A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020. Empresas que sempre usaram o cadastro de dados para controlar o fluxo de clientes devem adequar ao máximo o uso e tratamento de dados pessoais. Mas a rede de farmácias Droga Raia, do grupo Raia Drogasil, vem acumulando nos últimos meses reclamações de clientes que tiveram de fornecer o número de celular e até a impressão digital para obter descontos. O Tecnoblog apurou os casos.

Unidade da Droga Raia na Vila Madalena (Imagem: RaiaDrogasil/ Divulgação)

Unidade da Droga Raia na Vila Madalena (Imagem: RaiaDrogasil/ Divulgação)

Droga Raia se recusa a fornecer desconto sem digital

Gabriel (pseudônimo) estava visitando sua sogra em Londrina (PR) quando parou numa unidade da Droga Raia. Era de noite e ele precisava comprar um leite infantil para sua filha pequena – saiu de casa com esse propósito. E deu sorte: o produto estava em uma promoção considerável, de 33%. Ao passar no caixa para efetuar a transação, a atendente faz uma pergunta irresistível: “vai querer o desconto?”.

Ao ouvir o “sim”, a funcionária da Droga Raia impôs uma condição: “só se você estiver no plano de fidelidade”. Gabriel ficou confuso, como contou ao Tecnoblog: “eles já tinham meu CPF”. Mas a atendente afirmou que, para confirmar o cadastro, precisava da biometria digital. Ele diz que não colocou o dedo em leitor algum, mas forneceu o número de celular para aproveitar a oferta do leite infantil.

Em outro caso, o residente de Bauru (SP) e engenheiro Lucas Maldonado resolveu parar na Droga Raia que fica entre sua casa, localizada no bairro do Jardim Solange, e o trabalho, que fica na Bela Vista. Sempre comprou nessa loja seu remédio de uso contínuo, mas nesse dia ele estava com desconto.

“Sempre forneci o CPF, até porque o remédio é um pouco caro. Nunca tive tanto incômodo em fazer isso”, disse Lucas à reportagem. Mas, novamente, um funcionário afirmou que para usar a oferta ele teria que fornecer sua digital: “é rapidinho, é só colocar o dedo – é por causa da LGPD”.

Lucas estranhou e pediu mais explicações – que o atendente não soube fornecer. Foi chamado o supervisor da farmácia; ele afirmou que sem a digital, não conseguiria concluir a compra. No fim, Lucas insistiu e levou o remédio com a oferta. Mas ao retornar à mesma loja e repetir a compra, da segunda vez não teve sucesso. Ao acionar o SAC, o engenheiro ouviu que a biometria seria usada para participar do clube de descontos da Droga Raia.

Demanda da Droga Raia por digital de clientes fere a LGPD (Imagem: George Prentzas/ Unsplash)

Demanda da Droga Raia por digital de clientes fere a LGPD (Imagem: George Prentzas/ Unsplash)

A pesquisadora Mariana Valente resolveu contar sobre como funcionários da Droga Raia pediram sua biometria no Twitter. Na postagem, ela desabafa: “eu entendi que até a fala que ele foi instruído a dar é enganosa: a digital, aparentemente, é pedida ‘só’ para o desconto do convênio”.

Mariana também é diretora do Internet Lab, instituto especializado em tecnologia e direitos digitais. Ela disse ao Tecnoblog que a postura da Droga Raia de camuflar a exigência da biometria sob o argumento de se adaptar a LGPD “desinforma e atrapalha no processo de compreensão de quais são os direitos dos cidadãos”. No caso, ela esbarrou nessa demanda ao tentar comprar uma vitamina. Não conseguiu levar o produto com desconto.

O nível de reclamações relacionada aos termos “cadastro” no site especializado ReclameAqui da Droga Raia aumentou após a aprovação da LGPD. Foram 24 reclamações no último ano – 22 delas registradas nos últimos 4 meses.

A empresa costuma responder a essas queixas que envolvem biometria mandando uma mensagem privada a usuários. Mas ao tweet de Mariana Valente, ela disse novamente que o cadastro era necessário “devido às adequações da LGPD”.

Especialistas dizem que Droga Raia fere a LGPD

Especialistas em tecnologia e direito digital ouvidos pelo Tecnoblog contestam a versão da empresa. Segundo eles, esse dado é sensível e pode configurar como uma violação da LGPD, pois a biometria digital pode ser usada para campanhas de marketing agressivas. Isso fere o princípio da lei de que empresas devem limitar o acesso de dados pessoais ao mínimo necessário, previsto no artigo 6º.

Daniel Gatti, diretor da Faculdade de Ciências e Tecnologia da PUC-SP, diz que a justificativa apresentada pela Droga Raia de que o cadastro de biometria serve como adequação à LGPD não faz sentido:

“O problema é que quem opta por colocar esses dados geralmente é da área de TI, que julga ser mais fácil de atualizar o sistema. Obrigar a pôr a digital é um problema que é recorrente. Tem que ter termos assinados para saber como é feito o armazenamento desse dado. Se a alegação é justamente atualizar a LGPD, eu teria que assinar um termo.”

Ao ler a política de privacidade do Grupo Raia Drogasil, do qual a Droga Raia faz parte, a empresa diz que coleta a biometria de clientes “para que possamos validar sua identidade no momento da captação, oportunidade em que efetuamos o armazenamento deste dado de forma criptografada, ressaltando que não compartilhamos com terceiros”. Esse trecho está sob a categoria “Consentimentos”.

Mas Caroline Dinucci, advogada especialista em LGPD, diz que não há indícios de qual será o uso da digital – outro requerimento da lei. “Não fica clara a diferença entre a venda e o consentimento. É meio esquisito. Eles não podem exigir a biometria se há outras formas de confirmar a identidade. Por que não pede o documento de RG da pessoa? O que ela vai conseguir armazenando a biometria?”, ela afirmou ao Tecnoblog.

