A Autoridade Nacional de Proteção de Dados (ANPD) concluiu no início de fevereiro de 2025 um procedimento de fiscalização sobre redes de farmácias, com a necessidade de ajustes nas práticas de tratamento de dados pessoais no setor.
A investigação, iniciada em maio de 2023, teve como foco principal a empresa RaiaDrogasil S/A, o programa de fidelidade Stix e a Federação Brasileira das Redes Associativistas e Independentes de Farmácias (FEBRAFAR). O objetivo principal do procedimento foi o de avaliar como essas entidades coletam, armazenam e compartilham dados pessoais de seus clientes (entre outras atividades de tratamento), especialmente nos programas de fidelização e nas regras para a concessão de benefícios.
No caso específico da RaiaDrogasil, a ANPD determinou a adoção de medidas preventivas pelo agente de tratamento, que incluem a oferta de alternativas à coleta de dados biométricos para verificação de identidade no seu programa de fidelidade Univers (ou seja, a coleta de outros dados pessoais para o cumprimento da finalidade). Além disso, a empresa deverá fornecer informações claras aos clientes sobre o período de armazenamento de seus dados pessoais. A ANPD também requisitou do controlador mais informações acerca do uso de dados pessoais sensíveis para a criação de perfis e o compartilhamento dessas informações com a empresa RD Ads, pertencente ao mesmo grupo empresarial e que trata os dados pessoais relativos aos hábitos de consumo dos clientes da RaiaDrogasil para o direcionamento de publicidade digital.
Em relação à Stix Fidelidade e Inteligência S.A., a ANPD arquivou o procedimento de investigação, que pode ser retomado se forem apresentados novos fatos e provas.
Para a FEBRAFAR, a ANPD recomendou a reavaliação do consentimento como a base legal utilizada para o tratamento de dados pessoais, sugerindo a adoção de outras hipóteses, tendo em vista a insuficiência da comprovação de obtenção do consentimento livre e informado de seus consumidores titulares de dados. A Federação também deverá melhorar as informações relativas à proteção de dados pessoais em sua plataforma na internet, a fim de facilitar o exercício dos direitos pelos titulares.
Ainda, quanto à RaiaDrogasil, a ANPD instaurou um processo administrativo sancionador, a fim de apurar a ocorrência de atos irregulares, eventuais danos causados aos titulares e, consequentemente, a responsabilidade civil da controladora (as informações sobre o procedimento público e as pessoas jurídicas envolvidas foram divulgadas neste link pela ANPD).
O processo administrativo sancionador pode terminar com um termo de ajustamento de conduta com a empresa controladora de dados pessoais ou com uma decisão da ANPD sobre os fatos apurados. Além dos prejuízos à reputação da empresa causados pela divulgação das infrações cometidas, as sanções previstas no art. 52 da LGPD podem ser de advertência, de multa de até 50 milhões de reais, de bloqueio ou eliminação dos dados pessoais da base de dados do controlador, ou até mesmo de suspensão parcial ou total do banco de dados ou da realização de operações de tratamento, o que pode culminar com a proibição total de qualquer atividade de tratamento de dados pessoais.
Não se trata do primeiro ato apontado como sendo contrário às normas de tratamento de dados pessoais ou de proteção do consumidor praticado por redes de farmácias e drogarias objeto de questionamento administrativo ou judicial no Brasil.
Em dezembro de 2018 (ainda antes da entrada em vigor da LGPD), a Drogaria Araújo foi condenada pelo PROCON/MG ao pagamento de uma multa superior a sete milhões e novecentos mil reais, por condicionar a concessão de descontos ao fornecimento do número do CPF pelos clientes em seu programa de fidelidade. No procedimento instaurado para investigar o caso, concluiu-se que a finalidade principal era a de coletar e tratar dados relativos aos hábitos de consumo, sob o pretexto de oferecer benefícios aos consumidores. Em março de 2019, a controladora firmou um Termo de Ajustamento de Conduta (TAC) com o Ministério Público de Minas Gerais, no qual se comprometeu a deixar de exigir o número de CPF como condicionante para o oferecimento de benefícios, bem como a reformular o seu programa de fidelidade, a fim de informar de forma transparente aos consumidores todos os descontos e promoções, além de permitir de modo claro que os titulares possam – ou não – concordar com o compartilhamento de seus dados pessoais com terceiros.
