Site expõe como farmácias usam seus dados
4 de Setembro de 2023

Uma matéria especial do UOL levantou na sexta-feira (1) algumas questões sobre como, para quê e se é permitido a coleta de dados de clientes por farmácias.

As perguntas surgiram após uma investigação revelar que a RaiaDrogasil armazena dados de 48 milhões de pessoas e que a RD Ads, empresa de publicidade da mesma rede, libera essas informações para anunciantes para fins de propaganda direcionada.

O anúncio direcionado funciona da seguinte maneira: por uma empresa de publicidade, o anunciante descobre o tipo de produto que você tem comprado, as datas, os lugares e até os descontos oferecidos.

Com isso, ele começa a sugerir propagandas não apenas a partir do site oficial onde você fez a compra, mas nas redes sociais e no YouTube.

No caso das farmácias, informações sobre doenças; tipos de medicamentos que você toma; frequência sexual e até se você está grávida (compras de absorventes ou fraldas) podem ser registradas.

Basta fornecer apenas uma informação para que eles criem o banco de dados e posteriormente conduzam o rastreamento: o seu CPF.

É através do registro desses 11 números que empresas privadas, como a RaiaDrogasil, conseguem acumular tantos dados.

O alto preço de medicamentos anunciado por atendentes funciona como uma forma sutil de convencer o cliente a fornecer seu CPF e, assim, receber um interessante "desconto" nos itens comprados - segundo relato do UOL, o valor final com desconto, na verdade, seria o preço real do medicamento.

Essa tática é possível graças ao preço máximo sugerido na tabela da Cmed (Câmara de Regulação do Mercado de Medicamentos).

Em nota ao UOL, a RaiaDrogasil afirmou que "não condiciona concessão de descontos à identificação pessoal" e que os descontos são "reais".

A empresa também enfatizou que os clientes que fornecem o CPF autorizaram o uso das informações de saúde.

De acordo com a Lei Geral de Proteção de Dados, a LGPD, o consumidor tem o direito de pedir às empresas os dados que elas têm sobre ele.

Você também tem o direito de ser informado sobre quais outras empresas e órgãos públicos os dados foram compartilhados; também é permitido pedir que os dados sejam corrigidos ou apagados.

As empresas precisam manter um canal através do qual o cidadão faz tais solicitações.

O prazo para resposta é de 15 dias - listamos alguns dos principais canais abaixo; em caso de não cumprimento, é possível acionar a ANDP (Agência Nacional de Proteção de Dados).

As farmácias podem fazer isso? Em suma, embora a LGPD considere as informações de saúde "dados sensíveis", ou seja, que exigem maior proteção, as regras não são muito claras sobre o tipo de prática de coleta e tratamento para fins econômicos.

Em entrevista ao Olhar Digital, o advogado Marcelo Cárgano, especialista em Direito Digital e Proteção de Dados, disse que as farmácias podem, sim, realizar o tipo de coleta e revenda posterior, uma vez que não há uma proibição específica.

No entanto, há critérios.

É necessário apenas que o titular esteja ciente disso e dê o seu consentimento.

O uso dos dados pessoais em si, que é o caso desses dados relacionados à saúde [dados sensíveis], não tem a coleta ou tratamento proibidos, mas a lei estabelece parâmetros para que isso aconteça.

Existem 10 razões legais para isso, e a mais famosa é o consentimento.

Cárgano aponta que, no caso das farmácias, o problema é: "quando a moça do caixa pede o seu CPF, você está ciente de que os dados serão usados para criar um banco de dados apenas sobre você para serem vendidos?", sendo essa a maior questão para a LGPD.

O caso pode, inclusive, acabar em um tribunal (sim, você pode processar a farmácia), e não apenas com base na LGPD, mas também no Código do Consumidor, que também preza pela transparência.

Órgãos que atuam no setor podem ainda iniciar ações coletivas.

O especialista ressalta, contudo, que as razões legais também permitem que os dados sejam tratados sem o consentimento do titular, desde que se respeite o legítimo interesse da empresa e as expectativas do titular.

Complexo, se levado à justiça, o caso acaba ficando a critério do juiz.

O problema não é o uso dos dados em si, mas a falta de transparência.

E onde houver essa ausência, haverá uma violação da LGPD com certeza.

É importante mencionar que, segundo a reportagem do UOL, a política de privacidade da RaiaDrogasil não menciona o uso dos dados para monetização.

Em visitas às lojas, a informação sobre tratamento ou compartilhamento também não é clara.

É importante também explicar que, no caso do pedido de CPF para a nota fiscal, a finalidade está explícita, não violando as regras de proteção de dados.

Como foi mencionado, uma maneira de resolver o impasse dos dados com as farmácias (ou outros estabelecimentos) é pedir que a empresa exclua suas informações.

No entanto, apesar de o direito estar descrito na lei, não há como ter certeza da exclusão.

Assim, de acordo com Cárgano, a melhor maneira de monitorar isso é prestar atenção aos anúncios - especialmente se a empresa tiver confirmado a remoção.

Confira abaixo os canais pelos quais você pode solicitar seus dados às farmácias: Droga Raia, Drogasil e Onofre - site; Drogaria São Paulo e Drogaria Pacheco - site; Pague Menos e Extrafarma - site; Farmácia Preço Popular e Drogaria Catarinense - site; Ultrafarma - a página está fora do ar e os e-mails disponíveis não respondem.

O UOL entrou em contato com a ANDP devido à falta de resposta.

O que diz a rede RaiaDrogasil O Olhar Digital entrou em contato com a empresa e aguarda um retorno.

O UOL entrevistou o CEO da RD Ads, Vitor Bertoncini.

Segundo ele, o cliente precisa aceitar fazer parte desse mercado: Você tem que topar.

Você quer participar, quer jogar, quer receber propaganda.

A maioria diz "sim, legal".

Porque confiam muito em nós e nós sempre entregamos propagandas muito relevantes.

Nós nunca vamos fazer uma campanha de algo que ela nunca comprou e nunca tende a comprar, porque o perfil dela não é esse.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...