Em fevereiro, a Autoridade Nacional de Proteção de Dados (ANPD) instaurou um processo de sanção e um auto de infração contra a Raia Drogasil, o programa de fidelidade Stix e a Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias), depois de encontrar fortes indícios de irregularidades no uso de dados sensíveis de clientes.
Iniciada em 2023, a investigação apurou como as empresas tratam os dados pessoais e operam programas de fidelidade ou benefícios e apontou para a necessidade do cumprimento efetivo da Lei Geral de Proteção de Dados Pessoais (LGPD).
O principal problema contatado foi a identificação do perfil de saúde do cliente, a partir do CPF, para direcionar publicidade de terceiros. A RaiaDrogasil armazenava até quinze anos de dados sobre tudo o que cada cliente comprava. Estes dados eram monetizados para anunciantes e com isso era possível direcionar anúncios digitais - no Google, na Meta, no YouTube, no TikTok - para quem comprou um determinado remédio.
Depois de análises, a Coordenação-Geral de Fiscalização (CGF) da Autoridade Nacional de Proteção de Dados (ANPD) optou pela medida mais drástica, que é o processo de sanção, com auto de infração. O órgão da Presidência da República é responsável por zelar pela proteção de dados pessoais e fiscalizar as regras definidas pela Lei Geral de Proteção de Dados (LGPD).
A RaiaDrogasil responderá um Processo Administrativo Sancionador (PAS) por fortes indícios de infrações à LGPD relacionadas à formação de “perfis de saúde” a partir de dados pessoais sensíveis para ofertar publicidade a terceiros em anúncios digitais e obter vantagem econômica na comercialização de produtos. Caso a ANPD comprove a existência de infrações, a empresa pode pagar uma multa de até R$ 50 milhões.
A Febrafar irá cumprir algumas medidas preventivas determinadas pela Autoridade para atender as diretrizes estabelecidas pela LGPD. Além disso, a federação também precisará garantir que suas associadas facilitem ao titular dos dados o acesso aos canais de comunicação adequados, possibilitando o exercício dos seus direitos.
A LGPD exige que as empresas tratem os dados pessoais de forma transparente e segura, com o mínimo possível de informações pessoais, visando justamente a mitigação dos riscos inerentes, em cada operação que envolva o tratamento de dados. Ademais, é fundamental que o consentimento do usuário seja sempre livre, informado e inequívoco, com a concordância expressa do tratamento de seus dados pessoais para uma finalidade específica e de acordo com a sua melhor tomada de decisão.
A empresa afirmou que suas práticas estão em conformidade com a Lei Geral de Proteção de Dados, que todas as informações são protegidas por um sistema seguro e que a identificação pessoal é opção do cliente.