É comum, ao efetuar uma compra, ser questionado sobre o número do CPF. Entretanto, a solicitação desse dado pessoal só é permitida quando existir uma finalidade legítima, clara e previamente informada ao consumidor, conforme previsto no Código de Defesa do Consumidor (CDC) e na Lei Geral de Proteção de Dados (LGPD).
A LGPD estabelece que qualquer coleta de dados pessoais precisa estar amparada por consentimento ou por hipótese legal que justifique o tratamento. Assim, o fornecedor deve informar por que precisa do CPF, de que forma utilizará essa informação e quais medidas de segurança adota para protegê-la.
Há situações em que o fornecimento do CPF é indispensável, como:
- emissão de nota fiscal nominal;
- compras parceladas ou a prazo, que exigem consulta a órgãos de proteção ao crédito;
- entrega de produtos adquiridos online, para viabilizar a execução do contrato;
- participação em programas de fidelidade ou cashback, mediante consentimento.
Por outro lado, exigir o CPF para compras à vista sem nota fiscal nominal ou como condição para entrar em estabelecimentos físicos é prática abusiva. O consumidor pode, inclusive, solicitar à empresa informações sobre quais dados mantém, para que finalidade são utilizados, com quem são compartilhados e requerer a exclusão ou restrição de uso para fins de publicidade ou venda de informações.
Empresas que tratam dados pessoais de forma indevida estão sujeitas a sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), além de medidas previstas no CDC. A legislação protege o consumidor contra condutas que violem princípios como a boa-fé, a transparência e o direito à informação.
Em caso de irregularidades, o consumidor pode recorrer aos Procons e à ANPD para apuração e eventual responsabilização do fornecedor.