00261.000988/2021-79
Autoridade Nacional de Proteção de Dados Coordenação-Geral de Tecnologia e Pesquisa Nota Técnica nº 6/2023/CGTP/ANPD
[extrato público da Nota Técnica nº 4/2022/CGTP/ANPD]
- Interessados
1.1. Abrafarma (Associação Brasileira de Redes de Farmácias e Drogarias); Febrafar (Federação Brasileira das Redes Associativistas e Independentes de
Farmácias); Abrafad (Associação Brasileira das Redes Associativistas de Farmácias e Drogarias); e ABCFarma (Associação Brasileira do Comércio Farmacêutico). - Assunto
2.1. Alinhamento de conformidade com a LGPD e sua aplicação no varejo farmacêutico. - Referências
3.1. Lei nº 13.709, de 14 de agosto de 2018.
3.2. Inquérito Civil Público nº 08190.030923/19-55, do Ministério Público do Distrito Federal e Territórios.
3.3. Investigação Preliminar nº 0024.18.002027-3, do Ministério Público do Estado de Minas Gerais.
3.4. Termo de Ajustamento de Conduta entre o Ministério Público do Estado de Minas Gerais e a Drogaria Araújo S/A, de 26 de fevereiro de 2019.
3.5. Nota Técnica 6 (2812801) (SEI nº 00261.000988/2021-79). - Relatório
4.1. Trata-se de acompanhamento, por esta Autoridade Nacional de Proteção de Dados – ANPD, por meio das competências regimentais estabelecidas à
Coordenação-Geral de Tecnologia e Pesquisa (art. 18, II, III e IV, do Regimento Interno da ANPD), das práticas de tratamento de dados pessoais e de dados pessoais
sensíveis por parte do varejo farmacêutico, incluindo entidades representativas, com intuito de monitorar mercados, realizar estudo sobre práticas correntes, incentivar boas
práticas e identificar sua adequação à Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709, de 14 de agosto de 2018).
4.2. A Coordenação-Geral de Tecnologia e Pesquisa – CGTP analisou o tratamento de dados nas farmácias, como aqueles investigados no Inquérito Civil Público
n. 08190.030923/19-55, do Ministério Público do Distrito Federal e Territórios – MPDFT, e no Termo de Ajuste de Conduta firmado entre o Ministério Público de Minas Gerais – MPMG e a rede de farmácias Drogaria Araújo.
4.3. Diante dessa análise, por meio de solicitação do Conselho Diretor (18ª Reunião, em 05 de maio de 2021), elaborou-se estudo (Relatório Farmácias MPDFT
01/06/2021) em que as informações obtidas foram detalhadas. Posteriormente, analisaram-se políticas de privacidade desses e de outros grupos farmacêuticos de maior
abrangência territorial e em termos de número de clientes, com o objetivo de verificar sua atualização e adequação ao regime de privacidade e proteção de dados instaurado
pela LGPD, desde sua entrada em vigor. Destacam-se, portanto, as naturezas de monitoramento de setor e de estudo exploratório desta nota técnica, que não representa um
juízo de admissibilidade para fins de eventuais processos fiscalizatórios que venham a ser conduzidos pela Coordenação-Geral de Fiscalização desta Autoridade.
4.4. A partir dessa compreensão inicial do setor e de encaminhamento do Conselho Diretor (26ª Reunião, em 30 de junho de 2021), foram realizadas reuniões
(workshops) com instituições representativas do setor farmacêutico a fim de sugerir boas práticas e esclarecimentos. Entre 8 de setembro de 2021 e 15 de dezembro de 2021,
a CGTP promoveu diálogos com a Abrafad, ABCFarma, Abrafarma e Febrafar. Este estudo exploratório reflete o resultado dessas reuniões e o estado da arte das análises até
a conclusão do ano de 2021. Ou seja, é possível que o nível de adequação das entidades e agentes de tratamento analisados tenha aprimorado, bem como que o próprio
processo de diálogo com as associações representativas tenha incentivado medidas adicionais de conformidade à LGPD após o período de análise em questão.
4.5. Ressalta-se, ainda, que nas reuniões realizadas com instituições representativas do setor farmacêutico foram compartilhadas informações sobre os modelos de
negócio de seus representados (parágrafos 21.8 a 21.13 desta Nota Técnica), sob a expectativa de que seriam para uso interno desta Autoridade, de suas Coordenações-Gerais
e de seus Gerentes de Projeto que dela participaram. Assim, é importante que eventual publicação deste estudo sopese a confidencialidade de algumas das informações
levantadas, bem como os sigilos funcionais cabíveis. - Competências da ANPD
5.1. Como forma de cumprimento da responsabilidade de zelar pela proteção dos dados pessoais, nos termos do art. 55-J, incisos I, VII e XIV, da Lei 13.709/2018
(LGPD), foi elaborado estudo sobre as práticas de mercado do varejo farmacêutico. Os incisos em referência determinam que a ANPD deve zelar pela proteção dos dados
pessoais, nos termos da legislação, promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade, bem como ouvir os
agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento.
5.2. Além disso, cabe à Coordenação-Geral de Tecnologia e Pesquisa da ANPD, consoante Regimento Interno da Autoridade Nacional de Proteção de Dados
(Portaria nº 1, de 8 de março de 2021, publicada no DOU em 09/03/2021), monitorar e realizar análise do mercado e do desenvolvimento de novas tecnologias que possam
gerar impactos a proteção de dados e privacidade; além de promover e elaborar estudos sobre práticas nacionais e internacionais de proteção de dados pessoais e privacidade,
bem como padrões e certificações de proteção de dados e privacidade para serviços e produtos. - Drogaria Araújo
6.1. Também foi analisado o Termo de Ajuste de Conduta pactuado entre o Ministério Público de Minas Gerais e a rede de farmácias mineiras Drogaria Araújo, em
18 de setembro de 2018 (anterior à vigência da Lei Geral de Proteção de Dados)
i. Ainda que o caso tenha sido arguido com base em preceitos constitucionais, do Marco Civil
da Internet e do Código de Defesa do Consumidor, o TAC em referência é paradigmático por já reconhecer princípios da proteção de dados pessoais, impor critérios de
transparência e informação a usuários, vedar a utilização genérica do número de CPF de titulares, entre outros termos.
6.2. Merecem especial destaque os compromissos firmados no documento: suspensão do programa de fidelidade até que sejam desenvolvidos regulamento próprio,
plataforma de visualização de dados pessoais utilizados e registros de consumo, bem como forma de consentimento granular que preveja autorização para eventual
compartilhamento de dados com outras empresas; identificação, nos cartazes de preços e ofertas, da exclusividade do desconto válido para participantes do programa de
fidelidade; e vedação da utilização de dados pessoais para fins diversos daqueles previstos pelo programa de fidelidade.
6.3. Ou seja, o TAC em referência não apenas antecipou diversos preceitos da Lei Geral de Proteção de Dados, como analisou as particularidades do tratamento de
dados pelo setor farmacêutico, identificou eventuais vulnerabilidades dos titulares de dados e consumidores, bem como estabeleceu padrões mínimos de acesso à informação
e finalidade dos processos de tratamento em curso. - Denúncias na mídia, IDEC, reclamações de titulares
7.1. É importante mencionar o apelo externo pelo início do presente estudo, evidenciado pela denúncia do Ministério Público do Distrito Federal e Territórios
(Inquérito Civil Público n. 08190.030923/19-55), pela notificação extrajudicial do Instituto Brasileiro de Defesa do Consumidor (Idec) do Grupo Raia Drogasil
ii decorrente
de sua utilização de dados sensíveis, além do Termo de Ajuste de Conduta firmado entre o MPMG e a Drogaria Araújo em 2019. Nesse contexto, tornou-se necessária a
atuação direta da ANPD no setor, corroborada também por preocupações e denúncias constantes na mídia e pela sociedade civil organizada.
iii - Análise de políticas de privacidade
8.1. Para entrar no mérito deste estudo, foram analisadas as Políticas de Privacidade das empresas do varejo farmacêutico. A ANPD buscou compreender o estado
de maturidade dos tratamentos de dados pessoais realizados pelas empresas farmacêuticas. Nesse contexto, estudo do ICP n. 08190.030923/19-55 (MPDFT) sugeriu aparente
falta de adequação e de atualização dos grupos farmacêuticos em relação à LGPD e a regimes de adequação corporativa.
8.2. Apesar de a Lei Geral de Proteção de dados ter sido aprovada em 2018, boa parte das políticas das organizações brasileiras ainda estavam em estado
embrionário de adequação a um regime de proteção de dados pessoais. As respostas dos grupos farmacêuticos, verificadas nos autos do ICP, confundiam conceitos e
princípios da LGPD e foi possível notar falta de preparo dos grupos no que diz respeito à temática de privacidade e proteção de dados.
