Elkjop multada com €1,8 milhão por exigir consentimento forçado para marketing

A multa à Elkjop não é só sobre um botão 'aceitar tudo' mal desenhado. É uma condenação técnica de um modelo arquitetural de consentimento embutido em sistemas de fidelidade, e isso tem implicações diretas para devs que implementam fluxos de cadastro, login e perfil de usuário. A empresa usou o mesmo banco de dados do clube de clientes para alimentar Customer Match do Google e Meta, sem fazer a avaliação de compatibilidade exigida pelo Artigo 6(4) do GDPR. Ou seja: o dado coletado para 'benefícios de associação' foi repurposado para publicidade comportamental sem nova base legal válida, um erro comum em back-ends que reutilizam entidades user_profile ou membership sem separação de domínio ou controle de lineage.

O caso também expõe falhas de DX (experiência do desenvolvedor) em compliance: a Elkjop já sabia internamente, em fevereiro de 2022, que seu mecanismo de consentimento era frágil, mas manteve o fluxo ativo por mais de quatro anos. Isso revela uma lacuna entre arquitetura de software e governança de dados: não basta ter um checkbox com label 'marketing', se o backend vincula is_member = true a marketing_consent = true no mesmo payload de API. O correto é tratar consentimento como recurso independente, com versionamento próprio, auditoria de mudança e rollback explícito, como fazem frameworks modernos de consent management (CMPs) com suporte a granularidade por finalidade (ex: 'promoções de eletrodomésticos', não 'comunicações').

Em maio de 2026, a CEVIU já havia reportado três casos distintos de fiscalização agressiva: a multa da ICO à South Staffordshire Water por falha de segurança (13/05), a proposta da FTC contra a Kochava por venda de dados de localização sem consentimento explícito (07/05), e a ação coletiva contra Skechers por engano em comunicações promocionais (21/05). Mas o caso Elkjop é diferente: é a primeira decisão pública no Nordics que condena explicitamente o *design de UX como violação de lei*. Não é só o que foi feito, é *como foi construído*. A autoridade norueguesa não apenas multou, mas detalhou que o sistema não permitia 'opt-out granular sem perda de benefício', nem oferecia 'mecanismo técnico para revogação imediata sem impacto funcional'. Isso transforma uma prática de marketing em uma dívida técnica: qualquer app ou site que ainda use um único toggle 'aceito receber ofertas' ligado ao status de conta está agora em risco real de multa transfronteiriça.

Desenvolvedores brasileiros estão mais expostos do que imaginam. Empresas com operações na UE, ou que processam dados de cidadãos europeus, precisam obedecer ao GDPR mesmo que estejam sediadas no Brasil. E o Datatilsynet aplicou a multa com base no faturamento global da Currys plc, dona da Elkjop. Isso significa que um SaaS brasileiro que fornece solução de fidelidade para uma rede varejista com filial na Noruega pode ser chamado como sub-processador responsável, especialmente se seu código não permite separação técnica entre consentimento para benefícios e para marketing. O caso também antecipa o que vem por aí com a Lei Geral de Proteção de Dados (LGPD): o artigo 8º exige consentimento 'livre, informado e inequívoco', e decisões como essa criam jurisprudência comparável para a ANPD. Ignorar o design de consentimento hoje é como ignorar CORS ou CSP há dez anos: parece opcional até o dia em que o auditório pede explicação técnica sobre por que o usuário não pode desativar o tracking sem perder acesso ao carrinho.