LGPD, fiscalização e tratamento de dados no setor farmacêutico
21 de julho de 2022, 13h22
Diariamente farmácias são fiscalizadas. Seja em decorrência de denúncias de clientes que se sentem lesados com a utilização e tratamento de seus dados pessoais ou pelo frequente acompanhamento de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) por órgãos de fiscalização, como a Secretaria Nacional do Consumidor (Senacon), o Ministério Público e a Autoridade Nacional de Proteção de Dados (ANPD).
Essa preocupação com a coleta de dados pessoais pelo segmento farmacêutico existe antes mesmo do surgimento da LGPD, instituída com o advento da Lei nº 13.709/2018 [1], inspirada no Regulamento Geral de Proteção de Dados Europeu, popularmente conhecido como GDPR. Contudo, essa preocupação com o fluxo de dados gerido por empresas farmacêuticas foi aflorada com o surgimento da nova regulamentação.
Além de princípios, diretrizes e bases legais para manipulação de dados, a respectiva legislação conta com rol de sanções administrativas aos agentes de tratamento, caso não seja respeitado o direito de tratamento adequado do titular, conforme previsão do artigo 52, inciso II da LGPD [2].
Para organizar o procedimento de fiscalização do cumprimento das medidas previstas na aludida lei, em 28 de outubro de 2021 foi disponibilizado o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, publicado por meio da Resolução CD/ANPD nº 1/2021 [3]. O objetivo foi estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD.
O regulamento se aplica aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado e demais interessados no tratamento de dados pessoais com três principais pilares: orientar, prevenir e reprimir.
Algumas definições são adotadas de forma distinta pelo regulamento, tais como: (1) denúncia, como comunicação feita à ANPD, seja por pessoa natural ou jurídica, sobre potencial violação à LGPD; (2) reclamação, feita pelo titular dos dados pessoais relativamente à questão apresentada por ele, mas não solucionada pelo agente de tratamento; e (3) representação, que se refere à comunicação feita por autoridades públicas à ANPD sobre potencial violação à LGPD.
Dentro do processo de fiscalização, há previsão de que em caso de atuação repressiva, a ANPD instaurará processo administrativo sancionador com trâmite e prazos similares ao Código de Processo Civil, como dias úteis para contagem de prazos, possibilidade de apresentação de recurso administrativo e até mesmo a assinatura de um termo de ajustamento de conduta (TAC).
Embora exista uma autoridade responsável pela fiscalização do tratamento aplicado aos dados pessoais, bem como um regulamento próprio para essa fiscalização, tais fatos não afastam a possibilidade de outros órgãos fiscalizarem e aplicarem sanções em determinadas situações, consubstanciado nos direitos e deveres previstos na LGPD e no Código de Defesa do Consumidor, além de outros normativos afetos ao ambiente regulado, como CVM e ANS, por exemplo.
A possibilidade de atuação conjunta é reforçada até mesmo no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, como a competência fiscalizatória para atuação com autoridades de outros países e com órgãos e entidades públicas [4].
Inclusive, vale ressaltar que cada Ministério Público estadual, após uma fiscalização em que for identificado um tratamento inadequado, pode, após devida fundamentação, lavrar um auto de infração com base em decretos estaduais que disciplinam os procedimentos a serem observados na lavratura deste procedimento administrativo.
Na mesma toada, o Sistema Nacional de Defesa do Consumidor (Sindec), órgão vinculado ao Ministério da Justiça, opera nada menos que 675 [5] unidades de fiscalização que, tranquilamente, podem dar ensejo às mais variadas investigações envolvendo ofensas ao direito do consumidor e, quando cabível, também ao previsto na LGPD.
As multas aplicadas pelo Ministério Público ou outros órgãos podem variar de acordo com a dosimetria das penalidades. Porém, tal previsibilidade ainda não foi definida no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD, mas se faz necessária para indicar quais ações ensejariam em uma multa mínima, média ou máxima.
A dosimetria da pena é importante para permitir que a empresa fiscalizada e sancionada possa exercer o seu direito de apresentar defesa, com base nos princípios do contraditório e da ampla defesa previstos na Constituição [6].
Especificamente no âmbito farmacêutico, como as empresas que operam nesse segmento, tratam, em determinadas ocasiões, dados pessoais sensíveis [7] e coletam um número considerado de CPFs, seja pela necessidade de identificação do titular responsável pela compra de medicamento controlado, ou para concessão de descontos de programas do governo, bem como de programas de desconto da própria empresa ou de empregadores, mister se torna a necessidade de adequação à LGPD para não correrem o risco de serem sancionadas pelos órgãos fiscalizadores.
Frise-se que mesmo empresas sólidas que já mantêm seu inventário de dados atualizado e disponibilizam atendimento adequado via canal com DPO sofrem com procedimentos investigativos sem metodologia, desproporcionais e descabidos, sendo certo que companhias sem adequação mínima tendem a receber uma carga ainda mais abrupta de processos e sancionamentos.
Por isso, é importante que todas as empresas que fazem parte deste setor se adequem ao que exige a legislação, bem como se familiarizem com o Guia de Boas Práticas de Proteção de Dados na Indústria Farmacêutica [8] elaborado pela Interfarma e Sindusfarma antes mesmo da realização de uma fiscalização pelos órgãos mencionados.