8.3. Dessa maneira, para suprir a obsolescência dessas informações, foram averiguados os sites institucionais do grupo amostral estudado, a fim de constatar a
evolução (ou não) de suas práticas de proteção de dados. Seguem algumas das conclusões:
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 1
Alguns sites nem mesmo disponibilizam informações sobre suas políticas de privacidade;
Redes que possuem programas de fidelização por vezes não entram em detalhes sobre sua metodologia e sob quais condições os dados de titulares são tratados;
Algumas políticas de privacidade disponibilizadas carecem de diversos pontos de melhoramento, já que não apresentam informações acerca de quais dados são
coletados, formas de exercício de direitos dos titulares, nem sobre as bases legais utilizadas;
Certas redes informam compartilhar dados pessoais de seus usuários com prestadores de serviço (administradores de programas de fidelidade, plataformas analíticas,
entre outros), com redes sociais (como o Facebook) e com autoridades de segurança e regulatórias. Uma série de finalidades são listadas para os tratamentos de dados
que realiza, entre eles promoções comerciais, desenvolvimento de produtos e promoções, ações de marketing e enriquecimento de dados;
Uma das redes possui uma página com informações sobre sua política de privacidade, na qual descreve proteger os dados de usuários por meio de criptografia e de
anonimização. Além disso, cada categoria de tratamento é vinculada a uma finalidade e afirma-se compartilhar os dados com diversas outras instituições: operadoras
de cartões e meios de pagamento, transportadora, Programas de Benefícios em Medicamentos – PBMs , empresas do próprio grupo econômico, entre outros. Uma
página específica permite o exercício de direitos pelos titulares, por meio do qual é possível solicitar de maneira facilitada mais informações acerca da confirmação de
tratamento de dados pessoais, portabilidade, compartilhamento, acesso a dados pessoais e eliminação desses dados, bem como revogar o consentimento vinculado a
seus programas cadastrais; e
Algumas políticas de privacidade listam como finalidades de tratamento o perfilamento (profiling) publicitário e a vinculação de histórico de compras a programas de
fidelidade, mediante consentimento do titular como única base legal citada.
Das informações prestadas nos autos do ICP, parece haver imprecisão conceitual, pouca maturidade quanto à proteção de dados, insuficiência de informações para o
titular e pouca clareza quanto ao tratamento de dados pessoais. A partir de uma análise dos sites e políticas de privacidade dos grupos farmacêuticos, denotou-se falta
de transparência quanto ao tratamento de dados realizado, o que gera prejuízos ao exercício de direitos pelos titulares de dados, tal qual o direito de acesso (art. 9º, LGPD), já que as informações devem ser disponibilizadas de forma facilitada e gratuita sobre todas as facetas do tratamento, como a finalidade, identificação de
agentes de tratamento e informações sobre o compartilhamento de dados. - Exercício de direitos por titulares
9.1. No estudo exploratório, como consequência da falta de transparência e da escassa operacionalização do direito de acesso (art 9º, LGPD) restou clara a
dificuldade de os titulares se oporem ao tratamento de seus dados pessoais, em grande parte sensíveis, como por exemplo, a coleta de biometria. Em vários casos analisados,
as informações não eram disponibilizadas de maneira clara e facilitada sobre as fases do tratamento de dados, como finalidade ou identificação dos agentes de tratamento. Assim, titulares encontram-se impossibilitados de exercer seus direitos e de efetivamente denunciar possíveis irregularidades em seu tratamento. - Baixa maturidade em termos de adequação
10.1. De uma forma geral, foi possível concluir que há baixa maturidade no setor farmacêutico referente à proteção e tratamento de dados pessoais, de acordo com
as regras estabelecidas pela LGPD. Observa-se, portanto, oportunidade para uma atuação efetiva da ANPD no campo educativo, a fim de promover educação e adoção de
boas práticas em proteção de dados pessoais, sem se descuidar de suas competências fiscalizatórias.
10.2. Nesse sentido, a LGPD estabelece a possibilidade de formulação de regras de boas práticas de governança que estabeleçam condições de organização; regime
de funcionamento; procedimentos, incluindo reclamações e petições de titulares; normas de segurança; padrões técnicos; obrigações específicas para os diversos envolvidos
no tratamento; ações educativas; mecanismos de mitigação de riscos; e outros aspectos relacionados ao tratamento de dados pessoais (art. 50, LGPD).
10.3. Das análises estabelecidas para os diversos aspectos avaliados, tanto no ICP, quanto nas políticas de privacidade, verificou-se que em todos os casos havia
desconformidades e abordagens com orientações e conceitos equivocados sobre as previsões na LGPD. Um dos diagnósticos foi a baixa maturidade do cenário do varejo
farmacêutico de adequação à LGPD. Tal cenário sugeria que uma abordagem educativa, para além do contexto específico dos grupos estudados, teria o potencial de levar
conformidade a um número maior de estabelecimentos comerciais. Assim, sugeriu-se ao Conselho Diretor da ANPD a busca pelo diálogo com algumas entidades
associativas com representatividade no setor de farmácias (26ª Reunião, em 30 de junho de 2021). - Justificativa acerca da relevância do tema e tomada de ações pela ANPD
11.1. Considerando as competências regimentais previstas no art. 18, incisos IV, XVII e XVIII da Coordenação-Geral de Tecnologia e Pesquisa e o objetivo
proposto, sugeriu-se que a CGTP conduzisse diálogo com as entidades associativas, apresentando o diagnóstico quanto à baixa maturidade em proteção de dados do setor,
tendo em vista a ocorrência de confusões conceituais, a falta de transparência quanto à forma de tratamento, a ocorrência da coleta excessiva de dados, entre outras questões;
e questionando o seu interesse e o seu papel em uma iniciativa que envolva o aumento da maturidade de suas associadas quanto à proteção de dados pessoais. - Seleção de associações representativas
12.1. Em termos de representatividade do mercado e presença no território nacional, duas entidades do setor farmacêutico destacam-se no contexto nacional: a Associação Brasileira de Redes de Farmácias e Drogarias – Abrafarma e a Associação Brasileira do Comércio Farmacêutico – ABCFarma. Averiguou-se que a Abrafarma conta com 26 redes associadas e quase metade do mercado nacional, enquanto a ABCFarma contém por volta de 15 mil unidades associadas. Essas entidades
evidenciam maior abrangência que o estudo das redes inicialmente consideradas em análises preliminares e seriam relevantes para aumentar o escopo e a capilaridade das medidas de conformidade eventualmente sugeridas às farmácias. Considerando o contexto nacional, bem como a representação de redes independentes e de menor porte
econômico, entendeu-se importante também a inclusão da Abrafad e da Febrafar nas discussões acerca de medidas de conformidade do setor farmacêutico no Brasil.
FIGURA 1 – Representação do mercado
FONTE: IQVIA Analysis (2020).
12.2. Alguns dos questionamentos formulados em estudos preliminares foram encaminhados diretamente a essas instituições, com a intenção de fomentar boas
práticas e adequação à Lei Geral de Proteção de Dados Pessoais. Constatou-se que já existiam algumas ações nesse sentido, e sua confirmação proporcionou discussões sobre melhor adequação, conformidade e, consequentemente, maior eficiência e impacto de uma ação da ANPD nesse cenário.
12.3. A escolha por realizar diálogo com as associações representativas do setor farmacêutico, apesar de contar com maior capilaridade e abrangência territorial, tem
o inconveniente de se basear em relatos indiretos, de associações que nem sempre se apresentam em nome de uma categoria homogênea de controladores. Por essa razão,
realizaram-se algumas generalizações neste estudo e certas informações relacionadas a agentes de tratamento específicos não foram respondidas pelas associações. A título
de exemplo, a Abrafarma não pôde se comprometer, de forma direta e representativa, pelas ações e atividades de tratamento da rede Pague Menos ou da Raia Drogasil. - Apresentação do tema-problema e estabelecimento de diálogo inicial
13.1. Como base em nossas análises, utilizamos as informações supracitadas, organizadas de maneira didática para apresentação para cada associação. Os dados
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 2
fornecidos pelo Ministério Público do Distrito Federal e Territórios e o Termo de Ajuste de Conduta firmado entre o Ministério Público de Minas Gerais e a rede de
farmácias mineiras Drogaria Araújo foram utilizados para ilustrar e estabelecer o diálogo inicial com as associações.
