Por Natalino Barioni, fundador da SevenPDV e da Siena Innova
Há cerca de um ano, a fase de multas previstas na LGPD (Lei Geral de Proteção de Dados) entrou em vigor e parece que parte significativa dos varejistas ainda não entendeu a sua importância e o impacto no cotidiano dos negócios.
A LGPD veio para proteger as pessoas do uso indevido de suas informações e enquadra, toda e qualquer ação praticada sobre um dado como tratamento de dados, seja ele por meio de um sistema ou apenas para preenchimento de um formulário. Muitas vezes, gestores do varejo entendem que o fato de “somente pegar o CPF para dar um desconto” não seja um tratamento de dados e isto pode levá-los a penalidades se não forem tomados todos os cuidados previstos na lei.
Ela prevê ainda que o titular tem direitos sobre os dados que forneceu e estes direitos vão desde o conhecimento exato de quais dados estão em poder da empresa, quais tipos de tratamento são feitos até a possibilidade de exclusão ou anonimização entre outros. E muitas empresas não contam com sistemas e processos prontos para atender estes direitos de forma rápida e completa.
A LGPD classificou estes dados em dois grupos, dados pessoais e dados pessoais sensíveis, dando a cada um deles um tratamento diferenciado. Nome, endereço, telefone, e-mail, CPF e RG entre outros são dados pessoais enquanto os dados de saúde, de convicção religiosa, de origem racial ou étnica, genéticos e biométricos (como impressões digitais e escaneamento de íris) são dados pessoais sensíveis. E o tratamento de dados sensíveis é muito mais rigoroso e implica em consentimento do titular dos dados ou enquadramento em algumas situações especiais previstas na lei.
Todo varejo tem impacto nos seus processos e sistemas para atender a LGPD, mas quando falamos do varejo farmacêutico, essa falta de sensibilidade preocupa, porque são estabelecimentos que, além dos dados pessoais, tratam dados pessoais sensíveis de pacientes em diversos dos processos.
As farmácias têm contato com dados de saúde intensamente. Isso acontece desde o momento em que o balconista recebe uma prescrição médica, identifica o produto será consumido e, a partir de então, consegue fazer algumas análises e interpretações sobre o problema do cliente. E segue presente em outros momentos como na assistência farmacêutica.
Muitas vezes, há um diálogo em que o paciente esclarece dúvidas sobre os medicamentos e, em certos casos, estende a conversa para o farmacêutico responsável. Como vemos, a farmácia é muito especial em termos de varejo. A LGPD não é como uma norma tributária, que muda a forma de calcular um imposto. Ela envolve vários fatores relativos às operações que as farmácias cumprem e principalmente no relacionamento com o consumidor.
Cada operação que envolve tratamento de dados pessoais precisa ser identificada, avaliada e ajustada para atendimento dos princípios da LGPD. Além disto, os colaboradores precisam ser treinados para que o relacionamento com os consumidores ocorra de forma adequada e que os dados capturados sejam mantidos em total segurança e sigilo.
Vale ressaltar que a LGPD não se limita a dados eletronicamente tratados. A legislação também protege os dados coletados manualmente, ou seja, aqueles registros que ficam arquivados em uma pasta ou gaveta e que não pode estar disponível para acesso de funcionários não autorizados.
Na prática, a maior parte dos dados é tratada por sistemas e falhas que resultem em vazamentos de informações dos clientes podem trazer sérias consequências. Este tema atinge especial atenção porque, na maioria dos casos, os dados não ficam arquivados na farmácia, mas num ambiente gerenciado pela empresa do software, sendo importante se atentar para as cláusulas do contrato de prestação destes serviços.
É importante ter consciência de que a LGPD não é uma criação brasileira. Essa lei faz parte de um movimento mundial. Isso porque a tecnologia tornou muito fácil a captação e o tratamento dos dados pessoais dos cidadãos em todo o mundo. Há mais de 7 bilhões de habitantes e os meios digitais são capazes de captar e processar informações de cada um. Então, a LGPD é uma defesa que o Brasil adotou para não deixar sua população vulnerável.
Para não arcar com as consequências de vazamentos de informações ou do mau uso delas, a própria LGPD recomenda fortemente que se adote um modelo de governança. Que as empresas tenham controles, incluam monitorias, tenham métricas de acompanhamento da evolução de seus processos internos. Essa nova lei também prevê que essa metodologia deve fluir e evoluir.
Hoje o fato de uma empresa reconhecer que teve um problema no tratamento de dados serve como atenuante. Porém, a expectativa é que isso não dure muito, pois o que se espera é que as falhas sejam corrigidas para que o problema não se repita.
Ainda há tempo dos donos de farmácias tomarem medidas para atendimento da LGPD, visto estarmos em um período de adaptação e regulamentação complementar da lei, mas este período vai passar e todo o tratamento de dados realizados desde a entrada em vigor da lei está protegido por ela, criando um enorme risco para elas. Na Europa, onde a lei foi criada pouco tempo antes da LGPD, existem milhares de intimações tanto de varejos quanto de indústrias e centenas de multas aplicadas. Como por aqui ainda estamos em fase de aprendizado, o impacto tem sido pequeno, por enquanto. Mas a tendência é que a fiscalização aumente e as multas comecem a ocorrer.
Por isso, é importante se preparar imediatamente, não há mais tempo a perder. Além do preparo operacional, técnico e jurídico, deve-se investir no treinamento dos colaboradores. No momento, o que eu vejo é a inexistência de foco no tema. Deixar para depois pode sair caro. Para quem não sabe, já foi criada a ANPD (Agência Nacional de Proteção de Dados), um órgão regulador da LGPD, similar a outros, como a ANS (Agência Nacional de Saúde). Não vai demorar muito para o cenário mudar.