Não cadastre sua biometria na Droga Raia – e nem em qualquer farmácia

Ilustração: Intercept Brasil; Getty Images

Pedir o CPF é coisa do passado. A onda das grandes redes de drogarias é, agora, pedir para os clientes cadastrarem suas digitais. O grupo Raia Drogasil – dono, como o nome sugere, das redes Droga Raia e Drogasil – começou uma agressiva campanha para conseguir a biometria de seus clientes. “É em atendimento à Lei Geral de Proteção de Dados”, argumenta falsamente a rede, em discurso replicado pelos atendentes.

Assim, além do seu CPF – usado para conseguir descontos em medicamentos –, elas terão, vinculado ao seu histórico de compras, também um dado biométrico.

A pesquisadora de direito e tecnologia Mariana Valente foi a uma unidade da Droga Raia, em São Paulo, e ouviu do vendedor que a digital era pedida “só para atendimento do convênio”. Quando tuitou sobre o caso, a Droga Raia respondeu para ela que a digital era “necessária” por causa das “adequações da Nova Lei Geral de Proteção de Dados”.

“Dói um tanto nos ouvidos, porque vai no sentido totalmente contrário da LGPD, que prevê minimização da coleta de dados”, escreveu Valente, que é diretora do InternetLab. “É um grande desserviço, além de todo o resto”. A LGPD prevê que um dado só pode ser coletado ou tratado para o fim pelo qual ele foi coletado, e o cidadão deve ter consentimento sobre todos os usos de suas informações pessoais.

Assim como o rosto de alguém ou o DNA, as digitais são consideradas dados sensíveis, ou seja, que podem levar à discriminação de uma pessoa. Uma digital nunca vai mudar – ela sempre vai estar vinculada a uma pessoa. Por isso, as regras são mais rígidas quando se trata de dados sensíveis. Suas digitais e outros dados do tipo só podem, em tese, ser coletados, processados e armazenados em caso de real necessidade. Qual é a real necessidade de se coletar uma biometria para conseguir um desconto?

Para a Droga Raia, cadastrar a digital do cliente é uma forma de “obter o consentimento dele” sobre o uso de suas informações. Segundo a assessoria de imprensa da empresa, a escolha pelo método se deve ao fato de ser um “meio altamente seguro” para validar a identidade do titular dos dados pessoais. Ela se baseia nos trechos da LGPD que exigem consentimento das pessoas e segurança dos dados – como se a coleta de mais uma informação sensível desse segurança aos clientes. Assim, usam a LGPD para garantir mais um dado sensível sob poder da empresa, para fins que podem ir muito além do descontinho no caixa.

“Dados pessoais sobre consumo de medicamentos e outros itens vendidos em farmácias indicam informações importantes sobre a condição de saúde do usuário, por exemplo, que têm doenças crônicas. Quanto mais dados se coleta, mais é possível se formar um perfil sobre a pessoa, o que pode ter consequências sobre o preço que ela vai pagar ou mesmo permitir que aquela e outras empresas empreguem estratégias de marketing direcionadas”, me disse Matheus Falcão, advogado do Instituto Brasileiro de Defesa do Consumidor, o Idec. A entidade notificou a rede Raia Drogasil pedindo explicações sobre a finalidade de coleta de biometria.

Grupo tem negócios baseados em dados

A Raia não é uma rede de farmácias qualquer. É a maior do Brasil, com mais de duas mil lojas e faturamento bruto de mais de R$ 20 bilhões em 2020. Dela fazem parte, além da Droga Raia e Drogasil, também a Onofre. E seus negócios não são restritos à venda de remédios. A Univers, empresa do mesmo grupo, é o programa de benefícios que dá descontos em remédios comprados nas lojas da rede. Tem também a Stix, uma “plataforma de recompensas” para juntar pontos com compras em lojas parceiras e trocar por benefícios, como descontos e produtos. Itaú, Extra e Pão de Açúcar estão entre os parceiros.

Com parte de seus negócios concentrada em comércio e parcerias com outras gigantes do varejo, informações sobre o comportamento do consumidor são valiosas. Elas ajudam a monitorar tendências e prever oportunidades de mercado. Uma mulher que compra um teste de gravidez em uma farmácia, por exemplo, provavelmente será uma excelente cliente para ser impactada por propaganda de fraldas no futuro próximo.

O plano da rede é se transformar em uma espécie de mercado de serviços de saúde, o que eles chamam de “nova farmácia”: um “ponto de prestação de serviços de saúde em loja, integrado com venda e serviços do site”. Eles incluem, por exemplo, serviços de telemedicina, ou seja, consultas online – que seriam vendidos para os próprios clientes da rede. Conhecer bem os hábitos de saúde de cada um deles, nesse contexto, tem um enorme valor.

Se você compra muito omeprazol, pode ter gastrite. Para os RHs importa saber disso para cortar custos com internações, mesmo que você prefira não revelar a doença.

Mas os negócios não param por aí. No ano passado, o grupo Raia Drogasil lançou seu braço de investimentos, a RD Ventures. Uma das empresas compradas pelo grupo é a HealthBit, que se autointitula uma “health tech de big data voltada para redução de custos, melhoria de uso do plano de saúde e prevenção de casos graves” de doenças. Em outras palavras: o objetivo da empresa é usar dados das pessoas para ajudar áreas de recursos humanos a economizarem em planos de saúde.

Se você compra muito omeprazol, por exemplo, pode estar com um problema de saúde grave no estômago – ou ter uma gastrite nervosa. Para os RHs pode ser importante saber disso – o que eles querem é reduzir custos com internações, mesmo que você prefira não contar para o seu chefe que está com um problema de saúde. Os dados, segundo a HealthBit, são fornecidos pelos próprios clientes do serviço.

Mas a política de privacidade da Droga Raia prevê que as informações podem ser compartilhadas com as empresas do mesmo grupo econômico. Além delas, também com “parceiros da indústria farmacêutica”, sem detalhar quais, se o cliente optar pelo programa de descontos. E com “consultorias e empresas de tecnologia parceiras”, também sem especificar quais são elas. Dados de saúde, vale lembrar, também são dados considerados sensíveis – e, por isso, precisam ser ainda mais protegidos, segundo a LGPD.

Mariana Valente não sabia que empresas baseadas em dados de saúde faziam parte do mesmo grupo da rede de farmácias. Nenhum cliente sabe exatamente para quais empresas do grupo autoriza o compartilhamento de suas informações – ainda que isso seja o que determina a lei. Mas, ao cadastrar a biometria, o consumidor dá o seu ok para que isso aconteça. “O cidadão tem direito de ter acesso facilitado às informações sobre o tratamento de dados, com a identificação clara e ostensiva de como eles vão ser tratados e informações sobre o compartilhamento”, diz Valente.

A Droga Raia confirma que informações dos clientes podem ser enviadas à outras empresas do grupo, conforme descreve a política de privacidade, mas garante que os dados biométricos ficam de fora do troca-troca de informações. Perguntei quantos clientes já tiveram sua biometria cadastrada. “Trata-se de informação estratégica da companhia”, disse a empresa.