FARMÁCIAS, A LGPD E COMPLIANCE

Farmácia LGPD

Coordenação: Miguel Kfouri Neto e Rafaella Nogaroli.

Há algum tempo se sabe que condicionar descontos de medicamentos ao fornecimento de dados pessoais ou a inscrições em laboratórios (com termos de consentimento demasiadamente genéricos) pode ser considerada prática abusiva, especialmente porque, normalmente, não há a adequada informação sobre o destino e utilização de tais dados. A discussão, portanto, é anterior à Lei Geral de Proteção de Dados (LGPD) e abrange, também, o Código de Defesa do Consumidor (CDC) e os direitos fundamentais previstos no art. 5o., CF. Mas, se já se sabe que a prática pode ser considerada abusiva, por que continua sendo realizada e aperfeiçoada pelo mercado para cada vez mais exigir dados pessoais do consumidor?

Desde o início de 2021, já na vigência da LGPD portanto, grandes redes de farmácias passaram a exigir do consumidor cadastro biométrico[1] para, segundo justificativa apresentada por muitas delas, “confirmar que o consumidor autoriza o tratamento de dados pessoais para obter descontos em medicamentos”. Segundo tais redes, a prática estaria totalmente respaldada pela Lei da Liberdade Econômica, LGPD e CDC. O que se percebe, contudo, é que as justificativas acabam sendo genéricas e ocultam os potenciais danos decorrentes dessa prática.

Os programas de fidelidade (ou fidelização) não são proibidos, ao contrário, podem até ser estimulados como práticas empresariais se respeitadas as normas de tutela do consumidor. No entanto, para estarem em plena conformidade com o CDC, precisam realmente apresentar alguma vantagem para o consumidor além, é claro, de informá-lo sobre as contrapartidas, especialmente sobre o tratamento[2] de dados. Lembre-se que esta informação deve ser detalhada e oferecida de forma a ser compreendida pelo consumidor. Os programas também não podem ser confundidos com o contrato que se firma (aquisição de produtos ou serviços), não podem ser impostos ou servir de condição para o fornecimento, devendo, portanto, ser autônomos e não condicionados.

Então, a abusividade dos programas de fidelização de boa parte das farmácias revela-se não só na sua vinculatividade ao contrato principal, como também, à pouca ou nenhuma informação que oferecem sobre o tratamento de dados realizado para a garantia de acesso aos prometidos benefícios.

O consumidor tornou-se refém dos descontos e, portanto, da cessão de seus dados pessoais. Estudo realizado pelo IDEC[3] identificou que a variação entre o teto máximo dos preços de medicamentos estabelecidos pela Câmera de Regulação do Mercado de Medicamentos (CMED) e os preços praticados nas farmácias pode chegar a quase -400,87%[4]. Por isso, é comum não só a grande variação de preço entre os estabelecimentos de diferentes redes, mas também o valor de descontos oferecidos. O sistema regulatório adotado a partir o price cap assim o permite. A falta de transparência sobre o custo real dos medicamentos acaba tornando o consumidor dependente dos descontos e, por consequência, em cessionário quase que obrigatório de dados pessoais para farmácias, laboratórios e planos e seguros de saúde.

Evidente, ainda, que o tratamento de dados pessoais[5] nesse contexto não está sendo feito no interesse do seu titular, mas destina-se tão somente a atender interesses das farmácias e seus diversos parceiros (especialmente laboratórios e planos e seguros de saúde) dado o altíssimo valor econômico dos dados coletados e a possibilidade de ampliação indefinida deste mesmo valor. A falta de transparência é manifesta. Neste sentido pode-se, sempre, mencionar o caso Cyrela, em que houve condenação, em primeiro grau, da referida construtora justamente pela não informação sobre a utilização dos dados coletados e da aparente divulgação destes mesmos dados entre empresas parceiras, que passaram a assediar o consumidor[6]. Esta decisão acabou reformada pelo Tribunal de Justiça de São Paulo que não identificou prova deste vazamento[7].

Quando se afirma a necessidade de informação do consumidor sobre o tratamento de dados pessoais impõe-se a obrigatoriedade de que a informação seja qualificada, ou seja, não basta pedir ao consumidor o dado e informar que ficará em seu banco de fidelização para garantir futuros descontos e acesso a promoções. É mandatório explicar prévia e detalhadamente, em linguagem simples e acessível, para que a coleta está sendo feita, em que meios os dados serão mantidos, se haverá compartilhamento (gratuito ou oneroso) com outras empresas (do mesmo grupo ou parceiras), por quanto tempo esse dados ficarão armazenados, de que forma o consumidor poderá exercer os direitos de titular previstos no art. 18, LGPD[8].

