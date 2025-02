A ANPD (Autoridade Nacional de Proteção de Dados) instaurou um processo de sanção e um auto de infração contra a RaiaDrogasil.

As medidas foram tomadas após fiscalização, iniciada em 2023, sobre o uso de dados de saúde para direcionar propaganda sem conhecimento dos clientes.

Órgão cita reportagem do UOL, que revelou a prática.

O que aconteceu

A abertura do processo de sanção significa que a ANPD encontrou 'fortes indícios' de irregularidades. A decisão foi tomada no âmbito de uma fiscalização iniciada em 2023. Desde então, o órgão solicitou informações, documentos e esclarecimentos à RaiaDrogasil. Em 5 de fevereiro, ao concluir a fiscalização, optou pela medida mais drástica, que é o processo de sanção, com auto de infração.

O principal problema é a identificação do perfil de saúde do cliente — a partir do CPF — para direcionar publicidade de terceiros. Como o UOL revelou, a RaiaDrogasil armazenava até quinze anos de dados sobre tudo o que cada cliente comprava. Em seguida, os dados eram monetizados para anunciantes. Na prática, era possível direcionar anúncios digitais — no Google, na Meta, no YouTube, no TikTok — para quem comprou um determinado remédio.

Segundo a ANPD, há 'possíveis infrações' à LGPD (Lei Geral de Proteção de Dados). "Instaure Processo Administrativo Sancionador (...) para investigar possíveis infrações à LGPD relacionadas à suposta prática de perfilização comportamental a partir de dados pessoais sensíveis, sem o devido amparo legal, a fim de ofertar publicidade direcionada com contrapartida financeira", determinou a ANPD.

Se a ANPD concluir que houve, de fato, infrações, a RaiaDrogasil pode ser multada, no valor máximo de R$ 50 milhões. "Caberá à ANPD majorar uma sanção que corresponda adequadamente ao dano perpetrado pela empresa ao longo de anos", diz Lucas Marcon, advogado do Idec (Instituto Brasileiro de Defesa do Consumidor). Mas a ANPD também pode aceitar a defesa da empresa e arquivar o caso.

RaiaDrogasil diz que vai 'comprovar a seriedade e o compromisso que tem'. Em nota enviada à reportagem, a rede de farmácias disse que todas as suas práticas estão em conformidade com a LGPD (Lei Geral de Proteção de Dados).

O histórico de compras de produtos farmacêuticos é capaz de revelar informações relativas à saúde ou à vida sexual do consumidor. (...) Por fim, importa ressaltar que 'é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica'.

ANPD, em decisão sobre a RaiaDrogasil, em 5 de fevereiro

As práticas da RD [RaiaDrogasil] Saúde estão em conformidade com a Lei Geral de Proteção de Dados. Todas as informações são protegidas por um sistema seguro e a identificação pessoal é uma opção do cliente. A empresa permanecerá à disposição da ANPD para comprovar a seriedade e o compromisso que tem com a adequação de suas práticas

RaiaDrogasil, em nota enviada ao UOL

RaiaDrogasil omitiu dados à ANPD

ANPD disse haver indícios de que a Raia Drogasil 'omitiu informações' ao órgão público. Ao ser questionada pela ANPD, a rede de farmácias disse que seus clientes autorizaram o uso de dados para "envio de comunicações com conteúdo e ofertas personalizadas". Porém, a ANPD disse ter identificado "elementos que sugerem a utilização dos dados pessoais e do histórico de compras dos clientes (...) para fins de perfilização para publicidade direcionada a clientes por empresas terceiras".

Entrevista publicada pelo UOL com o CEO da RD Ads, empresa do grupo RaiaDrogasil, ajudou a montar o quebra-cabeça. "O CEO ressalta que a publicidade direcionada não é restrita aos canais de comunicação da RaiaDrogasil", mas contempla "Google, Meta, YouTube e TikTok", diz o relatório da ANPD. "Essa modalidade é elaborada a partir do cruzamento da base de clientes da RaiaDrogasil com a base da audiência das plataformas em questão".

Após investigação do UOL, a RD Ads mudou de nome, para Impulso, e trocou o CEO. Segundo comunicado oficial, Vitor Bertoncini se desligou da RaiaDrogasil e foi para Portugal. O site da nova empresa não faz qualquer menção à RD Ads. "Somos uma das empresas pioneiras nesse mercado no Brasil (...) aproximando grandes marcas dos segmentos de saúde, beleza e bem-estar de seus verdadeiros clientes".

Além do processo de sanção, ANPD emitiu uma 'solicitação de regularização' para a RaiaDrogasil, cobrando mais informações sobre a RD Ads. Órgão quer que a RaiaDrogasil detalhe o funcionamento da operação.

RaiaDrogasil também não respondeu à ANPD por quanto tempo armazena os dados, alegando que isso afeta sua 'segurança'. Órgão refutou os argumentos. Disse que tem prerrogativa de fiscalizar a empresa e que "não vislumbra quaisquer razões para que o tempo de armazenamento dos dados ou duração do tratamento sejam considerados segredo comercial ou industrial".

Sigilo sobre tempo de armazenamento dos dados fez ANPD expedir mais duas 'solicitações de regularização'. RaiaDrogasil deverá apresentar informações detalhadas ao órgão público. Também deverá fornecer aos clientes, de forma clara, o período de tempo pelo qual cada tipo de dado é armazenado. Investigação do UOL demonstrou que os registros de compra eram mantidos pela rede de farmácias por pelo menos 15 anos.

Em uma quarta 'solicitação de regularização', ANPD solicita que a RaiaDrogasil disponibilize alternativas à biometria. Hoje, a rede de farmácias exige a digital para realizar algumas operações. Segundo a decisão, a RaiaDrogasil deve implementar "outras formas menos intrusivas à privacidade do titular de dados e igualmente capazes de assegurar a segurança".

A decisão da ANPD constatou que a RaiaDrogasil apresentava apenas meia verdade. Na coleta de dados pessoais sensíveis, e sobretudo no compartilhamento para fins próprios e publicitários pela empresa, há diversas violações de direitos.

Lucas Marcon, advogado do Idec (Instituto Brasileiro de Defesa do Consumidor)

A instauração de processos de sanção pela ANPD não é frequente. São pouquíssimos casos até agora -- as regras são de 2023. Quando isso ocorre, significa que a ANPD entendeu que tem elementos suficientes de que há uma ação passível de sanção. Só abrem quando há indícios fortes [de irregularidades].

Pedro Martins, coordenador acadêmico da Data Privacy Brasil

Procon-MG multou RaiaDrogasil

Em novembro de 2024, o Procon de Minas Gerais multou a RaiaDrogasil em R$ 8,5 milhões por exigir CPF de clientes. "Os autos de fiscalização eletrônica demonstram que o fornecedor exige o CPF de consumidores de forma indiscriminada", diz decisão do órgão mineiro.

Para o Procon-MG, a prática gera a 'captura dos hábitos de consumo' de remédios, sem que o cliente saiba, o que representa uma 'grave ameaça à privacidade'. O órgão também viu "abuso da boa-fé do consumidor", já que a farmácia informa o cliente que a exigência do CPF visa a "obtenção de descontos".

Ao Procon-MG, a RaiaDrogasil disse que 'não condiciona a concessão de descontos e promoções em geral ao fornecimento de dados pessoais'. A rede de farmácias já havia dado essa justificativa à Senacon (Secretaria Nacional de Defesa do Consumidor), ligada ao Ministério da Justiça, que acionou a empresa após as reportagens do UOL.