Ao longo dos últimos anos, diversos processos de fiscalização foram instaurados em face de redes de farmácias e drogarias envolvendo a coleta e o tratamento de dados pessoais dos clientes.
Um dos primeiros grandes casos a ser noticiado pela mídia ocorreu em 2018, quando uma rede de drogarias foi multada pelo Ministério Público de Minas Gerais (MPMG) em R$ 7,9 milhões por condicionar descontos ao fornecimento do CPF de seus clientes. À época, a Lei Geral de Proteção de Dados Pessoais (LGPD) ainda não estava vigente, de forma que a fundamentação principal para a aplicação da sanção foi o artigo 43, §2º do Código de Defesa do Consumidor (CDC).
Na sequência, foi celebrado Termo de Ajustamento de Conduta (TAC) com a rede farmacêutica em questão, por meio do qual foram acordados ajustes em relação à coleta de dados pessoais e a suspensão do programa de fidelidade vigente à época, com a possibilidade de desenvolvimento de uma nova plataforma.
Em 2019, o MPDF iniciou investigações sobre seis redes de farmácias acerca do mesmo tema, sendo o processo arquivado após diálogo com o setor e esclarecimentos acerca da complexa operação de fornecimento de descontos, com a devida verificação de que o CPF funciona como um dado chave para validação de pessoas físicas, além da elaboração dos Relatórios de Impacto à Proteção de Dados (RIPDs) pelas redes de farmácia/drogaria envolvidas.?slações que proíbem a exigência de CPF no ato da compra para a concessão de descontos por farmácias e drogarias, obrigando ainda a fixação de avisos com os dizeres “proibida a exigência do CPF no ato da compra que condiciona a concessão de determinadas promoções”.
No final de 2024, uma das maiores redes de farmácias e drogarias da América Latina foi alvo de um processo que culminou na aplicação de uma multa de R$ 8,5 milhões, uma das maiores sanções pecuniárias já registradas em processos com o objeto semelhante.
De acordo com o Procon, a rede coletava o CPF de consumidores, tanto no balcão quanto no caixa, gerando a abertura de cadastro sem informação prévia sobre o fato e sem seu consentimento. Ainda, a rede não realizava a verificação de veracidade do CPF incluído por consumidores e supostamente não adotava medidas de segurança suficientes, além de realizar a coleta constante de hábitos de consumidores.
Essa mesma rede também passou por um processo de fiscalização iniciado pela Agência Nacional de Proteção de Dados (ANPD), que determinou ajustes de conduta e instaurou processo administrativo sancionador. O processo foi instaurado para investigar a coleta, armazenamento e compartilhamento realizados por redes de drogarias e operadoras de programas de fidelização a benefícios, de forma análoga à investigação realizada em 2018 pelo MPMG.
Fiscalização da ANPD
Tais processos levaram à publicação da Nota Técnica nº 4/2022/CGTP/ANPD, que levantou preocupações sobre o compartilhamento de dados no contexto de programas de fidelidade, especialmente considerando que o histórico de compras pode revelar dados pessoais sensíveis (como o histórico de doença relacionado ao uso contínuo de determinada medicação), assim como eventual vício de consentimento para o tratamento dos dados pessoais no contexto dos programas de fidelidade, considerando a falta de transparência e de informações sobre o tratamento realizado.
Assim, a ANPD decidiu pela instauração de processos fiscalizatórios, a fim de apurar em maiores detalhes a dinâmica de atuação das redes de farmácias e programas de fidelização e benefícios, o que culminou na determinação de ajustes de conduta, assim como na instauração de processo administrativo sancionador.
De maneira geral, os órgãos têm buscado entender se os titulares (clientes) recebem informações claras acerca do tratamento de seus dados pessoais, sobre como podem exercer seus direitos e quais descontos são vinculados ao programa de fidelidade.
