3 lições de privacidade no caso do processo de fiscalização da RaiaDrogasil

Por Marison Souza, sócio-fundador da Privacy Tools

A privacidade sempre foi um tema crítico no setor de saúde, mas o recente processo de sanção da ANPD (Autoridade Nacional de Proteção de Dados) contra a RaiaDrogasil é um sinal de alerta para advogados e empresas que atuam no segmento, seja farmacêutico ou de saúde de modo geral.

A fiscalização iniciada em 2023 revelou que a rede utilizava dados de saúde dos clientes para direcionar publicidade, sem a base legal adequada. A prática, além de ferir princípios basilares da LGPD, coloca em xeque a confiança do consumidor e abre um precedente perigoso para o mercado. A questão que se impõe não é apenas sobre a legalidade da ação, mas sobre a forma como o uso indevido de dados pode resultar em penalidades e abalar a reputação de uma empresa desse porte.

Embora a LGPD seja uma lei do Brasil, a importância de cuidar da privacidade e proteção de dados é uma necessidade global. No Reino Unido, antes do Brexit, a empresa farmacêutica Doorstep Dispensaree Ltd foi multada em 275 mil libras pelo Information Commissioner’s Office (ICO) por armazenar de forma incorreta dados sensíveis de saúde onde aproximadamente 500 mil documentos contendo nomes, endereços, datas de nascimento, números de identificação e informações médicas foram encontrados em locais de livre acesso nos fundos da empresa, expostos ao tempo e sem qualquer proteção adequada.

Assim como a ANPD, outras autoridades ao redor do mundo fazem um trabalho de educação nos setores para apoiar na adequação das empresas. A autoridade espanhola (AEPD), por exemplo, reconhece a importância da autorregulação e incentiva a adoção de códigos de conduta específicos para setores mais sensíveis como esse. Um exemplo é o Código de Conduta da Farmaindústria, que estabelece diretrizes específicas para o tratamento de dados pessoais em pesquisas clínicas e atividades de farmacovigilância.

Leia também: ANPD mantém suspensão de pagamento por coleta de íris no Brasil

Lição 1 – Legítimo interesse precisa de balanceamento justo

Se há algo que este caso ensina, é que o conceito de “legítimo interesse” não pode ser usado como carta branca para exploração comercial de dados sensíveis ou mesmo dados pessoais “comuns”. Empresas que lidam com informações de saúde devem compreender que esse tipo de dado exige um nível elevado de proteção e que a transparência deve ser absoluta.

Não se deseja que todo tratamento de dado pessoal seja amparado por consentimento explícito, mas usar uma hipótese de tratamento de dados como “bengala” sem que exista um balanceamento claro entre o interesse do cliente e o interesse comercial não é uma prática que será bem vista pelo regulador, seja aqui ou em qualquer lugar do mundo.

Lição 2 – Reputação pesa mais do que a multa

Embora existam diversos exemplos de multas aplicadas em empresas farmacêuticas e de saúde na GDPR, muitas com valores inexpressivos, alguém está preocupado com eventual multa contra uma das maiores redes de farmácias do Brasil? O maior impacto é a reputação da empresa que em menos de uma semana apareceu nos principais veículos de comunicação, até mesmo os mais populares, como uma empresa que não protege dados pessoais.

Convenhamos, é de conhecimento do nosso segmento que a adequação de qualquer empresa deste porte é um desafio gigantesco e mesmo empresas do tamanho da RaiaDrogasil, que investem pesado em práticas de governança corporativa e privacidade, vão acabar sendo fiscalizadas. Mesmo outras redes de farmácias que ao longo dos últimos anos também investiram em programas de privacidade muito robustos, cedo ou tarde vão precisar apresentar explicações mediante uma fiscalização e isso não significa que elas estejam cometendo alguma ilegalidade antes que se prove o contrário.

Por isso é importante que essas empresas tenham uma estrutura forte e séria de privacidade uma vez que o tratamento de dados é o coração pulsante desse tipo de negócio.

Esse é o ônus de um setor altamente regulado e que trata e compartilha dados sensíveis junto com interesse comercial.

Lição 3 – A expectativa do cliente no centro

A transparência não pode ser uma formalidade, mas uma prática efetiva e contínua. Advogados e profissionais de privacidade que assessoram empresas na adequação à LGPD devem reforçar, principalmente com os responsáveis pelo marketing e comercial das empresas, que não basta obter um aceite genérico dos clientes para coleta de dados, é essencial que eles compreendam exatamente como seus dados serão usados e tenham controle sobre isso.

Isso é um grande desafio. Em um país onde a cultura de privacidade ainda é nascente, como garantir que todos os clientes, independentemente do grau de instrução e do acesso aos meios digitais, consigam saber com transparência sobre como seus dados serão utilizados e como isso poderá afetar a sua vida?

Não me parece ser uma responsabilidade exclusiva de uma empresa essa missão, mas uma obrigação compartilhada com o poder público, que deve atuar ativamente na fiscalização, na regulamentação clara e na promoção de uma cultura de proteção de dados, garantindo que os direitos dos cidadãos sejam respeitados.

Isso significa que a defesa da conformidade não se resume à letra da lei, mas também à percepção social sobre as práticas das empresas, então, se você conduzir o seu programa de privacidade levando em conta a expectativa como ponto de partida, a tendência é que tenhamos práticas mais transparentes.

No fim das contas, a lição mais importante que tiro deste caso pode ser resumida em uma pergunta: de que lado sua empresa quer estar quando a privacidade do consumidor estiver em jogo?