No último dia 11 de maio, a ANPD emitiu uma nota técnica a respeito da conformidade das práticas e das organizações do setor farmacêutico. O documento é resultado de um estudo sobre as políticas de privacidade de grupos farmacêuticos de relevância econômica e de uma série de reuniões realizadas com as organizações representantes do setor farmacêutico. É importante destacar que as reuniões foram realizadas com intuito de esclarecer dúvidas e sugerir boas práticas para as empresas, ou seja, em caráter educativo.
No breve resumo abaixo, expomos os principais pontos da nota técnica que são: (a) a demarcação da relação entre o Código de Defesa do Consumidor (CDC) e a LGPD; (b) os sinais de desconformidade elencados pela ANPD; (c) a problemática do compartilhamento de dados em programas de fidelidade e dos convênios; (d) a problemática do uso exacerbado da biometria como método de identificação. Vamos lá?
(a) Muito mais que titulares de dados, consumidores
Não é segredo para ninguém as sinergias de direitos e obrigações que existem entre o CDC e a LGPD. Essa relação de proximidade é mencionada ao longo de toda a nota técnica, notadamente para demarcar que as imposições do TAC firmado entre o Ministério Público de Minas Gerais e a rede de farmácias mineiras, Drogaria Araujo, decorrem da aplicação do CDC, pois a LGPD sequer estava em vigência por completo em 2019.
Inclusive, a ANPD justifica a necessidade do estudo, por meio da apresentação enviada pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) à Drogasil, por causa do uso de dados pessoais sensíveis (biometria) em suas práticas comerciais.
A Drogaria Araujo foi sancionada administrativamente pelo Ministério Público, após provocação do Instituto de Referência em Internet e Sociedade, que ofereceu uma representação ao MPMG buscando maior transparência na prática de coleta do CPF em redes de drogarias atuantes em Belo Horizonte e outras cidades do Estado de Minas Gerais.
Assim, é importante lembrar que as organizações da sociedade civil estão organizadas para provocar esse tipo de enforcement administrativo, tanto na ANPD quanto nos Ministérios Públicos dos Estados e na própria Secretaria Nacional de Direito do Consumidor.
Sem prejuízo, ainda é importante retomar que os direitos da LGPD podem ser buscados de forma coletiva, por meio de Ações Civis Públicas, por exemplo. Foi o que aconteceu também no caso da Via Quatro Amarela do metrô de São Paulo, sancionada em R$500 mil reais, após responder ação do gênero também movida pelo IDEC.
(b) O foco da ANPD para apurar desconformidade
É interessante perceber que, ao longo da nota, a ANPD deixa pistas de para onde a autoridade vai olhar para entender se uma empresa apresenta padrões mínimos de conformidade. No caso das drogarias, a ANPD procurou padrões de desconformidade:
(1) Nas Políticas de Privacidade
A ANPD analisou as Políticas de grandes grupos e verificou que:
- Alguns sites sequer disponibilizavam o documento;
- Redes de farmácias com programas de fidelização, não apresentavam a metodologia de tratamento dos dados dos titulares;
- Diversas políticas não correspondiam aos requisitos mínimos para esse documento, expostos no artigo 9 da LGPD (finalidade específica do tratamento; forma e duração do tratamento; identificação e contato do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador e a finalidade; responsabilidades dos agentes que realizarão o tratamento; e direitos do titular);
- Algumas empresas citavam o consentimento como única justificativa para o tratamento de dados que realizam;
- Insuficiência e pouca clareza das informações apresentadas ao titular, dificultando o exercício dos seus direitos; e
- Imprecisão conceitual.
(2) No diálogo com os representantes do setor e das empresas
A ANPD destacou a o uso de conceitos de forma imprecisa e incorreta pelas empresas para ressaltar o seu posicionamento quanto à falta de maturidade das organizações para o tema da Proteção de Dados. Nesse sentido, ela recomendou a ampliação de uma agenda de diálogo e treinamentos para essas entidades.
(3) Após a análise de alguns fluxos de dados considerados sensíveis
A ANPD destacou a preocupação com o desvio da finalidade no uso dos dados pelo setor, assim como a presença de indícios de coleta excessiva de dados pessoais e pessoais sensíveis.
(c) E o meu CPF na farmácia? A problemática dos programas de fidelização
A ANPD identificou nas reuniões que nem sempre as entidades farmacêuticas empregam as mesmas práticas e que, inclusive, farmácias de uma mesma rede podem conduzir seus programas de formas diferentes, atuando como controladoras. Nesse sentido, os programas de fidelização, que são o caso mais sério de uso de dados, que existem em três modalidades distintas:
1) o de ofertas exclusivas, que permite que a farmácia alcance maior assertividade em suas interações com clientes, bem como que clientes desfrutem de conteúdos e vantagens mais compatíveis com seus perfis individuais;
2) o de publicidade, que permite o direcionamento de conteúdo e de vantagens mais relevantes com as preferências de cada cliente; e
3) os programas de pontuação, que permitem que os clientes acumulem e resgatem pontos a partir de suas compras, também chamado de earn and burn.
No caso dos programas de fidelização, os principais pontos de atenção levantados pela ANPD foram:
• O gerenciamento do programa por terceiros, empresas que têm ligação com outros segmentos do mercado e o fato de que eles nem sempre pertencem ao mesmo grupo econômico;
• A falta de clareza sobre o fluxo dos dados, com quem os dados pessoais podem ser compartilhados e por qual motivo tanto pela farmácia quanto pela empresa que gerencia o programa;
• A falta de apresentação de bases legais que justifiquem o tratamento de dados pessoais e pessoais sensíveis;
• A produção de inferências sensíveis sobre os consumidores, que sequer chegam à sua ciência;
• A falta de transparência sobre esse tipo de tratamento para que os titulares possam exercer seus direitos.
(d) A problemática do excesso no uso da biometria como método de autenticação
Em resumo, algumas farmacêuticas passaram a requisitar a biometria sob a justificativa legal de confirmar a identidade para acessar programas de benefícios, descontos e até para pagamento. Em uma das farmácias que participaram do estudo, a biometria facial era recolhida para viabilizar o pagamento. Nesse caso, a ANPD entendeu que existiam métodos menos invasivos de coleta de dados, para confirmar a identidade dos clientes nesses contextos e que, por isso, o princípio da necessidade estava sendo desrespeitado.
Isso porque o comprometimento de dados biométricos, por exemplo num vazamento, representa um risco bem maior para o titular, já que esse tipo de dado configura uma forma única de verificação de identidade, insubstituível (diferentemente de logins, senhas etc.) o que ocasionaria danos graves aos titulares de dados pessoais.
Aqui lembramos também que existe uma grande discussão sobre o correto funcionamento deste tipo de tecnologia para pessoas não-brancas, de modo que a sua implementação deve levar em consideração o fato de que esse método pode na verdade dificultar a verificação de identidade para esses grupos, levando a uma situação de discriminação.