A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 07/02/2025 a Nota Técnica nº 6/20251, resultado de um processo de fiscalização iniciado em 2023 para investigar a coleta, armazenamento e compartilhamento de dados pessoais por redes de farmácias e programas de fidelidade. A investigação envolveu grandes players do setor, como RaiaDrogasil, STIX Fidelidade e Febrafar, e trouxe à tona preocupações significativas sobre a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
Pontos de destaque da Nota Técnica
A ANPD identificou várias práticas de tratamento de dados pessoais que podem estar em desconformidade com a LGPD, incluindo:
Coleta de Biometria: A RaiaDrogasil foi apontada por coletar dados biométricos de clientes sem fornecer alternativas menos invasivas para verificação de identidade.
Armazenamento de Dados: A fiscalização destacou que os prazos de retenção de dados não são claramente informados aos titulares, o que viola os princípios da transparência e do livre acesso previstos na LGPD.
Compartilhamento e Perfilização: Foi constatado que históricos de compras de clientes estão sendo utilizados para criar perfis de consumo e direcionar publicidade de terceiros, sem um consentimento adequadamente informado, sendo questionada a monetização de dados sensíveis dos consumidores.
Providências determinadas pela ANPD
Como resultado das investigações, a ANPD determinou a adoção de Medidas Preventivas, incluindo:
Para RaiaDrogasil: Disponibilização de mecanismos de verificação de identidade alternativos à coleta de biometria; Disponibilizar aos titulares de dados um canal no Portal da Privacidade para obtenção de informações sobre o tempo de armazenamento dos dados pessoais tratados; Apresentar a ANPD os seguintes documentos: Política de Retenção de Dados Pessoais; (ii) Tabela de Temporalidade; e (iii) Política de Retenção e Descarte de Dados Pessoais; Apresentar informações detalhadas sobre o tratamento de dados pessoais sensíveis para fins de criação de perfis comportamentais; (ii) do compartilhamento de dados com a empresa Rd Ads; (iii) da oferta de publicidade direcionada para empresas terceiras.
Para a Febrafar: Reavaliação da hipótese legal para o tratamento de dados e a melhora no fornecimento de informações relativas à privacidade e proteção de dados e o exercício de direitos do titular em seu site, facilitando o exercício de direitos; Atuar para garantir que suas associadas também promovam o acesso facilitado do titular a canal para o exercício de seus direitos.
Caso as medidas não sejam adotadas, as empresas podem estar sujeitas à instauração de processos administrativos sancionadores, com possibilidade de aplicação de multas e outras penalidades.
A RaiaDrograsil responderá ainda a processo administrativo sancionador, que irá investigar possíveis infrações da RaiaDrogasil à LGPD relacionadas à formação de perfis comportamentais a partir de dados pessoais sensíveis, a fim de ofertar publicidade direcionada com objetivo de obter vantagem econômica.
Impactos para o Mercado
A decisão da ANPD reforça a necessidade de uma governança sólida em proteção de dados para empresas que atuam com dados pessoais e sensíveis. O caso também serve como alerta para outros setores que utilizam programas de fidelização e estratégias de marketing baseadas em dados pessoais, destacando a importância da transparência e do respeito aos direitos dos titulares.
O RRA_ segue acompanhando de perto os desdobramentos desta fiscalização e está à disposição para auxiliar em qualquer dúvida, garantindo segurança jurídica e a conformidade regulatória.
Comments