Diariamente farmácias são
fiscalizadas. Seja em decorrência de denúncias de clientes que se sentem
lesados com a utilização e tratamento de seus dados pessoais ou pelo
frequente acompanhamento de adequação à Lei Geral de Proteção de Dados Pessoais
(LGPD) por órgãos de fiscalização, como a Secretaria Nacional do Consumidor
(Senacon), o Ministério Público e a Autoridade Nacional de Proteção de Dados
(ANPD).
Essa preocupação com a coleta
de dados pessoais pelo segmento farmacêutico existe antes mesmo do surgimento
da LGPD, instituída com o advento da Lei nº 13.709/2018 [1],
inspirada no Regulamento Geral de Proteção de Dados Europeu, popularmente
conhecido como GDPR. Contudo, essa preocupação com o fluxo de dados gerido por
empresas farmacêuticas foi aflorada com o surgimento da nova
regulamentação.
Além de princípios,
diretrizes e bases legais para manipulação de dados, a respectiva legislação
conta com rol de sanções administrativas aos agentes de tratamento, caso não
seja respeitado o direito de tratamento adequado do titular, conforme previsão
do artigo 52, inciso II da LGPD [2].
Para organizar o procedimento
de fiscalização do cumprimento das medidas previstas na aludida lei, em 28 de
outubro de 2021 foi disponibilizado o Regulamento do Processo de Fiscalização e
do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de
Proteção de Dados, publicado por meio da Resolução CD/ANPD nº 1/2021 [3]. O objetivo foi estabelecer os procedimentos inerentes
ao processo de fiscalização e as regras a serem observadas no âmbito do
processo administrativo sancionador pela ANPD.
O regulamento se aplica aos
titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas,
de direito público ou privado e demais interessados no tratamento de dados
pessoais com três principais pilares: orientar, prevenir e reprimir.
Algumas definições são
adotadas de forma distinta pelo regulamento, tais como: (1) denúncia, como
comunicação feita à ANPD, seja por pessoa natural ou jurídica, sobre potencial
violação à LGPD; (2) reclamação, feita pelo titular dos dados pessoais
relativamente à questão apresentada por ele, mas não solucionada pelo agente de
tratamento; e (3) representação, que se refere à comunicação feita por
autoridades públicas à ANPD sobre potencial violação à LGPD.
Dentro do processo de
fiscalização, há previsão de que em caso de atuação repressiva, a ANPD
instaurará processo administrativo sancionador com trâmite e prazos similares
ao Código de Processo Civil, como dias úteis para contagem de prazos,
possibilidade de apresentação de recurso administrativo e até mesmo a
assinatura de um termo de ajustamento de conduta (TAC).
Embora exista uma autoridade
responsável pela fiscalização do tratamento aplicado aos dados pessoais, bem
como um regulamento próprio para essa fiscalização, tais fatos não afastam a
possibilidade de outros órgãos fiscalizarem e aplicarem sanções em determinadas
situações, consubstanciado nos direitos e deveres previstos na LGPD e no Código
de Defesa do Consumidor, além de outros normativos afetos ao ambiente regulado,
como CVM e ANS, por exemplo.
A possibilidade de atuação
conjunta é reforçada até mesmo no Regulamento do Processo de Fiscalização e do
Processo Administrativo Sancionador no âmbito da Autoridade Nacional de
Proteção de Dados, como a competência fiscalizatória para atuação com
autoridades de outros países e com órgãos e entidades públicas [4].
Inclusive, vale ressaltar que
cada Ministério Público estadual, após uma fiscalização em que for identificado
um tratamento inadequado, pode, após devida fundamentação, lavrar um auto de
infração com base em decretos estaduais que disciplinam os procedimentos a
serem observados na lavratura deste procedimento administrativo.
Na mesma toada, o Sistema
Nacional de Defesa do Consumidor (Sindec), órgão vinculado ao Ministério da
Justiça, opera nada menos que 675 [5] unidades
de fiscalização que, tranquilamente, podem dar ensejo às mais variadas
investigações envolvendo ofensas ao direito do consumidor e, quando cabível,
também ao previsto na LGPD.
As multas aplicadas pelo
Ministério Público ou outros órgãos podem variar de acordo com a dosimetria das
penalidades. Porém, tal previsibilidade ainda não foi definida no Regulamento
do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD,
mas se faz necessária para indicar quais ações ensejariam em uma multa mínima,
média ou máxima.
A dosimetria da pena é
importante para permitir que a empresa fiscalizada e sancionada possa exercer o
seu direito de apresentar defesa, com base nos princípios do contraditório e da
ampla defesa previstos na Constituição [6].
Especificamente no âmbito
farmacêutico, como as empresas que operam nesse segmento, tratam, em
determinadas ocasiões, dados pessoais sensíveis [7] e coletam um número considerado de CPFs, seja pela
necessidade de identificação do titular responsável pela compra de medicamento
controlado, ou para concessão de descontos de programas do governo, bem como de
programas de desconto da própria empresa ou de empregadores, mister se torna a
necessidade de adequação à LGPD para não correrem o risco de serem sancionadas
pelos órgãos fiscalizadores.
