Idec notifica Droga Raia por cadastro de biometria de clientes

Idec notifica Droga Raia por cadastro de biometria de clientes. Consumidores foram barrados de aproveitar promoções caso não cadastrassem a digital.

Diante de relatos de consumidores que foram impelidos a fornecer a impressão digital em farmácias, o Idec (Instituto de Defesa do Consumidor) notificou, no último dia 24, extrajudicialmente a rede Droga Raia e acionou a Abrafarma (Associação Brasileira das Redes de Farmácias e Drogarias).
 
O Instituto pede esclarecimentos sobre a coleta e o uso dos dados e a segurança no tratamento dessas informações, além de demandar a interrupção de qualquer ato que viole a LGPD (Lei Geral de Proteção de Dados). A norma entrou em vigor em agosto de 2020 e estipula critérios rígidos para a requisição de informações sensíveis – um conceito que engloba qualquer dado biométrico, como é o caso da impressão digital. A Droga Raia e a Abrafarma têm dez dias corridos para responder.

O que motiva o Idec são denúncias de membros cadastrados e relatos nas redes sociais de pessoas que foram impedidas de conseguir desconto em itens sob a condição de cadastrar o dado, que é sensível segundo a Lei Geral de Proteção de Dados. A notificação é um trabalho conjunto de dois programas da ONG pró-consumidor: as áreas de Saúde e de Telecomunicações e Direitos Digitais.
 
De acordo com o Idec, solicitar dados sem informar claramente o que será feito com eles viola garantias básicas do consumidor, como o direito à segurança, à liberdade de escolha e à informação adequada. De maneira mais específica, a LGPD estipula que qualquer processo de tratamento de dados pessoais deve ser proporcional e adequado às finalidades pretendidas e estar norteado pela transparência, legalidade e segurança dos titulares das informações.

No caso de dados biométricos, as exigências são ainda maiores: antes de dar o seu consentimento, por exemplo, os consumidores têm direito de saber exatamente quais são os riscos de que essas informações sejam vazadas ou utilizadas para outras finalidades. Nos casos analisados pelo Idec, todos esses protocolos foram atropelados.  “Trata-se, como noticiado, de dados pessoais sensíveis dos consumidores, sobre os quais qualquer operação se sujeita à necessidade de consentimento livre, informado, específico e destacado do titular ou o embasamento em uma base legal de forma transparente ao consumidor, o que não ocorre no caso“, diz trecho do documento.

Matheus Falcão, analista de Saúde do Idec, afirma que não existe justificativa nítida para a coleta de digital da Droga Raia; também preocupa o uso do CPF pela farmacêutica. “Não temos nitidez dessa finalidade. A lei [LGPD] exige explicações do uso dos dados. Todo esse cenário bastante nebuloso aumenta nossas preocupações e leva à notificação”, disse Falcão ao Tecnoblog.

Além de notificar o grupo Raia Drogasil, o Idec escreveu uma carta à Abrafarma, para saber se a outras redes e farmacêuticas tem feito a coleta de biometria e CPF. No entanto o Blog Minuto da Segurança teve conhecimento de consumidores que relatou o mesmo procedimento sendo realizado pela Drogasil.

Segundo a UOL, em março, a  jornalista Amanda Rossi foi a uma farmácia na capital paulista como costuma fazer com frequência. Ao passar pelo caixa, veio a surpresa: ela precisaria fornecer a sua biometria ou não teria um desconto significativo nos seus medicamentos. Amanda contou a Tilt que já havia cedido o CPF para a farmácia em troca de descontos generosos. Dessa vez, porém, o pedido de suas informações pessoais foi além “A atendente me disse que o preço era de R$ 48, ‘com desconto’. Mas, para isso, eu precisaria dar a biometria e concordar com o uso dos dados. Nós, cidadãos, não temos muita escolha. Ou abrimos mão de dados pessoais extremamente íntimos sobre a nossa saúde ou temos que pagar R$ 100, R$ 200 a mais, todo mês“, reclamou a jornalista.

O Idec faz coro a outros especialistas de que há um “consentimento viciado”. O instituto vê que a exigência de biometria para aproveitar ofertas prejudica o consumidor, no caso dele não consentir com a demanda. A situação é ainda mais grave, porque as lojas podem estar praticando ofertas de preços inflacionados.

Segundo a reportagem no site do Idec, no Brasil, os preços de medicamentos são predefinidos pela Cmed, um colegiado composto pelos Ministérios da Justiça, Economia, Saúde e a Casa Civil. O órgão é responsável por regular o preço de remédios nas farmácias. Mas, segundo Matheus Falcão, o teto do valor estabelecido pela Cmed é “extremamente elevado” e distante dos custos praticados pelo mercado.

Um desconto dado sobre o preço da Cmed é assim, um desconto falso, o que revela uma distorção econômica. Essa regulação de preços é problemática. Nós criticamos há anos e temos propostas para melhorá-la”, diz o analista do Idec.

E por que a Droga Raia coleta justo a biometria digital?

Além das promoções sobre preços exorbitantes, o instituto pró-consumidor tem algumas hipóteses do porquê a Droga Raia coleta a digital de clientes. Uma delas: a farmacêutica está praticando descriminação de preços. De acordo com o perfil de usuários, elas oferecem descontos diferentes – o uso da biometria é para fazer uma “seleção adversa” da base de consumidores.

