No intuito de colaborar com o aperfeiçoamento constante em relação à proteção de dados, a ANPD informa que no dia 12 de maio de 2023 foi publicada uma Nota Técnica que dispõe sobre o tratamento de dados pessoais no setor farmacêutico.
A ANPD analisou as políticas de privacidade nos sites das farmácias e constatou que:
“- Alguns sites nem mesmo disponibilizam informações sobre suas políticas de privacidade;
– Redes que possuem programas de fidelização por vezes não entram em detalhes sobre sua metodologia e sob quais condições os dados de titulares são tratados;
– Algumas políticas de privacidade disponibilizadas carecem de diversos pontos de melhoramento, já que não apresentam informações acerca de quais dados são coletados, formas de exercício de direitos dos titulares, nem sobre as bases legais utilizadas;
– Certas redes informam compartilhar dados pessoais de seus usuários com prestadores de serviço (administradores de programas de fidelidade, plataformas analíticas, entre outros), com redes sociais (como o Facebook) e com autoridades de segurança e regulatórias. Uma série de finalidades são listadas para os tratamentos de dados que realiza, entre eles promoções comerciais, desenvolvimento de produtos e promoções, ações de marketing e enriquecimento de dados;
– Uma das redes possui uma página com informações sobre sua política de privacidade, na qual descreve proteger os dados de usuários por meio de criptografia e de anonimização. Além disso, cada categoria de tratamento é vinculada a uma finalidade e afirma-se compartilhar os dados com diversas outras instituições: operadoras de cartões e meios de pagamento, transportadora, Programas de Benefícios em Medicamentos – PBMs , empresas do próprio grupo econômico, entre outros. Uma página específica permite o exercício de direitos pelos titulares, por meio do qual é possível solicitar de maneira facilitada mais informações acerca da confirmação de tratamento de dados pessoais, portabilidade, compartilhamento, acesso a dados pessoais e eliminação desses dados, bem como revogar o consentimento vinculado a seus programas cadastrais; e
– Algumas políticas de privacidade listam como finalidades de tratamento o perfilamento (profiling) publicitário e a vinculação de histórico de compras a programas de fidelidade, mediante consentimento do titular como única base legal citada. Das informações prestadas nos autos do ICP, parece haver imprecisão conceitual, pouca maturidade quanto à proteção de dados, insuficiência de informações para o titular e pouca clareza quanto ao tratamento de dados pessoais. A partir de uma análise dos sites e políticas de privacidade dos grupos farmacêuticos, denotou-se falta de transparência quanto ao tratamento de dados realizado, o que gera prejuízos ao exercício de direitos pelos titulares de dados, tal qual o direito de acesso (art. 9º, LGPD), já que as informações devem ser disponibilizadas de forma facilitada e gratuita sobre todas as facetas do tratamento, como a finalidade, identificação de agentes de tratamento e informações sobre o compartilhamento de dados.”
A ANPD ressaltou que haveria dificuldade de os titulares se oporem ao tratamento de seus dados pessoais, em grande parte sensíveis, como por exemplo, a coleta de biometria, principalmente porque não haveria clareza sobre as fases do tratamento de dados, bem como a finalidade e identificação dos agentes de tratamento.
A ANPD ainda concluiu que há baixa maturidade no setor farmacêutico referente à proteção e tratamento de dados pessoais, de acordo com as regras estabelecidas pela LGPD, e que é importante estabelecer boas práticas de governança com procedimentos de reclamações e petições de titulares; normas de segurança; padrões técnicos; obrigações específicas para os diversos envolvidos no tratamento; ações educativas; mecanismos de mitigação de riscos; e outros aspectos relacionados ao tratamento de dados pessoais (art. 50, LGPD).
Foram analisados pela ANPD os principais processos realizados pelas farmácias, dentre os quais são mencionados:
Programas de Benefícios em Medicamentos (PBMs) – Por meio do PBM, o cliente da farmácia compra um medicamento com desconto, mediante autorização do laboratório ou da indústria que o autorizou. Esse valor com desconto é vendido mediante confirmação de cadastro e reembolso da indústria à farmácia. O varejo não é, nesse caso, controlador do dado, e sim a indústria. A plataforma do PBM costuma ser operada por terceiros, e não desenvolvida pela própria indústria. O titular pode fazer um cadastro prévio ou off line, no balcão.
Farmácia Popular – É um tipo de PBM, gerenciado pela esfera pública, por meio de políticas de priorização de descontos e de públicos-alvo. O governo federal mantém um cadastro de beneficiários, de acordo com critérios próprios e previstos em lei. Há a “Rede Própria”, por meio da qual o Ministério da Saúde, prefeituras municipais e governos estaduais dispensam medicamentos gratuitamente.
Convênios – O convênio entre a farmácia e uma empresa determina o tratamento de dados pessoais de seus empregados, normalmente por meio de descontos em folha de pagamento (do valor total do medicamento ou com alguma redução). Nesses processos de tratamento de dados cadastrais, segundo a ANPD, as farmácias seriam as operadoras dos convênios, já que os dados pessoais são aferidos no balcão com a finalidade de checar se o beneficiário realmente possui o convênio.
Programas de fidelização – Existem três tipos de programas de fidelização: i) o de ofertas exclusivas, que permite que a farmácia alcance maior assertividade em suas interações com clientes, bem como que clientes desfrutem de conteúdos e vantagens mais compatíveis com seus perfis individuais; ii) o de publicidade, que permite o direcionamento de conteúdo e de vantagens mais relevantes com as preferências de cada cliente; e iii) os programas de pontuação, que permitem que os clientes acumulem e resgatem pontos a partir de suas compras, também chamado de earn and burn.
Sobre esses programas, a ANPD demonstrou preocupação com o compartilhamento de dados como o histórico de compras com outras empresas que não são do ramo farmacêutico, bem como falhas no direito à informação, pois muitas vezes o dado é exigido do titular antes de ser informado qual seria o desconto, ou até se haverá desconto. Nessa linha, a ANPD também criticou a utilização do consentimento como base legal, pois muitas vezes há problemas de transparência e muitas vezes ele é fornecido para a coleta de dados pessoais não necessários (ex. biometria).
A autoridade ainda criticou a utilização de biometria por algumas redes pois, apesar de considerar válida a sua utilização para a validação da identidade do titular, evitando-se fraudes, constatou que outros meios poderiam ser utilizados, como o login e a senha.
Finalmente, entende-se que o trabalho é de grande relevância para as empresas de saúde, inclusive para operadoras de planos de saúde. Contudo, algumas conclusões da ANPD preocupam, por exemplo, a de que em um convênio farmacêutico em favor dos trabalhadores, as farmácias seriam apenas operadoras de dados. Ora, via de regra tais empresas impõem contratos de adesão aos seus clientes e determinam quais os dados devem ser coletados e para qual finalidade. Logo, entendemos que dificilmente seriam apenas operadoras conforme art. 5o da LGPD.
Além disso, a alegação de que as farmácias não armazenariam dados de empregados também não se sustenta. Quem já viu na prática a operacionalização de tais convênios sabe que em regra tais empresas exigem previamente uma base cadastral com nome e CPF, e apenas quando questionadas mudam a forma de validação da identidade do consumidor. Algumas, inclusive, se recusam a prestar o serviço sem receber previamente tais dados da base cadastral.