LGPD e a solicitação de CPF: Como as empresas devem se preparar?

 

Solicitar o CPF em atividades é uma prática comum, mas as empresas devem se preparar adequadamente para garantir a conformidade com as regulamentações e a proteção dos dados pessoais (LGPD – Lei Geral de Proteção de Dados (Lei 13.70/2018).

Algumas diretrizes importantes a serem implementadas pela empresa incluem:

  • Compreender as obrigações legais da LGPD relacionadas à coleta (ex.: em cadastros), armazenamento, compartilhamento, tempo de retenção e descarte de dados pessoais;
  • Assegurar que a finalidade seja clara e legítima para a coleta de CPF, uma vez que não é permitido utilizar ou repassar os dados sem que o titular tenha conhecimento ou seja aplicável finalidade de tratamento diferenciada;
  • Obtenha o consentimento explícito dos titulares para a coleta e uso dos CPFs (ex.: campanhas de marketing);
  • Capacite os funcionários sobre a importância da segurança e proteção de dados pessoais, com orientação quanto aos manuseios das informações de forma segura e implemente explicação clara aos titulares de dados sobre a finalidade da coleta e uso dessas informações pela empresa;
  • Desenvolva e mantenha a Política de Privacidade clara, atualizada e acessível aos titulares de dados;
  • Implemente medidas de segurança com monitoramentos regulares para proteger os dados contra acesso não autorizado, vazamentos, ataques de hackers e engenharia social, entre outras ameaças;
  • Utilize sistemas seguros para os dados digitais, criptografados e com níveis de acessos restritos para armazenar os dados. Os documentos físicos também devem receber atenção (como e onde são armazenados (ex.: arquivo morto), formas de manuseio e acesso controlado);
  • Estabeleça políticas claras sobre o tempo de retenção dos dados e o processo seguro para descarte quando esses não forem mais necessários;
  • Disponibilize um Canal de Privacidade para que os titulares de dados possam esclarecer dúvidas sobre a coleta, uso, correção ou solicitar exclusão de seus dados pessoais, conforme os direitos estabelecidos pela LGPD.

Seguem alguns exemplos em que a solicitação do CPF pode ser justificada, desde que haja uma finalidade clara ou o consentimento expresso do titular de dados:

  • Cumprimento de obrigação legal ou regulatória: a solicitação do CPF pode ser necessária para emitir notas fiscais, facilitar a declaração de impostos, realizar transações em cartórios e agências bancárias, comprovar a identidade (ex.: homônimos), agendar atendimento em unidade do INSS, executar e criar contratos, participar de programas do governo, entre outros exemplos;
  • Crédito e financiamento: para compras a crédito ou financiamentos, o CPF é necessário para análise de crédito e aprovação da transação;
  • Durante as compras: em compras presenciais, o consumidor não precisa informar o CPF para obter descontos ou registrar o histórico de consumo, porém, nas compras pela internet, a prática é solicitá-lo para comprovar a identidade do comprador e garantir a entrega do produto ou serviço.

Importante destacar que a empresa tem a opção de convidar o titular de dados a participar de programas e promoções, desde que seja explicado previamente sua Política de Privacidade. Este documento deve conter a finalidade da coleta do CPF e as medidas aplicadas de segurança e proteção dos dados. Importante destacar que a decisão de fornecer ou não o CPF cabe sempre ao titular de dados.

Agradecemos por acessar esse conteúdo.

Leia também

Proteção de Dados no Recebimento de Currículos

leia mais

Pilares da proteção de dados: Armazenamento, Compartilhamento e Descarte

leia mais

Adequação à LGPD por Módulos: Controle, Evolução e Relatórios específicos

leia mais

ANPD Realiza Webinário sobre o Tratamento de Dados Pessoais de Crianças e Adolescentes

leia mais