Onde, como e para que é usado seu CPF cadastrado em lojas físicas

A seguinte situação com certeza lhe será familiar: você entra em um estabelecimento qualquer, observa as gôndolas recheadas de produtos diferentes e decide levar algum deles para casa. No caixa, ao enfrentar o atendente, ele lhe pede o número do seu CPF — e talvez até algumas informações a mais, sob a justificativa de cadastrá-lo no sistema. Na maioria das vezes, afoito, o cliente cede tais dados, e em determinados casos pode até mesmo ser recompensado com um desconto especial.

O que muita gente não costuma parar para pensar é: para onde essas informações são enviadas, como elas são armazenadas e para que são utilizadas? Por ser um canal de vendas extremamente antigo, o varejo físico não costuma ser associado à crescente preocupação popular sobre privacidade de dados digitais. Basicamente, estamos aprendendo a questionar a necessidade de determinado app saber nosso endereço, mas ainda não nos educamos a fazer o mesmo com o supermercado do quarteirão.

Por mais que você esteja concedendo tais informações em um ambiente offline, elas são inseridas, tratadas e guardadas em sistemas computadorizados. Logo, estão igualmente suscetíveis a ataques cibernéticos e usos indevidos — sem falar, é claro, do risco de serem compartilhadas intencionalmente com terceiros sem a sua prévia autorização. E o nosso país, como todos sabem, está bem longe de criar uma GDPR da vida para proteger a integridade dos dados sensíveis de cidadãos brasileiros.

Sua identidade como moeda de troca

Recentemente, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) anunciou a abertura de uma investigação para apurar a velha prática de certas redes de farmácias de pedir o CPF dos clientes em troca de supostos descontos. De acordo com Frederico Meinberg Ceroy, coordenador da Comissão, a suspeita é de que as drogarias estão gerando perfis de consumo dos cidadãos e compartilhando-os com parceiros sem a devida autorização.

Na época, o promotor explicou ao G1 que a lista de compras de alguém pode revelar muita coisa a respeito de seu comportamento. “Imagine que você comprou no seu CPF um remédio para sua avó que está sofrendo de câncer. Se esse histórico sai da farmácia e é compartilhado para outros setores, numa análise, o plano de saúde pode acreditar que você está fazendo um tratamento e não avisou. Daí aumentam o valor do contrato e você nem fica sabendo”, exemplifica.

Outro cenário perturbador, porém possível, descreve o perfil de compras sendo compartilhado com um bureau de crédito. “Antes de liberar um financiamento, empresas consultam um cadastro para saber se a pessoa consegue pagar as dívidas. Com alguém que está comprando muito remédio, podem interpretar que ela está com risco de vida. Ou seja, negariam o empréstimo ou subiriam muito os juros por entender que ela não vai conseguir arcar com essa dívida”, explica o especialista.

A famosa corretagem de dados

Para os leigos, as visões de Frederico podem parecer um tanto surreais e distópicas; porém, é sensato levar em conta que tais situações já são realidade nos Estados Unidos, por exemplo. Lá, é comum a prática que chamamos de data broking, termo que pode ser traduzido como “corretagem de dados”. Trata-se, a grosso modo, da troca comercial de bancos de dados de cidadãos entre a corretora (broker) e o parceiro interessado.

É através de data brokers que, até recentemente, o Facebook conseguia vários dos dados utilizados para sua plataforma de publicidade direcionada. As lojas montam o perfil de consumo e atrelam ao número de identificação social; em seguida, essa base é transferida para a rede social, que, cruzando informações obtidas através de outros meios, consegue associar aquele identificador à determinado perfil (usando como intermediário, por exemplo, um número de celular).

Isso explica, por exemplo, porque alguns usuários da plataforma começavam a ver anúncios de refrigerante após adquirirem um fardo de Coca-Cola. Por muito tempo, acreditava-se que esse fenômeno era causado por um monitoramento constante do usuário pelo microfone de seu celular; na verdade, o sistema é bem mais simples, eficaz e juridicamente legal, visto que as data brokers operam 100% dentro da lei.