13.2. Com isso, foram abordados os pontos sensíveis no contexto farmacêutico em relação à proteção de dados quando analisados frente à Lei Geral de Proteção de Dados. Foi apontada a existência de algumas finalidades não condizentes com o tratamento de dados efetivamente realizado (princípio da adequação, art. 6º, II) e indícios de
coleta excessiva de dados pessoais, incluindo dados sensíveis (princípio da necessidade, art. 6º, III).
13.3. Também foram discutidas as políticas de privacidade e informações disponibilizadas a titulares de dados carentes de informações claras, precisas e facilmente
acessíveis, especialmente quando relacionadas a programas de fidelidade (princípio da transparência, art. 6º, VI) junto a informações como finalidade, identificação de
agentes de tratamento e compartilhamento de dados, que não são facilmente disponibilizadas a titulares (direito de acesso, art. 9º). Pelo que foi estudado, estes eram pontos
sensíveis a serem melhorados e repassados como fonte de preocupação da ANPD. Por fim, a CGTP levantou questionamentos com o intuito de aprofundar o entendimento
sobre possíveis lacunas do mercado para cada associação, como o procedimento dos programas de fidelidade e o tratamento de dados biométricos. - Workshops e reuniões técnicas
14.1. Após a realização das reuniões iniciais, surgiu a necessidade de aprofundamento em determinados conceitos do varejo, como convênios, PBMs e programas de
fidelização. Assim, decidiu-se que a equipe iria realizar workshops com as associações, com a presença de representantes das redes associadas e de servidores da ANPD, a
fim de entender a metodologia de tratamento de dados dos procedimentos que ocorrem nas farmácias.
14.2. Após a realização de workshops com as associações Abrafarma, Abrafad, Febrafar e ABCfarma, a CGTP solicitou que as entidades encaminhassem temas em
que gostariam de aprofundar os debates por meio de reuniões técnicas. Seu propósito era entender melhor os conceitos e processos no modelo de negócio farmacêutico, além
de esclarecer eventuais dúvidas interpretativas acerca da aplicação da LGPD neste âmbito.
14.3. Em 03 de dezembro de 2021, a Febrafar apresentou como temas sugeridos para as reuniões técnicas os seguintes pontos:
a) Estudo sobre a aplicabilidade e implantação da Biometria como forma de captação do Termo de Consentimento, contemplando os aspectos legais e
práticos;
b) Segurança na identidade do titular dos dados no ato de adesão ao Termo de Consentimento, tendo em vista os diversos meios de captação;
c) Níveis de segurança e governança sobre o tratamento dos dados sensíveis; e
d) Dados pessoais captados apenas para serviços de entrega, de forma temporária (por telefone, WhatsApp, Skype): forma de atendimento, guarda e
descarte desses dados temporários.
14.4. Em 09 de dezembro de 2021, a Abrafarma apresentou como temas sugeridos para as reuniões técnicas os seguintes pontos:
a) Relação entre o varejo farmacêutico – PBM’s – indústria;
b) Programas de fidelidade; e
c) Convênios
14.5. Em 09 de dezembro de 2021, a Abrafad apresentou como temas sugeridos para as reuniões técnicas os seguintes pontos:
a) Controlador – melhor condição de venda: Trata-se do detalhamento do conceito de controlador considerando, principalmente, as situações em que dois
controladores interagem para um mesmo atendimento de consumidor;
b) Ordens do controlador: ainda no tema controlador, o tratamento dos dados definidos por outras legislações e/ou regulamentações que obrigam a guarda
de dados (físicos ou digitais) por até 10 anos, os quais podem exceder a premissa de minimização de captura de dados (incluindo dados pessoais, sensíveis e
detalhes da compra);
c) Hipóteses para tratamento de dados (base legal): a farmácia trabalha com ampla gama de produtos, desde medicamentos controlados até produtos de
bem-estar (higiene, vitaminas, etc), portanto, nem todos associados à saúde, podendo enquadrar seu tratamento de dados em diversas bases legais;
d) Dados sensíveis: um dos critérios para que o dado seja considerado sensível é relacionar-se à saúde. O ponto em questão é, o ato de tratar um
medicamento que não tem uma finalidade exclusiva, ou seja, pode ser utilizado para diversas patologias, fazer esta informação um dado sensível ou
comercial; e
e) Anonimização e pseudonimização: o ponto é o fato da resposta que deva ser dada para um comprador que tendo seus dados pseudonimizados venha a
requer os direitos de titular.
14.6. Em 03 de fevereiro de 2022, a ABCfarma apresentou como temas sugeridos para as reuniões técnicas o seguinte ponto:
a) A aplicabilidade da LGPD para as pequenas farmácias, em especial sobre a incidência (ou não) ou os limites dos efeitos da Resolução CD/ANPD nº 2, de
27 de janeiro de 2022 para estes estabelecimentos.
14.7. A CGTP considerou os temas sugeridos e chegou a realizar reuniões de orientação com a Abrafad no sentido de redução do escopo de algumas propostas, a
fim de evitar a caracterização dessas reuniões como atividades de consultoria e validação de artefatos documentais (políticas de privacidade, ROPA, contratos e guias
orientativos) de entes regulados.
14.8. A partir de uma análise do conjunto de propostas realizadas, estabeleceram-se eixos temáticos de atuação da ANPD em função dos objetivos inicialmente
traçados para a promoção de boas práticas no tratamento de dados pessoais no setor farmacêutico. Além disso, a escolha de temas propostos entre as sugestões das entidades
representativas tem como finalidade a conciliação de objetos de estudo similares, bem como a priorização daquelas matérias que mais suscitaram preocupação e dúvidas nos
contatos estabelecidos com esses agentes até então. - Fomento a ações de adequação
15.1. Após os encontros e discussões, as associações foram aconselhadas a seguir ações de adequação. De maneira geral, foi incentivado posicionamento mais ativo
quanto à adoção de práticas adequadas à LGPD, com o intuito de amadurecer o processo de proteção de dados. A CGTP informou às associações sobre a necessidade de
ampliar as atividades de prevenção, com a governança de segurança de informação e risco e o tratamento de incidentes, o que deve ser explorado com cautela. - Organização do setor e formas de associação
16.1. No desenrolar dos encontros com as associações, foi possível perceber as diferenças entre cada uma delas. A Abrafad possui um papel focado em consultoria e
aconselhamento. A associação possui uma parceria com a empresa de consultoria Siena Innova, que trata dos assuntos concernentes à LGPD. Aduzem que estão trabalhando
atualmente em melhorias da associação e na maturidade de questões como as políticas de privacidade de seus associados.
16.2. A Abrafarma é uma associação focada nas grandes redes farmacêuticas. A associação contém as 26 maiores redes de farmácia do Brasil e com isso, possuem
10% das lojas de todo país e 43,5% do faturamento de todo o mercado. Os representantes da Abrafarma ressaltaram o fato que unem seus associados em momentos de
aprendizado e diálogo em relação a diversos temas, inclusive sobre proteção de dados. A associação informou que possui um comitê responsável pelo setor de proteção de
dados pessoais e pela discussão de boas práticas concernindo esse tema. Assim, a associação identifica-se como focada em exercer um papel educativo e de consultoria para
seus associados.
16.3. A ABCFarma se organiza de maneira semelhante à Abrafarma. Os representantes reforçaram seu papel de consultoria para em torno de 15% do mercado
farmacêutico, reunindo grandes, médias, pequenas e microempresas, além de 13 sindicatos regionais que representam o varejo farmacêutico.
16.4. Por fim, a Febrafar possui papel de controladora e é ativa na prática de compliance de cerca de 60 redes independentes de farmácias em pequenas e médias
cidades. Além disso, a associação fornece os sistemas de informação do balcão das farmácias, tendo um papel mais ativo na metodologia de tratamento de dados dos seus
associados. É uma associação focada nas redes independentes. - Arquitetura de informação e categorias de dados
17.1. Um dos principais desafios encontrados por este estudo foi a compreensão da arquitetura do tratamento de dados pessoais no setor farmacêutico, haja vista sua
complexidade, multiplicidade de atores e variedade de modelos de negócio. Em cada workshop realizado com as entidades representativas, ficou evidenciado que nem todos
os associados compartilham as mesmas práticas, ainda que seja possível traçar denominadores comuns e generalizantes em cada uma das associações.
17.2. Conforme explicado em seção anterior desta Nota Técnica, a escolha por trabalhar com associações representativas, e não diretamente com as redes de
farmácia (efetivos agentes de tratamento na maioria dos casos), significou, também, um menor grau de satisfação de atividades específicas de tratamento. Por exemplo, redes
farmacêuticas associadas a uma mesma entidade nem sempre conduzem seus programas de fidelização da mesma forma, ora atuando como controladoras, ora como
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 3
operadoras. As associações forneceram a esta Coordenação-Geral informações de cunho mais genérico e relacionado a seu próprio papel orientador de seus associados.