Mais recentemente, em dezembro de 2024, a RaiaDrogasil foi condenada pelo PROCON/MG ao pagamento de uma multa de quase oito milhões e quinhentos mil reais, igualmente por condicionar a concessão de descontos ao fornecimento do número do CPF pelos clientes em seu programa de fidelidade. No procedimento investigatório, concluiu-se que a coleta do número do CPF é desnecessária para os fins declarados e que a empresa não informou de modo transparente as atividades de tratamento realizadas e eventual compartilhamento dos dados com terceiros (seguradoras, operadoras de planos de saúde etc.).
Ainda sobre o assunto, em uma matéria publicada em setembro de 2023, intitulada de “O que a farmácia sabe sobre mim?”, uma jornalista apurou que a RaiaDrogasil mantinha uma base de dados iniciada em 2009, que continha dados pessoais de mais de 48 milhões de consumidores. A própria jornalista constatou que a empresa tinha uma grande quantidade de dados e informações sobre ela, em 39 páginas de documentos, que continham todas as compras realizadas por ela nas unidades da rede, com dados sobre os seus hábitos de consumo que eram compartilhados com a RD Ads, para o direcionamento de publicidade. Ainda nesta matéria, destacou-se que a promessa de descontos mediante a adesão ao programa de fidelidade era ilusória, porque o preço final dos medicamentos equivaleria ao seu valor de mercado (com o exemplo do medicamento genérico Nimesulida, que tinha uma redução de 73% em seu valor, de R$ 31,78 para R$ 8,50, mediante o fornecimento do número do CPF e a adesão ao programa de fidelidade).
Ao fornecer o número do CPF para concluir a venda de produtos na farmácia, um dado cadastral passa a ser considerado como um dado pessoal sensível, por permitir o acesso ao histórico de compras anteriores do consumidor e, com isso, a dados pessoais relativos à sua saúde. Sobre o assunto, o § 1º do art. 11 da LGPD prevê que “aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica”.
Assim, o consentimento (livre e informado) do titular passa a ser a base legal prioritária para a coleta do número do CPF do titular, tendo em vista que as demais bases listadas no inciso II do art. 11 da LGPD, em princípio, não são adequadas para justificar esse tratamento.
Contudo, o fato que gera a irregularidade não está apenas na coleta do número do CPF por meio do consentimento, mas na maneira como esse dado é solicitado. A prática normalmente impõe ao consumidor titular de dados pessoais uma escolha forçada: ou fornece o seu dado pessoal ou fica impossibilitado de usufruir de descontos e benefícios oferecidos pelo estabelecimento. Essa exigência caracteriza o chamado consentimento "tudo ou nada", considerado ilegal sob a LGPD, pois o consentimento deve ser livre, informado e não condicionado ao fornecimento de vantagens comerciais. A imposição desse tipo de escolha compromete o equilíbrio entre os direitos dos consumidores e os interesses comerciais das empresas.
Em regra, nesses casos, as empresas costumam afirmar que a coleta do número do CPF é necessária para vincular as compras a um programa de fidelidade e garantir que o cliente acumule pontos e usufrua de benefícios personalizados. Para esse fim, o CPF funcionaria como um identificador único, a fim de evitar fraudes ou erros com cadastros de clientes homônimos.
