Droga Raia é questionada por exigir biometria para conceder descontos
Especialistas dizem que exigência da Droga Raia pode ferir LGPD; clientes relatam que foram barrados de descontos por não entregarem impressão digital
Especialistas dizem que exigência da Droga Raia pode ferir LGPD; clientes relatam que foram barrados de descontos por não entregarem impressão digital
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020. Empresas que sempre usaram o cadastro de dados para controlar o fluxo de clientes devem adequar ao máximo o uso e tratamento de dados pessoais. Mas a rede de farmácias Droga Raia, do grupo Raia Drogasil, vem acumulando nos últimos meses reclamações de clientes que tiveram de fornecer o número de celular e até a impressão digital para obter descontos. O Tecnoblog apurou os casos.
Gabriel (pseudônimo) estava visitando sua sogra em Londrina (PR) quando parou numa unidade da Droga Raia. Era de noite e ele precisava comprar um leite infantil para sua filha pequena – saiu de casa com esse propósito. E deu sorte: o produto estava em uma promoção considerável, de 33%. Ao passar no caixa para efetuar a transação, a atendente faz uma pergunta irresistível: “vai querer o desconto?”.
Ao ouvir o “sim”, a funcionária da Droga Raia impôs uma condição: “só se você estiver no plano de fidelidade”. Gabriel ficou confuso, como contou ao Tecnoblog: “eles já tinham meu CPF”. Mas a atendente afirmou que, para confirmar o cadastro, precisava da biometria digital. Ele diz que não colocou o dedo em leitor algum, mas forneceu o número de celular para aproveitar a oferta do leite infantil.
Em outro caso, o residente de Bauru (SP) e engenheiro Lucas Maldonado resolveu parar na Droga Raia que fica entre sua casa, localizada no bairro do Jardim Solange, e o trabalho, que fica na Bela Vista. Sempre comprou nessa loja seu remédio de uso contínuo, mas nesse dia ele estava com desconto.
“Sempre forneci o CPF, até porque o remédio é um pouco caro. Nunca tive tanto incômodo em fazer isso”, disse Lucas à reportagem. Mas, novamente, um funcionário afirmou que para usar a oferta ele teria que fornecer sua digital: “é rapidinho, é só colocar o dedo – é por causa da LGPD”.
Lucas estranhou e pediu mais explicações – que o atendente não soube fornecer. Foi chamado o supervisor da farmácia; ele afirmou que sem a digital, não conseguiria concluir a compra. No fim, Lucas insistiu e levou o remédio com a oferta. Mas ao retornar à mesma loja e repetir a compra, da segunda vez não teve sucesso. Ao acionar o SAC, o engenheiro ouviu que a biometria seria usada para participar do clube de descontos da Droga Raia.
A pesquisadora Mariana Valente resolveu contar sobre como funcionários da Droga Raia pediram sua biometria no Twitter. Na postagem, ela desabafa: “eu entendi que até a fala que ele foi instruído a dar é enganosa: a digital, aparentemente, é pedida ‘só’ para o desconto do convênio”.
Mariana também é diretora do Internet Lab, instituto especializado em tecnologia e direitos digitais. Ela disse ao Tecnoblog que a postura da Droga Raia de camuflar a exigência da biometria sob o argumento de se adaptar a LGPD “desinforma e atrapalha no processo de compreensão de quais são os direitos dos cidadãos”. No caso, ela esbarrou nessa demanda ao tentar comprar uma vitamina. Não conseguiu levar o produto com desconto.
O nível de reclamações relacionada aos termos “cadastro” no site especializado ReclameAqui da Droga Raia aumentou após a aprovação da LGPD. Foram 24 reclamações no último ano – 22 delas registradas nos últimos 4 meses.
A empresa costuma responder a essas queixas que envolvem biometria mandando uma mensagem privada a usuários. Mas ao tweet de Mariana Valente, ela disse novamente que o cadastro era necessário “devido às adequações da LGPD”.
Especialistas em tecnologia e direito digital ouvidos pelo Tecnoblog contestam a versão da empresa. Segundo eles, esse dado é sensível e pode configurar como uma violação da LGPD, pois a biometria digital pode ser usada para campanhas de marketing agressivas. Isso fere o princípio da lei de que empresas devem limitar o acesso de dados pessoais ao mínimo necessário, previsto no artigo 6º.
Daniel Gatti, diretor da Faculdade de Ciências e Tecnologia da PUC-SP, diz que a justificativa apresentada pela Droga Raia de que o cadastro de biometria serve como adequação à LGPD não faz sentido:
“É uma estratégia de negócios da Droga Raia executada pela área de TI da farmacêutica, que julga ser mais fácil de atualizar o sistema. Obrigar a pôr a digital é um problema que é recorrente. Tem que ter termos assinados para saber como é feito o armazenamento desse dado. Se a alegação é justamente atualizar a LGPD, eu teria que assinar um termo.”
Ao ler a política de privacidade do Grupo Raia Drogasil, do qual a Droga Raia faz parte, a empresa diz que coleta a biometria de clientes “para que possamos validar sua identidade no momento da captação, oportunidade em que efetuamos o armazenamento deste dado de forma criptografada, ressaltando que não compartilhamos com terceiros”. Esse trecho está sob a categoria “Consentimentos”.