17.3. Assim, é importante ressaltar, antes de uma descrição das arquiteturas de tratamento de dados informadas nos workshops, que essas experiências buscam
desenhar os principais fluxos de dados entre os agentes de tratamento, mas que não exaurem os diferentes modelos adotados por seus associados no mercado farmacêutico. Esse grau de criticidade na análise corrobora uma necessidade de, eventualmente, compreender as práticas específicas de grandes redes farmacêuticas, bem como dos
principais operadores de sistemas e prestadores de serviços especializados, como convênios, programas de fidelização e PBMs. - Programas de Benefícios em Medicamentos (PBMs)
18.1. Os Programas de Benefícios em Medicamentos (PBM) foram criados nos Estados Unidos, como uma forma de mitigar a desistência de pacientes em
tratamentos de médio e de longo prazo, incluindo de doenças crônicas. Os PBMs tiveram como grandes patrocinadores os planos de saúde, pois era vantajoso subsidiar os medicamentos a fim de reduzir internações e procedimentos ainda mais custosos. A existência de PBMs corrobora a adesão aos medicamentos, já que facilita seu acesso e
compra por pacientes.
FIGURA 2: Estrutura tripartite dos PBMs
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
18.2. Os PBMs formam uma estrutura tripartite: i) indústria farmacêutica, responsável pela produção do medicamento e pela criação e definição de regras; ii)
empresa intermediadora, responsável por atuar em nome da farmácia pela gestão e pelo credenciamento da rede de farmácias, para autorizar a dispensação dos medicamentos; e iii) varejo farmacêutico. Por meio do PBM, o cliente da farmácia compra um medicamento com desconto, mediante autorização do laboratório ou da
indústria que o autorizou. Esse valor com desconto é vendido mediante confirmação de cadastro e reembolso da indústria à farmácia. O varejo não é, nesse caso, controlador
do dado, e sim a indústria. A plataforma do PBM costuma ser operada por terceiros, e não desenvolvida pela própria indústria.
18.3. No modelo do Brasil, em geral, é realizado um cadastro prévio com dados pessoais do titular, a fim de se conceder descontos diretamente com a indústria
farmacêutica. As informações que trafegam no sistema da PBM são dados como CPF, nome e assinatura. Mas também existe a segunda sistemática de cadastro, chamada
cadastro of -line, ou cadastro no balcão. Quando os dados são usados para liberação desse PBM, o controlador não está trafegando esses dados para o sistema da própria
drogaria, mas sim pelo sistema da indústria farmacêutica que desenvolveu e administra o programa. Além disso, há nas lojas o sistema integrado, que permite à indústria
farmacêutica fazer essa análise da elegibilidade do programa de benefícios. Após análise da habilitação do PBM, há a finalização da venda com aplicação de desconto. A
farmácia faz somente uma requisição de informações acerca da elegibilidade do benefício.
FIGURA 3 – Esquematização de PBMs
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
18.4. No workshop realizado pela Abrafarma, ressaltou-se que algumas redes de farmácia possuem o chamado “sistema integrado”, em que se verifica
automaticamente se o beneficiário cumpre os requisitos de elegibilidade para a aplicação de descontos de alguma indústria.
18.5. A Siena Inova, consultoria terceirizada contratada pela Abrafad para intermediar os seus workshops, apresentou processos de sensibilização e recomendações
de adequação a seus associados. Ao explicar os PBMs, afirmaram que o modelo praticado no Brasil decorre de uma relação direta entre indústria/laboratório e os clientes de medicamentos, sem a interferência dos planos de saúde. Complementaram que as listas de medicamentos participantes dos descontos são bastante amplas, sem preocupação
com a sinistralidade, mas sim com a finalidade da redução do preço. É costumeiro que o desconto seja acompanhado pela necessidade de confirmação de identidade do
cliente (assinatura no momento da compra), já que o desconto é pessoal. - Farmácia Popular
19.1. O Programa Farmácia Popular do Brasil é também um tipo de PBM, gerenciado pela esfera pública, por meio de políticas de priorização de descontos e de
públicos-alvo.
iv O governo federal mantém um cadastro de beneficiários, de acordo com critérios próprios e previstos em lei. Há a “Rede Própria”, por meio da qual o Ministério da Saúde, prefeituras municipais e governos estaduais dispensam medicamentos gratuitamente.
19.2. Já na rede privada, as farmácias cadastradas no “Aqui tem Farmácia Popular”, mediante confirmação do cadastro do cliente, vendem medicamentos a preços
populares. Essa rede é credenciada com o intuito de levar o benefício da aquisição de medicamentos essenciais a baixo custo a mais lugares e mais pessoas, aproveitando a
dinâmica já estabelecida da cadeia farmacêutica de produção, distribuição e, por meio da parceria entre o Governo Federal e o setor privado varejista farmacêutico. É um
sistema de copagamento, em que o usuário paga até 10% do valor de referência estabelecido pelo Ministério da Saúde para cada um dos medicamentos que fazem parte do
Programa, além da possível diferença entre este valor e o valor de venda praticado pelo estabelecimento. - Convênios
20.1. Por meio da realização dos workshops, foi possível compreender melhor os diferentes tipos de procedimentos que ocorrem dentro do universo do varejo
farmacêutico. No workshop com a Abrafarma, explicou-se que o convênio é uma parceria estabelecida por uma empresa junto às farmácias, com o objetivo de desenvolver
uma relação direta com benefícios para os seus funcionários. Não há controle das associações no tratamento de dados em convênios. O convênio entre a farmácia e uma
empresa determina o tratamento de dados pessoais de seus empregados, normalmente por meio de descontos em folha de pagamento (do valor total do medicamento ou com
alguma redução). Nesses processos de tratamento de dados cadastrais, as farmácias são operadores dos convênios, já que os dados pessoais são aferidos no balcão com a
finalidade de checar se o beneficiário realmente possui o convênio.
20.2. No convênio por débito em folha, um funcionário pode comprar na farmácia a qualquer momento do mês, e não é onerado naquele momento, mas sim quando
ele receber na folha de pagamento da empresa. Isso facilita o acesso dos empregados aos medicamentos, sendo somente onerados quando receberem o salário, já que o valor
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 4
é descontado de sua remuneração. Os dados são armazenados com o empregador, cujo empregado afirma o desejo de usufruir do convênio e fornece a chave de identificação
quando é atendido na farmácia. Com isso, por meio de uma plataforma, libera-se seu desconto.
FIGURA 4: Estrutura dos convênios
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
20.3. Normalmente, a farmácia transmite ao empregador os dados referentes ao nome do titular do benefício e ao valor da compra. Nenhum dado é transmitido da
drogaria para entidade (empregador, ou associação, por exemplo). Os dados do titular são confirmados na plataforma do benefício para verificar se ele realmente possui esse
convênio.
FIGURA 5: Estrutura dos convênios
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. - Programas de fidelização
21.1. Inicialmente, é importante ressaltar que existem programas de fidelização atuantes somente no âmbito das próprias redes farmacêuticas controladoras, como
também programas de fidelização gerenciados por terceiros, que se relacionam com outros segmentos de mercado. Nem sempre esses programas de fidelização pertencem ao mesmo grupo econômico da drogaria em que os dados são coletados, o que corrobora as preocupações da ANPD quanto à arquitetura do fluxo informacional nesses
diferentes modelos de negócio.
21.2. Além disso, cumpre ressaltar que as investigações e conclusões subsequentemente obtidas no âmbito desta iniciativa referem-se exclusivamente às
informações a que a CGTP teve acesso: Inquérito Civil Público nº 08190.030923/19-55 (MPDFT), Investigação Preliminar nº 0024.18.002027-3 (MPMG), Termo de Ajustamento de Conduta entre o MPMG e a Drogaria Araújo S.A., análise de políticas de privacidade do grupo amostral e reunião com as associações representantes do setor
farmacêutico. Tendo em vista que nossa abordagem não envolveu reuniões técnicas com redes farmacêuticas controladoras e operadoras de dados pessoais, nem com
empresas gestoras de programas de fidelização, como Stix e Méliuz, eventuais entendimentos sobre o setor devem ser sopesados em relação ao escopo das fontes de
informação material a que tivemos acesso.
21.3. Existem três tipos de programas de fidelização: i) o de ofertas exclusivas, que permite que a farmácia alcance maior assertividade em suas interações com
clientes, bem como que clientes desfrutem de conteúdos e vantagens mais compatíveis com seus perfis individuais; ii) o de publicidade, que permite o direcionamento de
conteúdo e de vantagens mais relevantes com as preferências de cada cliente; e iii) os programas de pontuação, que permitem que os clientes acumulem e resgatem pontos a
partir de suas compras, também chamado de earn and burn.
