Notícias do setor farmacêutico

A LGPD nas rotinas do comércio: o exemplo das farmácias

873

Para você que é do tipo que se irrita quando pede um xampu na farmácia e o vendedor pergunta o número do seu CPF, este artigo terá alguma utilidade. Já se você é do tipo que sai fornecendo seus dados sem qualquer preocupação porque acredita que só deseja privacidade quem tem algo a esconder, para você este artigo é uma necessidade.

A partir de agosto, a Lei Geral de Proteção de Dados – a LGPD – terá grande impacto nas rotinas do mercado e permitirá distinguir com clareza as situações em que a solicitação de dados é legítima ou abusiva. De modo bem didático, o exemplo das farmácias ilustra tais situações e dá uma ideia quanto às exigências gerais a que estarão submetidos os comerciantes.

A LGPD disciplina o “tratamento” de dados, uma expressão ampla o suficiente para abranger qualquer operação realizada com dados pessoais de indivíduos situados no Brasil ou que tenham sido aqui coletados, envolvendo a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, armazenamento, entre outras atividades.

Pois algum vendedor estará realizando tais operações sempre que alimentar seus dados no cadastro que a farmácia mantém sobre você. Este ato de rotina deverá obedecer a diversos princípios fixados na lei (art. 6°), tais como o princípio da finalidade (o tratamento é vinculado a propósitos legítimos, específicos e explícitos, que devem ser informados), o princípio da adequação (tratamento dever ser compatível com as finalidades informadas) e o princípio da necessidade (o tratamento deve limitar-se ao estritamente necessário para as finalidades informadas).

Na condição de operadores e controladores (quem opera ou toma decisões quanto ao tratamento dos dados), o pessoal da farmácia lida com seus dados pessoais – sua identificação: RG, CPF, filiação, telefone ou endereço–, e também dados sensíveis quanto à sua saúde, e deverá ser treinado para assimilar os deveres quanto à gestão, sigilo e segurança desses dados.

Como regra, a lei exige o consentimento do titular quanto à coleta dos dados, que deve ser tomado de modo informado, explícito, preferencialmente por escrito (art. 7°, inc. I, c/c art. 8º) e em destaque. A obrigação de informar a finalidade, adequação e necessidade da coleta de dados ao titular não tem exceções na lei (art. 9º), persistindo mesmo quando o consentimento do titular dispensado, como ocorre, por exemplo, quando os dados são exigidos em razão de obrigações legais ou regulatórias que recaiam sobre controlador (art. 7º, inc. II; art. 11, inc. II, “a”).

Com efeito, em determinados casos, a lei exige que comerciantes identifiquem seus clientes e mantenham seus cadastros atualizados. Por exemplo, a Lei nº 9.613/1998 (lei antilavagem de capitais) estabelece que em casas de câmbio e joalherias, no comércio de bens imóveis e em lojas que comercializam antiguidades, obras de arte ou bens de luxo, você deverá fornecer seus dados para que sejam repassados ao Conselho de Controle de Atividades Financeiras – COAF, órgão reestruturado pela novíssima Lei 13.974 de 07/01/2020. Porém, pela LGPD, mesmo nesses casos você deverá ser informado quanto à finalidade da solicitação dos seus dados e com quem serão compartilhados.

No comércio de medicamentos, em alguns casos a solicitação de dados é absolutamente legítima por causa da Portaria n. 344/1998 da ANVISA, que obriga as farmácias a aviar ou dispensar receitas médicas apenas quando todos os itens da receita estejam preenchidos (art. 52, §§ 2º e 3°), e o art. 36, caput, alíneas “d” e “i”, inclui a identificação do usuário (nome e endereço completo) e do comprador (nome completo, número de documento de identificação, endereço completo e telefone).

Porém, esses dados só são exigidos para a aquisição das substâncias relacionadas nas listas anexas à portaria, tais como antibióticos, retrovirais, substâncias entorpecentes e psicotrópicas. Já a aquisição de medicamentos não-controlados, produtos de higiene ou cosméticos, não implica, de modo algum, o fornecimento de dados do usuário ou comprador.

Neste último caso, solicitar dados para a conclusão da compra poderá ser abusivo – e, a partir de agosto, será ilegal se não contar com o consentimento expresso e informado do titular.

Até agora as farmácias permanecem alheias a qualquer limite à coleta de dados; ao contrário: a política é coletar a maior quantidade possível – e você sabe que existe um cadastro com todos os medicamentos e produtos que você utiliza, além da frequência com que os consome, porque vem contribuindo sem qualquer preocupação ou desconfiança para alimentar esse banco de dados.

Em algumas farmácias, ao fornecer seu CPF, você recebe descontos em produtos “selecionados especialmente para você”, um indicativo de que você foi perfilado por algum algoritmo que analisa o seu consumo. Experimente comprar qualquer coisa –paracetamol, vitaminas, fraldas ou papel higiênico– no balcão de uma grande farmácia e confira: (a) se não vão pedir seus dados para concluir a compra ou conceder algum desconto; (b) se você será informado da finalidade, adequação e necessidade da coleta desses dados; (c) se o responsável sabe se esses dados são compartilhados ou de medidas de segurança existentes para sua proteção contra o acesso indevido; e, (d) a partir de agosto, peça para acessar seus dados armazenados no sistema e solicite a eliminação de todos aqueles que não sejam necessários segundo a ANVISA, pois isso será um direito seu (art. 18).