O físico dialoga com o digital

Embora não haja indícios claros de que o mesmo ocorra no Brasil, de uma coisa podemos ter certeza: dados armazenados digitalmente estão aí para serem usados. O Canaltech entrou em contato com a RaiaDrogasil (dona da Droga Raia) e com a Drogaria São Paulo, duas redes investigadas pelo MPDFT, para questioná-las a respeito da prática supracitada. A primeira empresa inicialmente se mostrou disposta a falar conosco, mas, posteriormente, desistiu; já a segunda recusou de imediato comentar sobre o assunto.

Mesmo assim tivemos a oportunidade de conversar com Renan Pessim, diretor da unidade de negócios de saúde da dunnhumby, uma multinacional que se descreve como especialista em ciência do consumidor. Um dos clientes da agência é justamente a RaiaDrogasil, e Pessim explica que o cadastro de clientes na rede serve, a priori, para auxiliá-los a entender seus perfis de consumo para fins estratégicos internos.

“Por meio de dados anonimizados de programas de fidelidade, a dunnhumby entende o comportamento de compra dos consumidores para ajudar os varejistas e indústrias a tomarem decisões centradas nos clientes. Essas decisões estão relacionadas a layout da loja, disposição e tamanho das categorias, sortimento de produtos e serviços, atividades promocionais e preço. É importante salientar que não temos acesso a nenhum tipo de dado pessoal. Cada indivíduo é representado por um número no nosso banco de dados”, explica.

Ao ser questionado se essas informações são compartilhadas com terceiros, Pessim responde que sim, mas de forma anônima e para melhorar a experiência do próprio cliente. “A dunnhumby somente compartilha dados de comportamento de compra anonimizados e agregados com as indústrias parceiras do seu cliente (varejista), para ajudá-las a tomarem melhores decisões em relação ao sortimento de produtos e serviços, atividades promocionais nas lojas dos varejistas e definição dos preços dos seus produtos para o consumidor final”, ressalta.

Vale a pena observar que, embora a RaiaDrogasil seja um dos clientes mais recentes da agência, ela não é a primeira. A dunnhumby também atende, desde 2010, o Grupo Pão de Açúcar (GPA), aplicando ciência do consumidor em programas de fidelidade como Cliente Mais e Clube Extra — ambos exigem que o comprador se identifique com seu CPF ao passar no caixa, sob o intuito de manter uma lista de compras atualizadas e usufruir de alguns benefícios exclusivos.

“A dunnhumby recebe os dados dos programa de fidelidade Clube Extra e Pão de Açúcar Mais semanalmente, porém sem informações pessoais de clientes (não recebemos CPF, endereço, nome, e-mail, telefone, etc.). No âmbito promocional, que se refere a ofertas personalizadas, como as que são divulgadas no programa Meu Desconto, a dunnhumby suporta o GPA com toda a ciência de seleção e alocação das melhores ofertas para cada cliente, com base em dados de comportamento de compra de cada um”, aponta Pessim.

“A utilização dos dados de compra de clientes para este fim está prevista no regulamento dos programas de fidelidade do Extra e do Pão de Açúcar, que são de notoriedade pública e estão disponíveis nos canais oficiais das marcas”, conclui o executivo.

O que a Justiça diz sobre isso?

Naturalmente, a prévia autorização para tal uso dos dados pressupõe que o consumidor, de fato, tenha lido o regulamento dos programas em questão — o que sabemos que é algo difícil de acontecer. O indivíduo simplesmente vai lá, adquire uma garrafa de cerveja e informa seu CPF na hora de pagar.

É raro encontrar alguém que, mesmo conhecendo sua disponibilidade, esteja disposto a ler as regras de uma promoção; parte disso advém do fato de que tais textos costumam ser demasiado técnicos, adotando uma linguagem difícil de ser compreendida pela maioria dos cidadãos comuns. Tratando desse fenômeno, podemos fazer um paralelo com o que acontece em redes sociais e serviços online, cujas políticas de privacidade e termos de uso costumam ser sumariamente ignorados.