Mas Caroline Dinucci, advogada especialista em LGPD, diz que não há indícios de qual será o uso da digital – outro requerimento da lei. “Não fica clara a diferença entre a venda e o consentimento. É meio esquisito. Eles não podem exigir a biometria se há outras formas de confirmar a identidade. Por que não pede o documento de RG da pessoa? O que ela vai conseguir armazenando a biometria?”, ela afirmou ao Tecnoblog.
O grupo Raia Drogasil oferece mais formas de validar a identidade de clientes na hora da compra: um SMS com token para confirmação ou “impressões” autorizadas pelo usuário no momento da coleta. Mas pela forma como está colocada, a biometria parece que tem uso semelhante a uma mensagem ou outros dados – o que não é o caso. Toda vez que um cidadão coloca seu dedo em um sensor digital, um código único e associado a sua impressão digital é gerado. Essa informação então é transferida a um banco de dados e armazenada sob uma criptografia.
Em comunicado ao Tecnoblog, a Droga Raia afirma que a LGPD não proíbe a captura de impressões digitais, e explica que a lei permite o tratamento de dados pessoais sensíveis (como a biometria) sem o consentimento do titular em alguns casos, como para prevenção à fraude.
O uso da biometria garante prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, bem como em transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde, de assistência farmacêutica e de assistência à saúde.
Ela continua: “a fim de assegurar a transparência exigida pela Lei, a empresa disponibiliza materiais educativos sobre a LGPD em suas lojas e também dispõe de Política de Privacidade e Portal da Privacidade em seus canais digitais”.
Além disso, os colaboradores são instruídos a solicitar o fornecimento de biometria “somente nas hipóteses definidas pela Companhia como necessárias ou cabíveis”. Os funcionários recebem orientações e treinamentos periódicos para melhorar o atendimento ao cliente, “inclusive com relação à prestação de informações sobre a Lei Geral de Proteção de Dados”.
Será que a Droga Raia estaria usando as digitais de clientes para elaborar campanhas de anúncios? “Com a biometria, só pode ser aquela pessoa que usa o equipamento [leitor de digital]. Com isso, a farmácia está fechando negócio apenas com quem frequenta a drogaria. Isso faz sentido em campanhas de marketing, para fidelizar clientes. Do ponto de tecnologia, outros dados já bastam para ter essas informações”, diz o professor da PUC-SP.
Ao Tecnoblog, a Droga Raia afirma que os dados biométricos captados por ela “não são utilizados para nenhuma finalidade diversa da inicial (confirmação de identidade do titular de dados) e não são comercializados e nem fornecidos a terceiros”.
Caroline Dinucci, da Barreto Dinucci Advocacia, diz que oferecer promoções ou contas em clubes de ofertas para fazer com que clientes registrem a digital também fere o Código de Defesa do Consumidor (CDC). Ela menciona que, neste caso, é possível falar que há “consentimento viciado” por parte da Droga Raia. “É muito tentador: um bom desconto para fornecer minha biometria. A pessoa fica entre a cruz e a espada. […] O CDC fala que a empresa tem o papel de informar o destino dos dados para que o consumidor consinta de forma racional — o que não acaba acontecendo”, afirma a advogada.
Para consumidores que se sintam lesados pela Droga Raia, Dinucci recomenda que adotem medidas legais contra a empresa, mas alerta que ela sai em vantagem por ter em mãos todo o histórico de tratamento de dados do cliente. “A própria empresa vai dar uma prova muito robusta de que esses dados não foram vazados. Eventualmente ele [cliente] vai conseguir provar, mas vai depender de situações que não controla”. A Autoridade Nacional de Proteção de Dados (ANPD), que fiscaliza se organizações públicas e privadas estão atendendo aos critérios da LGPD, tem uma página de ouvidoria que aceita denúncias.
A Droga Raia defende que “não pratica qualquer captura de consentimento viciado, pois não fornece descontos tendo como contrapartida a coleta de dados, sejam eles biométricos ou não”. Segundo a empresa, esse tipo de informação é solicitado nestes casos:
Além disso, a Droga Raia diz que, durante o cadastro, o cliente pode optar por utilizar SMS, formulário impresso ou canais digitais em seus programas de relacionamento.
Em dezembro de 2020, o estado de São Paulo aprovou uma lei que obriga farmácias e drogarias a explicarem o motivo de pedirem o CPF do consumidor no ato da compra. A empresa precisa comunicar ao cliente, caso ele forneça o dado, se vai abrir ou não uma conta para que ele receba promoções ou descontos. Caso viole a lei, a loja deve pagar multa de R$ 5.818. “Se a lei está preocupada com o uso de CPFs nas farmácias, imagine a biometria”, diz Dinucci.
Lucas Maldonado não voltou à Droga Raia que exigiu sua digital duas vezes: “mudei de farmácia, não compro mais lá, não vou comprar mais lá enquanto eles fizerem isso”.
Atualizado às 10h40 com respostas da Droga Raia