A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no Brasil em breve, define que informações pessoais coletadas, tratadas e armazenadas de consumidores em Farmácias e Drogarias, que dependem de dados sensíveis para seus negócios, devem ser protegidas com maior atenção e cuidado, uma vez que possui um tratamento diferenciado e mais rigoroso perante a Lei.
No ramo farmacêutico, a coleta e o armazenamento de informações são feitas através de prescrições médicas entregues pelo consumidor, na aquisição de medicamentos não-controlados e de produtos de higiene ou cosméticos, nos programas de descontos no sistema de fidelidade da farmácia, bem como no compartilhamento de dados nos contratos de franquias das redes de farmácia, e com o setor de saúde, entre outros.
Todavia, em alguns casos, a solicitação de dados pessoais no comércio farmacêutico é exigido pela Portaria n. 344/1998 da ANVISA, que obriga as farmácias a executar ou dispensar receitas médicas apenas quando todos os itens da receita estejam preenchidos, incluindo a identificação do cliente (nome e endereço completo) e do comprador (nome completo, número de documento de identificação, endereço completo e telefone).
Destaca-se que, a coleta de dados pessoais do consumidor só é exigida para a compra dos medicamentos relacionados nas listas descritas na Portaria, tais como antibióticos, retrovirais, substâncias entorpecentes e psicotrópicas. Entretanto, a aquisição de substâncias não-controladas, produtos de higiene ou cosméticos, não implica no fornecimento de dados do consumidor.
As Farmácias e Drogarias possuem uma política de coletar dados, sem se atentar aos limites da privacidade e proteção de dados do consumidor, mantendo em seu banco de dados cadastros com todos os medicamentos e produtos que seus clientes utilizam e, ainda, com que frequência consomem os medicamentos e produtos.
Percebe-se que, quando o consumidor fornece o seu CPF em algumas Farmácias ou Drogarias, logo recebe descontos em produtos e medicamentos, sendo alguns deles de uso corriqueiro deste consumidor, demonstrando que, provavelmente, algum algoritmo é analisado no consumo e preferência dos clientes desse estabelecimento.
Ressalta-se que o consumidor, objeto de análise dos algoritmos com base em seus dados pessoais, poderá ter todas as suas doenças, infecções, DST’s, psicoses, insônias, manias e hipocondrias expostas, correndo o risco do uso desses dados para efeitos de discriminação, planos de saúde ou análise de créditos.
É evidente que boa parte dos dados coletados dos consumidores de Farmácias e Drogarias são de conteúdo sigiloso, uma vez que esses dados expõem fatos íntimos dos clientes e, por tais razões, são considerados pela regulamentação como dados sensíveis.
Aliás, existe a probabilidade desses dados serem comercializados e compartilhados com empresas interessadas no acesso a essas informações, podendo gerar impacto no custo de planos de saúde, e até mesmo na fixação de juros em contratos de financiamento, em razão dos riscos representados pela condição de saúde à capacidade do financiado para honrar seus pagamentos.
As empresas do ramo farmacêutico deverão se adequar às regras determinadas na LGPD, evitando a coleta, tratamento, armazenamento, compartilhamento de dados pessoais e dados pessoais sensíveis sem consentimento explícito e formal do indivíduo, bem como sem uma finalidade específica, adequada e necessária para o bom andamento dos negócios.
Ainda, com a entrada em vigência da Lei, será necessário garantir a segurança da informação recebida de seus consumidores, buscando medidas de proteção para evitar vazamento desses dados, bem como adequar a governança corporativa da empresa com um conjunto de boas práticas, visando garantir a transparência das informações coletadas dos titulares de dados, com elaboração de políticas de privacidade para os consumidores, códigos de condutas, inclusão de cláusulas de proteção de dados em contratos com os parceiros comerciais e fornecedores, oferecer treinamentos para os empregados e colaboradores, verificar a coleta e compartilhamento de dados dos programas de desconto e fidelização, e a colheita e armazenamento de prescrições e o gerenciamento de dados sensíveis, bem com indicar o Encarregado de dados, o “DPO” – Data Protection Officer, para a proteção dos dados na empresa.
Em caso de vazamento de dados, a LGPD prevê a aplicação de sanções administrativas pela Autoridade Nacional, com multa simples de até 2% do faturamento da empresa ou grupo econômico, podendo chegar ao valor de R$ 50 Milhões de Reais, além de publicização da infração, bloqueio ou eliminação dos dados pessoais relativos à infração.
Além disso, no caso de vazamento de dados gerar danos ao titular, a empresa deverá reparar os danos patrimoniais, morais, individuais ou coletivos causados em razão do exercício de atividades de tratamento de dados pessoais. A responsabilidade recairá sobre o controlador, mas poderá incidir solidariamente sobre o operador que descumprir as obrigações legais ou as instruções lícitas do controlador.
Como se pode observar, as empresas do ramo farmacêutico têm muito a fazer para estar em conformidade com a LGPD, atentando-se quanto ao tratamento dos dados sensíveis referentes à saúde, pois tendem a revelar fatos relativos à intimidade dos clientes, que podem ser usados como critério de discriminação e exclusão em detrimento dos interesses do cidadão.
Embora a LGPD ainda não esteja em vigor, já há casos de investigação de farmácias por uso indevido de dados, pelo Ministério Público do Distrito Federal e Territórios (MPDFT) para apurar se, após exigir o Cadastro de Pessoas Físicas (CPF) de clientes em troca de desconto, farmácias estariam repassando sem autorização dados sigilosos
do perfil de compra dos consumidores para as empresas de plano de saúde ou de análise de crédito.
Sendo assim, para se adequar à LGPD e evitar sanções, as Farmácias e Drogarias irão precisar aprender que não poderão solicitar, tratar ou repassar qualquer dado pessoal sem uma justificativa específica e sem o livre consentimento do seu titular, ora consumidor, a quem deverá ser facultado amplo e transparente acesso, alterações no conteúdo registrado ou até mesmo a eliminação de seus dados pessoais. Ademais, será preciso a conscientização de que, uma vez na posse do dado pessoal de alguém, tal informação está sob sua custódia e responsabilidade, devendo ser muito bem protegida, por meios tecnológicos e com ações juridicamente bem orientadas, sob pena de severas sanções legais, com reflexos materiais e morais.