Ainda, buscam também verificar se a coleta dos dados é proporcional ao tratamento e à finalidade, além de garantir que há a devida anuência do titular para o cadastro e alguns tratamentos específicos que exigem o consentimento.
Medidas a serem observadas para adequação do setor de farmácias e drogarias à LGPD
Diante dos processos de fiscalização, seja pela ANPD, seja pelos Ministérios Públicos, verifica-se que o tratamento de dados pessoais feito pelo setor farmacêutico representa uma preocupação para as autoridades fiscalizadoras, sendo necessário e estratégico para as drogarias e farmácias avaliar suas práticas comerciais relacionadas à coleta de dados pessoais, compartilhamento, concessão de descontos e programas de fidelidade, de modo a mitigar os seus riscos e viabilizar sua atividade em observância aos requisitos legais.
Desta forma, com base nos processos administrativos mencionados, destacamos na sequência os principais temas objeto de fiscalização, juntamente com as medidas que podem ser adotadas pelo setor de drogarias e farmácias no intuito de prevenir eventual sanção das autoridades competentes, em linha com as regras estabelecidas pela LGPD, dos regulamentos publicados pela ANPD e demais legislações aplicáveis:
- 1 – Não vinculação de concessão de descontos com a exigência de CPF
Um dos pontos mais questionados pelas autoridades é a prática de exigir o CPF para a concessão de descontos em farmácias. Tal prática não está relacionada à participação voluntária do cliente no programa de fidelidade e consequente obtenção de descontos exclusivos, mas sim à simples “troca” do desconto pela obtenção do CPF, sem a indicação de um objetivo claro além da coleta do dado pessoal do cliente.
Durante as investigações, um dos exemplos utilizados pelos MPs era de que, nos casos de titulares que não possuíam CPF, o número era substituído por uma sequência como “123.456.789-00”, evidenciando que a coleta sequer era necessária, e realizada indiscriminadamente com a contraprestação de um desconto.
Sendo assim, é essencial que as redes adotem avisos claros sobre quais descontos são exclusivos aos participantes de seus programas de fidelidade e quais podem ser utilizados pelo público em geral. Além disso, é essencial o treinamento dos colaboradores para o momento da abordagem, não devendo ser solicitado o CPF sob a justificativa da concessão de descontos, devendo haver um esclarecimento sobre o programa de fidelidade e outras situações que garantem descontos aos clientes.
- 2 – Garantia de Transparência
As autoridades questionam constantemente sobre a transparência que é dada aos titulares sobre seus dados pessoais. Além da vedação à abertura de cadastro em programas de fidelidade sem a anuência prévia do titular, são reforçadas com frequência: a disponibilização de políticas de privacidade de fácil acesso e compreensão, inclusive em vias físicas; a disponibilização de avisos simplificados para facilitar o entendimento dos clientes; a disponibilização de avisos indicando quais promoções são exclusivas de participantes dos programas de fidelidade; e a disponibilização do regulamento dos programas em via física.
- 3 – Cautela na coleta de biometria
Para a ANPD, a biometria deve ser coletada apenas em situações em que sua utilização é indispensável para a finalidade pretendida, visto que se trata de um dado pessoal sensível (artigo 5º, II, da LGPD). Por exemplo, no caso de farmácias que coletam a biometria dos clientes para validação de identidade em “convênios farmácia” com desconto em folha (benefício destinado a funcionários). Neste caso, a coleta da biometria com o propósito de conferir maior segurança ao cliente acaba paradoxalmente por resultar em aumento de riscos à ocorrência de eventos que causem dano aos direitos de personalidade do titular, considerando que os titulares poderão sofrer danos severos em eventual incidente em que terceiros maliciosos tenham acesso a esses dados.
Como paralelo, a ANPD utilizou o exemplo de transações financeiras de bancos, onde apenas um Pin/Senha é o suficiente para prevenir danos aos titulares, sem gerar outros riscos significativos, demonstrando que não há necessidade de coleta de biometria em situações em que tal dado pode ser facilmente substituído por outro sem que haja prejuízo na segurança do tratamento.