Frise-se que mesmo empresas
sólidas que já mantêm seu inventário de dados atualizado e disponibilizam
atendimento adequado via canal com DPO sofrem com procedimentos investigativos
sem metodologia, desproporcionais e descabidos, sendo certo que companhias sem
adequação mínima tendem a receber uma carga ainda mais abrupta de processos e
sancionamentos.
Por isso, é importante que
todas as empresas que fazem parte deste setor se adequem ao que exige a
legislação, bem como se familiarizem com o Guia de Boas Práticas de Proteção de
Dados na Indústria Farmacêutica [8] elaborado
pela Interfarma e Sindusfarma antes mesmo da realização de uma fiscalização
pelos órgãos mencionados.
Em decorrência de especificidades
do setor, o segmento farmacêutico deve ater-se às regras relacionadas ao
cumprimento de ofertas subsidiadas pelo Estado, como é o caso do conhecido
programa Farmácia Popular, que para viabilizar a venda de medicamentos
subsidiados, impõe às farmácias a coleta de uma série de dados do comprador, já
que este goza de um benefício decorrente de política pública que deve ser
mensurada e bem delineada [9].
Em um dos mais emblemáticos
casos envolvendo investigações do segmento, o Ministério Público do Distrito
Federal e dos Territórios (MP-DF), por meio da Unidade Especial de Proteção de
Dados e Inteligência Artificial, determinou o arquivamento do inquérito civil
que questionava redes de farmácias por condicionar descontos à apresentação do
CPF, já que após longa investigação, identificou-se que as empresas alvo do
inquérito guardavam estreito cumprimento à legislação [10].
Assim, diante das nuances de
atuação do setor e da insistência em se investigar as práticas adotadas por
empresas do ramo, bem como sopesando as sanções aplicadas pela própria ANPD
(que podem variar de advertência, publicização da infração, bloqueio dos dados
pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do
banco de dados, proibição parcial ou total do exercício de atividades
relacionadas ao tratamento de dados e multa de até 2% do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil, limitado a R$ 50
milhões, é imperiosa a regular adequação e apresentação de defesa técnica das
empresas atuantes no setor.
Nada obstante, como visto
acima, o cenário de sancionamento às referidas empresas pode ser ainda mais
gravoso, já que o Ministério Público de cada Estado pode aplicar sanções pelos
mesmos fatos, sem prejuízo da atuação da própria Senacon (Secretaria Nacional
do Consumidor) e os mais de 600 unidades dos Procons estaduais e municipais ao
redor do país, o que torna o ambiente das referidas empresas ainda mais
desafiador.
Com efeito, atuando em setor
rigidamente regulado, lidando com dados pessoais em elevado número e por vezes
com dados pessoais sensíveis, o segmento farmacêutico foi, é e será alvo
recorrente de investigações relacionadas ao tratamento de dados pessoais, e,
portanto, deve estar sempre atento às boas práticas e atualizações
procedimentais e normativas relativas à referida matéria.
Referências bibliográficas:
· https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-estuda-praticas-de-protecao-de-dados-no-setor-farmaceutico
· http://www.crfsp.org.br/fiscaliza%C3%A7%C3%A3o.html
· Guia de Boas Práticas de Proteção de Dados na
Indústria Farmacêutica. Disponível em https://www.legiscompliance.com.br/images/pdf/Guia_LGPD_Out_2020.pdf Acesso
em 25/5/2022.
· Lei Geral de Proteção de Dados Pessoais.
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
· Resolução CD/ANPD nº 1/2021. Disponível
em https://documentacao.senior.com.br/exigenciaslegais/materias/erp/2021/2021-11-03-resolucao-cd-anpd-n-1-2021-aprova-o-regulamento-do-processo-de-fiscalizacao-e-do-processo-administrativo-sancionador-no-ambito-da-anpd.htm#:~:text=%C3%A2mbito%20da%20ANPD-,03%2F11%2F2021%20%7C%20LGPD%20%2D%20Resolu%C3%A7%C3%A3o%20CD%2FANPD,Sancionador%20no%20%C3%A2mbito%20da%20ANPD Acesso
em 25/5/2022.
· Constituição Federal. Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm Acesso
em 25/5/2022.
Autores:
Henrique
Rocha é advogado e Sócio no Peck Advogados, mestre em Direito Empresarial,
pós-graduado em Direito Processual Civil e em Direito Digital e Compliance.
Vanessa
Clemente é advogada, pós-graduada em Direito Digital e Compliance na
faculdade Damásio de Jesus, formada em Direito pela Faculdade Mario Schenberg,
co-autora de dois livros envolvendo Direito Digital e advogada na área de
resposta à incidentes digitais, gestão de crise e demandas envolvendo
tratamentos de dados pessoais no Peck Advogados.
Fonte:
Revista Consultor Jurídico