Que atire a primeira pedra quem nunca se dirigiu até uma farmácia para comprar um medicamento e foi questionado a informar seu CPF para ganhar um desconto. Essa é uma prática comum — discutida, inclusive, desde 2018, quando a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) decidiu abrir um inquérito para investigar tal prática. O medo de Frederico Meinberg Ceroy, coordenador da Comissão, era de que as empresas estariam compartilhando dados médicos sigilosos com terceiros.
Bom, de lá para cá, não tivemos mudanças significativas. O tal inquérito sumiu, as drogarias continuam recolhendo CPFs livremente e o data broking — como é chamado formalmente a troca de dados pessoais entre duas ou mais empresas, com finalidades comerciais — continua rolando solto. Porém, temos um fator importante aqui: a Lei Geral de Proteção de Dados Pessoais (LGPD) vai entrar em vigor em agosto desde ano, e essa festa generalizada não poderá mais ocorrer.
O compartilhamento indevido de dados médicos é muito mais grave do que qualquer outro tipo de informação pessoal. A corporação que saiba quais doenças você tem (ou quais doenças você possa vir a ter no futuro) pode muito bem se basear nisso para, por exemplo, aumentar o valor de seu plano de saúde ou afins. Isto, inclusive, acontece se aquele medicamento de tratamento de câncer não for para você, mas sim para sua avô: o convênio saberá que ele foi adquirido em seu nome e pode aumentar sua mensalidade de forma aleatória.
O mesmo ocorre com bureau de crédito: eles podem muito bem negar empréstimos e financiamentos ao saber, através de seus hábitos de compra de medicamentos, que sua expectativa de vida é menor. Em 2o18, em um encontro de especialistas no debate USP Talks, o advogado Dennys Marcelo Antonialli afirmou que "não há proteção para que elas [as farmácias] vendam nossas informações, dos nossos documentos, para seguradoras".
Experiência incômoda
Este editorial parte de uma experiência pessoal deste repórter que vos escreve — algo incomum de acontecer na The Hack, mas que, neste episódio em específico, merece um pouco de atenção. Tudo começou quando me dirigi até uma Drogaria São Paulo para adquirir um medicamento, e, como esperado, no momento da compra, meu CPF fui requisitado para a concessão de um desconto. Questionei qual seria o uso dessa informação, de qual forma ela seria armazenada, quais cuidados técnicos seriam tomados e… Naturalmente, ninguém sabia de nada.
“É para nosso programa de fidelidade”, explodiu o atendente. “Se não quiser, é só não informar”.
Em tempos de preocupação popular e legislativa sobre a segurança de dados pessoais, uma resposta deste naipe não me parece ser um tratamento adequado para o consumidor. Temos o pleno direito de saber todos os detalhes que requisitei. Enfim, após adquirir o medicamento — sem desconto — retornei até minha residência. Foi aí que começou a minha saga para entender, de forma específica e aprofundada, como é feita a coleta, armazenamento e processamento de dados pessoais por parte da Drogaria São Paulo, já que ela foi a principal investigada pelo MPDFT.
Muitos problemas, poucas soluções
Ao longo de minha interação com a rede, a própria trocou de assessoria de imprensa duas vezes. A segunda delas, inclusive, me ignorou durante meses por email, telefone e WhatsApp, encontrando as desculpas mais obscuras para não atender a um pedido extremadamente simples de um jornalista: ter uma conversa pessoal com um executivo da companhia. A ideia era realizar uma série de questionamentos, incluindo:
- Para que exatamente são usados os dados requisitados dos clientes na hora da compra de um medicamento? Eles são compartilhados com terceiros
- Como esses dados são armazenados e tratados? Em que tipo de infraestrutura (servidor próprio, ambiente na nuvem etc.)? Os responsáveis pelo tratamento de dados são terceirizados ou são colaboradores internos?
- Quais são as medidas adotadas pela Drogaria São Paulo para resguardar a segurança desses dados (políticas internas de segurança da informação, planos de gestão de incidentes, conformidade com normas internacionais**** como ISO IEC 27001-2 etc.)?
- Atualmente, ao realizar o cadastro em uma loja física da Drogaria, não há uma ferramenta de consentimento explícito provando que o cliente autorizou a coleta, armazenamento e processamento de dados****, tratando-se apenas de um contrato verbal. Vocês pretendem implementar algum controle mais sofisticado, especialmente levando em conta a chegada da LGPD?