Outra possível finalidade ao uso da digital, segundo Falcão, é ter um segundo mecanismo de identificação do consumidor para além da receita. A Anvisa (Agência Nacional de Vigilância Sanitária) determina que farmácias retenham receitas de quem pede por medicamentos de uso controlado. Mas a Raia Drogasil pode usar a biometria para ter uma “segunda opção” de manter a informação do cliente.

Em comunicado ao Tecnoblog, o Encarregado de Proteção de Dados Pessoais (PDO) do grupo Raia Drogasil, Bruno Eduardo Mizga da Silva, diz que os funcionários são instruídos a solicitar o cadastro da biometria “somente nas hipóteses definidas pela Companhia como necessárias ou cabíveis”. A rede diz que fornece treinamentos periódicos e orientações a funcionários para adequá-los à LGPD.

Nos casos relatados pelo Tecnoblog foram os próprios atendentes que justificaram que o cadastro da biometria era para atualização de cadastro devido à LGPD. O mesmo foi ouvido pelo Blog Minuto da Segurança em relação a Drogasil. 

Mas o Idec afirma que esse argumento não é injustificado: “Nossa compreensão é de que o setor [farmacêutico] ainda não explicou muito bem nem a necessidade do CPF e muito menos da digital. Isso passa por explicar a finalidade precisa. Com quem eles são compartilhados?” . O Blog vai mais além nesta pergunta, pois entendemos que biometria em nada acrescenta na finalidade de identificação e cadastro do cliente “se é desconto igual para todos os clientes, este cadastro é ilegal e discriminatório, pois não existe nenhum programa de benefícios ou fidelidade atrelado que justifique a identificação do cliente

Idec já notificou empresas de Saúde por troca de dados

O grupo Raia Drogasil descreve em sua política de privacidade que a biometria é armazenada de forma criptografada e não é compartilhada com terceiros. Mas outras empresas do setor de Saúde, segundo Matheus Falcão, já confessaram a troca de dados sensíveis com empresas parceiras, como laboratórios.

A rede afirmou em comunicado ao Tecnoblog que não compartilha especificamente a biometria com terceiros: “Os dados biométricos captados pela Droga Raia não são utilizados para nenhuma finalidade diversa da inicial (confirmação de identidade do titular de dados) e não são comercializados e nem fornecidos a terceiros.”

Do CPF à biometria, qual é o limite da coleta de dados por empresas?

Especialistas alertam consumidores e empresas para risco de coleta de informações desnecessárias, que podem vazar. 

Já virou quase procedimento padrão o pedido do CPF quando se chega ao caixa de qualquer estabelecimento. Muitas vezes a solicitação vem seguida de outras, como telefone, endereço e e-mail, atrelando o fornecimento de dados à concessão de descontos, comunicação de novidades ou facilidades. E uma nova fronteira começa a ser cruzada: o pedido de biometria.

A prática de solicitar dados pessoais e sensíveis pode parecer inofensiva à primeira vista, por ser tão comum entre varejistas, de farmácias a supermercados e lojas de roupas. Mas, no longo prazo, fornecer essas informações pode custar ao consumidor a sua privacidade. Por isso é preciso exigir das empresas sistemas que garantam sua proteção, que, se não forem implementados, podem por risco os clientes e também o seu negócio.

O Internet Lab com apoio do moz://a e da Open Society Foundations há algum tempo criaram um vídeo de conscientização sobre o uso de dados privados, em especial a biometria. Reproduzimos aqui para ilustrar o caso da Drogaria Raia e das demais drogarias que solicitam este tipo de cadastro.

Como se defender se farmácias exigirem sua digital?

Por fim, o analista de Saúde do Idec diz que para se defender, o consumidor tem o direito de saber qual o motivo da exigência de dados pessoais em farmácias:

Ele pode questionar qual será o desconto antes de fornecer seu CPF e digital. É importante que o consumidor saiba seus direitos e a empresa tem o dever de fornecer as informações. Para onde vão? E por quem serão usados? Nós orientamos a não fornecer dados que não sejam necessários para a transação.”

O prazo dado pelo Idec para as respostas da Raia Drogasil e da Abrafarma é de 10 dias. A partir da devolutiva, o instituo pode confirmar algumas de suas hipóteses relacionadas a tratamento e uso de dados de clientes.

Sobre a notificação do Instituto Brasileiro de Defesa do Consumidor, a Raia Drogasil respondeu ao contato do Tecnoblog com o seguinte posicionamento:

A Raia Drogasil recebeu a solicitação do IDEC e prestará todas as informações pois está adequada aos princípios legais estipulados pela LGPD, tendo compromisso com a privacidade de seus clientes e a transparência em seus negócios.”

Fonte: Tecnoblog & Idec & Convergência Digital

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Multicloud: 76% das empresas utilizam dois ou mais provedores de nuvem - Minuto da Segurança da Informação
  2. 76% das empresas utilizam dois ou mais provedores de nuvem
  3. O que são contêineres de nuvem e como eles funcionam?
  4. Relatório de Segurança da Força de Trabalho Remota 2021
  5. Idec notifica Droga Raia por cadastro de biometria de clientes – Neotel Segurança Digital
  6. Implantação do trabalho remoto exige estratégia e gerenciamento de risco - Minuto da Segurança da Informação
  7. LGPD - Procon do Mato Grosso multa Droga Raia por irregularidade

Deixe sua opinião!