Cashback: entenda como lojas usam dados pessoais e os riscos envolvidos

A promessa é tentadora: compre e receba parte do dinheiro de volta. Os programas de cashback se multiplicaram no Brasil nos últimos anos, conquistando consumidores com a perspectiva de economia em compras do dia a dia. Mas por trás da conveniência dos aplicativos e da satisfação de ver créditos pingando na conta, existe uma engrenagem complexa de coleta, tratamento e compartilhamento de dados pessoais que poucos usuários compreendem completamente.

Para aderir a esses programas, é necessário fornecer uma série de informações: nome completo, CPF, e-mail, telefone, dados bancários, histórico de compras, localização geográfica e até padrões de consumo. O problema é que muitos consumidores aceitam os termos de uso sem ler, autorizando práticas que podem colocar sua privacidade em risco.

As empresas de cashback não se limitam aos dados básicos de cadastro. Daniela Poli Vlavianos, advogada do escritório Arman Advocacia, detalha que o leque de informações coletadas é amplo: 

A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020, estabelece limites claros para a coleta e uso de informações pessoais. O princípio da necessidade determina que as empresas podem tratar apenas dados estritamente necessários para a execução do serviço. Já o princípio da transparência exige que as empresas informem o consumidor de forma clara sobre quais dados coletaram, as finalidades do tratamento, os prazos de armazenamento e eventuais compartilhamentos com terceiros.

"O tratamento deve obedecer aos princípios da finalidade, necessidade e transparência. Isso significa que a empresa só pode coletar dados estritamente necessários para cumprir as finalidades informadas de forma clara ao titular", enfatiza Vlavianos. Qualquer coleta excessiva ou uso sem informação prévia pode configurar ato ilícito e resultar em responsabilização administrativa e civil para a empresa.

O maior problema está nos termos de uso que poucos leem antes de aceitar. As especialistas consultadas identificam um padrão preocupante de cláusulas abusivas ou questionáveis nesses contratos.

Entre as mais comuns estão autorizações genéricas para uso de dados "para quaisquer finalidades", compartilhamento irrestrito com "parceiros comerciais" não identificados, exclusão total de responsabilidade da empresa em caso de vazamento, ausência de prazos definidos para retenção de dados e falta de mecanismos claros para revogação do consentimento.

"Todas essas previsões violam os princípios de necessidade, transparência e boa-fé e, portanto, podem ser consideradas nulas de pleno direito", afirma Vlavianos, citando o artigo 51 do Código de Defesa do Consumidor.

Daniella Caverni, sócia do EFCAN Advogados, destaca que o problema estrutural é recorrente: "O não atendimento dos princípios da LGPD, que são a base de todo e qualquer tratamento de dados, é um problema estrutural. O simples consentimento, pela ótica jurídica, pode ser insuficiente neste contexto."

Uma prática especialmente controversa é o compartilhamento de dados de compra com parceiros comerciais. As empresas argumentam que essa troca de informações é necessária para calcular benefícios e validar operações, mas frequentemente os dados são usados para fins comerciais muito além do programa de cashback.

"O problema surge quando o compartilhamento é efetuado sem a devida base legal, sem transparência, e para finalidades distintas do próprio cashback", alerta Caverni. Ela ressalta que a LGPD garante ao consumidor o direito de saber com quem seus dados foram compartilhados e para quais finalidades.

Vlavianos reforça que o compartilhamento só é legal quando há base legal e observância dos princípios da LGPD: "O controlador deve informar de maneira clara quais dados serão compartilhados, com quem, para quais finalidades e por quanto tempo."

Para descobrir se seus dados estão sendo compartilhados irregularmente, Laura Nanini, advogada de Direito Digital e Compliance na Lopes & Castelo Sociedade de Advogados, orienta:

Além das questões de privacidade, há riscos concretos de segurança. Vazamentos de dados, ataques cibernéticos, rastreamento não autorizado e comercialização de informações com terceiros são ameaças reais.

"Os riscos mais comuns envolvem o vazamento de dados pessoais e bancários, a criação de perfis de consumo sem consentimento, o rastreamento por geolocalização e a comercialização de informações com terceiros", enumera Vlavianos. Ela alerta que as empresas podem cruzar dados aparentemente inofensivos, como local e horário de compra, para identificar o consumidor e expor seu padrão de comportamento.