Esse teste apresenta formas de implementação da LGPD e dá uma ideia do impacto da lei nas situações mais corriqueiras. Você pode perguntar: afinal, qual o problema em fornecer dados pessoais às farmácias? Com exceção dos medicamentos controlados, a exigência de dados é desnecessária e afeta um direito seu presente no art. 5º, inc. XII, da Constituição.

Ainda, o indivíduo perfilado a partir desses dados terá todas as suas doenças, infecções, micoses, frieiras, hemorroidas, DST’s, psicoses, insônias, manias e hipocondrias expostas; são dados tão reveladores quanto os de um prontuário médico, cujo conteúdo é legalmente submetido ao maior sigilo! Não é por nada que os dados relativos à saúde são sensíveis: eles revelam fatos íntimos sobre nós mesmos.

E além disso, a mera suspeita de que esses dados possam ser comercializados e repassados a empresas interessadas no acesso a essas informações para fins de perfilamento já demonstra a gravidade dos efeitos aos consumidores, com potencial impacto no custo de planos de saúde e até na fixação de juros em contratos de financiamento, em razão dos riscos representados pela condição de saúde à sinistralidade ou à capacidade do financiado para honrar seus pagamentos – isso sem falar no possível uso desses dados para efeitos de discriminação.

Pois a LGPD determina que o tratamento inadequado custará caro a controladores e operadores de dados. Deve-se garantir a segurança da informação, a fim de evitar o acesso não-autorizado ou situações acidentais ou ilícitas que importem destruição, perda, alteração, comunicação ou “qualquer forma de tratamento inadequado ou ilícito” dos dados (art. 46, caput). Qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados deve ser comunicado em prazo razoável à Autoridade Nacional de Proteção de Dados (art. 48). Conforme a gravidade do incidente, a – ANPD poderá determinar a ampla divulgação do fato pelos meios de comunicação e a adoção de medidas para mitigar os efeitos do incidente (art. 48, §2º).

A lei também prevê o dever de reparação dos danos patrimoniais, morais, individuais ou coletivos causados em razão do exercício de atividades de tratamento de dados pessoais (art. 42). A responsabilidade recai sobre o controlador, mas pode incidir solidariamente sobre o operador que descumprir as obrigações legais ou as instruções lícitas do controlador.

Em acréscimo, e independentemente da causação de danos efetivos (basta o risco), as infrações à LGPD serão apuradas em processo administrativo, culminando na aplicação de sanções administrativas pela autoridade nacional, compreendendo (a) a advertência com indicação de medidas corretivas específicas, (b) multa simples de até 2% do faturamento do controlador, grupo ou conglomerado no Brasil de que faça parte (limitada ao valor de cinquenta milhões de reais), (c) multa diária, (d) publicização da infração, (e) bloqueio ou (f) eliminação dos dados pessoais concernentes à infração.

Como se vê, as empresas têm muito a fazer para se ajustar à lei: precisam elaborar o relatório de impacto à proteção de dados pessoais; deverão mapear e classificar as informações que constam em seus sistemas, atribuindo o nível correspondente de segurança e restrição de acesso; deverão aprimorar seus sistemas de segurança da informação; deverão treinar um encarregado, o “DPO” – ou data protection officer, para a proteção dos dados na empresa; deverão investir no treinamento constante de todos os seus dirigentes e colaboradores. Enquanto isso, os escritórios de advocacia se preparam para dar conta do contencioso envolvendo violações à proteção de dados a partir do dia 14 de agosto.

A conscientização das empresas sobre o impacto da LGPD é muito importante, pois o processo de conscientização do cidadão quanto ao valor do bem que ela visa proteger já foi acionado. A compreensão adequada do direito à privacidade implica a atribuição de valor aos dados que revelam fatos sobre nós mesmos e a capacidade de avaliação dos riscos envolvidos no uso que terceiros possam fazer deles.

No caso das farmácias, é preciso estar atento quanto ao tratamento dos dados sensíveis referentes à saúde, pois tendem a revelar fatos concernentes à nossa intimidade que podem ser usados como critério de discriminação e exclusão em detrimento dos nossos próprios interesses. O impacto da lei é inegável, mas a efetiva proteção da privacidade decorrerá mesmo é das nossas pequenas atitudes individuais, submetidas a um regime de deliberação consciente quanto ao fornecimento de dados que poderá se iniciar, quiçá, nos pequenos atos de rotina como este de fazer compras na farmácia.

ANA PAULA O. ÁVILA – Mestre e Doutora em Direito Público pela Universidade Federal do Rio Grande do Sul. Mestrado em Global Rule of Law pela Universitá degli Studi di Genova, Itália. Advogada, consultora e membro da Comissão Especial de Compliance da OAB/RS.

Fonte: Jota

Veja também: Como foi 2019, e como será 2020 para o Canal Farma?

Siga nosso Instagram

Você pode gostar também

Deixe seu comentário

Seu endereço de email não será publicado.

Esse site utiliza cookies para aprimorar sua experiência de navegação. Mas você pode optar por recusar o acesso. Aceitar Consulte mais informação

Perdeu sua senha? Digite seu nome de usuário ou endereço de email. Você receberá um link para criar uma nova senha por e-mail.
document.querySelectorAll('.youtube a').forEach(e=>{e.href = "https://youtube.com/user/partnersupport" })