Procon-MG multa RaiaDrogasil em R$ 8,5 milhões por exigir CPF de clientes
O Procon de Minas Gerais multou a RaiaDrogasil em R$ 8,5 milhões por exigir o CPF dos clientes na venda de medicamentos. A rede de farmácias, que é a maior do país, diz que suas práticas estão "em conformidade" e que vai recorrer da decisão.
O que aconteceu
Fiscais do Procon-MG tentaram comprar remédios na Droga Raia (parte da RaiaDrogasil) em Belo Horizonte e constataram a exigência do CPF. Isso ocorreu tanto no balcão como no caixa de pagamento. "Os autos de fiscalização eletrônica demonstram que o fornecedor exige o CPF de consumidores de forma indiscriminada", diz decisão do órgão mineiro, de 18 de novembro, mas divulgada apenas na semana passada.
Para o Procon-MG, a prática gera a "captura dos hábitos de consumo" de remédios, sem que o cliente saiba, o que representa uma "grave ameaça à privacidade". "Vulnerável, portanto, é o consumidor, especialmente aquele que teve seu cadastro efetuado com a simples inserção do seu CPF e desconhece que seus hábitos de consumo e histórico de aquisição de produtos e/ou serviços estão sendo armazenados", cita o documento.
O órgão também viu "abuso da boa-fé do consumidor", já que a farmácia informa o cliente que a exigência do CPF visa a "obtenção de descontos". Já a criação de um cadastro com o perfil de consumo de produtos de saúde não é comunicada ao consumidor, afirma o Procon-MG.
Ao Procon-MG, a RaiaDrogasil disse que "não condiciona a concessão de descontos e promoções em geral ao fornecimento de dados pessoais". A rede de farmácias já havia dado essa justificativa à Senacon (Secretaria Nacional de Defesa do Consumidor), ligada ao Ministério da Justiça. Em outubro de 2023, o órgão cobrou explicações sobre a exigência do CPF, após reportagem do UOL.
Em 2023, UOL revelou que a RaiaDrogasil guarda até quinze anos de dados de 48 milhões de pessoas e monetiza informações para anunciantes. Por exemplo, um anunciante pode contratar a RaiaDrogasil para identificar quem são as pessoas que consomem um determinado remédio. Em seguida, essas pessoas são identificadas nas redes sociais e no sistema do Google e começam a ver a propaganda digital do anunciante. A operação se dá por meio da subsidiária RDAds.
Ao UOL, a RaiaDrogasil disse que "a identificação pessoal é uma opção do cliente". Também afirmou que "suas práticas estão em conformidade com a LGPD (Lei Geral de Proteção de Dados)".
A empresa também tem direito de recorrer ao Poder Judiciário para tentar anular ou reduzir a multa. O Procon-MG é um órgão do Ministério Público estadual, que age na proteção aos direitos dos consumidores. A multa é uma penalidade administrativa para o que os fiscais consideram descumprimento das normas que regem as relações de consumo, mas não é a palavra final.
A captura constante dos hábitos de consumo do consumidor de forma oculta e sem informação prévia representa severo risco à intimidade e vida privada do consumidor, além de sujeitá-lo a riscos das mais variadas espécies.
Havendo qualquer vazamento de dados, os registros de aquisição desses medicamentos (...) podem ser utilizados por uma operadora de plano de saúde para negar uma cobertura por "doença pré-existente não informada" ou mesmo seguradora negar a realização e uma apólice de seguro devida ou negar o pagamento de indenização pelo mesmo motivo.
Fernando Ferreira Abreu, promotor de Justiça da 14ª Promotoria de Justiça de Defesa do Consumidor de Belo Horizonte
A Raia reitera que suas práticas estão em conformidade com a Lei Geral de Proteção de Dados e que a identificação pessoal é uma opção do cliente. A empresa vai recorrer da decisão.
RaiaDrogasil, em nota ao UOL
Riscos da prática, segundo o Procon-MG
O Procon-MG cita o risco de que os dados armazenados pela RaiaDrogasil sejam vazados em um ataque hacker. A decisão afirma que mesmo "dispositivos de segurança dos mais avançados do mundo" podem ser alvo. Como exemplo, menciona ataques aos sistemas de Nasa, Pentágono, Facebook, Sony e Microsoft. "O sistema de segurança da reclamada [RaiaDrogasil] é potencialmente vulnerável, assim como todos os outros".
O vazamento poderia levar um plano de saúde a negar cobertura, diz o Procon-MG. Ao saber quais medicamentos uma pessoa toma, serviços como seguro de saúde ou seguro de vida poderiam ser negados.
Newsletter
POR DENTRO DA BOLSA
Receba diariamente análises exclusivas da equipe do PagBank e saiba tudo que movimenta o mercado de ações.
Quero receberO Procon-MG diz ainda que uma pessoa pode ter seu CPF usado irregularmente por um terceiro, gerando registros de saúde falsos. "Se o indivíduo A realiza uma compra e insere o CPF do indivíduo B, os dados captados serão lançados no cadastro do indivíduo B, sem que esse tenha qualquer espécie de informação sobre o lançamento ou mesmo a natureza dos dados colhidos", diz a decisão.
Para o Procon-MG, a exigência do CPF pela RaiaDrogasil afronta a LGPD e o Código de Defesa do Consumidor. Em relação à LGPD (Lei Geral de Proteção de Dados), o órgão citou o artigo que trata de dados relativos a saúde e comportamento sexual, definidos como "sensíveis". Já a respeito do Código de Defesa do Consumidor, o Procon-MG citou o trecho que exige que os consumidores sejam informados por escrito se houver abertura de cadastro com registro de dados pessoais e de consumo.
Deixe seu comentário
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Leia as Regras de Uso do UOL.