A LGPD impõe às empresas o dever de adotar medidas técnicas e administrativas para proteger os dados pessoais. Em caso de vazamento que possa causar risco ou dano relevante aos titulares, a empresa deve comunicar imediatamente a Agência Nacional de Proteção de Dados (ANPD) e os consumidores afetados.

"O controlador responde objetivamente pelos danos causados", ressalta Vlavianos, citando decisão do Superior Tribunal de Justiça que reafirmou que a empresa não pode se eximir de responsabilidade alegando culpa de terceiros quando não comprova medidas de segurança eficazes.

Diante desse cenário, as especialistas recomendam que consumidores adotem algumas precauções antes de aderir a programas de cashback:

• Leia os termos de uso com atenção, especialmente as cláusulas sobre coleta, uso e compartilhamento de dados. Procure por autorizações genéricas ou compartilhamentos com "parceiros" não identificados;
• Verifique a política de privacidade para entender quais dados são coletados, por quanto tempo serão armazenados e com quem podem ser compartilhados;
• Pesquise sobre a empresa antes de fornecer seus dados. Prefira aplicativos de empresas conhecidas e com políticas de privacidade claras e atualizadas;
• Exercite seus direitos previstos na LGPD. Você pode solicitar acesso aos seus dados, correção de informações incorretas, eliminação de dados desnecessários e informações sobre compartilhamentos com terceiros;
• Mantenha contato com o Encarregado de Dados (DPO) da empresa para esclarecer dúvidas sobre o tratamento de suas informações.

Caso se sinta lesado pelo uso indevido de seus dados, existem caminhos legais disponíveis. O primeiro passo é exercer seus direitos diretamente com a empresa, solicitando informações, correção ou eliminação de dados por meio do canal do Encarregado de Dados.

Se a resposta não for satisfatória, é possível registrar reclamação na ANPD, que tem competência para fiscalizar e aplicar sanções administrativas. Paralelamente, o consumidor pode ingressar com ação judicial buscando reparação por danos materiais e morais.

As penalidades para empresas que desrespeitam a LGPD são severas. Incluem advertência e multa de até 2% do faturamento global. O valor da multa é limitado a R$ 50 milhões por infração. Outras sanções incluem bloqueio ou eliminação dos dados pessoais. A suspensão das atividades de tratamento também pode ocorrer. A LGPD prevê a publicização da infração como outra penalidade. Além disso, os tribunais podem condenar as empresas a indenizar os titulares por danos morais e materiais.

"O recado é claro e já é de fácil entendimento de todo o mercado: o uso irresponsável de dados pessoais tem consequências não somente jurídicas, mas também reputacionais para as empresas", sentencia Caverni.

Atualmente, não existe no Brasil uma legislação específica para regular programas de cashback. Na prática, eles se sujeitam ao Código Civil, ao Código de Defesa do Consumidor e à LGPD.

As três especialistas concordam que a legislação atual protege adequadamente os consumidores. Porém, elas reconhecem, que surgem discussões sobre regulamentação específica. O debate foca principalmente na monetização de dados pessoais. Também aborda o equilíbrio entre incentivo financeiro e privacidade.

"A ANPD acompanha e fiscaliza os programas de fidelidade ou cashback devido ao grande volume de dados pessoais envolvidos, visando garantir que as empresas cumpram a legislação vigente", informa Nanini.

Vlavianos acrescenta que a ANPD pode, por meio de resoluções, editar normas complementares aplicáveis a esse tipo de programa: "Por ora, as regras gerais da LGPD são plenamente aplicáveis e suficientes para responsabilizar empresas que tratem dados de forma inadequada."

Diante disso, a reflexão que se mostra válida é: vale a pena trocar sua privacidade por alguns reais de volta? Antes de clicar em "aceitar" nos próximos termos de uso, pense nos dados que você está fornecendo e como as empresas podem utilizá-los. Afinal, em tempos de economia digital, informação pessoal tem valor — e muitas vezes vale mais do que o cashback oferecido.