Assim, exigir o número de CPF em si, não é um grande problema, o que está por trás da solicitação é que pode ser. Infelizmente, como prática padrão desses estabelecimentos, os consumidores não são informados sobre o destino e a utilização dos dados que estão sendo coletados para garantir o desconto, o que, por si só, já caracterizaria violação ao princípio da transparência e da informação previsto no CDC e a proteção de dados pessoais prevista na LGPD.

Toda a questão passa, portanto e obrigatoriamente, pelo chamado “consentimento”, exigido pela legislação (art. 11 da LGPD, por exemplo). Se o consumidor não é informado sobre qual é a real finalidade da coleta dos dados e sobre eventual compartilhamento com terceiros (como laboratórios e planos de saúde), como poderia estar consentindo ou decidindo de maneira refletida? Além disso, como poderia exercer os direitos referentes à confirmação da existência de tratamento dos dados, acesso e correção, bloqueio ou eliminação dos dados desnecessários ou excessivos (art. 18, da LGPD) se sequer sabe que o tratamento está sendo realizado?

Lembre-se, os dados coletados nas farmácias não são apenas dados pessoais, mas caracterizam-se como dados sensíveis que não admitem tratamento automático. São sensíveis justamente porque associados a dados de saúde[9] que podem levar a situações discriminatórias e seletivas (ex. seleção de riscos) (art. 5o., II, LGPD). Não é só o CPF que se está a coletar, tampouco apenas a biometria, está-se associando esses dados a informações de consumo de medicamentos, sua frequência, eventuais doenças já diagnosticadas, etc., o que por si só, torna ainda mais preocupante a completa desinformação sobre as dimensões de seu tratamento.

Trata-se aqui de agir em defesa da autodeterminação informativa e da privacidade do consumidor contra uso indevido de dados pessoais e, pior, de dados sensíveis, especialmente se relacionados a hipervulneráveis: crianças e adolescentes (art. 14, LGPD) e idosos. O tratamento de dados do consumidor por farmácias, na forma como está sendo comercialmente realizado, coloca-o em condição de hipervulnerabilidade, sendo absolutamente incapaz de compreender as consequências da “troca” de seus dados por descontos.

Assim, por exemplo, pode ser que o CPF isoladamente analisado não passe de dado que não conduz a nenhuma informação. Entretanto, quando confrontado com outros dados (compartilhamento) e outras fontes (cruzamento) pode conduzir a programas de controle seletivos e discriminatórios. É preciso recordar: a informação contida em dados pessoais não possui apenas grande valor econômico, é também ela extensão da personalidade, o que, por si só, garante-lhe proteção especial.

O direito à privacidade de dados pessoais se manifesta em muitos elementos do direito à saúde[10], pois os dados de saúde, em sua mais ampla concepção, são capazes de revelar o estado presente, passado e futuro do titular ou até de seus familiares. Por isso, a LGPD veda a coleta automática de dados sensíveis (isso inclui medicamentos adquiridos, dados de receituários, número do plano de saúde e biometria, etc.).

A LGPD também exige que a finalidade do tratamento de dados seja esclarecida ao cliente (titular dos dados). Não basta afirmar que é para “dar o desconto”, é preciso explicar o que será efetivamente feito com os dados coletados, qual é a segurança e o sigilo a eles garantido, com quem serão compartilhados ou quem realizará o cruzamento de informações.

O princípio da finalidade estabelecido no art. 6o., I, da LGPD, garante que o fim a que se destina o tratamento de dados deva ser conhecido antes mesmo de sua coleta, o que de fato não acontece nas práticas adotadas pelas farmácias. Ao consumidor, na maioria das vezes, sequer é apresentado previamente (ou posteriormente à adesão) qualquer termo de consentimento ou outro documento que detalhe a finalidade do tratamento de dados.

Além disso, é preciso identificar a necessidade e a razoabilidade (arts. 13 e 26, LGPD) na coleta de dados para fins de obtenção de desconto em medicamentos, especialmente quando condicionadas ao fornecimento de tantos dados sensíveis. Não haveria, aqui, o excesso mencionado pela legislação a motivar o controle da coleta?

O princípio da necessidade visa “circunscrever a coleta de informações ao mínimo indispensável de modo a garantir a maior liberdade possível” [11]. É a análise prática que auxiliará a definir qual seria a medida desse mínimo que, embora passível de diversas quantificações, pode ser perfeitamente delimitado pela razoabilidade do tratamento pretendido. E aqui é preciso retomar a pergunta: é necessário e razoável a coleta de biometria, números de convênios de saúde, foto, para obtenção de descontos em medicamentos?

