Existe um discurso crescente de que as empresas não estão mais preocupadas com a LGPD (Lei Geral de Proteção de Dados), que as empresas não estão mais dispostas a investir na adequação e que o assunto está em declínio.
Mas a realidade é bem diferente desse cenário, pois os reflexos da não adequação à legislação são noticiados diariamente.
No mês de outubro/2023, só na cidade de Fortaleza/CE, oito farmácias foram multadas por descumprir a LGPD. A aplicação da multa ocorreu três meses após os estabelecimentos terem sido fiscalizados e autuados pelo DECON (Programa Estadual de Proteção e Defesa do Consumidor). Os valores das multas variam entre R$146.457,13 e R$ 659.073,60.
Também no mês de outubro de 2023, em Minas Gerais, após uma longa investigação de fatos e da recusa da empresa em ajustar sua conduta, o PROCON aplicou uma condenação no valor de R$ 8.000.000,00 a uma rede de farmácias por descumprir a LGPD.
Por qual motivo as multas foram aplicadas?
Em meados de julho/2023 foram realizadas fiscalizações em 11 farmácias em Fortaleza/CE e constatou-se que em todas elas havia solicitação de dados pessoais dos clientes, principalmente o CPF, para acesso aos benefícios e descontos dos programas de fidelidade e descontos.
Contudo, detectou-se que não existia informação ao consumidor (titular de dados), de forma clara, objetiva e ostensiva de quais procedimentos são adotados em relação às informações pessoais dos consumidores. A conduta, no entendimento do DECON, fere a Lei Geral de Proteção de Dados Pessoais e desrespeita o direito à informação disciplinado pelo Código de Defesa do Consumidor (CDC).
No caso da rede de farmácias de Minas Gerais, a penalidade foi aplicada pelo mesmo motivo, qual seja, a empresa não explica ao consumidor o que é feito com os seus dados.
Por que esse tipo de cadastro é temerário?
Para se ter ideia, apenas uma das redes de farmácia possui em seu banco de dados informações de mais de 48 milhões de clientes, acumuladas ao longo de 15 anos. Por meio desse banco de dados é possível, por exemplo, saber qual doença um determinado cliente possui, ou qual doença crônica ou sexualmente transmissível ou degenerativa ele possa estar tratando e ninguém sabe se essas informações são compartilhadas com seguradoras de saúde ou laboratórios farmacêuticos para aumentarem os valores cobrados dos consumidores, dentre outras possibilidades.
As penalidades aplicadas se pautam em dois princípios essenciais na proteção de dados pessoais, que são o Princípio da Finalidade e o Princípio da Transparência. Pelo Princípio da Finalidade, o dado deve ser tratado com um objetivo específico e legítimo, sem possibilidade de tratamento diverso.
Já o Princípio da Transparência, tem a intenção de garantir que os titulares de dados terão acesso aos seus dados de forma clara e segura.
Os casos abordados aqui, evidenciam que a LGPD está em plena vigência, a fiscalização está sendo feita e as penalidades estão sim sendo aplicadas, o que só reforça a importância de as empresas estarem em conformidade com a LGPD, de garantir a transparência no tratamento dos dados e de adotar as medidas necessárias para a boa reputação da empresa, evitando assim, a aplicação de penalidades.
Paula Melina Firmiano Tudisco é advogada, possui expertise em Direito Digital e atua no Núcleo de Direito Digital do escritório Küster Machado.