LGPD e a solicitação de CPF: Como as empresas devem se preparar?
Solicitar o CPF em atividades é uma prática comum, mas as empresas devem se preparar adequadamente para garantir a conformidade com as regulamentações e a proteção dos dados pessoais (LGPD – Lei Geral de Proteção de Dados (Lei 13.70/2018).
Algumas diretrizes importantes a serem implementadas pela empresa incluem:
- Compreender as obrigações legais da LGPD relacionadas à coleta (ex.: em cadastros), armazenamento, compartilhamento, tempo de retenção e descarte de dados pessoais;
- Assegurar que a finalidade seja clara e legítima para a coleta de CPF, uma vez que não é permitido utilizar ou repassar os dados sem que o titular tenha conhecimento ou seja aplicável finalidade de tratamento diferenciada;
- Obtenha o consentimento explícito dos titulares para a coleta e uso dos CPFs (ex.: campanhas de marketing);
- Capacite os funcionários sobre a importância da segurança e proteção de dados pessoais, com orientação quanto aos manuseios das informações de forma segura e implemente explicação clara aos titulares de dados sobre a finalidade da coleta e uso dessas informações pela empresa;
- Desenvolva e mantenha a Política de Privacidade clara, atualizada e acessível aos titulares de dados;
- Implemente medidas de segurança com monitoramentos regulares para proteger os dados contra acesso não autorizado, vazamentos, ataques de hackers e engenharia social, entre outras ameaças;
- Utilize sistemas seguros para os dados digitais, criptografados e com níveis de acessos restritos para armazenar os dados. Os documentos físicos também devem receber atenção (como e onde são armazenados (ex.: arquivo morto), formas de manuseio e acesso controlado);
- Estabeleça políticas claras sobre o tempo de retenção dos dados e o processo seguro para descarte quando esses não forem mais necessários;
- Disponibilize um Canal de Privacidade para que os titulares de dados possam esclarecer dúvidas sobre a coleta, uso, correção ou solicitar exclusão de seus dados pessoais, conforme os direitos estabelecidos pela LGPD.
Seguem alguns exemplos em que a solicitação do CPF pode ser justificada, desde que haja uma finalidade clara ou o consentimento expresso do titular de dados:
- Cumprimento de obrigação legal ou regulatória: a solicitação do CPF pode ser necessária para emitir notas fiscais, facilitar a declaração de impostos, realizar transações em cartórios e agências bancárias, comprovar a identidade (ex.: homônimos), agendar atendimento em unidade do INSS, executar e criar contratos, participar de programas do governo, entre outros exemplos;
- Crédito e financiamento: para compras a crédito ou financiamentos, o CPF é necessário para análise de crédito e aprovação da transação;
- Durante as compras: em compras presenciais, o consumidor não precisa informar o CPF para obter descontos ou registrar o histórico de consumo, porém, nas compras pela internet, a prática é solicitá-lo para comprovar a identidade do comprador e garantir a entrega do produto ou serviço.
Importante destacar que a empresa tem a opção de convidar o titular de dados a participar de programas e promoções, desde que seja explicado previamente sua Política de Privacidade. Este documento deve conter a finalidade da coleta do CPF e as medidas aplicadas de segurança e proteção dos dados. Importante destacar que a decisão de fornecer ou não o CPF cabe sempre ao titular de dados.
Agradecemos por acessar esse conteúdo.