Atalho

Novidades

ANPD publica Nota Técnica sobre tratamento de dados pessoais no varejo farmacêutico

19/05/2023

Em resumo

Na sexta-feira (12/05), a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Nota Técnica nº 4/2023/CGTP/ANPD com um diagnóstico sobre o estudo que conduziu para verificar a conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) dos tratamentos de dados pessoais realizados por farmácias.

Mais detalhes

O estudo foi motivado por investigações do Ministério Público do Distrito Federal e Territórios – MPDFT, pelo Termo de Ajuste de Conduta firmado entre o Ministério Público de Minas Gerais – MPMG e uma rede de farmácias, por reclamação de titulares de dados e pela notificação por organização da sociedade civil com foco na defesa do consumidor sobre as práticas de mercado do varejo farmacêutico quanto ao tratamento de dados pessoais.

Por meio de monitoramento do setor, entre 2020 e 2021, a ANPD aferiu, por amostragem, o estado de maturidade dos tratamentos de dados pessoais realizados por farmácias. Além do estudo, a ANPD ainda promoveu workshops, reuniões técnicas e diálogos com associações representativas do setor de farmácias.

A Nota Técnica apresenta os critérios utilizados pela ANPD para conduzir a sua avaliação e produzir as suas constatações preliminares sobre tratamentos de dados no setor. No geral, a ANPD identificou, por exemplo, baixa maturidade dos agentes de tratamento, desconhecimentos de conceitos da LGPD, falta de preparo quanto ao tema da proteção de dados, falta de conformidade completa com a LGPD de alguns tratamentos de dados, tratamento de dados para finalidades diferentes das informadas aos titulares, falta de transparência quanto aos tratamentos realizados, uso excessivo de dados biométricos, necessidade de aprimorar atividades de prevenção, de governança de segurança da informação e avaliação de risco de tratamentos, dentre outros problemas.

A ANPD apresentou preocupação com aspectos específicos que devem ser inseridos em programas de adequação à LGPD e demonstrou uma postura educativa, apontando quais serão as próximas medidas para orientação e fiscalização de empresas do setor.

A Nota Técnica revela alguns aspectos interessantes que foram levados em consideração e medidas adotadas pela ANPD para sua avaliação sobre a conformidade com a LGPD. Destacamos, a seguir, alguns desses aspectos:

  • investigação para compreensão da arquitetura dos tratamentos de dados pessoais e as categorias de dados tratados, face a variedade de modelos e multiplicidade de agentes de tratamento;
     
  • inspeção dos sites institucionais das farmácias estudadas para confirmar se elas disponibilizavam informações sobre suas políticas de privacidade;
     
  • análise de amostras de políticas de privacidade das farmácias estudadas e de outros grupos farmacêuticos de maior abrangência territorial e com grande número de clientes, com o intuito de verificar a sua adequação à LGPD;
     
  • análise das bases legais usadas para justificar os tratamentos de dados pessoais e das inconsistências identificadas;
     
  • seleção de algumas práticas comuns nessas farmácias para condução de investigação mais aprofundada sobre as atividades de tratamento que elas envolvem, tais como concessão de descontos atrelados à coleta de dados pessoais sem informações claras para os titulares; convênios; programas de fidelidade; programas de benefícios; comunicação e marketing; serviços de entrega; e compartilhamento de dados com terceiros;
     
  • risco de vício do consentimento para tratamento de dados em programas de fidelidade e concessão de descontos;
     
  • verificação de como as farmácias tratam dados biométricos, da proporcionalidade desses tratamentos em virtude das finalidades pretendidas, e como elas informam esses tratamentos aos titulares, bem como ponderação sobre uso de outras ferramentas para verificação de identidade que podem ser menos gravosas em relação à utilização de dados pessoais sensíveis, como nome de usuário e senha – Nota: Até o momento, a ANPD não publicou uma regulação referente ao tratamento de dados biométricos. No entanto, em sua Agenda regulatória para o biênio 2023-2024 (Portaria nº 35/22), a ANPD prevê que começará a regular dados biométricos em até um ano e seis meses de sua publicação;
     
  • verificação da existência (ou não) de medidas de prevenção e segurança compatíveis com os tratamentos de dados realizados.

Como considerações finais, a ANPD informa que, em decorrência desse estudo sobre o setor de varejo de farmácias:

  • conseguiu consolidar os principais pontos de dúvida em relação a processos de adequação setorial;
     
  • identificou quais pontos ainda carecem de maior aprofundamento investigativo e de esclarecimentos;
     
  • verificou a necessidade de aprofundamento de pesquisa e apuração sobre programas de fidelidade, com busca de informações a partir dos agentes de tratamento externos às relações entre as redes de farmácia (empresas gestoras desses programas), para busca de mais clareza sobre as funções de cada agente de tratamento no tratamento de dados pessoais e sensíveis no âmbito dos programas de fidelidade, bem como sobre as formas de compartilhamento exercidas com e pelos gestores desses programas;
     
  • entende que o conhecimento gerado (com esse estudo) pode ser revertido à sociedade por meio da elaboração de material educativo para o setor, indicando as preocupações levantadas e medidas de adequação apropriadas para os tipos de tratamentos nele descritos;
     
  • propõe um trabalho conjunto com a Secretaria Nacional do Consumidor – SENACON – para definir estratégias de regulação e conformidade do setor acerca do condicionamento de preços ao fornecimento de consentimento em alguns tratamentos de dados pessoais pelo setor;
     
  • sugere a verificação de que possíveis medidas orientativas setoriais venham a ser elaboradas pela Coordenação-Geral de Normatização;
     
  • encaminha a Nota Técnica para a apreciação da Coordenação-Geral de Fiscalização e para a adoção de eventuais medidas que considerar cabíveis, especialmente para fins de planejamento de atuação fiscalizatória, fomento da cultura da proteção de dados, busca da correção de práticas irregulares e de reparo de eventuais danos, dentre outras ações.

A Nota Técnica não possui caráter regulador, mas demonstra o entendimento da ANPD sobre assuntos relacionados à proteção de dados e dá indícios de como a Autoridade interpretará e tomará decisões sobre os temas nela tratados.

Além disso, a Nota Técnica também pode ser um indicativo de como a ANPD poderá conduzir estudos e investigações em outros setores para os fins de regulação, fiscalização e aplicação de penalidades.

Compartilhe nas redes sociais
Trench Rossi Watanabe
São Paulo
Rua Arq. Olavo Redig de Campos, 105
31º andar - Edifício EZ Towers
Torre A | O4711-904
São Paulo - SP - Brasil

Rio de Janeiro
Rua Lauro Muller, 116 - Conj. 2802
Ed. Rio Sul Center | 22290-906
Rio de Janeiro - RJ - Brasil

Brasília
Saf/s Quadra 02 - Lote 04 - Sala 203
Ed. Comercial Via Esplanada | 70070-600
Brasília - Distrito Federal - Brasil

Porto alegre
Av. Soledade, 550
Cj. 403 e 404 | 90470-340
Porto Alegre - RS - Brasil

Ícone do Instagram
Ícone do Podcast
Ícone do Facebook
Ícone do YouTube
Ícone do Linkedin