O grupo Raia Drogasil oferece mais formas de validar a identidade de clientes na hora da compra: um SMS com token para confirmação ou “impressões” autorizadas pelo usuário no momento da coleta. Mas pela forma como está colocada, a biometria parece que tem uso semelhante a uma mensagem ou outros dados – o que não é o caso. Toda vez que um cidadão coloca seu dedo em um sensor digital, um código único e associado a sua impressão digital é gerado. Essa informação então é transferida a um banco de dados e armazenada sob uma criptografia.

A Droga Raia tem 2.319 lojas em operação pelo Brasil (Imagem: Eduardo P/ Wikimedia)

A Droga Raia tem 2.319 lojas em operação pelo Brasil (Imagem: Eduardo P/ Wikimedia)

Em comunicado ao Tecnoblog, a Droga Raia afirma que a LGPD não proíbe a captura de impressões digitais, e explica que a lei permite o tratamento de dados pessoais sensíveis (como a biometria) sem o consentimento do titular em alguns casos, como para prevenção à fraude.

O uso da biometria garante prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, bem como em transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde, de assistência farmacêutica e de assistência à saúde.

Ela continua: “a fim de assegurar a transparência exigida pela Lei, a empresa disponibiliza materiais educativos sobre a LGPD em suas lojas e também dispõe de Política de Privacidade e Portal da Privacidade em seus canais digitais”.

Além disso, os colaboradores são instruídos a solicitar o fornecimento de biometria “somente nas hipóteses definidas pela Companhia como necessárias ou cabíveis”. Os funcionários recebem orientações e treinamentos periódicos para melhorar o atendimento ao cliente, “inclusive com relação à prestação de informações sobre a Lei Geral de Proteção de Dados”.

Farmácia usa biometria para marketing?

Será que a Droga Raia estaria usando as digitais de clientes para elaborar campanhas de anúncios? “Com a biometria, só pode ser aquela pessoa que usa o equipamento [leitor de digital]. Com isso, a farmácia está fechando negócio apenas com quem frequenta a drogaria. Isso faz sentido em campanhas de marketing, para fidelizar clientes. Do ponto de tecnologia, outros dados já bastam para ter essas informações”, diz o professor da PUC-SP.

Ao Tecnoblog, a Droga Raia afirma que os dados biométricos captados por ela “não são utilizados para nenhuma finalidade diversa da inicial (confirmação de identidade do titular de dados) e não são comercializados e nem fornecidos a terceiros”.

TheDigitalWay / impressão digital na tecla Enter de um teclado / Pixabay / biometria

Impressão digital (Imagem: TheDigitalWay / Pixabay)

Caroline Dinucci, da Barreto Dinucci Advocacia, diz que oferecer promoções ou contas em clubes de ofertas para fazer com que clientes registrem a digital também fere o Código de Defesa do Consumidor (CDC). Ela menciona que, neste caso, é possível falar que há “consentimento viciado” por parte da Droga Raia. “É muito tentador: um bom desconto para fornecer minha biometria. A pessoa fica entre a cruz e a espada. […] O CDC fala que a empresa tem o papel de informar o destino dos dados para que o consumidor consinta de forma racional — o que não acaba acontecendo”, afirma a advogada.

Para consumidores que se sintam lesados pela Droga Raia, Dinucci recomenda que adotem medidas legais contra a empresa, mas alerta que ela sai em vantagem por ter em mãos todo o histórico de tratamento de dados do cliente. “A própria empresa vai dar uma prova muito robusta de que esses dados não foram vazados. Eventualmente ele [cliente] vai conseguir provar, mas vai depender de situações que não controla”. A Autoridade Nacional de Proteção de Dados (ANPD), que fiscaliza se organizações públicas e privadas estão atendendo aos critérios da LGPD, tem uma página de ouvidoria que aceita denúncias.

A Droga Raia defende que “não pratica qualquer captura de consentimento viciado, pois não fornece descontos tendo como contrapartida a coleta de dados, sejam eles biométricos ou não”. Segundo a empresa, esse tipo de informação é solicitado nestes casos:

  • compra de produtos mediante utilização do benefício “Univers”, com pagamento por meio de desconto em folha salarial; e
  • compra de produtos mediante utilização dos chamados “Programas de Benefício de Medicamentos” (PBM), nos quais a impressão digital é utilizada apenas como um dos meios de autenticação da verdadeira identidade do cliente, que também pode optar por confirmar sua identidade por meio de SMS ou assinatura de Termo.

Além disso, a Droga Raia diz que, durante o cadastro, o cliente pode optar por utilizar SMS, formulário impresso ou canais digitais em seus programas de relacionamento.

Estado de SP tem lei que proíbe farmácias de exigir CPF

Em dezembro de 2020, o estado de São Paulo aprovou uma lei que obriga farmácias e drogarias a explicarem o motivo de pedirem o CPF do consumidor no ato da compra. A empresa precisa comunicar ao cliente, caso ele forneça o dado, se vai abrir ou não uma conta para que ele receba promoções ou descontos. Caso viole a lei, a loja deve pagar multa de R$ 5.818. “Se a lei está preocupada com o uso de CPFs nas farmácias, imagine a biometria”, diz Dinucci.

Lucas Maldonado não voltou à Droga Raia que exigiu sua digital duas vezes: “mudei de farmácia, não compro mais lá, não vou comprar mais lá enquanto eles fizerem isso”.

Atualizado às 10h40 com respostas da Droga Raia

Droga Raia é questionada por exigir cadastro de impressão digital em farmácias