Órgão de proteção do consumidor, do Ministério da Justiça e Segurança Pública, investiga a coleta de informações relacionadas à saúde sem consentimento explícito dos clientes
A Secretaria Nacional do Consumidor (Senacon) notificou a empresa RaiaDrogasil para prestar esclarecimentos a respeito de práticas de tratamento indevido de dados pessoais sensíveis dos consumidores, relacionados à saúde. A notificação veio em resposta a uma matéria publicada no portal UOL, que alegava que empresas do Grupo RaiaDrogasil estariam coletando informações sem o consentimento dos clientes, de forma inadequada, e comercializando as informações para anunciantes.
A reportagem denuncia que um empresa do grupo, a RD Ads, estaria realizando publicidade direcionada a determinados perfis de consumidores (por exemplo, considerando a faixa etária, o sexo, os problemas de saúde) com base nos dados indevidamente coletados e classificados, entre outras operações de tratamento.
Venda de informações pessoais dos clientes
A publicidade, de acordo com a informação à imprensa distribuída pela Senacon, seria feita não apenas para empresas do grupo econômico, mas também para terceiros, levando a empresa a “ganhar dinheiro”, conforme a matéria. Ainda de acordo com o texto, os consumidores seriam induzidos a conceder seus dados pessoais com a promessa de obter descontos em preços de produtos e serviços, especialmente medicamentos.
Diante dessas alegações, a Senacon iniciou uma investigação para apurar a veracidade das acusações e avaliar se a empresa RaiaDrogasil está em conformidade com as leis de proteção de dados e os direitos do consumidor. De acordo com a pasta, o tratamento inadequado dessas informações pode ter sérias implicações para a privacidade e a segurança dos consumidores.
“A legislação brasileira estabelece diretrizes claras para a proteção de dados pessoais sensíveis, com base na Lei Geral de Proteção de Dados (LGPD). É fundamental que as empresas cumpram rigorosamente essas regulamentações, garantindo que o consentimento dos consumidores e consumidoras seja obtido de forma transparente e que os dados sejam tratados de acordo com as finalidades informadas”, afirma o secretário Nacional do Consumidor, Wadih Damous.
A empresa terá um prazo de 10 dias, a contar da ciência da notificação, para esclarecer, entre outros pontos, quais os procedimentos utilizados para coleta de dados pessoais de consumidores, como ocorre o consentimento para essa coleta e se os consumidores são devidamente informados previamente à coleta de seus dados sobre como o tratamento se realiza, conforme as exigências legais.
Coleta e venda dos dados
De acordo com a Junta Comercial de São Paulo, a matriz da rede nacional de farmácias Drogasil tem o nome de Raia Drogasil S/a CNPJ 61.585.865/0001-51, com a sede localizada na Avenida Corifeu de Azevedo Marques, Nº 3097, Bairro Vila Butantã, em São Paulo (SP). E tem como sócios Antonio Carlos Coelho, Bruno Wright Pipponzi, Eugenio de Zagottis, Fernando Kozel Varela, Marcello de Zagottis, Marcilio D’Amico Pousada, Maria Susana de Souza e Renato Cepollina Raduan, com um capital social de : R$2,5 bilhões.
Os dados coletados se inicia através da pergunta feita pelo vendedor, ao comercializar um medicamento, “qual é o seu CPF?”. A partir daí, o nome do cliente, o tipo de remédio ou produto que comprou, com outras informações sensíveis obtidas a partir do CPF, vão para a empresa de comércio de dados pessoais, a Rd Ads Ltda. CNPJ 40.440.353/0001-27.
Segundo os dados da Junta Comercial paulista, a Rd Ads Ltda, é uma sociedade empresarial limitada, registrada em 18 de janeiro de 2021, com sede no mesmo endereço da RaiaDrogasil (Avenida Corifeu de Azevedo Marques, 3067, com complemento na “sala A – 3097”. Os sócios e administradores da empresa que comercializa os dados pessoais dos clientes são: Antonio Carlos Coelho (administrador), Rafael Russi Cordeiro (administrador) e Raia Drogasil S/A – CNPJ: 61585865000151, representada pelo sócio Antonio Carlos Coelho (administrador) e ainda tem Vitor Manuel Luti Bertoncini como administrador.
“Seu negócio em destaque no RD Ads”, diz a empresa na internet
A empresa que disponibiliza os dados pessoais dos clientes para qualquer empresário de marketing, em troca de dinheiro, não esconde de onde obtém as informações sigilosas que está pondo à venda. No seu site, que pode ser clicado neste link, afirma “ Com um alto potencial de alcance, precisão e mensuração de resultados pelos anunciantes, criamos campanhas online e offline, acompanhando a jornada das nossas audiências em vários pontos de contato, de maneira segura e adequada.”
E ainda enaltece que possui dados de 48 milhões de clientes, tem mais de 2.800 farmácias no Brasil, com “97% das transações com potencial de conversão de maneira anonimizada”, que está “a 5% de 92% da população classe A” e que “mais de mil farmácias com telas digitais até dezembro de 2023.”
E oferece aos potenciais clientes dos dados extraídos sem o consentimento da clientela da seguinte forma: “Utilizamos diferentes estratégias para organizarmos a nossa audiência. Entre elas, lojas e regiões de preferência, modelo de compra mais aderente (online ou off-line), participação em programas de relacionamento, tendências de compra, interesses e relação entre as categorias de produtos. Tudo isso de maneira anônima, segura e adequada, com respeito à privacidade da nossa audiência.”
RaiaDrogasil admite em coleta informações pessoais
No portal da RaiaDrogasil, a empresa disponibiliza um arquivo em PDF onde apresenta a sua “Política de privacidade RaiaDrogasil S/A”, e logo na primeira página, de um total de sete, diz com todas as letras:
“Quais Dados Pessoais a RD pode coletar sobre mim?
De acordo com os produtos e serviços utilizados por você, podemos coletar ou obter acesso aos seguintes Dados Pessoais:
- Dados Cadastrais: nome completo, CPF, gênero, telefone de contato, data de nascimento, endereço completo e endereço eletrônico (“e-mail”);
- Dados Sensíveis: dados às compras de medicamentos, produtos ou serviços de saúde em nossa rede de farmácias e canais digitais; e
- Dados Financeiros: dados de pagamento, incluindo nome do titular e número do cartão de crédito ou débito, bandeira do cartão e data de validade, sempre de acordo com a forma de pagamento selecionada por cada cliente.”