Ir para o conteúdo
Favicon - Logo - Blog Camargo e Vieira Advogados
  • Site
  • Início
  • Blog
    • Proteção de Dados
    • Tributário
    • Outras áreas
  • Contato
Favicon - Logo - Blog Camargo e Vieira Advogados
  • Site
  • Início
  • Blog
    • Proteção de Dados
    • Tributário
    • Outras áreas
  • Contato
remédios represetando tratamento de dados pessoais nas Farmácias
  1. Início >
  2. Proteção de Dados >
  3. O tratamento de dados pessoais nas Farmácias – Análise à Nota Técnica nº 4/2023/CGTP/ANPD >
Por Rafhael Camargo  
  • Proteção de Dados
05/06/2023 Atualizado em 05/09/2023
12 minutos para ler

O tratamento de dados pessoais nas Farmácias – Análise à Nota Técnica nº 4/2023/CGTP/ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em junho deste ano uma nota técnica sobre as práticas de tratamento de dados pessoais e de dados pessoais sensíveis por parte do varejo farmacêutico, incluindo entidades representativas, com intuito de monitorar mercados, realizar estudo sobre práticas correntes, incentivar boas práticas e identificar sua adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). 

O estudo ocorreu em virtude da relevância do tema para a sociedade, interesse de associações de farmácias no Brasil, já que o país possui mais de 80 mil redes, com um faturamento anual em mais de 139 bilhões de reais, denúncias de diversas entidades públicas, além de um Termo de Ajustamento de Conduta (TAC) realizado pelo Ministério Público de Minas Gerais, como a Drogaria Araújo S/A que, ainda que o caso tenha sido arguido com base em preceitos constitucionais, do Marco Civil da Internet e do Código de Defesa do Consumidor, o TAC em referência é paradigmático por já reconhecer princípios da proteção de dados pessoais, impor critérios de transparência e informação a usuários, vedar a utilização genérica do número de CPF de titulares, entre outros termos. 

Comparativo de políticas de privacidade 

Para entender a maturidade do mercado farmacêutico, a ANPD analisou diversas políticas de privacidade do setor, com algumas importantes conclusões: 

  • Apesar de a Lei Geral de Proteção de dados ter sido aprovada em 2018, boa parte das políticas das organizações brasileiras ainda estavam em estado embrionário de adequação a um regime de proteção de dados pessoais. As respostas dos grupos farmacêuticos, verificadas nos autos do ICP, confundiam conceitos e princípios da LGPD e foi possível notar falta de preparo dos grupos no que diz respeito à temática de privacidade e proteção de dados; 
  • Alguns sites nem mesmo disponibilizam informações sobre suas políticas de privacidade; 
  • Redes que possuem programas de fidelização por vezes não entram em detalhes sobre sua metodologia e sob quais condições os dados de titulares são tratados; 
  • Algumas políticas de privacidade disponibilizadas carecem de diversos pontos de melhoramento, já que não apresentam informações acerca de quais dados são coletados, formas de exercício de direitos dos titulares, nem sobre as bases legais utilizadas; 
  • Algumas políticas de privacidade listam como finalidades de tratamento o perfilamento (profiling) publicitário e a vinculação de histórico de compras a programas de fidelidade, mediante consentimento do titular como única base legal citada; 
  • A partir de uma análise dos sites e políticas de privacidade dos grupos farmacêuticos, denotou-se falta de transparência quanto ao tratamento de dados realizado, o que gera prejuízos ao exercício de direitos pelos titulares de dados, tal qual o direito de acesso (art. 9º, LGPD), já que as informações devem ser disponibilizadas de forma facilitada e gratuita sobre todas as facetas do tratamento, como a finalidade, identificação de agentes de tratamento e informações sobre o compartilhamento de dados. 
  • Foi apontada a existência de algumas finalidades não condizentes com o tratamento de dados efetivamente realizado (princípio da adequação, art. 6º, II) e indícios de coleta excessiva de dados pessoais, incluindo dados sensíveis (princípio da necessidade, art. 6º, III). 

