Pedir CPF, nome, e-mail, telefone ou endereço no momento da compra virou rotina em lojas físicas e no comércio digital. Mas esse pedido não é ilimitado. Pela legislação brasileira, a empresa até pode solicitar dados pessoais, porém precisa informar de forma clara, adequada e específica para que eles serão usados. Sem essa explicação, o consumidor tem base legal para questionar a coleta — e, em muitos casos, para não fornecer a informação. 
A proteção começa no Código de Defesa do Consumidor, que garante o direito à informação adequada e clara sobre produtos e serviços. No ambiente atual, essa lógica também alcança a coleta de dados, já que o consumidor precisa saber por que uma empresa está pedindo determinada informação e qual a relação disso com a compra ou o atendimento. 
Essa proteção foi reforçada com a Lei Geral de Proteção de Dados (LGPD), que exige finalidade legítima, específica e informada para o tratamento de dados pessoais. A lei também trabalha com o princípio da necessidade, segundo o qual a coleta deve se limitar ao mínimo necessário para cumprir a finalidade declarada. Em outras palavras, não basta pedir dado “por padrão” ou “para cadastro” de forma genérica. A empresa precisa justificar por que aquele dado é necessário. 
CPF pode ser solicitado, mas não sem contexto
Na prática, isso significa que a empresa não está proibida de pedir CPF ou outros dados. O problema surge quando o pedido vem desacompanhado de explicação objetiva, ou quando a justificativa é vaga demais. Se a finalidade não for informada de modo compreensível, o consumidor pode desconfiar que a coleta está sendo feita de forma excessiva ou sem base adequada.
Perguntas simples ajudam a testar a regularidade da coleta: para que isso será usado? Esse dado é realmente necessário para a compra, emissão da nota, entrega ou garantia? Se a resposta for confusa ou genérica, o alerta é legítimo.
Consumidor tem direito de saber, corrigir e pedir eliminação
A LGPD também assegura uma série de direitos ao titular dos dados, inclusive quando ele atua como consumidor. Entre eles estão:
• confirmação da existência de tratamento;
• acesso aos próprios dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• e informações sobre a finalidade e os critérios de uso desses dados. 
Segundo a ANPD, pedidos que envolvam confirmação e acesso podem ser atendidos imediatamente em alguns casos, e informações mais detalhadas sobre origem, critérios utilizados e finalidade do tratamento devem ser prestadas em até 15 dias. 
Dado pessoal também é tema de consumo
O avanço da proteção de dados fez crescer a percepção de que informação pessoal não é apenas um ativo de mercado, mas também uma dimensão da relação de consumo. Quando uma loja coleta dados sem transparência, sem necessidade real ou sem base legítima, isso deixa de ser apenas uma questão tecnológica e passa a ser também um problema de direito do consumidor.
Por isso, a orientação mais segura para o consumidor é simples: antes de informar seus dados, vale perguntar qual será o uso, se a informação é indispensável e como a empresa lida com eventual correção ou exclusão posterior. Em tempos de cadastros cada vez mais extensos, proteger os próprios dados também virou forma de exercer cidadania nas relações de consumo.
