h
Linkedin Instagram Youtube
Pesquisar
Close this search box.

Breve análise sobre o caso (mais um) da fiscalização da ANPD sobre o tratamento de dados em farmácias no Brasil

Por Rafhael Camargo

 

Quem nunca chegou no caixa de uma farmácia e informou seu CPF para participar de programas de fidelidade a fim de receber descontos ou simplesmente vincular a eventual convênio com o plano de saúde?

Esta é uma realidade no Brasil e não é de hoje que as farmácias são alvo de fiscalizações e investigações sobre o tratamento de dados, transparência com o consumidor e legalidade sobre a forma de usar e compartilhar esses dados.

A Autoridade Nacional de Proteção de Dados (ANPD) está conduzindo uma investigação detalhada sobre a coleta, armazenamento e compartilhamento de dados pessoais por redes de drogarias e operadores de programas de fidelização e benefícios. ​ O processo envolve três principais interessados: RaiaDrogasil S.A., STIX Fidelidade e Inteligência S.A. e Federação Brasileira das Redes Associativistas e Independentes de Farmácias (Febrafar).

Contexto e Objetivos da Investigação

A investigação visa garantir a conformidade das práticas dessas empresas com a Lei Geral de Proteção de Dados Pessoais (LGPD). ​ A ANPD está analisando como essas empresas coletam, armazenam e compartilham dados pessoais, especialmente dados sensíveis relacionados à saúde dos consumidores. ​ A preocupação central é assegurar que os dados sejam tratados de forma transparente, segura e em conformidade com as bases legais estabelecidas pela LGPD. ​

Principais Pontos da Investigação

RaiaDrogasil

A RaiaDrogasil foi questionada sobre suas práticas de coleta e tratamento de dados. ​ A empresa destacou a implementação de um “Programa de Conformidade” desde 2018, visando adequar suas atividades às disposições da LGPD. No entanto, foram identificados problemas, como a coleta de biometria para prevenção de fraudes, que pode expor os titulares a riscos significativos em caso de vazamento de dados. ​ A ANPD recomendou que a empresa ofereça alternativas à biometria para verificação de identidade. ​

Além disso, a RaiaDrogasil foi solicitada a fornecer informações detalhadas sobre o tempo de armazenamento dos dados pessoais e a esclarecer o tratamento de dados para criação de perfis comportamentais e compartilhamento com a empresa RD Ads para publicidade direcionada. ​

STIX

A STIX, responsável por um programa de fidelidade, afirmou que não compartilha dados sensíveis dos consumidores, como histórico de compras de medicamentos. ​A empresa coleta apenas dados essenciais para a execução dos serviços oferecidos. ​ A ANPD não identificou, no momento, situações que possam acarretar risco ou danos aos titulares de dados pessoais, recomendando o arquivamento do processo de fiscalização em relação à STIX. ​

Febrafar

A Febrafar utiliza o consentimento como base legal para o tratamento de dados pessoais em seu Programa de Estratégias Competitivas (PEC). ​ No entanto, a ANPD identificou que o consentimento obtido não é adequado, pois não permite ao consumidor escolher quais finalidades específicas autoriza. ​ A ANPD recomendou que a Febrafar avalie a adoção de outra base legal e revisite os instrumentos utilizados para amparar os tratamentos de dados pessoais. ​

Conclusão e Encaminhamentos

A ANPD determinou várias medidas preventivas para a RaiaDrogasil, incluindo a disponibilização de alternativas à biometria e a apresentação de documentos detalhados sobre políticas de retenção de dados. Também foi instaurado um Processo Administrativo Sancionador para investigar possíveis infrações à LGPD.

Para a Febrafar, foi recomendado um Plano de Conformidade para reavaliar a base legal utilizada e melhorar a transparência e o acesso às informações sobre privacidade e tratamento de dados. ​

A investigação da ANPD destaca a importância da conformidade com a LGPD e a necessidade de práticas transparentes e seguras no tratamento de dados pessoais, especialmente em setores sensíveis como o de saúde. ​ A proteção dos dados pessoais é fundamental para garantir a privacidade e a segurança dos consumidores, e a ANPD continua a monitorar e fiscalizar as práticas das empresas para assegurar o cumprimento da legislação. ​

Portanto, para garantir a transparência no tratamento de dados, as farmácias devem adotar uma série de medidas que assegurem que os titulares de dados pessoais estejam plenamente informados sobre como seus dados são coletados, utilizados, armazenados e compartilhados. ​

Deixo aqui breves recomendações, com base na “jurisprudência” da própria ANPD, sobre medidas que as empresas devem adotar para estarem em conformidade, especialmente aquelas que lidam com dados de saúde, programas de benefícios e compartilhamento com terceiros:

