No começo de fevereiro, a Autoridade Nacional de Proteção de Dados (ANPD) notificou a Raia Drogasil, o programa de fidelidade Stix e a Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias) pelo uso indevido de dados de clientes. Iniciada em 2023, a investigação apurou como as empresas tratam os dados pessoais e operam programas de fidelidade ou benefícios. A resolução apontou para a necessidade do cumprimento efetivo da Lei Geral de Proteção de Dados Pessoais (LGPD).
O processo instaurado pela ANPD pretende investigar possíveis infrações relacionadas ao tratamento de dados pessoais, incluindo a formação de perfis comportamentais e a oferta de publicidade direcionada. Tais práticas, consideradas inadequadas pela Autoridade, podem violar os direitos básicos de dados pessoais dos consumidores.
Além de investigar as irregularidades, a ANPD impôs medidas preventivas à rede de farmácias, para garantir a adoção imediata de práticas que dialoguem com os princípios da LGPD. Diante disso, a biometria foi identificada como uma forma invasiva de coletar dados, que pode ser substituída por alternativas que ofereçam aos consumidores opções de escolha sobre o fornecimento dos dados, sem a obrigação de compartilhar informações biométricas.
Segundo o Coordenador-Geral de Fiscalização da ANPD, Fabrício Lopes, “as medidas preventivas aplicadas não são sanções, mas sim uma determinação expressa da fiscalização da ANPD, indicando as ações que as empresas fiscalizadas devem adotar para corrigir os problemas identificados. O não cumprimento dessas medidas pode resultar na abertura de um processo sancionador e no agravamento das sanções eventualmente aplicadas”.
Por exemplo, a Febrafar irá cumprir algumas medidas preventivas determinadas pela Autoridade para atender as diretrizes estabelecidas pela LGPD. Além disso, a federação também precisará garantir que suas associadas facilitem ao titular dos dados o acesso aos canais de comunicação adequados, possibilitando o exercício dos seus direitos.
Já a RaiaDrogasil responderá um Processo Administrativo Sancionador (PAS) por fortes indícios de infrações à LGPD relacionadas à formação de “perfis de saúde” a partir de dados pessoais sensíveis, como o CPF, para ofertar publicidade a terceiros em anúncios digitais e obter vantagem econômica na comercialização de produtos. Caso a ANPD comprove a existência de infrações, a empresa pode pagar uma multa de até R$ 50 milhões.
Em comunicado ao UOL, a RaiaDrogasil informou que vai ‘comprovar a seriedade e o compromisso que tem’. Afirmando que todas as práticas da rede de farmácias alinhadas à LGPD.
“A LGPD exige que as empresas tratem os dados pessoais de forma transparente e segura, com o mínimo possível de informações pessoais, visando justamente a mitigação dos riscos inerentes, em cada operação que envolva o tratamento de dados. Ademais, é fundamental que o consentimento do usuário seja sempre livre, informado e inequívoco, com a concordância expressa do tratamento de seus dados pessoais para uma finalidade específica e de acordo com a sua melhor tomada de decisão”, esclarece Danielle Campello, advogada especializada em Direito Digital, Proteção de Dados e Novas Tecnologias do Di Blasi, Parente & Associados.