Quer informar o CPF hoje para obter descontos nos medicamentos?

Artigo publicado por Gabriel Schulman ao Jota (19/12/2020)

Crédito: Rovena Rosa/Agência Brasil, Jota

Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD), e sobretudo com sua recente entrada em vigor[1], houve estrondoso – e fundamental – resgate das discussões em torno da autodeterminação informativa[2].

A legislação cumpriu importante papel ao trazer o tema ao centro dos debates, o que se fez acompanhar do reconhecimento da proteção de dados pessoais como direito fundamental pelo Supremo Tribunal Federal (STF)[3], desdobramento da proteção da dignidade humana e do livre desenvolvimento da personalidade. Para concretização deste direito fundamental, por meio da LGPD, buscou-se uma regulamentação das hipóteses legais que permitem empregar os dados que identificam ou possam identificar uma pessoa, o que nos termos da lei se designa bases legais para tratamento de dados pessoais[4].

LGPD e seus efeitos colaterais no campo da saúde

A Lei Geral de Proteção de Dados Pessoais estabelece um vigoroso conjunto de conceitos, diretrizes, deveres, boas práticas e direitos, que compõe um essencial arcabouço. Mediante normas protetivas foi resgatada a pessoa concreta, inclusive como titular dos dados que a identificam ainda quando estejam sob os cuidados de terceiros. Extrai-se da legislação uma robusta atenção aos dados pessoais, ainda mais reforçada em relação às informações qualificadas como dados sensíveis, ou seja, dados pessoais mais delicados, porque representam maior potencial de danos[5], discriminação, violação de direitos ou em face da vulnerabilidade acentuada dos titulares envolvidos. São, portanto, dados que por potencializarem “efeitos colaterais” mais profundos exigem cuidados diferenciados.

No caso das farmácias, os dados pessoais envolvidos são extremamente delicados, a ponto de que talvez merecessem uma qualificação como “super sensíveis”, nomenclatura que pode não ter a correspondente previsão legislativa, porém representa de maneira didática o perigo que representam.

De maneira mais técnica, a LGPD, ao oferecer uma espécie de glossário no art. 5º, destaca a categoria dos dados sensíveis, exemplificada no texto normativo com as hipóteses de dados de saúde, biométricos e genéticos. Ademais, desde há muito, dados em saúde são objeto de atenção diferenciada[6], como dispõe inúmeros diplomas legais, inclusive o Código de Ética Médica, a Lei do Prontuário Eletrônico e Resoluções da ANS (Agência Nacional de Saúde Suplementar).

Farmácias, Tratamentos e Remédios jurídicos

Diante do contexto apresentado, mostra-se bastante relevante a publicação da legislação paulista que determina que “As farmácias e drogarias ficam proibidas de exigir o Cadastro de Pessoas Físicas – CPF do consumidor, no ato da compra, sem informar de forma adequada e clara sobre a abertura de cadastro ou registro de dados pessoais e de consumo, que condiciona a concessão de determinadas promoções”.

Não se proíbe a solicitação do CPF no balcão; o que está em jogo é a adequada informação acerca dos usos e propósitos da utilização deste dado pessoal que é pressuposto de qualquer tipo de autorização para participação em campanhas ou promoções. Como é lição básica no campo da saúde, não se pode consentir sem entender[7], daí a utilização da expressão termo de consentimento livre esclarecido (ou TCLE) para tratamentos médicos.

No que tange ao dever de informação, a LGPD impõe que o esclarecimento sobre os tratamentos de dados pessoais realizados e suas correspondentes finalidades seja feito de maneira adequada, completa e clara, corroborando o que já estabelece o Código de Defesa do Consumidor em diversas disposições (art. 4º, IV, art. 6º, inc. III, art. 37, art. 66), e o próprio Código Civil (arts. 421, 422). O consentimento para tratamentos de dados pessoais de acordo com a LGPD deve ser realizado de maneira “livre, informada e inequívoca”. Portanto, permita-se repetir, não há consentimento sem entendimento, o que torna absolutamente legítima a disposição do art. 1º da lei estadual, e que aliás, é um detalhamento de um dever que já decorre, como exposto, da própria legislação federal vigente.

Por força dos princípios da LGPD, sempre que possível deve-se evitar o emprego de dados pessoais, já que sua utilização, embora admitida é excepcional. Nesse sentido, há diversas finalidades que podem ser alcançadas por meio de bases de dados desprovidas de elementos que permitam identificar os compradores, mediante a utilização de anonimização, métodos estatísticos ou preditivos. É o caso das finalidade de apurar o volume de venda de determinado medicamento, identificar o perfil geral das compras de um estabelecimento, controlar o estoque de um medicamento ou mesmo organizar sua logística.

Ocorre que nas farmácias o manancial de dados pode ser utilizado de outras maneiras, mais ou menos razoáveis[8]. Nesse sentido, é importante advertir que a prática de solicitação de CPF para compras é inerente a emissão da nota fiscal, que constitui, por sua vez, um dever legal. Dito de outro modo, não há como legalmente fazer uma compra sem fornecer o CPF.

Além disso, diversas compras de medicamentos se submetem inclusive a regimes mais rigorosos, desde a exigência de apresentação de receita (Resolução ANVISA RDC nº 138/2003, Resolução ANVISA RDC nº 58/2007), até a identificação detalhada do comprador e a retenção da receita (Portaria n. 344/1998 da ANVISA, Resolução ANVISA RDC 20/2011[9]), como no caso de antimicrobianos (Resolução ANVISA RDC n.º 20/2011, art. 5º[10]).