“Diante da questão de compartilhar esses dados pessoais com outra empresa, tal compartilhamento só é permitido se foi expressamente autorizado pelo consumidor. Mas, infelizmente, muitos consumidores autorizam sem perceber que estão autorizando”, explica Fabrício Posocco, advogado em direito digital, em entrevista concedida ao Canaltech. O assunto merece ser debatido pela ótica do Código de Defesa do Consumidor (CDC), enquadrando-se como um caso de responsabilidade civil pela possível violação ao direito da intimidade e privacidade digital do cliente.

“Atualmente, essa autorização se dá com um simples toque na tela do celular. Feito isso, os dados do consumidor podem ser compartilhados com parceiros da empresa que os coletou. Entretanto, algumas operações eletrônicas, em sites ou redes sociais, acabam exigindo tal aceite e autorização de compartilhamento, sob pena de o usuário não conseguir usufruir daquele serviço que está buscando. Ou seja, praticamente obrigam que o consumidor ou usuário aceitem, o que é de todo ilegal”, sinaliza.

Para Fabrício, a obrigatoriedade na aceitação do compartilhamento de dados viola os princípios da transparência e da confiança nas relações de consumo, sendo considerada abusiva a contratação de serviços que não ofereçam ao cliente a possibilidade de rejeitar tal prática. Para exemplificar, o advogado cita um entendimento da Quarta Turma do Superior Tribunal de Justiça (STJ), que considerou injusta a obrigação do cliente em concordar com a cessão de dados pessoais com terceiros ao adquirir um cartão de crédito.

Na época, a decisão pontuou que “a partir da exposição de dados de sua vida financeira, abre-se um leque gigantesco para intromissões diversas na vida do consumidor. Conhecem-se seus hábitos, monitora-se sua maneira de viver e a forma como seu dinheiro é gasto. Por isso a imprescindibilidade da autorização real e espontânea quanto a essa exposição”. O reclamado, na disputa em questão, era o Grupo HSBC.

“Assim, no mesmo sentido, as farmácias, os supermercados, os bancos, as operadoras de cartão de crédito e todas as empresas que se utilizam de conduta semelhante para criar um cadastro de monitoramento de hábitos e dados e negociam essas informações com terceiros violam a regra do CDC, sendo clara a necessidade de se discutir perante o Poder Judiciário a validade dessas cláusulas contratuais existentes em contrato de adesão, da qual o consumidor muitas vezes nem sabe que existe ou nem sabe que autoriza”, conclui Fabrício.

A discussão vai muito além

É importante lembrar que a questão do compartilhamento indevido é só a ponta do iceberg — também é obscuro como tais dados são armazenados e se a infraestrutura da corporação responsável por guardá-los adota os mais rígidos padrões de segurança disponíveis no mercado. A dunnhumby afirma seguir “as políticas mais rigorosas do mundo em relação a armazenamento e processamento de dados de consumidores”, mas é difícil garantir que tal postura seja replicada por tantas outras agências semelhantes do setor.

Além disso, com a GDPR servindo de exemplo mundial sobre tal assunto, acabamos nos dando conta de que, aqui no Brasil, ainda não temos uma lei que assegure nossos direitos no âmbito de dados digitais. Afinal, podemos exigir que determinado mercado exclua todas as nossas informações, se assim quisermos? E caso seus servidores sejam comprometidos e as bases acabem vazando para as mãos de cibercriminosos, o comércio é obrigado judicialmente a avisar a população sobre o incidência?

Essas são algumas perguntas que devem ser discutidas o mais rápido possível na esfera política, garantindo a criação de uma legislação mais rígida para proporcionar maior segurança à identidade virtual dos brasileiros. Porém, enquanto isso não acontece, lembre-se: tudo o que você oferece no mundo físico acaba indo para o mundo digital.

Esta reportagem foi escrita por Ramon de Souza para o site Canaltech