A Autoridade Nacional de Proteção de Dados (ANPD) impôs medidas preventivas à RD Saúde (antiga RaiaDrogasil) e à Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias), ambas sob investigação por suspeita de descumprimento da Lei Geral de Proteção de Dados (LGPD).
A rede de farmácias será obrigada a disponibilizar outra opção de identificação para os clientes do Programa Univers, além da biometria, e a tornar mais acessíveis as informações sobre o período de retenção de dados pessoais. Além disso, deverá apresentar à ANPD documentos detalhando como os dados sensíveis são utilizados para a criação de perfis e sua eventual transmissão à RD Ads, divisão de publicidade do grupo.
Investigação das farmácias
No processo sancionador, a ANPD apura indícios de que a empresa utilizou informações de saúde para segmentar publicidade sem a autorização dos clientes, o que pode representar uma violação à LGPD. A investigação, iniciada em 2023, revelou que a empresa mantinha registros de compras por até 15 anos e os comercializava para anunciantes, possibilitando a veiculação de anúncios personalizados em plataformas como Google, Meta, YouTube e TikTok.
A Febrafar foi instruída a revisar a fundamentação legal para o uso de dados e a ajustar suas políticas de privacidade, garantindo mais transparência e facilidade no acesso dos titulares a seus direitos no site. De acordo com a ANPD, as medidas preventivas não configuram penalidades, mas são exigências para corrigir irregularidades identificadas. O não cumprimento pode resultar em sanções mais rigorosas. Se as infrações forem comprovadas, a RaiaDrogasil poderá receber uma multa de até R$ 50 milhões.
Uso de dados
A empresa afirmou que suas práticas seguem a legislação vigente e que está disponível para prestar esclarecimentos à ANPD. No entanto, o órgão identificou a omissão de informações, principalmente em relação ao período de retenção dos dados, e exigiu que a rede apresente respostas detalhadas sobre o assunto.
Reportagens denunciaram a coleta e o uso indevido de dados para publicidade direcionada, o que motivou a investigação. Além disso, o Procon-MG já havia aplicado uma multa de R$ 8,5 milhões à empresa por solicitar o CPF dos clientes sem esclarecer claramente a finalidade da coleta.