Como se sabe, o direito à autodeterminação informativa não se exerce unicamente em face do tratamento de dados pessoais, mas sobre o emprego de qualquer informação pessoal. Por isso, a sua proteção como direito fundamental é essencial como garantia da dignidade da pessoa humana.

Mas quão incontornável é, de fato, a situação? Parece se tratar muito mais da necessidade de (re)avaliação e (re)implementação de um completo e rígido programa de compliance e sua efetivação por meio do treinamento de equipe.

Embora tenham se tornado muito populares no mercado, o que se percebe é que muitas vezes estes programas se limitam a produzir um texto padrão de consentimento (que, infelizmente, normalmente, é marcado pela generalidade e vagueza), muito vinculadas à ideia de combate à atividade de corrupção ou de simples adequação à lei. É a clássica situação em que se erra por acreditar estar acertando.

O termo compliance significa “cumprimento de normas”. Assim, a implementação de um programa pensado ao tipo de atividade desenvolvida pelas farmácias e implementado in loco (e não genericamente na matriz) faz todo o sentido e diferença. No caso, ainda, das grandes redes a implementação de fiscalização – por meio de clientes ocultos ou criação de canais de Ouvidoria – também são importante instrumento de avaliação e redução dos riscos da atividade.

Certo é que a utilização dos dados de saúde deve ser sempre feita de maneira limitada à persecução de um determinado fim (esclarecido ao titular dos dados), que indubitavelmente estará circunscrita à dignidade da pessoa humana, não podendo os interesses do fornecedor (Farmácia) se sobreporem à proteção do consumidor. Dada a potencialidade de lesão a diversos direitos fundamentais e a liberdades constitucionalmente garantidas, a utilização de dados pessoais (especialmente quando associados a dados de saúde) deve ser sempre restrita, jamais sendo justificado o tratamento de dados sensíveis para fins de obtenção de descontos em medicamentos.

Ao mesmo tempo que a Lei da Liberdade Econômica (Lei n. 13.874/19) garante espaços mais amplos ao livre mercado, o que possibilita escolhas pelas farmácias dos melhores métodos de fidelização de seus consumidores, o CDC e a LGPD impõem a ampla proteção de direitos fundamentais, como a privacidade (também nas relações de consumo). Por isso, a necessidade de adoção de regras de boa governança de dados, colocando-se em destaque os princípios de segurança e prevenção[12], balizas legais de comportamento transparente e de boa-fé.

Estas balizas reforçam todo o argumento em prol da construção de uma estrutura de governança que (i) estabeleça políticas e salvaguardas adequadas com base em procedimentos de avaliação de impactos e riscos à privacidade, bem como que (ii) tenha por objetivo determinar relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular[13].

O tratamento de dados pessoais, portanto, exige ambientes seguros e controlados que garantam não só o uso restrito à finalidade declarada, mas que protejam de maneira eficaz a autodeterminação informativa. A implantação da LGPD, também em farmácias, não é uma faculdade daquele que realiza tratamento de dados (Controlador e Operador), mas sim, um dever legal. A adequação às normas, especialmente ao CDC e à LGPD repercute não só na imagem da empresa, mas também, evita o risco de multas, de responsabilização civil e criminal e até da cassação da licença de funcionamento. Portanto, os custos de implantação acabam se diluindo no tempo, representando ganhos não apenas para a organização, mas para o consumidor que com ela mantém relação.

O reconhecimento da autodeterminação informativa como princípio autônomo de proteção da própria personalidade conduz a uma verdadeira ressignificação da própria privacidade que necessariamente afeta, também, as relações de consumo. O tratamento de dados pessoais pelas farmácias não pode agravar a situação de vulnerabilidade dos consumidores, tampouco o uso de tecnologias de informação sobre esses dados pode indiscriminadamente promover sua indevida apropriação por parte dos fornecedores.

O debate não pode ser deslocado apenas para o olhar da Lei da Liberdade Econômica, pois outros princípios e garantias fundamentais devem ser assegurados a fim de se garantir a defesa da dignidade da pessoa humana. Trata-se de forma de resistência aos abusos econômicos que indiscriminadamente utilizam dados pessoais e até sensíveis com desconhecimento de seus titulares e para obtenção de vantagens exclusivamente pessoais que acabam por instrumentalizar o titular dos dados em favor de interesses alheios.

 

Referências

 

[1] KNOTH, Pedro. Droga Raia e Drogasil suspendem uso de biometria para desconto em farmácias. Tecnoblog. Disponível em: https://tecnoblog.net/459340/droga-raia-e-drogasil-suspendem-uso-de-biometria-para-desconto-em-farmacias/. Acesso em 13 set. 2021.

