A Autoridade Nacional de Proteção de Dados (ANPD) notificou o grupo RaiaDrogasil na última semana, informando a organização de que abrirá um Processo Administrativo Sancionador contra o conglomerado farmacêutico, para investigar possíveis infrações à Lei Geral de Proteção de Dados (LGPD). O processo é fruto da ação fiscalizadora movida contra a organização desde maio de 2023.
Conforme explica a ANPD em nota, a apuração pretende verificar informações divulgadas à época de que uma empresa do grupo, chamada RD Ads, estaria vendendo publicidade direcionada a perfis de consumidores definidos a partir de históricos de compra e informações básicas dos indivíduos, mantidas pela organização.
Além da possibilidade de sanção, o RaiaDrogasil deverá cumprir uma série de medidas preventivas estabelecidas pela autarquia: O grupo terá de apresentar uma série de informações e documentos sobre como os dados sensíveis operados pela organização estão sendo usados para criar perfis de consumo úteis para a propaganda direcionada.
Além disso, a farmacêutica deverá facilitar o acesso dos clientes a informações sobre o tempo de armazenamento dos dados pessoais entregues e abrir novas possibilidades de verificação de identidade alternativas à biometria para os clientes do programa de benefício farmácia do RaiaDrogasil, o Univers.
“As medidas preventivas aplicadas não são sanções e sim uma determinação expressa da fiscalização da ANPD, indicando as ações que as empresas fiscalizadas devem adotar para corrigir os problemas identificados. O não cumprimento dessas medidas, contudo, pode resultar na abertura de um processo sancionador e no agravamento das sanções eventualmente aplicadas.”, explica o Coordenador-Geral de Fiscalização, Fabrício Lopes.
Em nota enviada hoje (10) à Security Report, o grupo RaiaDrogasil informa que as práticas do grupo estão em conformidade com a LGPD. “Todas as informações são protegidas por um sistema seguro e a identificação pessoal é uma opção do cliente. A empresa permanece à disposição da ANPD para os esclarecimentos que a agência considerar necessários”, acrescenta.
O RaiaDrogasil também já estava na mira, desde 2023, da Secretaria Nacional do Consumidor (Senacon), que questionou o grupo empresarial a respeito das atividades do RD Ads, considerando a conformidade do tratamento desses dados no âmbito da LGPD. Além disso, a Senacon também quis saber quais outras organizações tiveram acesso a tais informações.
A Autoridade Nacional de Proteção de Dados tem movido cada vez mais ações de reparação a incidentes de perda ou mau uso de dados pessoais sensíveis, seja em empresas privadas ou em organizações públicas. Em um exemplo, também relacionado ao setor de Saúde, a ANPD sancionou o Ministério da Saúde pelo não cumprimento da Lei Geral de Proteção de Dados (LGPD). A ação se refere a um incidente de Segurança Cibernética ocorrido em 2022.
Febrafar impactada
O posicionamento da ANPD informa ainda que a Federação Brasileira das Redes Associativistas e Independentes de Farmácias (Febrafar) também está sujeita a cumprir medidas preventivas. O órgão, ao qual o grupo RaiaDrogasil está associado, deverá garantir que outras empresas alinhadas promovam acesso fácil dos titulares a canais de exercício dos direitos digitais.
Além disso, a Autoridade determinou a exposição em seu site oficial das possibilidades de ação dos clientes das farmácias em caso de problemas com privacidade e proteção de dados dentro dessas empresas. A Febrafar não retornou à solicitação de posicionamento da Security Report. Porém, tão logo a associação se pronuncie, essa nota será atualizada.
A Security Report divulga, na íntegra, nota veiculada pelo Grupo RaiaDrogasil:
“As práticas da RD Saúde estão em conformidade com a Lei Geral de Proteção de Dados. Todas as informações são protegidas por um sistema seguro e a identificação pessoal é uma opção do cliente. A empresa permanece à disposição da ANPD para os esclarecimentos que a agência considerar necessários.”
*Com informações da ANPD