- 4 – Perfilamento para publicidade direcionada
A ANPD identificou também a prática de utilização dos dados pessoais, incluindo histórico de compra dos clientes das redes de farmácias com finalidades diversas às informadas aos titulares no momento da coleta, como para o perfilamento dos clientes para envio de publicidade por empresas terceiras.
De acordo com a Agência, a criação de perfis baseados em histórico de compras para posterior compartilhamento (ou venda) a empresas terceiras, para fins de marketing e publicidade direcionada, implica na monetização de dados de saúde dos titulares, o que é vedado pela LGPD em seu artigo 11, §4º, da LGPD.
A ANPD destaca que, ainda que os dados sejam anonimizados, existe um contexto e uma cadeia de tratamento de dados que precede a anonimização, levando à utilização indevida dos dados sensíveis dos titulares. Sendo assim, antes de realizar tratamentos e compartilhamentos semelhantes, as empresas devem garantir que a utilização dos dados pessoais é feita com finalidades compatíveis com aquelas informadas ao titular e que legitimaram a coleta primária, incluindo a verificação sobre a validade da forma pela qual o consentimento foi obtido, caso esta tenha sido a base legal no caso concreto.
- 5 – Armazenamento de dados pessoais e Políticas de Retenção de Dados
Dentre as informações disponibilizadas em políticas de privacidade pelas redes de farmácias, a ANPD destacou a ausência de informações acerca do período e forma de armazenamento dos dados pessoais. Até o momento, a prática mais comum do mercado se resume em incluir um breve parágrafo explicando as situações em que os dados pessoais serão mantidos, como forma de proteger informações relacionadas à segurança da informação.
No entanto, a Agência entendeu que estas informações são insuficientes, exigindo que as empresas disponibilizem em seus portais de privacidade uma opção que possibilite a obtenção de informações relativas ao tempo de armazenamento dos diferentes tipos de dados pessoais coletados e tratados pela empresa.
Conclusão
As práticas de proteção de dados de grande parte dos setores da sociedade ainda estão em desenvolvimento, tendo em vista que a LGPD é uma lei relativamente nova e pioneira em regulamentar o tratamento de dados pessoais, o que exige diversas mudanças por parte dos agentes de tratamento, sendo algumas delas estruturais e de governança.
Dentre os setores mais problemáticos, sobretudo em razão da natureza dos dados tratados, está o setor da saúde. Isso porque as informações tratadas e armazenadas por entidades desse setor não só possuem o potencial de causar danos graves aos titulares de dados, mas são extremamente valiosas sob o ponto de vista comercial, considerando o potencial que possuem para fins de perfilamento, marketing, publicidade e vendas, além de outros riscos mais severos atrelados.
Com isso, as entidades deste setor, especialmente as redes de farmácias e drogarias, vêm enfrentando diversas investigações e procedimentos administrativos-sancionadores, onde os órgãos competentes visam avaliar as ações adotadas pelas empresas, além de garantir a segurança dos titulares, o que pode levar à aplicação de sanções milionárias, além de danos à sua reputação.
Desta forma, as entidades do setor devem sempre estar atentas às orientações das autoridades e ao cumprimento da LGPD, antevendo mudanças de interpretação, novas exigências e melhores práticas para o seu negócio, de modo a evitar danos aos titulares, sanções pecuniárias ou reputacionais e custos operacionais desnecessários.
A utilização de tecnologias inovadoras também deve ser monitorada, especialmente quando relacionado ao uso de inteligência artificial, considerando os riscos regulatórios e do negócio que estão atrelados à inserção de dados de saúde em modelos de inteligência artificial. Sendo assim, recomenda-se também atenção às alterações legislativas sobre IA, assim como a adoção de medidas de governança e boas práticas voltadas à utilização desse tipo de ferramenta.