[2] Segundo o art. 5o., X, da LGPD: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

[3]Acesse a íntegra da pesquisa: Brecha para variação de preços de remédio chega a 400% nas farmácias. Disponível em: https://idec.org.br/release/brecha-para-variacao-de-precos-de-remedios-chega-400-nas-farmacias. Acesso em 14 set. 2021.

[4] “Na análise dos preços praticados nas farmácias a distorção é ainda maior, especialmente entre os medicamentos genéricos e similares. Nos produtos de referência, os valores ficaram entre -23,76% (caso da liraglutida, um antidiabético) e -52,08% (amoxilina, um antibiótico). Nos medicamentos genéricos e similares, a variação ficou entre -400,87% (omeoprazol, um antiulceroso) e -46,89% (candesartan, um anti-hipertensivo)” (Idem).

[5] Os dados pessoais (nominativos ou de caráter pessoal) são integrados por informações referentes a pessoas naturais identificáveis ou identificadas. Segundo a Lei n. 13.709 (LGPD), dados pessoais se definem como a “informação pessoa relacionada a pessoa natural identificada ou identificável” (art. 5o, I). A sua definição legal é, portanto, numerus apertus, podendo a sua delimitação decorrer de certo contexto ou circunstância.

[6] Inteiro teor da sentença disponível em: https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao.

[7] Inteiro teor do acórdão disponível em: https://www.conjur.com.br/2021-set-01/tj-sp-reforma-sentenca-isenta-construtora-vazamento-dados.

[8] O tratamento de dados de saúde, qualquer que seja a causa, deverá ser sempre limitado pelo seu fim (previamente esclarecido ao titular) e, por sua importante dimensão informativa, deve sempre minimamente resguardar os direitos exemplificativamente elencados no art. 18, LGPD: a) ser informado sobre a existência do tratamento dos dados; b) ter acesso aos dados; c) requerer correção e/ou atualização; d) requerer anonimização, bloqueio ou eliminação de dados; e) requerer portabilidade (exceto de dados já anonimizados pelo controlador); f) requerer informações sobre a existência de compartilhamento; g) direito a não autorizar o tratamento e suas consequências.; h) direito de oposição ao tratamento, nas hipóteses em que o consentimento é dispensado, mas cuja base legal não está bem definida ou cuja finalidade não está sendo adequadamente observada.

[9] Dados de saúde, em sua ampla concepção, são dados pessoais no âmbito sanitário que se referem ao estado (físico ou mental) de uma pessoa identificada ou identificável, titularizados por um sujeito de direitos (por isso, a informação como atributo da personalidade). SCHAEFER, Fernanda. Proteção de dados de saúde na sociedade de informação. Curitiba: Juruá, 2010.

[10] Idem.

[11] RODOTÀ, Stefano. A vida na sociedade de vigilância. A privacidade hoje. Rio de Janeiro: Renovar, 2008.

[12] Segurança pode ser compreendida pela: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 6o, VII, LGPD).

Prevenção pode ser compreendida pela: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (art. 6o, VIII, LGPD).

[13] FOJA, Rafael Goto; MESSIAS, Aline de Almada. Regras de boas práticas e de governança: experiência no âmbito hospitalar. In: DALLARI, Analluza Bolivar; MONACO, Gustavo Ferraz de Campos. LGPD na saúde. São Paulo: Revista dos Tribunais, 2021.

Autor

  • Fernanda Schaefer é Pós-Doutorado no Programa de Pós-Graduação Stricto Sensu em Bioética da PUC-PR, bolsista CAPES. Doutorado em Direito das Relações Sociais na Universidade Federal do Paraná, curso em que realizou Doutorado Sanduíche nas Universidades do País Basco e Universidade de Deusto (Espanha) como bolsista CAPES. Professora do UniCuritiba. Coordenadora do Curso de Pós Graduação em Direito Médico e da Saúde da PUC-PR. Assessora Jurídica CAOP Saúde MPPR. Contato: ferschaefer@hotmail.com.
    Frederico Glitz é Advogado. Pós-Doutor em Direito e Novas Tecnologias (Reggio-Calabria). Doutor e Mestre em Direito das Relações Sociais pela Universidade Federal do Paraná. Professor de Direito Internacional Privado e Contratual. Componente da lista de árbitros da Câmara de Arbitragem e Mediação da Federação das Indústrias do Paraná (CAMFIEP) e da Câmara de Mediação e Arbitragem do Brasil (CAMEDIARB). Presidente da Comissão de Educação da OAB-PR. frederico@fredericoglitz.adv.br

Newsletter

Comentários

DEIXE UMA RESPOSTA

Digite seu comentário
Digite seu nome aqui

Posts Relacionados

Últimos Posts