- Advogados consultados pela The Hack afirmam que o contrato e o regulamento do programa de benefícios precisa estar disponível impresso**** e para livre consulta por parte do consumidor em todas as lojas da rede. Vocês pretendem implementar isso?
- A Drogaria São Paulo foi alvo de uma investigação da Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) em 2018, justamente pela suspeita de compartilhar dados com terceiros (como operadoras de convênios e planos de saúde). Poderiam dizer que fim teve tal investigação e se ela era fundamentada?
- A estratégia de compliance da Drogaria inclui uma capacitação mais apurada dos funcionários da rede a respeito do assunto?
No fim das contas, a resposta foi inacreditável: após explicar que existe um time cuidando das adequações da LGPD, a rede concordou que levantamos alguns pontos problemáticos (incluindo a falta de um regulamento impresso do programa e a inexistência de treinamentos dos funcionários) nos foi informado que eles só iriam conversar com a The Hack quando esse grupo de trabalho avançasse em seus projetos.
Bom, se há um buraco na rua atrapalhando o fluxo de automóveis, não há sentido conversar com o prefeito da cidade apenas quando ele estiver consertado, mas tudo bem. O máximo que conseguimos — após muito esforço — foi o seguinte comunicado oficial:
O objetivo do programa de relacionamento Viva Saúde é estreitar o relacionamento com os clientes, promovendo ofertas exclusivas e descontos em produtos, bem como conteúdo personalizado para ajudá-los na prevenção e nos cuidados com a saúde e bem-estar. O acesso ao programa é de livre escolha e acontece por meio de um cadastramento simples no aplicativo Meu Viva Saúde, não estando condicionado a um valor mínimo de gastos ou acúmulo de pontos.
Os dados cadastrais fornecidos pelos clientes no aceite do programa, bem como seus bancos de dados internos relacionados ao uso do aplicativo, são confidenciais e armazenados em ambiente seguro, para fins exclusivos da administração do programa de relacionamento.
A Drogaria São Paulo preza pelo atendimento de excelência em suas lojas e já reforçou o treinamento das equipes para assegurar que todas as informações a respeito do programa de relacionamento Viva Saúde sejam passadas corretamente aos clientes, como é o padrão da companhia.
Sua observação quanto ao regulamento impresso nas lojas foi devidamente absorvida pelos times internos da empresa, que está implementando essa adequação internamente - mas é importante frisar que a companhia disponibiliza o documento em seus canais digitais. Agradecemos pela contribuição, a Drogaria São Paulo está sempre buscando melhorias e a opinião de seus clientes é muito importante.
A respeito da LGPD, assim como as demais empresas brasileiras, a companhia está em fase de adequação às novas regras até que a legislação entre em vigor.
De fato: o cadastro de tal programa Viva Saúde é feito pela internet, mas seu regulamento é um tanto vago no que diz respeito ao uso, armazenamento e manipulação de informações de cunho sensível dos clientes da rede de farmácias. Além disso, é necessário perceber que há uma diferenciação entre o Programa Viva Saúde e a requisição do CPF feita no momento da compra.
De acordo com a assessoria da Drogaria São Paulo, esse segundo ato é feito para verificar se o cliente possui um perfil de desconto através de uma base de dados compartilhadas com planos de saúde, como SulAmérica e Amil. Ou seja: mesmo sem a devida e expressa autorização dos cidadãos, os convênios brasileiros, de fato, compartilham dados com clientes de farmácias. Não foi possível confirmar se a informação da compra é enviada para o convênio.
E aí, como fica?
Em suma: o processo de coleta, armazenamento e uso de dados sigilosos por parte da Drogaria São Paulo continua obscuro. Não há um instrumento legal que comprove que os clientes concordaram em usar seus dados ao informá-los em uma loja física (diferente, por exemplo, da Drogasil, que já implementou uma notinha física impressa em cada compra); não há regulamentos físicos nas lojas detalhando o programa Viva Saúde, algo exigido por lei; não há informações claras sobre como ocorre o compartilhamento de informações com bancos de convênios e planos de saúde e assim por diante.
Infelizmente, até o momento, a The Hack não conseguiu uma entrevista mais elaborada com um executivo da companhia. Continuaremos com tal investigação e traremos mais novidades em breve.