Exercício de direitos por titulares 

No estudo exploratório, como consequência da falta de transparência e da escassa operacionalização do direito de acesso (art. 9º, LGPD) restou clara a dificuldade de os titulares se oporem ao tratamento de seus dados pessoais, em grande parte sensíveis, como por exemplo, a coleta de biometria. Em vários casos analisados, as informações não eram disponibilizadas de maneira clara e facilitada sobre as fases do tratamento de dados, como finalidade ou identificação dos agentes de tratamento. Assim, titulares encontram-se impossibilitados de exercer seus direitos e de efetivamente denunciar possíveis irregularidades em seu tratamento. 

 

LEIA TAMBÉM: DPO na área da saúde: qual a importância do encarregado no setor?

pessoa realizando tratamento de dados pessoais nas Farmácias

 

Pouca maturidade em termos de adequação das farmácias no Brasil 

 

De uma forma geral, foi possível concluir que há baixa maturidade no setor farmacêutico referente à proteção e tratamento de dados pessoais, de acordo com as regras estabelecidas pela LGPD. Observa-se, portanto, uma oportunidade para uma atuação efetiva da ANPD no campo educativo, a fim de promover educação e adoção de boas práticas em proteção de dados pessoais, sem se descuidar de suas competências fiscalizatórias. 

Das análises estabelecidas para os diversos aspectos avaliados, tanto no ICP, quanto nas políticas de privacidade, verificou-se que em todos os casos havia desconformidades e abordagens com orientações e conceitos equivocados sobre as previsões na LGPD. Um dos diagnósticos foi a baixa maturidade do cenário do varejo farmacêutico de adequação à LGPD. Tal cenário sugeria que uma abordagem educativa, para além do contexto específico dos grupos estudados, teria o potencial de levar conformidade a um número maior de estabelecimentos comerciais. 

Tratamento de dados pessoais nas Farmácias: Dos programas de benefício em medicamentos (PBMs) 

Os Programas de Benefícios em Medicamentos (PBM) foram criados nos Estados Unidos, como uma forma de mitigar a desistência de pacientes em tratamentos de médio e de longo prazo, incluindo de doenças crônicas. Os PBMs tiveram como grandes patrocinadores os planos de saúde, pois era vantajoso subsidiar os medicamentos a fim de reduzir internações e procedimentos ainda mais custosos. A existência de PBMs corrobora a adesão aos medicamentos, já que facilita seu acesso e compra por pacientes. 

Os PBMs formam uma estrutura tripartite:

i) indústria farmacêutica, responsável pela produção do medicamento e pela criação e definição de regras;

ii) empresa intermediadora, responsável por atuar em nome da farmácia pela gestão e pelo credenciamento da rede de farmácias, para autorizar a dispensação dos medicamentos; e

iii) varejo farmacêutico.

Por meio do PBM, o cliente da farmácia compra um medicamento com desconto, mediante autorização do laboratório ou da indústria que o autorizou. Esse valor com desconto é vendido mediante confirmação de cadastro e reembolso da indústria à farmácia. O varejo não é, nesse caso, controlador do dado, e sim a indústria. A plataforma do PBM costuma ser operada por terceiros, e não desenvolvida pela própria indústria 

No modelo do Brasil, em geral, é realizado um cadastro prévio com dados pessoais do titular, a fim de se conceder descontos diretamente com a indústria farmacêutica. As informações que trafegam no sistema da PBM são dados como CPF, nome e assinatura. Mas também existe a segunda sistemática de cadastro, chamada cadastro off -line, ou cadastro no balcão. Quando os dados são usados para liberação desse PBM, o controlador não está trafegando esses dados para o sistema da própria drogaria, mas sim pelo sistema da indústria farmacêutica que desenvolveu e administra o programa. Além disso, há nas lojas o sistema integrado, que permite à indústria farmacêutica fazer essa análise da elegibilidade do programa de benefícios. Após análise da habilitação do PBM, há a finalização da venda com aplicação de desconto. A farmácia faz somente uma requisição de informações acerca da elegibilidade do benefício. 