21.4. Ofertas exclusivas:
FIGURA 6: Estrutura de programas de fidelização de ofertas exclusivas
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
21.5. Publicidade
FIGURA 7: Estrutura do programa de fidelização baseado em publicidade
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 5
21.6. Programa de Pontuação EARN:
FIGURA 8: Estrutura do programa de pontuação EARN
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
21.7. Programa de Pontuação BURN:
FIGURA 9: Estrutura do programa de pontuação BURN
FONTE: ABRAFARMA. WORKSHOP: ANPD e ABRAFARMA. 23 nov. 2021. Apresentação de Powerpoint. 34 slides. Color. Editado.
21.8. Em seu workshop, a Abrafarma esclareceu que não há compartilhamento de dados pessoais ou dados pessoais sensíveis dos programas de fidelização com o
programa de pontos, ou com outras empresas que deles participam. Segundo a associação, os programas de pontuação obtêm acesso apenas à quantidade de pontos
acumulados pelo cliente. Entretanto, não ficaram claras as funções de tratamento exercidas pelas redes de farmácias e pelas empresas gestoras dos programas de fidelização,
se seriam de co-controladoria de dados, ou eventualmente como controladoras e operadoras, respectivamente. Essa identificação de funções dos agentes de tratamento
corroboraria uma melhor alocação de responsabilidades e conhecimentos sobre o exato fluxo informacional nesse tratamento de dados pessoais.
21.9. A Febrafar distribui três tipos de ferramentas estratégicas para seus associados, sendo uma delas o Programa de Estratégias Competitivas (PEC), um programa white label, por meio do qual as redes podem inserir sua marca com a finalidade de criar um processo de fidelização e oferecer produtos que se encaixam no perfil de
consumo de seus clientes, podendo direcionar ao indivíduo as melhores ofertas, de acordo com os dados recebidos.
21.10. A Febrafar se apresenta como controladora dos dados desse programa, tendo em vista que gerencia tanto o ambiente de cadastro online quanto off-line, é
responsável pelo desenvolvimento do sistema e da plataforma, tem propriedade do código-fonte da base de dados, é responsável pela contratação dos prestadores de serviços,
ou seja, dos operadores, e possui controle das informações e das decisões sobre o tratamento de dados pessoais. A associação afirma que não há venda ou compartilhamento
de dados com terceiros, tampouco entre as redes que utilizam o programa. Nesse contexto, o consentimento dos clientes é tomado por cada rede participante, o cliente pode
ter desconto fora do programa de fidelidade (sem o fornecimento de CPF) e a finalidade da identificação do cliente é a personalização e o envio de ofertas.
21.11. (informação sigilosa conforme art. 22 da Lei n. 12.527/2011, art. 55-J, §5º da Lei nº 13.709/2018 e art. 195, XIV, da Lei n. 9.279/1996)
21.12. Os clientes consentem com o tratamento de dados para cada rede de farmácias que opera esse sistema PEC white label da Febrafar. A comunicação entre os
pontos de coleta e demais tratamentos e o banco de dados da Febrafar na nuvem ocorre por meio de VPN. Essas soluções são desenvolvidas e gerenciadas pela Febrafar e os
dados pessoais de clientes não são utilizados para outra finalidade. Segundo a Febrafar, não há compartilhamento de dados com outros programas white label, nem com
terceiros. Não há tampouco uso de algoritmo de clusterização. Segundo a Febrafar, não haveria incentivo econômico para a farmácia dividir esses dados com terceiros. Uma
loja não tem acesso à informação da outra e uma rede não troca informação com a outra. É necessário, portanto, o consentimento do cliente por rede (base legal utilizada para
esse tratamento). Os dados pessoais ficam separados em bancos por bandeira/marca, e uma rede não tem acesso aos dados da outra.
21.13. Toda a gestão do programa de fidelidade é feita pela Febrafar, ao contrário do que ocorre de outras grandes redes, em que cada empresa pode possuir seu
próprio programa de fidelidade. As farmácias associadas fazem a operação dos dados nas lojas, por meio de cláusulas e formas contratualmente previstas de utilização desse
sistema. Essa foi uma maneira de a Febrafar assegurar compliance do sistema, com capilaridade no território nacional.
21.14. Existem, no entanto, outros programas de fidelização de clientes, especialmente utilizados por grandes redes. No levantamento inicial deste estudo, se
destacaram a atuação dos programas de fidelização controlados por empresas terceiras, que não os grupos farmacêuticos inicialmente pesquisados, como a Stix e a Méliuz,
relacionadas, respectivamente, ao Grupo Raia Drogasil e à Droga Fuji. Para entender melhor as práticas de tratamento de dados de ambas as empresas de benefícios, foram
analisadas as políticas de privacidade de cada uma.
21.15. Em sua política de privacidade, a Stix afirma que utiliza como bases legais o legítimo interesse, o consentimento, a execução de contrato e o cumprimento de
obrigação legal, em diferentes finalidades.v Entre os diversos dados relacionados à finalidade de tratamento para personalização de ofertas, estão os dados de
geolocalização
vi e o histórico comportamental de acúmulo de pontos e resgate.
21.16. Sobre o histórico comportamental de acúmulo de pontos (por meio de compras), vale ressaltar que sua associação no contexto farmacêutico pode gerar dados
de natureza sensível, relacionados à saúde e vida sexual do titular. A Stix informa que a base legal vinculada à finalidade de histórico comportamental de acúmulo de pontos
não é o consentimento, mas o legítimo interesse.vii A única finalidade em que a empresa informa ter o consentimento como base legal é de realização do cadastro no
programa de benefícios. Acerca do compartilhamento desses dados, a empresa informa que o faz com “Parceiros Stix”, “Fornecedores” e “Empresas de Dados”, além de
realizar a transferência internacional de dados para os Estados Unidos, onde se localizam alguns de seus fornecedores de serviços.
21.17. Já a Méliuz, que se define como uma “plataforma de cupons de desconto e cashback”, informa em sua política de privacidade que trata dados cadastrais, de
resgate e cashback, de identificação, de compras realizadas, de indicação de novos usuários, de marketing, de localização, de cookies e outras ferramentas de rastreio, do
dispositivo de acesso ao aplicativo, entre outros.viii A empresa não declina as bases legais utilizadas no tratamento desses dados, mas informa que os compartilha com
anunciantes, prestadores de serviços, autoridades e terceiros.
21.18. A exemplo de outros programas de fidelização de consumo, a Méliuz possui uma rede transversal de empresas conveniadas (mais de 1.600, dos mais diversos
setores, p. ex: Mercado Livre, Uber, Magalu, ifood, Booking, Adidas, Natura, Renner, Submarino, entre outros). O propósito do programa, além do fornecimento de
descontos exclusivos nas lojas conveniadas, consiste em promover a escolha de compra futura nas mesmas lojas do grupo, de forma a fidelizar seus clientes cadastrados.
21.19. Preocupa constatar esse tipo de compartilhamento de dados pessoais, especialmente quando decorrente de coleta em grupos farmacêuticos, já que o histórico
de compras realizadas pode dar ensejo a inferências acerca de dados pessoais sensíveis, como já fora observado. Além disso, há dúvidas quanto a quais dados são
compartilhados com quais agentes de tratamento, já que a política de privacidade da Méliuz não esclarece com exatidão essas informações. Seria necessário esclarecer melhor
esses pontos de questionamento a fim de verificar com exatidão a adequação das formas de tratamento de dados pessoais e de dados sensíveis de titulares no âmbito das
farmácias.
21.20. Ressalva importante que se faz à temática do consentimento no âmbito do tratamento de dados pessoais, especialmente no que diz respeito a programas de
fidelização, é que as iniciativas empreendidas pela CGTP neste estudo não envolveram a análise da jornada do consentimento de titulares. Foi identificado que essa é uma das
bases legais utilizadas pelas redes farmacêuticas em suas atividades de tratamento na concessão de descontos, bem como que existe uma interface desse tema com questões
consumeristas, já evidenciada em estudo prévio acerca do Termo de Ajuste de Conduta firmado entre o MPMG e a Drogaria Araújo, em 2019. Entretanto, uma análise
detalhada do consentimento no âmbito desse setor exigiria análise pormenorizada das políticas de privacidade de cada agente (e não somente daqueles pertencentes ao grupo
amostral), além de reuniões técnicas diretamente com agentes de tratamento (redes de farmácias, gestoras de programas de fidelização, operadoras de sistemas etc.), o que
não se objetivou realizar no âmbito do diálogo com as associações do setor.
