A rede de farmácias RaiaDrogasil (RD) e a Febrafar ( Federação Brasileira das Redes Associativistas e Independentes de Farmácia), foram notificadas pela ANPD, após a conclusão do processo de fiscalização, tendo sido identificados problemas na coleta da biometria, no armazenamento de dados e no tratamento de dados não informados ao titular em programas de fidelização e benefícios. (Vide Nota Técnica nº 6/2025/FIS/CGF/ANPD [Versão Pública da Nota Técnica 6 (SEI nº 0165975)] - Processo nº 00261.001371/2023-32 ).
De acordo com a ANPD, os programas de benefícios e fidelização podem envolver ou não agentes de tratamento externos às relações entre as redes de farmácia e as associações representativas, sem , contudo , esclarecer as funções de cada agente de tratamento na manipulação de dados pessoais sensíveis, nem as formas de compartilhamento exercidas pelos gestores dos programas, como no caso do programa gerenciado pela Febrafar (ferramenta própria) e o programa da Stix ( ferramenta gerenciada por terceiro e vinculado à rede RaiaDrogasil).
O programa gerenciado pela Febrafar, associação que engloba 61 redes de farmácias, integrando mais de 13 mil lojas em mais de 3.000 municípios , consiste em uma ferramenta “white label”, que pode ser customizada pelas farmácias e apresentada aos clientes como um programa próprio, permitindo que as redes utilizem sua marca para criar um processo de fidelização e oferecer produtos que se encaixam no perfil de consumo de seus clientes, direcionando ao indivíduo as melhores ofertas, de acordo com os dados recebidos.
A Febrafar disponibiliza o sistema às farmácias associadas e atua como controladora dos dados, tendo em vista que gerencia o ambiente de cadastro online e offline, além de ser responsável pelo desenvolvimento do sistema e da plataforma, ser proprietária do código-fonte da base de dados, e responsável pela contratação dos prestadores de serviços, ou seja, dos operadores. Portanto, a Febrafar possui controle das informações e das decisões sobre o tratamento dos dados pessoais coletados pelas farmácias associadas, que fazem a operação dos dados nas lojas. Toda a gestão do programa de fidelidade é feita pela Febrafar.
Como medida preventiva aplicada à rede de farmácias RaiaDrogasil, a Coordenação-Geral de Fiscalização (CGF) determinou os seguintes ajustes de conduta:
· deverá ser oferecida aos clientes do Programa Univers. uma forma alternativa à biometria de verificação do titular, de forma que o cliente não seja obrigado a fornecer esse dado pessoal sensível como condição para acessar os benefícios do Programa Univers.
· deverá ser facilitado o acesso dos clientes a informações sobre o tempo de armazenamento dos seus dados pessoais mediante a opção no Portal de Privacidade do Titular que permita a obtenção de informações relativas ao tempo de armazenamento dos diferentes dados pessoais coletados e tratados.
· deverá apresentar a Autoridade os documentos: (i) Política de Retenção de Dados Pessoais; (ii) Tabela de Temporalidade; e (iii) Política de Retenção e Descarte de Dados Pessoais, além das informações relativas ao tempo de armazenamento dos dados pessoais de todos os tratamentos documentados nos RIPD e ROPA protocolados anteriormente.
· deverá apresentar a ANPD informações e documentos sobre como os dados pessoais sensíveis são usados para criar perfis e sobre o compartilhamento de dados com a empresa Rd Ads, do Grupo RaiaDrogasil.
Sobre a coleta de dados biométricos , neste caso a impressão digital, a Autoridade argumentou que, apesar de ser amplamente adotada em diversos setores como forma de autenticação segura e eficiente e na prevenção de fraudes, há estudos técnicos sobre os desafios que essa prática impõe à proteção da privacidade, alertando que tais tecnologias, por vezes, faltam com transparência acerca do tratamento e compartilhamento dos dados pessoais sobre as finalidades informadas aos titulares, bem como sobre as medidas de segurança adotadas pelos controladores, tendo em vista a natureza sensível dos dados.
Os principais riscos apontados são: (i) o uso da biometria coletada para fins secundários, com compartilhamento dos dados com terceiros; (ii) o uso inadequado do consentimento como hipótese legal; (iii) a violação da privacidade e (iii) possíveis efeitos discriminatórios indesejáveis, a depender do nível de acurácia da biometria.
Além disso, como consequência do vazamento de dados biométricos, é possível ocorrer furto de identidade, fraudes financeiras, danos morais e materiais, problemas com autoridades públicas, dentre outros elevados riscos de prejuízos para os titulares dos dados.
“Assim, a coleta de dados biométricos pelos agentes de tratamento, com o propósito de conferir maior segurança ao cliente, acaba paradoxalmente por resultar em aumento de riscos à ocorrência de eventos que causem dano aos direitos de personalidade do titular.”
A ANPD enfatizou , ainda, que diferentes transações financeiras sensíveis ocorrem sem que haja a necessidade de coleta de biometria, como , por exemplo, compras com cartão de crédito, que exigem, na maioria dos casos, tão somente o fornecimento de senha, ou em caso de transações pela Internet, por vezes, é necessária a confirmação por meio de aplicativo, mensagem de texto ou e-mail., ou ainda, por meio de aplicativos de autenticação em dois fatores , inclusive o sistema Gov.br, disponibiliza serviços públicos digitais, reunindo vários dados sensíveis dos cidadãos.
Com relação a Febrafar, foram determinadas as seguintes a medidas preventivas:
· a reavaliação da hipótese legal para o tratamento de dados;
· a adequação das informações relativas à privacidade e proteção de dados, e o exercício de direitos do titular em seu site, de modo a facilitar o exercício pelo usuário.
· atuação perante suas associadas para garantir que também promovam o acesso facilitado do titular a canal para o exercício de seus direitos.
Foram investigados, ainda , o compartilhamento de dados pessoais e de saúde no contexto dos programas de fidelidade e da comercialização de produtos farmacêuticos mediante a concessão de benefícios associados às vendas.
Com a crescente presença da Autoridade Nacional de Proteção de Dados (ANPD), torna-se essencial que os responsáveis pelo tratamento estejam aptos a lidar com processos de fiscalização e sanções.
O acesso integral à Nota Técnica n.º 6/2025/FIS/CGF/ANPD [Versão Pública da Nota Técnica 6 (SEI n.º 0165975)] - Processo n.º 00261.001371/2023-32 ) , encontra-se disponível no sítio eletrônico da ANPD, encontra-se disponível em “ Notícias” no portal da ANPD em : https://www.gov.br/anpd
Comments