Tratamento de dados pessoais nas Farmácias: Dos convênios 

O convênio é uma parceria estabelecida por uma empresa junto às farmácias, com o objetivo de desenvolver uma relação direta com benefícios para os seus funcionários. Não há controle das associações no tratamento de dados em convênios. O convênio entre a farmácia e uma empresa determina o tratamento de dados pessoais de seus empregados, normalmente por meio de descontos em folha de pagamento (do valor total do medicamento ou com alguma redução). Nesses processos de tratamento de dados cadastrais, as farmácias são operadores dos convênios, já que os dados pessoais são aferidos no balcão com a finalidade de checar se o beneficiário realmente possui o convênio. 

Programas de fidelização 

Existem três tipos de programas de fidelização:

i) o de ofertas exclusivas, que permite que a farmácia alcance maior assertividade em suas interações com clientes, bem como que clientes desfrutem de conteúdos e vantagens mais compatíveis com seus perfis individuais;

ii) o de publicidade, que permite o direcionamento de conteúdo e de vantagens mais relevantes com as preferências de cada cliente; e

iii) os programas de pontuação, que permitem que os clientes acumulem e resgatem pontos a partir de suas compras, também chamado de earn and burn. 

 

Tratamento de dados pessoais nas Farmácias: Da utilização de dados biométricos 

O tratamento de dados biométricos envolve a autenticação de identidade de indivíduos por meio de características físicas e biológicas personalíssimas, como o reconhecimento de digitais, da voz, da face, da íris e até mesmo de DNA. Tecnologias que empregam dados biométricos têm representado avanços em um contexto de crescente datificação e digitalização, o que é corroborado por meio de ferramentas que aumentam a acurácia dessa autenticação. Na prática, o uso da biometria reduz a fricção de transações e aplicações do cotidiano, podendo ser aplicadas em sistemas de acesso de smartphones (biometria digital e da face, por exemplo) e de espaços físicos (como no controle de fluxos de pessoas em fronteiras), bem como em sistemas de autenticação de identidade em caixas rápidos (prevenção a fraudes financeiras), em aplicativos (confirmação de identidade de passageiros em aplicações de transporte individual), consultórios e laboratórios médicos, além de urnas eletrônicas eleitorais. 

A biometria pode ser considerada uma parte do tripé de identificação de um titular de dados, que consiste em saber i) o que o usuário tem (chave, token, cartão, crachá etc.); ii) o que o usuário sabe (nome ou ID de usuário, senha etc.); e iii) o que o usuário é (dados biométricos). O uso dos fatores deste tripé costuma ser proporcional às necessidades de autenticação de identidade do titular. Ou seja, quanto mais imprescindível for a acurácia de sua identificação, (para fins de prevenção de uma fraude financeira, por exemplo), mais fatores costumam ser empregados. Como consequência dessa utilização de múltiplos fatores de autenticação de identidade, as medidas de segurança necessárias à salvaguarda dos dados dos titulares também devem acompanhar o uso desses fatores. 

Segundo a ANPD, há que se analisar, sob o ponto de vista do princípio da necessidade, o tratamento de dados biométricos para a finalidade de validação de identidade. Tendo em vista que dados biométricos não constituem a única forma de verificação de identidade, é importante ressaltar que poderiam sem empregadas também outras ferramentas de tratamento de dados, menos gravosas em relação à utilização de dados tão sensíveis quanto as biometrias digitais ou até mesmo faciais. Na eventualidade de a verificação da identidade de cadastros de clientes poder ser realizada por meio de dados pessoais não sensíveis, pondera-se se há justificativa e contrapartida adequada em termos de segurança da informação para a coleta de dados biométricos para os mesmos fins. 