21.21. Primeiramente, reconhece-se que pode haver prejuízos ao direito à informação do titular de dados quando a diferenciação de preços decorrente de participação
nos programas de fidelização condiciona o acesso ao valor do produto com desconto (art. 6º, I, II e III, do Código de Defesa do Consumidor). Como se sabe, muitas vezes, o
valor do desconto só é informado após a comunicação de dados pessoais, como o nº de inscrição no CPF, ou seja, quando já ocorre tratamento de dados pela controladora ou
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 6
operadora a fim de fornecer o desconto.
21.22. No caso da Drogaria Araújo, em Minas Gerais, orientou-se, no âmbito do TAC, a empresa a informar de maneira clara e visível, em seu site, cartazes e
gôndolas, “quais as promoções e os descontos ofertados na DROGARIA ARAÚJO poderão ser aproveitados pelos consumidores que possuírem cadastro no programa de
fidelidade”.
ix Entendeu-se também que a utilização dos dados tratados em programa de fidelização impede seu uso em fins diversos daqueles que justificaram sua coleta.
21.23. Além dessas questões, também há que se problematizar a utilização do consentimento como base legal para o tratamento de dados pessoais nessas situações
concretas. Como se afirmou anteriormente neste estudo, nem sempre resta clara para o titular de dados ou para esta Autoridade a base legal utilizada para os diferentes
tratamentos de dados, seja pelos grupos farmacêuticos, seja pelos programas de fidelização a eles relacionados. No entanto, se for o consentimento uma das bases legais
utilizadas para essas finalidades, o fato de o fornecimento de dados pessoais (inclusive biométricos) ser uma condicionalidade para a concessão de descontos pode representar
vício no consentimento.
21.24. O art. 5º, XII, da LGPD determina que o consentimento consiste em “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento
de seus dados pessoais para uma finalidade determinada”. O § 3º do art. 8º da mesma lei determina também que “é vedado o tratamento de dados pessoais mediante vício de
consentimento”. Nas hipóteses em que o tratamento envolve dados pessoais sensíveis, como os biométricos, as condições para o fornecimento de consentimento são ainda mais criteriosas (consentimento qualificado, do art. 11, LGPD).
21.25. A princípio, não há vedação à prática de concessão de benefícios a clientes fidelizados, ela pode ser legítima em relação aos interesses da empresa. O que
preocupa é uma baixa de transparência em relação ao tratamento de dados, em relação às poucas informações constatadas sobre as bases legais e as finalidades desse
tratamento, em relação às medidas de segurança eventualmente necessárias a esse tipo de tratamento, bem como em relação à possível diferenciação específica de preços
decorrentes da participação nos programas de benefícios. Essas impressões poderiam ser melhor averiguadas em eventual processo fiscalizatório, que permitisse o diálogo
direto com os agentes de tratamento envolvidos.
21.26. Isso foi o que se constatou no Inquérito de Investigação nº MPMG-0024.18.002027-3, para apurar suposta prática infracional consistente em condicionar
promoção à apresentação da informação do CPF de consumidores da Drogaria Araújo. Em dezembro de 2018, a empresa foi condenada administrativamente pelo
condicionamento de descontos em razão do fornecimento de CPF sem fornecer as adequadas informações no momento da compra. Ressalte-se que o que motivou a
condenação não foi o condicionamento do CPF aos descontos, mas falta de transparência, com fundamentos no Código de Defesa do Consumidor. Em razão da condenação
em sede administrativa, a drogaria firmou Termo de Ajuste de Conduta, por meio do qual se comprometeu a suspender seu programa de fidelidade e cessar a solicitação e CPF enquanto não se adequasse à decisão.
21.27. Nesse contexto, evidencia-se também a hipótese de que o consentimento utilizado nessas situações, quando aplicável como base legal, pode não ser
exatamente livre e informado. Em algumas circunstâncias, conteria também vício, o que cumpriria esta Autoridade investigar. Por isso seria importante constatar diretamente
com agentes de tratamento controladores se as práticas de condicionamento de desconto e enviesamento de consentimento condizem com as políticas de privacidade
institucionais divulgadas pelos eles em sites institucionais. - Comunicação e marketing
22.1. Um dos temas ressaltados pela Abrafad em sua apresentação foi a necessidade de compartilhamento das bases de dados de seus associados com terceiros, para
atender as finalidades de comunicação e marketing. Tendo em vista que seus associados possuem muitas limitações orçamentárias e de realização dessas atividades de marketing e comunicação, é comum que suas bases de dados de clientes sejam compartilhadas com empresas que prestam esses serviços. - Serviços de entrega
23.1. Finalmente, os serviços de entrega também tratam dados pessoais. Sua utilização expandiu-se durante a pandemia, devido à necessidade de distanciamento
social. Consumidores informam nome, CPF e endereço de entrega para as plataformas e serviços de entrega, que então transportam a encomenda até o cliente da farmácia. Empresas como iFood, que realizam esse tipo de entrega, informam compartilhar os dados pessoais de clientes com entregadores, parceiros comerciais e empresas do mesmo
grupo (com as finalidades de marketing, desenvolvimento de soluções e produção de dados estatísticos, por exemplo).x - Tratamento de dados biométricos
24.1. O tratamento de dados biométricos envolve a autenticação de identidade de indivíduos por meio de características físicas e biológicas personalíssimas, como o
reconhecimento de digitais, da voz, da face, da íris e até mesmo de DNA. Tecnologias que empregam dados biométricos têm representado avanços em um contexto de
crescente datificação e digitalização, o que é corroborado por meio de ferramentas que aumentam a acurácia dessa autenticação. Na prática, o uso da biometria reduz a fricção
de transações e aplicações do cotidiano, podendo ser aplicadas em sistemas de acesso de smartphones (biometria digital e da face, por exemplo) e de espaços físicos (como no
controle de fluxos de pessoas em fronteiras), bem como em sistemas de autenticação de identidade em caixas rápidos (prevenção a fraudes financeiras), em aplicativos
(confirmação de identidade de passageiros em aplicações de transporte individual), consultórios e laboratórios médicos, além de urnas eletrônicas eleitorais.
24.2. A biometria pode ser considerada uma parte do tripé de identificação de um titular de dados, que consiste em saber i) o que o usuário tem (chave, token, cartão,
crachá etc.); ii) o que o usuário sabe (nome ou ID de usuário, senha etc.); e iii) o que o usuário é (dados biométricos). O uso dos fatores deste tripé costuma ser proporcional
às necessidades de autenticação de identidade do titular. Ou seja, quanto mais imprescindível for a acurácia de sua identificação, (para fins de prevenção de uma fraude
financeira, por exemplo), mais fatores costumam ser empregados. Como consequência dessa utilização de múltiplos fatores de autenticação de identidade, as medidas de
segurança necessárias à salvaguarda dos dados dos titulares também devem acompanhar o uso desses fatores.
24.3. Diversos relatos recentes acerca da coleta de dados biométricos (impressões digitais) em estabelecimentos farmacêuticos sugiram na mídia, especialmente no
ano de 2021. No caso da rede Droga Raia, do Grupo Drogasil, por exemplo, foi amplamente noticiada a prática de coleta de impressões digitais de seus consumidores, sem
que isso necessariamente tenha repercutido em transparência e qualidade de informações sobre o tratamento dos dados pessoais aos titulares consumidores, e em
possibilidade de exercício de direitos como o de oposição (art. 18, § 2º, da LGPD).xi
24.4. A finalidade apresentada pelo Grupo Raia Drogasil era a de que a confirmação de identidade por biometria validaria o cadastro do cliente, prevenindo
fraudes, o que se justificaria pela base legal do art. 11, II, ‘g’, da LGPD. A empresa ainda acrescenta que os dados biométricos são armazenados de forma criptografada e que
não são compartilhados com terceiros (item 2.2.1 de sua política de privacidade).
24.5. Ainda que sua política de privacidade informasse que havia coleta de biometria para fins de validação de identidade, a empresa decidiu interromper em julho
de 2021 o funcionamento de seu sistema de coleta de dados biométricos, em razão dos “desconfortos” causados pela prática.xii O principal ponto levantado contra a prática
da coleta de dados biométricos para esse tipo de situação era que ele poderia não atender aos princípios da necessidade e da minimização estabelecidos na LGPD, bem como
as medidas de segurança envolvidas poderiam não ser suficientes para mitigar riscos aos titulares.
24.6. O Grupo Raia Drogasil afirmava que a biometria só seria cadastrada para a verificação de identidade nos Programas de Benefício de Medicamentos e na
compra de produtos com pagamento por meio de desconto em folha de pagamento. Alternativamente, informava que os titulares de dados também poderiam optar pela
autenticação de identidade por meio de assinatura de termo próprio, ou de SMS. No mínimo, essa confusão pode denotar falta de concertação entre a prática
institucional/oficial da empresa, e o dia a dia dos balcões dos estabelecimentos, em que funcionários exigiam, de forma generalizada, a coleta da biometria a consumidores.
