Após entrar em vigor em setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) tornou-se realmente obrigatória e passível de multa desde o último dia 1º de agosto. E o cenário nas farmácias e drogarias é bem preocupante. Segundo a última enquete do Panorama Farmacêutico, sete entre dez empresas do setor não estão 100% adequadas à norma.
Dos 2.995 profissionais do canal farma que se manifestaram, somente 27% (295) declararam que sua empresa está em dia com todos os protocolos relativos à LGPD. Outros 47% (1.414) estão parcialmente adaptados. Em situação de maior risco estão os 26% (786) que afirmam que o processo está ainda em fase inicial ou nem começou.
Esse último grupo, aliás, está especialmente sujeito a enfrentar a realidade de uma rede de farmácias no Mato Grosso. Em julho, a empresa recebeu a indigesta penalização de R$ 572.680,71. Motivo? Suas lojas teriam coletado dados pessoais dos consumidores alegando se tratar de atualização cadastral, mas sem obter o aval para o uso dessas informações, conforme exigido pela nova lei.
Um detalhe importante: o responsável por aplicar a multa foi o Procon-MT. “Isso contraria um entendimento comum no setor, de que só a Autoridade Nacional de Proteção de Dados (ANPD) teria esse poder. Essa prerrogativa estende-se a órgãos como o Procon e o IDEC”, comenta Martha Carbonell, CEO da consultoria Law 360º.
Legislações complementares
Se não bastasse a LGPD, outras legislações já regulam a atividade de gestão de dados nas farmácias e drogarias. É o caso da Lei estadual nº 17.301/2020, que proíbe os estabelecimentos do estado de São Paulo a exigir o CPF do consumidor no ato da compra, sem informar de forma adequada e clara sobre a concessão de descontos e a finalidade de obtenção dessas informações.
A Lei vai além e determina que esses estabelecimentos fixem avisos de fácil compreensão e leitura com os seguintes dizeres: “PROIBIDA A EXIGÊNCIA DO CPF NO ATO DA COMPRA QUE CONDICIONA A CONCESSÃO DE DETERMINADAS PROMOÇÕES”. “E a multa é dobrada em caso de reincidência”, adverte Martha Carbonell. Além disso, o próprio Código de Defesa do Consumidor já previa a abusividade de tal conduta.
“A empresa deve criar um canal exclusivo para o atendimento das solicitações dos titulares de dados pessoais, tais como correção, atualização, portabilidade, exclusão (quando possível) e outros. Da mesma forma, a empresa deve nomear um profissional responsável pela área de “proteção e privacidade de dados pessoais”, chamado pela LGPD como “encarregado de dados”, o DPO (Data Protection Officer)”, observa a especialista.
Fonte: Redação Panorama Farmacêutico
Publicado em 23/10/2021