  1. Políticas de Privacidade Claras e Acessíveis

As empresas devem disponibilizar um Aviso de Privacidade claro, detalhado, objetivo e de fácil acesso, tanto em seus sites quanto em suas lojas físicas. ​Essa política deve incluir:

  • Finalidades do Tratamento: Explicar de forma clara para que fins os dados pessoais são coletados e utilizados. ​
  • Tipos de Dados Coletados: Informar quais dados pessoais são coletados, como nome, CPF, endereço, dados de saúde etc. ​
  • Bases Legais: Especificar as bases legais que justificam o tratamento dos dados, como consentimento, cumprimento de obrigação legal, execução de contrato, entre outras. ​
  • Compartilhamento de Dados: Detalhar com quem os dados podem ser compartilhados e para quais finalidades. ​
  • Direitos dos Titulares: Informar os direitos dos titulares de dados, como acesso, correção, exclusão, portabilidade, entre outros, e como podem exercê-los. ​
  1. Consentimento Informado

Quando o tratamento de dados pessoais for baseado no consentimento, este deve ser:

  • Livre: O titular deve ter a opção de consentir ou não, sem sofrer qualquer tipo de pressão ou condicionamento. ​
  • Informado: O titular deve receber todas as informações necessárias para tomar uma decisão consciente. ​
  • Inequívoco: O consentimento deve ser claro e explícito, sem margem para dúvidas. ​
  • Específico: O consentimento deve ser concedido para finalidades específicas, e não de forma genérica. ​
  1. Canais de Comunicação

As farmácias devem disponibilizar canais de comunicação eficientes, acessíveis e gratuitos, que permitam aos titulares de dados exercerem seus direitos de forma clara, simplificada e ágil.

Esses canais devem ser divulgados de maneira visível e destacada no site, preferencialmente em locais de fácil acesso, como o rodapé, menus principais ou banners específicos, e não se limitar apenas à previsão em uma seção dedicada ao Aviso de Privacidade.

Além disso, é essencial que os canais sejam intuitivos e acompanhados de instruções claras, para que os titulares de dados possam:

  • Tirar Dúvidas: Esclarecer quaisquer dúvidas sobre o tratamento de seus dados pessoais.
  • Exercer Seus Direitos: Solicitar acesso, correção, exclusão, portabilidade dos dados, entre outros direitos previstos na LGPD. ​
  • Revogar Consentimento: Retirar o consentimento dado anteriormente, se assim desejarem. ​
  1. Informações nas Lojas Físicas

Nas lojas físicas, as farmácias devem:

  • Exibir Cartazes e Panfletos: Disponibilizar materiais informativos sobre a coleta e o uso de dados pessoais. ​
  • Utilizar QR Codes: Oferecer QR codes que direcionem os clientes para a Aviso de Privacidade, contato com o DPO (Data Protection Officer) e outras informações relevantes. ​
  1. Portais de Privacidade

Criar e manter um portal de privacidade no qual os titulares de dados possam:

  • Consultar Informações: Acessar a Política de Privacidade e outras informações sobre o tratamento de dados. ​
  • Gerenciar Preferências: Ajustar suas preferências de consentimento e comunicação.
  • Solicitar Informações: Fazer solicitações relacionadas aos seus dados pessoais. ​
  1. Treinamento de Funcionários

Treinar os funcionários para que estejam capacitados a:

  • Fornecer Informações: Explicar aos clientes sobre a coleta e o uso de seus dados pessoais. ​
  • Auxiliar no Exercício de Direitos: Ajudar os clientes a exercerem seus direitos de forma eficiente. ​
  1. Segurança dos Dados

Implementar medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados, vazamentos, perdas ou qualquer forma de tratamento inadequado ou ilícito. ​

  1. Transparência nas Comunicações

Garantir que todas as comunicações com os titulares de dados sejam claras, precisas e fundamentadas em uma base legal adequada, especialmente aquelas relacionadas a:

  • Ofertas e Descontos:
    • Informar como os dados são utilizados para personalizar ofertas e descontos, destacando a base legal que justifica o tratamento (por exemplo, consentimento ou legítimo interesse).
    • Esclarecer se os dados são compartilhados com terceiros para fins de marketing e publicidade, e como os titulares podem optar por não participar dessas comunicações. ​
  • Programas de Fidelidade:
    • Explicar como os dados são tratados no âmbito dos programas de fidelidade e como os titulares podem optar por não participar dessas comunicações.
    • Informar sobre a possibilidade de cancelamento da participação no programa e como os dados serão excluídos ou anonimizados após o cancelamento.​

Ao adotar essas práticas, as farmácias e empresas, no geral, estarão em conformidade com a LGPD e garantirão a transparência necessária no tratamento de dados pessoais, fortalecendo a confiança dos consumidores. ​

 

Compartilhe:

Mais Posts

Envie-nos uma mensagem