Em decorrência de especificidades do setor, o segmento farmacêutico deve ater-se às regras relacionadas ao cumprimento de ofertas subsidiadas pelo Estado, como é o caso do conhecido programa Farmácia Popular, que para viabilizar a venda de medicamentos subsidiados, impõe às farmácias a coleta de uma série de dados do comprador, já que este goza de um benefício decorrente de política pública que deve ser mensurada e bem delineada [9].
Em um dos mais emblemáticos casos envolvendo investigações do segmento, o Ministério Público do Distrito Federal e dos Territórios (MP-DF), por meio da Unidade Especial de Proteção de Dados e Inteligência Artificial, determinou o arquivamento do inquérito civil que questionava redes de farmácias por condicionar descontos à apresentação do CPF, já que após longa investigação, identificou-se que as empresas alvo do inquérito guardavam estreito cumprimento à legislação [10].
Assim, diante das nuances de atuação do setor e da insistência em se investigar as práticas adotadas por empresas do ramo, bem como sopesando as sanções aplicadas pela própria ANPD (que podem variar de advertência, publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados, proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados e multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitado a R$ 50 milhões, é imperiosa a regular adequação e apresentação de defesa técnica das empresas atuantes no setor.
Nada obstante, como visto acima, o cenário de sancionamento às referidas empresas pode ser ainda mais gravoso, já que o Ministério Público de cada Estado pode aplicar sanções pelos mesmos fatos, sem prejuízo da atuação da própria Senacon (Secretaria Nacional do Consumidor) e os mais de 600 unidades dos Procons estaduais e municipais ao redor do país, o que torna o ambiente das referidas empresas ainda mais desafiador.
Com efeito, atuando em setor rigidamente regulado, lidando com dados pessoais em elevado número e por vezes com dados pessoais sensíveis, o segmento farmacêutico foi, é e será alvo recorrente de investigações relacionadas ao tratamento de dados pessoais, e, portanto, deve estar sempre atento às boas práticas e atualizações procedimentais e normativas relativas à referida matéria.
Referências bibliográficas:
- https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-estuda-praticas-de-protecao-de-dados-no-setor-farmaceutico
- http://www.crfsp.org.br/fiscaliza%C3%A7%C3%A3o.html
- Guia de Boas Práticas de Proteção de Dados na Indústria Farmacêutica. Disponível em https://www.legiscompliance.com.br/images/pdf/Guia_LGPD_Out_2020.pdf Acesso em 25/5/2022.
- Lei Geral de Proteção de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
- Resolução CD/ANPD nº 1/2021. Disponível em https://documentacao.senior.com.br/exigenciaslegais/materias/erp/2021/2021-11-03-resolucao-cd-anpd-n-1-2021-aprova-o-regulamento-do-processo-de-fiscalizacao-e-do-processo-administrativo-sancionador-no-ambito-da-anpd.htm#:~:text=%C3%A2mbito%20da%20ANPD-,03%2F11%2F2021%20%7C%20LGPD%20%2D%20Resolu%C3%A7%C3%A3o%20CD%2FANPD,Sancionador%20no%20%C3%A2mbito%20da%20ANPD Acesso em 25/5/2022.
- Constituição Federal. Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm Acesso em 25/5/2022.
[1] Lei Geral de Proteção de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 23/5/2022.
[2] LGPD, art. 52, inciso II. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: ii – multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração
[3] Resolução CD/ANPD nº 1/2021. Disponível em https://documentacao.senior.com.br/exigenciaslegais/materias/erp/2021/2021-11-03-resolucao-cd-anpd-n-1-2021-aprova-o-regulamento-do-processo-de-fiscalizacao-e-do-processo-administrativo-sancionador-no-ambito-da-anpd.htm#:~:text=%C3%A2mbito%20da%20ANPD-,03%2F11%2F2021%20%7C%20LGPD%20%2D%20Resolu%C3%A7%C3%A3o%20CD%2FANPD,Sancionador%20no%20%C3%A2mbito%20da%20ANPD Acesso em 25/5/2022.
[4] Art. 16. No exercício de sua competência fiscalizatória, a ANPD poderá atuar:
I – de ofício;
II – em decorrência de programas periódicos de fiscalização;
III – de forma coordenada com órgãos e entidades públicos; ou
IV – em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
[5] Disponível em https://dados.mj.gov.br/dataset/cadastro-nacional-de-reclamacoes-fundamentadas-procons-sindec Acesso em 25/6/2022.
[6] Constituição Federal. Art. 5º. (…) LV – aos litigantes, em processo judicial ou administrativo, e aos acusados em geral são assegurados o contraditório e ampla defesa, com os meios e recursos a ela inerentes.
[7] Lei Geral de Proteção de Dados Pessoais. Art.5º, II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[8] Guia de Boas Práticas de Proteção de Dados na Indústria Farmacêutica. Disponível em https://www.legiscompliance.com.br/images/pdf/Guia_LGPD_Out_2020.pdf Acesso em 25/5/2022.
[9] Disponível em https://www.gov.br/saude/pt-br/acesso-a-informacao/acoes-e-programas/farmacia-popular. Acesso em 25/6/2022.
[10] Disponível em https://panoramafarmaceutico.com.br/ministerio-publico-arquiva-investigacao-sobre-pedido-de-cpf-em-farmacias/. Acesso em 25/6/2022.
Encontrou um erro? Avise nossa equipe!