Se você é do tipo de pessoa que se incomoda quando vai até à farmácia e logo lhe pedem o número do seu CPF esse artigo pode ser útil. Já se você é do tipo que não se incomoda com esse tipo de abordagem comercial e fornece seus dados sem qualquer preocupação, porque acredita que só deseja privacidade quem tem algo a esconder, este artigo é uma verdadeira necessidade.
A LGPD – Lei Geral de Proteção de Dados – está em vigor e impactando diretamente nas rotinas do comércio. Seu uso prático nos permite distinguir de forma clara em quais situações a solicitação de dados é legítima ou abusiva.
Um exemplo presente na rotina de todos nós são as farmácias. Esses estabelecimentos sempre solicitaram CPF para fornecimento de descontos e agora deverão começar a informar o usuário sobre a necessidade de atualização opcional do Cadastro e para qual fim os dados serão utilizados.
A LGPD disciplina o tratamento de dados, uma expressão ampla, que abrange qualquer operação realizada com dados pessoais de indivíduos, envolvendo a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, armazenamento, etc.
As farmácias, ao realizar tais operações e alimentar o cadastro com os dados que mantém sobre você, deverão instituir uma rotina que obedeça a diversos princípios fixados na lei, tais como:
O princípio da finalidade: o tratamento dos dados deve ser vinculado a propósitos legítimos, específicos e explícitos, que devem ser informados);
O princípio da adequação: o tratamento dos dados deve ser compatível com as finalidades informadas;
O princípio da necessidade: o tratamento dos dados deve se limitar ao estritamente necessário para as finalidades informadas).
Na condição de operadores e controladores (quem opera ou toma decisões quanto ao tratamento dos dados), a farmácia e seus respectivos funcionários lidam constantemente com os dados pessoais dos clientes: sua identificação – RG, CPF, filiação, telefone ou endereço – e também dados sensíveis relacionados à sua saúde. Isso torna obrigatório o oferecimento de um treinamento de conscientização sobre gestão, sigilo e segurança a todos os colaboradores.
Como regra, a lei exige o consentimento do titular quanto à coleta dos dados, que deve ser tomado de modo informado, explícito, preferencialmente, por escrito e em destaque.
No comércio de medicamentos, em alguns casos, a solicitação de dados é absolutamente legítima com base na Portaria n. 344/1998 da ANVISA, que obriga as farmácias a avaliar ou dispensar receitas médicas apenas quando todos os itens da receita estejam preenchidos (art. 52, §§ 2º e 3°) e o art. 36, caput, alíneas “d” e “i”, que inclui a identificação do usuário (nome e endereço completo) e do comprador (nome completo, número de documento de identificação, endereço completo e telefone) nas receitas.
Porém, esses dados só são exigidos para a aquisição das substâncias relacionadas nas listas anexas à portaria, tais como antibióticos, retrovirais, substâncias entorpecentes e psicotrópicas. Já a aquisição de medicamentos não controlados, produtos de higiene ou cosméticos, não implica, de modo algum, o fornecimento de dados do usuário ou comprador. Por isso, é importante nos atentarmos se estamos mesmo fornecendo dados necessários ou caindo em uma estratégia de análise comportamental.
Até agora, a maioria das farmácias não instituiu limites para a coleta de dados, ao contrário: a política ainda é coletar a maior quantidade de informações possíveis.
Você sabia que existe um cadastro com todos os medicamentos e produtos que você utiliza e com a frequência com que os consome?
Em algumas farmácias, ao fornecer seu CPF, você recebe descontos em produtos “selecionados especialmente para você”, um indicativo de que você foi perfilado por algum algoritmo que analisa o seu consumo. Experimente comprar qualquer coisa –paracetamol, vitaminas, fraldas ou papel higiênico – no balcão de uma grande farmácia e confira:
- se não vão pedir seus dados para concluir a compra ou conceder algum desconto;
- se você será informado da finalidade, adequação e necessidade da coleta desses dados;
- se o responsável sabe se esses dados são compartilhados ou se há medidas de segurança para sua proteção contra o acesso indevido.
A partir de agora, peça para acessar seus dados armazenados no sistema e solicite a eliminação de todos aqueles que não sejam necessários segundo a ANVISA, pois isso é um direito seu (art. 18 da LGPD).
Você pode perguntar: afinal, qual é o problema em fornecer dados pessoais às farmácias? Com exceção dos medicamentos controlados, a exigência de dados é desnecessária e afeta um direito seu presente no art. 5º, inc. XII, da Constituição, além de colocar em risco a sua privacidade e a proteção dos seus dados pessoais.
Além disso, a mera suspeita de que esses dados possam ser comercializados e repassados a empresas interessadas no acesso a essas informações para fins de análise comportamental já demonstra a gravidade dos efeitos aos consumidores.
Como se vê, as empresas têm muito a fazer para se ajustar à lei: precisam elaborar o relatório de impacto à proteção de dados pessoais; mapear e classificar as informações que constam em seus sistemas, atribuindo o nível correspondente de segurança e restrição de acesso; aprimorar seus sistemas de segurança da informação; treinar um encarregado, o “DPO” – ou data protection officer – para a proteção dos dados na empresa; investir no treinamento constante de todos os seus dirigentes e colaboradores.
A conscientização das empresas sobre o impacto da LGPD é muito importante, pois o processo de conscientização do cidadão quanto ao valor do bem que ela visa proteger já foi acionado.
No caso das farmácias, o impacto da lei é inegável, mas a efetiva proteção da privacidade decorrerá mesmo é das nossas pequenas atitudes individuais no dia a dia.