Apesar de ser legítimo que um programa de fidelidade exija alguma forma de identificação do cliente (e que, para esse fim, seja necessária a coleta de determinados dados pessoais, o número de CPF não é o único meio possível. Existem alternativas menos intrusivas, como o número de telefone, o endereço de e-mail ou um número de cadastro interno gerado pela própria empresa.
Alega-se ainda que os controladores ou operadores precisam coletar o número do CPF para cumprir deveres fiscais, como a emissão de nota fiscal e a participação em programas de incentivo fiscal estaduais. Porém, esse argumento é válido apenas se o cliente desejar incluir seu CPF na nota fiscal. No Brasil, a inclusão do número do CPF na nota fiscal é opcional e a empresa não pode condicionar a venda ou o acesso a benefícios ao fornecimento do CPF. Se a justificativa for o cumprimento de um dever legal, a empresa deve informar de forma clara que a inserção do CPF se destina exclusivamente à emissão do documento fiscal e não será usada para outras finalidades sem o consentimento expresso e específico do titular.
As empresas também justificam a coleta do número do CPF como uma forma de prevenir fraudes, sob o argumento de que o dado permite verificar a identidade do consumidor e impedir que terceiros recebam benefícios de modo indevido. A prevenção a fraudes é uma finalidade legítima e uma base legal prevista no art. 11, II, ‘g’, da LGPD (para dados pessoais sensíveis), mas não pode ser utilizada como justificativa genérica para a coleta de dados. Se a empresa deseja utilizar o CPF para esse fim, deve demonstrar que não há meios menos invasivos para atingir a mesma finalidade.
Diversas empresas coletam o número do CPF de seus consumidores para compartilhar os dados pessoais com parceiros comerciais e oferecer produtos e serviços adicionais, como seguros, cartões de crédito e promoções exclusivas para essas pessoas. Porém, esse argumento também não justifica a informação obrigatória do número do CPF pelo titular. Para compartilhar dados com terceiros, a empresa precisa obter um consentimento específico e informado do titular. Caso contrário, o compartilhamento pode configurar tratamento indevido de dados pessoais.
De forma mais específica, as empresas do setor varejista e financeiro alegam que a coleta do CPF é essencial para a análise de crédito, para autorizar pagamentos parcelados e garantir a segurança das transações. Assim, se a compra envolver a concessão de crédito pelo fornecedor / controlador (como um financiamento), o tratamento do número do CPF pode ser justificada, pois há uma base legal legítima para o tratamento de dados (execução de contrato ou proteção do crédito). No entanto, para pagamentos à vista ou com cartão de débito ou crédito, o CPF não é necessário e não deve ser exigido sem justificativa plausível. A LGPD exige que a coleta de dados seja proporcional à finalidade do tratamento, e a mera compra de um produto não justifica a exigência desse dado pessoal.
Portanto, e considerando principalmente o princípio da necessidade (art. 6º, III, da LGPD, nem toda coleta de número do CPF é justificável e válida. O controlador ou operador deve demonstrar de forma concreta e específica por que esse dado é essencial para determinada operação e se não há alternativas menos invasivas. A LGPD não proíbe a coleta do CPF, mas exige que ela seja proporcional, transparente e baseada em uma finalidade legítima.
Em consequência, as empresas que exigem o número de CPF para a concessão descontos e benefícios sem justificativa plausível podem ser responsabilizadas, como aconteceu nos casos acima referidos. As decisões da ANPD e dos órgãos de defesa do consumidor reforçam que o tratamento de dados pessoais deve respeitar os princípios da transparência, necessidade (ou minimização) e finalidade (entre os demais referidos no art. 6º da LGPD), a fim de garantir que os direitos dos titulares sejam respeitados.
Para evitar riscos jurídicos e sanções, as empresas devem avaliar suas práticas e garantir que a coleta de CPF seja realmente necessária, com o fornecimento de alternativas aos titulares, sempre que possível, para obter o consentimento livre e informado dos clientes, quando for a base legal utilizada.
Commentaires