são genéricas e insuficientes), a revisão de contratos com operadores de dados (fornecedores de tecnologia, empresas de marketing, processadores de pagamento) e a implementação de mecanismos efetivos para o exercício dos direitos dos titulares previstos no art. 18 da LGPD.

Contratos com Terceiros e Cadeia de Tratamento

Um aspecto frequentemente negligenciado na due diligence de dados é a análise da cadeia de tratamento envolvendo terceiros. Nas relações de consumo modernas, os dados pessoais do consumidor transitam por múltiplos agentes: plataformas de e-commerce, gateways de pagamento, empresas de logística, ferramentas de CRM, plataformas de marketing digital, entre outros. Cada elo dessa cadeia representa um ponto de risco que deve ser avaliado e contratualmente regulado.

Entendemos que os contratos entre controladores e operadores de dados devem conter cláusulas específicas sobre as finalidades autorizadas de tratamento, as medidas de segurança exigidas, os procedimentos para notificação de incidentes, as condições para subcontratação e as obrigações de eliminação dos dados ao término da relação contratual. A ausência dessas previsões contratuais pode configurar negligência do controlador e agravar sua responsabilidade em caso de incidente, tanto perante a ANPD quanto perante o consumidor lesado.

Responsabilidade Civil e Sanções

A questão da responsabilidade civil por danos decorrentes do tratamento irregular de dados pessoais nas relações de consumo apresenta características próprias que merecem análise cuidadosa. O CDC estabelece a responsabilidade objetiva do fornecedor por defeitos do produto ou serviço (arts. 12 e 14), enquanto a LGPD prevê regime de responsabilização no qual o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo em razão do tratamento de dados pessoais é obrigado a repará-lo (art. 42).

A convergência dessas normas sugere que, no contexto das relações de consumo, a responsabilidade por violações de dados pessoais tende a ser interpretada como objetiva, dispensando a demonstração de culpa pelo consumidor. Analisamos que essa interpretação é reforçada pelo reconhecimento da vulnerabilidade do titular de dados (analogamente à vulnerabilidade do consumidor) e pela aplicação do princípio da inversão do ônus da prova, já consolidado no direito consumerista.

No campo administrativo, a ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar sanções que variam desde advertências até multas de até 2% do faturamento da pessoa jurídica, limitadas a R$ 50 milhões por infração. Além disso, os órgãos de defesa do consumidor (PROCONs, Ministério Público, Defensoria Pública) mantêm competência para atuar em casos que envolvam violações de dados pessoais no contexto consumerista, o que amplia significativamente o espectro de fiscalização e responsabilização.

Incidentes de Segurança e Dever de Comunicação

Os incidentes de segurança que envolvam dados pessoais de consumidores exigem resposta coordenada que observe tanto as obrigações da LGPD quanto as do CDC. O art. 48 da LGPD determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. No contexto consumerista, essa obrigação se soma ao dever de informação previsto no CDC, que exige que o fornecedor comunique imediatamente os riscos identificados após a colocação do produto ou serviço no mercado.

Recomendamos que as empresas mantenham um plano de resposta a incidentes documentado e testado periodicamente, contemplando procedimentos de contenção técnica, avaliação de impacto, comunicação às autoridades competentes e notificação aos consumidores afetados. A rapidez e a transparência na gestão do incidente são fatores que os tribunais e as autoridades administrativas consideram na avaliação da conduta do agente de tratamento.

Tendências e Recomendações para Conformidade

O cenário regulatório da proteção de dados nas relações de consumo está em constante evolução. A regulamentação progressiva pela ANPD, as decisões judiciais que vão consolidando entendimentos sobre a matéria e a crescente conscientização dos consumidores sobre seus direitos digitais indicam que a tendência é de maior rigor na fiscalização e na responsabilização.

Destacamos algumas recomendações práticas para empresas que atuam no mercado de consumo: implementar programas de governança de dados com revisão periódica; designar um encarregado de proteção de dados (DPO) com autonomia e recursos adequados; investir em treinamento contínuo das equipes que lidam com dados pessoais de consumidores; manter registros atualizados das operações de tratamento; realizar avaliações de impacto antes de implementar novos produtos ou serviços que envolvam tratamento significativo de dados; e estabelecer canais eficientes para o atendimento dos direitos dos titulares.

Consideramos igualmente relevante que os consumidores conheçam seus direitos e saibam como exercê-los. O direito de acesso aos dados (art. 18, II, LGPD), o direito de correção (art. 18, III), o direito de eliminação (art. 18, VI) e o direito de portabilidade (art. 18, V) são instrumentos poderosos que, quando exercidos de forma consciente, contribuem para a construção de um ambiente de consumo mais justo e transparente.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.