Em maio de 2023, a Autoridade Nacional de Proteção de Dados publicou a Nota Técnica nº 4, que trata sobre a conformidade à LGPD no setor farmacêutico. Nela, a ANPD relata o processo de monitoramento e as reuniões realizadas com instituições representativas do setor, com o objetivo de sugerir boas práticas e esclarecimentos.
A ANPD analisou as políticas de privacidades das empresas do varejo farmacêutico e chegou à conclusão de que ainda havia muita imaturidade em relação à privacidade e à proteção de dados pessoais. Em alguns casos, os websites das organizações do setor sequer disponibilizavam informações sobre suas políticas de privacidade, assim como programas de fidelização não detalhavam as condições de uso dos dados pessoais.
Um ponto que chama a atenção é o fato da ANPD ter indicado que algumas políticas de privacidade não indicavam as bases legais utilizadas para o tratamento de dados pessoais, o que revela o entendimento que a autoridade tem e pode vir a exigir dos controladores de dados pessoais.
Por sua análise preliminar, a ANPD identificou a existência de algumas finalidades não condizentes com o tratamento de dados efetivamente realizado e indícios de coleta excessiva de dados pessoais, incluindo-se sensíveis. Além disso, a necessidade de adequação das políticas de privacidade, para que os titulares tenham efetiva compreensão da coleta e tratamento de dados também foi considerado um ponto-chave para a ANPD.
A Nota Técnica aborda alguns serviços e operações do setor, destacando-se o Programa de Beneficios em Medicamentos (BPM) e os programas de fidelização, onde há um compartilhamento de dados pessoais, dos quais podem-se inferir informações de natureza sensível.
Algumas preocupações foram levantadas, como em relação ao valor do desconto, decorrente de programas de fidelização, serem informados apenas após o fornecimento dos dados pessoais dos titulares – havendo, aqui, menção ao Código de Defesa do Consumidor -, a baixa transparência em relação ao tratamento dos dados nos programas de desconto e fidelização (mais até que em relação à própria base legal adotada), entre outras.
Após tecer suas considerações, a Nota Técnica, assinada pela Coordenação-Geral de Tecnologia e Pesquisa da ANPD, encaminhou-a à a Coordenação-Geral de Fiscalização para eventuais providências cabíveis, estas, relacionadas à atividade de monitoramento da ANPD, que podem, ou não, evoluir a consequências sancionadoras.
Certo é que as primeiras manifestações da ANPD permitem que observe-se inclinações da Autoridade, de modo a promover o amadurecimento de todos os setores, mesmo aqueles que não são objeto do monitoramento em questão.
Já no dia 6 de julho de 2023, foi publicada no Diário Oficial da União a primeira aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados – ANPD.
A ANPD aplicou (i) advertência pela ausência de indicação do DPO pela empresa; (ii) multa de R$ 7.200,00 por infração na atribuição de bases legais; (iii) multa de R$ 7.200,00 por não ter a empresa colaborado com a investigação.
As sanções foram aplicadas a uma microempresa, cuja denominação social e CNPJ foram divulgados no Diário Oficial.
Apesar de não haver a disponibilização do teor do processo administrativo, é possível identificar indícios de entendimentos da ANPD para que as empresas reforcem suas medidas de conformidade à LGPD.