24.7. A título de exemplo, houve notícias da implementação de um sistema de pagamento por reconhecimento facial pela Drogaria Iguatemi (Shopping Iguatemi,
em São Paulo), por meio de parceria com a Cielo e uma startup de tecnologia denominada Payface, o que deveria ser expandido para mais unidades.xiii Por outro lado, na
seção “Política e Termos” da startup, não havia qualquer menção à política de privacidade e ao tratamento de dados sensíveis relacionados à biometria facial dos titulares,
apenas uma sugestão de que a base legal utilizada pelo cadastro de clientes online seria o consentimento.xiv A empresa então publicou uma política de privacidade, na qual
informa expressamente que a base legal para o tratamento de dados biométricos seria a garantia da prevenção à fraude à segurança do titular.xv
24.8. Ainda quanto à análise da política de privacidade da Drogaria Iguatemi, para a mesma finalidade (concessão de descontos e perfilamento de consumo de
clientes para sua fidelização), seria possível a criação de um número de cadastro único por cliente, por exemplo, sem a vinculação imediata de dados pessoais cadastrais,
como o nº do CPF, ou mesmo de dados sensíveis, como os biométricos.
24.9. Há que se analisar, sob o ponto de vista do princípio da necessidade, o tratamento de dados biométricos para a finalidade de validação de identidade. Tendo em
vista que dados biométricos não constituem a única forma de verificação de identidade, é importante ressaltar que poderiam sem empregadas também outras ferramentas de
tratamento de dados, menos gravosas em relação à utilização de dados tão sensíveis quanto as biometrias digitais ou até mesmo faciais. Na eventualidade de a verificação da
identidade de cadastros de clientes poder ser realizada por meio de dados pessoais não sensíveis, pondera-se se há justificativa e contrapartida adequada em termos de
segurança da informação para a coleta de dados biométricos para os mesmos fins.
24.10. A título de exemplo, um nome de usuário (ID de usuário único, gerado pela controladora) e uma senha fornecidos pelo controlador a seus clientes poderiam ser
utilizados para verificar a identidade de titulares de dados participantes em seus programas de fidelização, sem a necessidade de vulnerabilizá-los por meio de tratamentos
desnecessários e, por vezes, desproporcionais às demandas de segurança da informação que a finalidade de identificação exige. Em caso de comprometimento, como um
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 7
compartilhamento ou exfiltração de base de dados, os dados biométricos têm o potencial de representar grave prejuízo aos titulares e à sua privacidade, considerando que não
podem ser substituídos ou alterados de forma a preservar sua identidade.
24.11. Além disso, importa verificar se as medidas de segurança informadas são suficientes (criptografia e não compartilhamento com terceiros) para a proteção de mais esses dados sensíveis, bem como se os direitos dos titulares podem ser exercidos de forma simples e acessível. Dados pessoais sensíveis, sejam eles biométricos ou
referentes à saúde e à vida sexual de usuários de serviços farmacêuticos, necessitam de salvaguardas adicionais em seu tratamento, como determina o art. 11 da LGPD.
24.12. Termos de consentimento e informativos impressos em lojas físicas também devem ser analisados, especialmente sob o ponto de vista do princípio da
transparência, segundo o qual as informações devem ser claras e facilmente acessíveis, inclusive pelo mesmo meio pelo qual os dados são coletados. Portanto, se a biometria
é coletada na farmácia, mediante informação do atendente, deveriam existir meios informativos presenciais sobre esse tratamento de dados, com referência às finalidades
determinadas de cada tratamento (art. 8º, § 4º, e art. 11, I, da LGPD).
24.13. Em conclusão, esta Coordenação-Geral reconhece a biometria como uma tecnologia emergente de grande importância, não apenas comercial, mas também com
utilidades para a prestação de serviços de saúde, controles migratórios, prevenção a fraudes, bem como a restrição de acesso físico e lógico a sistemas. Ou seja, sua eventual
adequação à LGPD envolve, necessariamente, uma contextualização em um âmbito mais amplo, de aplicação em diversos outros setores para além do farmacêutico. Também
se considera que o emprego de dados biométricos exige uma ponderação de outros fatores relacionados à privacidade e proteção de dados, à luz de princípios como a
finalidade, a adequação, a necessidade e a segurança, presentes no artigo 6º da LGPD. Além disso, proporcionalmente à sensibilidade dos dados envolvidos no setor
farmacêutico, também devem ser observados os padrões mínimos de segurança, técnicas e administrativas a fim de salvaguardar os dados pessoais tratados. - Medidas de prevenção e segurança
25.1. Em geral, as associações representativas não exercem atividades de controle e operação de dados pessoais, com a exceção dos programas desenvolvidos pela
Febrafar, mencionados anteriormente. Nesse contexto, seu papel concentra-se nas atividades de orientação e promoção de boas práticas entre seus associados, fazendo muitas
vezes uma ponte entre as normativas setoriais, como exigências técnicas da LGPD e da ANPD, e o que é implementado nos balcões das farmácias.
25.2. A Abrafad citou, em seu workshop, que atua na recomendação de software houses a seus associados. Normalmente, essa chancela tem grande peso na escolha
de programas que gerenciam vendas, programas de fidelidade, entre outras atividades cotidianas das farmácias. Isso é especialmente comum em redes menores, em que
dificilmente seria possível o desenvolvimento de sistemas exclusivos, como é o caso das grandes redes. Assim, associações como a Abrafad também acabam exercendo
funções de verificação e indicação de determinadas soluções, que podem passar por avaliações de qualidade em relação ao funcionamento e à segurança. Nesses casos, é
importante que aspectos de privacidade e proteção de dados também sejam considerados como fatores de interesse pela associação na recomendação e chancela de sistemas a
seus associados, ainda que essa atividade não se qualifique entre as definições legais de controle e operação de dados.
25.3. No caso de associações que oferecem soluções tecnológicas a seus associados, como é o caso da Febrafar, observou-se essa preocupação com aspectos de
prevenção e segurança durante seu workshop. A entidade oferece sistemas de inteligência de dados, de fidelização (Programa de Estratégias Competitivas – PEC), de
educação corporativa, de compras e de business intelligence. Ainda que o foco da Febrafar seja a associação de pequenas e médias redes, ela não chancela sistemas de
terceiros. Suas soluções são ofertadas a seus associados e a entidade se identifica como controladora de dados. Sendo controladora de dados de um programa de fidelidade,
que trata dados sensíveis e infere padrões de comportamento a partir do histórico de consumo de clientes das farmácias, a Febrafar foi um foco de interesse durante as
reuniões realizadas, especialmente quanto a medidas de prevenção e segurança dos bancos de dados. - Considerações finais
26.1. Ao longo de 2020 e 2021, a Coordenação-Geral de Tecnologia e Pesquisa empreendeu diversas iniciativas no sentido de melhor compreender o tratamento de
dados pessoais no setor farmacêutico. Além de estudos de investigações em curso por outros órgãos, como o ICP nº 08190.030923/19-55 (MPDFT), foi possível analisar
políticas de privacidade em vigor, conversar com entidades representativas do setor e verificar práticas dos principais agentes de mercado. Este estudo reflete as constatações
desta análise, naquele período.
26.2. A escolha por uma abordagem de análise e monitoramento de mercado que teve como referencial as entidades representativas do setor farmacêutico
representou, concomitantemente, vantagens em termos de capilaridade territorial e de abrangência, bem como desvantagens relacionadas a informações pouco precisas ou
insuficientes a partir das reuniões técnicas com essas associações, em vez de controladores e operadores de dados do setor. A partir dessas ações, consolidaram-se as
percepções aqui delineadas acerca dos principais pontos de dúvida em processos de adequação setorial, assim como ficaram mais claros os temas que eventualmente ainda
carecem de maior aprofundamento investigativo e esclarecimento.
26.3. Tópicos como os programas de fidelização exigiriam maior aprofundamento de pesquisa e de apuração, com agentes de tratamento externos às relações entre
as redes de farmácia e as associações representativas, como Stix e Méliuz. Não restam claras as funções de cada agente de tratamento no tratamento de dados pessoais e
sensíveis no âmbito de programas de fidelização, nem as formas de compartilhamento exercidas pelos gestores desses programas, sejam eles externos ou as próprias redes
farmacêuticas.