A título de exemplo, um nome de usuário (ID de usuário único, gerado pela controladora) e uma senha fornecidos pelo controlador a seus clientes poderiam ser utilizados para verificar a identidade de titulares de dados participantes em seus programas de fidelização, sem a necessidade de vulnerabilizá-los por meio de tratamentos desnecessários e, por vezes, desproporcionais às demandas de segurança da informação que a finalidade de identificação exige. Em caso de comprometimento, como um compartilhamento ou exfiltração de base de dados, os dados biométricos têm o potencial de representar grave prejuízo aos titulares e à sua privacidade, considerando que não podem ser substituídos ou alterados de forma a preservar sua identidade. 

Conclusões sobre a Nota Técnica

O estudo deixou claro sobre o problema do consentimento, suas possibilidades de estarem viciados e a falta de transparência das empresas (indústria, plataformas de gestão e varejo) sobre as práticas adotas no setor e a pouca maturidade em relação à governança de privacidade e dados pessoais, o que deverá ser aprimorado. 

A ANPD entende que o estudo exploratório aumentou a compreensão da Autoridade acerca dos fluxos de dados pessoais nos modelos de negócio de farmácias, e que esse conhecimento pode ser revertido à sociedade por meio da elaboração de material educativo para o setor, em conjunto com a Coordenação-Geral de Normatização. Eventual material poderia conter as preocupações aqui levantadas e medidas de adequação apropriadas para os tipos de tratamentos aqui descritos. 

Para quem entende que a LGPD veio para burocratizar as operações, a ANPD foi no sentido contrário: buscou entender o setor, enalteceu a importância de uma adequação às regras, em respeito aos direitos dos titulares e, certamente, ajuda a sociedade a ter mais conhecimento e segurança sobre como seus dados são tratados. 

Se sua empresa ainda não começou a adequação, não deixe de buscar uma consultoria especializada, que entenda do setor e dos stakeholders envolvidos no mercado de saúde, como a equipe do Camargo e Vieira. Para saber mais, basta preencher o formulário abaixo!

 

Artigos relacionados
imagem representando Direito Autoral no mundo Digital
  • Proteção de Dados

Direito Autoral no Mundo Digital: como proteger criações digitais?

25/09/2024 LER MAIS
LGPD ao meio de PMEs (pequenas e médias empresas).
  • Proteção de Dados

LGPD para PMEs: como garantir a adequação?

13/09/2024 LER MAIS
Profissional de Proteção de dados, simbolizando as atribuições do DPO as a service.
  • Proteção de Dados

Quais são as atribuições do DPO as a Service?

04/09/2024 LER MAIS

Fale o que você pensa Cancelar resposta

O seu endereço de e-mail não será publicado.

Artigos populares

  • o-que-e-quadro-societario-entenda-tudo-sobre-o-assunto
    • Tributário
    O Que É Quadro Societário ? Entenda Tudo Sobre o Assunto
  • unicidade-contratual-como-fazer-recontratacao-de-funcionario-da-forma-correta
      Unicidade Contratual — Como Fazer Recontratação De Funcionário Da Forma Correta?
    • Tributação De Startups — Saiba Como Funciona e Veja Particularidades
      • Tributário
      Tributação De Startups — Saiba Como Funciona e Veja Particularidades

    Últimos Artigos

      • Tributário
      A transição do PIS e Cofins para a CBS: o que você precisa saber?
      • Tributário
      Entenda a lógica do Split Payment na Reforma Tributária
    • Empresários estudando os tipos societários mais adequados para sua empresa.
      • Tributário
      Quais são os principais tipos societários?
    Favicon - Logo - Blog Camargo e Vieira Advogados
    • Site
    • Início
    • Blog
      • Proteção de Dados
      • Tributário
      • Outras áreas
    • Contato
    • Proteção de Dados
    • Tributário
    • Outras áreas
    • Ebooks
    • Nossas Soluções

    Assine nossa newsletter

    Deixe seu nome e email abaixo
    e fique pordentro das novidades.


      Conheça Nossos
      Serviços jurídico
      Feito por