26.4. Entende-se que este estudo exploratório aumentou a compreensão desta Autoridade acerca dos fluxos de dados pessoais nos modelos de negócio de farmácias,
bem como que esse conhecimento poderia ser revertido à sociedade por meio da elaboração de material educativo para o setor, em conjunto com a Coordenação-Geral de Normatização. Eventual material poderia conter as preocupações aqui levantadas e medidas de adequação apropriadas para os tipos de tratamentos aqui descritos.
26.5. Adicionalmente, tendo em vista as ponderações acerca do condicionamento de preços ao fornecimento de consentimento em alguns tratamentos de dados
pessoais pelo setor, entende-se que a ANPD poderia se beneficiar de um trabalho em conjunto com a SENACON. Suas competências são complementares às da ANPD no
que diz respeito aos modelos de negócios das farmácias, o que pode representar maior eficiência nas estratégias de regulação e conformidade do setor.
26.6. Nesse contexto, entendendo também a importância de compreender melhor os processos de adequação e conformidade do tratamento de dados pelo setor
farmacêutico no Brasil, bem como de retratar a situação atual e tendências futuras desse mercado, a Coordenação-Geral de Tecnologia e Pesquisa encaminha esta nota técnica
para a apreciação da Coordenação-Geral de Fiscalização e eventuais medidas que considerar cabíveis, especialmente no que tange aos arts. 15, §1º, e 18, da Resolução CD/ANPD n. 1, de 28 de outubro de 2021.
iTermo de Ajustamento de Conduta entre o Ministério Público do Estado de Minas Gerais e a Drogaria Araújo S/A, de 26 de fevereiro de 2019. Disponível em
https://www.mpmg.mp.br/data/files/22/E2/33/39/E944A7109CEB34A7760849A8/Termo%20de%20Ajustamento%20de%20Conduta_C_digo%20de%20Defesa%20do%20Consumidor_Irregularidades%20em%20Programa%20de%20Fidelidade%20e%20Uso%20Indevido%20de%20dados%20dos%20consumid.pdf
iiInstituto Brasileiro de Defesa do Consumidor (Idec), Idec questiona coleta de impressão digital em farmácias, de 24 de junho de 2021. Disponível em:
https://idec.org.br/release/idec-questiona-coleta-de-impressao-digital-em-farmacias
iiiNegrisoli, Lucas. Jornal Estado de Minas. Farmácias que pedem CPF podem estar repassando dados de clientes, diz MP. Publicado em 17 de agosto de 2018. Disponível
em: https://www.em.com.br/app/noticia/economia/2018/08/17/internas_economia,980868/farmacias-que-pedem-cpf-podem-estar-repassando-dados-de-clientes-mp.shtml
ivKnoth, Pedro. Tecnoblog. Droga Raia é questionada por exigir biometria para conceder descontos. Publicado em 24 de junho de 2021. Disponível em:
https://tecnoblog.net/noticias/2021/06/24/droga-raia-e-criticada-por-exigir-cadastro-de-impressao-digital-em-farmacias/; Knoth, Pedro. Tecnoblog. Exclusivo: Procon-SP
fica insatisfeito com resposta da Drogasil sobre biometria. Publicado em 30 de setembro de 2021. Disponível em: https://tecnoblog.net/noticias/2021/09/30/exclusivoprocon-sp-fica-insatisfeito-com-resposta-da-raia-drogasil-sobre-biometria/; Instituto de Referência em Internet e Sociedade. IRIS oferece representação ao MP-MG sobre
prática de coleta de dados em redes de farmácias. Publicado em 15 de agosto de 2018. Disponível em: https://irisbh.com.br/iris-oferece-representacao-ao-mp-mg-sobrepratica-de-coleta-de-dados-em-redes-de-farmacias/
ivGoverno Federal, Ministério da Saúde. Programa Farmácia Popular. Disponível em: https://www.gov.br/saude/pt-br/acesso-a-informacao/acoes-e-programas/farmaciapopular
vStix. Política de Privacidade e Cookies. Disponível em: https://www.soustix.com.br/politicas-de-privacidade
viÉ importante ressaltar que a Stix não distingue qual tipo de geolocalização é utilizada no tratamento de dados, portanto não se sabe se se refere ao local da compra, a
localização em tempo real do titular, nem a localização de sua rota de deslocamento.
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 8
viiStix. Política de Privacidade e Cookies. Disponível em: https://www.soustix.com.br/politicas-de-privacidade
viiiMéliuz. Termos e Condições. Disponível em: https://www.meliuz.com.br/termos-e-condicoes
ixTermo de Ajustamento de Conduta entre o Ministério Público do Estado de Minas Gerais e a Drogaria Araújo S/A, de 26 de fevereiro de 2019. Disponível em
https://www.mpmg.mp.br/data/files/22/E2/33/39/E944A7109CEB34A7760849A8/Termo%20de%20Ajustamento%20de%20Conduta_C_digo%20de%20Defesa%20do%20Consumidor_Irregularidades%20em%20Programa%20de%20Fidelidade%20e%20Uso%20Indevido%20de%20dados%20dos%20consumid.pdf
x
IFOOD. Institucional. Declaração de Privacidade. Versão publicada em 09 de abril de 2021. Disponível em: https://institucional.ifood.com.br/abrindo-acozinha/declaracao-privacidade-clientes/#capitulo-8
xiIDEC. Idec notifica Raia Drogasil, dono da Droga Raia, sobre biometria digital. . DUARTE, Marcella. Droga Raia e Drogasil desistem de pedir biometria para liberar
descontos. Til UOL, de 8 de julho de 2021. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2021/07/08/droga-raia-e-drogasil-desistem-de-impressao-digitalpara-liberar-descontos.htm; G1. Raia Drogasil desiste de pedir impressão digital como forma de liberar descontos. Idec na imprensa, em 25 de junho de 2021. Disponível em:
https://idec.org.br/idec-na-imprensa/idec-notifica-raia-drogasil-dono-da-droga-raia-sobre-biometria-digital. G1 Tecnologia, em 8 de julho de 2021. Disponível em:
https://g1.globo.com/economia/tecnologia/noticia/2021/07/08/raia-drogasil-suspende-coleta-de-impressao-digital-de-clientes.ghtml; KNOTH, Pedro. Exclusivo: Procon-SP
fica insatisfeito com resposta da Drogasil sobre biometria Drogasil afirmou que suspendeu a coleta de biometria, mas ainda usa dado para clube de descontos; Procon-SP diz
que empresa não explicou finalidade. Tecnoblog, em 30 de setembro de 2021. Disponível em: https://tecnoblog.net/noticias/2021/09/30/exclusivo-procon-sp-fica-insatisfeitocom-resposta-da-raia-drogasil-sobre-biometria/;
xiiDUARTE, Marcella. TILT, UOL. Droga Raia e Drogasil desistem de pedir biometria para liberar descontos. Publicado em 08 de julho de 2021. Disponível em:
https://www.uol.com.br/tilt/noticias/redacao/2021/07/08/droga-raia-e-drogasil-desistem-de-impressao-digital-para-liberar-descontos.htm?cmpid=copiaecola
xiiiIT FORUM. Cielo e Drogaria Iguatemi testam pagamento por reconhecimento facial. Publicada em 18 de fevereiro de 2021. Disponível em:
https://itforum.com.br/noticias/cielo-e-drogaria-iguatemi-testam-pagamento-por-reconhecimento-facial/
xivDROGARIA IGUATEMI. Políticas e Termos. Disponível em: https://drogariaiguatemi.com.br/politicas-e-termos
xvPAYFACE. Política de privacidade e proteção de dados. Disponível em: https://payface.com.br/politica-de-privacidade/
À consideração superior.
Brasília, 05 de setembro de 2022.
LUCAS COSTA DOS ANJOS
Servidor em exercício na Autoridade Nacional de Proteção de Dados
De acordo. Encaminha-se o presente processo à Coordenação-Geral de Fiscalização para as providências cabíveis.
Brasília, 11 de maio de 2023.
MARCELO SANTIAGO GUEDES
Coordenador-Geral de Tecnologia e Pesquisa
Documento assinado eletronicamente por Lucas Costa dos Anjos, ANPD – Autoridade Nacional de Proteção de Dados , em 16/06/2023, às 04:40, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
Documento assinado eletronicamente por Marcelo Santiago Guedes, Coordenador(a)-Geral, em 16/06/2023, às 09:26, conforme horário oficial de Brasília, com fundamento no
§ 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
A autenticidade do documento pode ser conferida informando o código verificador 4338751 e o código CRC 7C94A748 no site:
https://super.presidencia.gov.br/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0
Referência: Processo nº 00261.000988/2021-79 SUPER nº 4338751
Nota Técnica 6 (4338751) SEI 00261.000988/2021-79 / pg. 9