Então qual a importância da lei estadual paulista? A resposta exige compreender melhor as engrenagens do sistema. A questão central não recai sobre a solicitação do número do CPF em si, mas nos cruzamentos de dados e nas posteriores finalidades para as quais o acervo de dados que a farmácia possui será utilizado.

Dessa maneira, as compras permitem mapear inúmeros hábitos, e estimar, ou talvez até predizer, a orientação sexual, relações extraconjugais ou expectativa de vida.

Por meio de associação, e inferência, tal como Sherlock Holmes, os sistemas tecnológicos obtêm deduções com inacreditável grau de precisão. Tornou-se quase folclórico o caso da Target, no qual, a partir do perfil de compras, e com intenso uso do big data, a empresa parabenizou o avô pela gravidez de sua filha, antes mesmo dele ser comunicado pela gestante.“My daughter got this in the mail!” he said. “She’s still in high school, and you’re sending her coupons for baby clothes and cribs? Are you trying to encourage her to get pregnant?”  — reclamou o pai, que depois se desculpou em vista do acerto da farmácia.[11]

Em outras palavras, pode-se afirmar que os dados sobre a saúde permitem extrair muito mais do que apenas os dados da saúde, a demandar cuidado especial. A nova lei paulista, ao impor, em seu art. 2º, que “as farmácias e drogarias deverão ser afixados avisos contendo os dizeres ‘PROIBIDA A EXIGÊNCIA DO CPF NO ATO DA COMPRA QUE CONDICIONA A CONCESSÃO DE DETERMINADAS PROMOÇÕES’, em tamanho de fácil leitura e em local de passagem e fácil visualização”, apenas especifica uma maneira de cumprir a legislação federal que exige transparência no uso das informações e na coleta do consentimento. A determinação de um cartaz sobre o propósito do uso de dados não exclui o dever imposto ao atendente da farmácia também detalhar qual será a utilização dos dados, e preferencialmente colher o consentimento em documento que permita registrá-lo e comprová-lo futuramente.

Se veio em boa hora a utilização de receitas médicas digitais (Portaria do Ministério da Saúde nº 467/2020), de outra banda, a proteção dos dados pessoais deve ser reforçada em ambientes em que de maneira ainda mais acentuada podem ocorrer danos. A recente lei paulista publicada em dezembro de 2020, reforça o princípio da finalidade (LGPD, art. 6º), segundo o qual o qual estar no controle de dados pessoais não significa a possibilidade de empregá-lo livremente. Como na célebre frase do filme do Homem-Aranha, “com grandes poderes vêm grandes responsabilidades”, de sorte que o controlador de dados pessoais deve ser visto sobretudo como destinatário de um conjunto de deveres de cuidados, cuja posologia exige que sejam tomados diariamente.

A proteção de dados pessoais não se inicia, nem se esgota da LGPD de modo que novas normas que tornem mais claros os deveres, reforcem medidas de proteção e especifiquem condutas adequadas são muito bem-vindas, e farão bem à saúde.

[1] Formalmente já estavam em vigor algumas disposições, contudo, em termos práticos, sua vigência inicia em setembro de 2020, ressalvadas as sanções que foram postergadas para 2021.

[2] Cf. FRAZÃO, Ana; TEPEDINO, Gustavo; DONATO, Milena Oliva (Coord.). Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. 2. ed. São Paulo: RT, 2020. DONEDA, Doneda. Da privacidade à proteção dos dados pessoais. Rio de Janeiro: Renovar, 2006.

[3] STF. ADI 6387 MC. Tribunal Pleno, Relª. Minª. ROSA WEBER, DJe: 12.11.2020.

[4] TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. Civilistica.com, Rio de Janeiro, ano 9, n. 1, 2020.

[5] Consista-se a remissão: SCHULMAN, Gabriel. Tecnologias de telemedicina, Responsabilidade Civil e Dados Sensíveis. O princípio ativo da Proteção de Dados pessoais do paciente e os efeitos colaterais do coronavírus. In: ROSENVALD, Nelson; MENEZES, Joyceanne; DADALTO, Luciana. Coronavírus e Responsabilidade Civil. 2ed. Indaiatuba, 2020. SCHULMAN, Gabriel; AMADORI, Caroline Cavet. As violações de dados pessoais na telemedicina: tecnologia, proteção e reparação ao paciente 4.0. In: KFOURI, Miguel, et. al. (Org.). Debates Contemporâneos em Direito Médico e da Saúde. 1ed.São Paulo: Revista dos Tribunais, 2020, v. 1, p. 145-174.

[6] PORSDAM, Mann Sebastian; SAVULESCU, Julian; SAHAKIAN, Barbara J. Facilitating the ethical use of health data for the benefit of society: electronic health records, consent and the duty of easy rescue. Phil. Trans. Real Society. v. 374, Issue 2083, 28 December 2016. KASPERBAUER, TJ. Protecting health privacy even when privacy is lost, Journal of Medical Ethics; v. 46, 2020, p. 768-772.

[7] BARBOZA, Heloisa Helena. A autonomia da vontade e a relação médico-paciente no Brasil. Lex Medicinae – Revista Portuguesa de Direito da Saúde, Coimbra, v. 1, n. 2, p. 05-14, 2004. TEIXEIRA, Ana Carolina Brochado. Autonomia existencial. Revista Brasileira de Direito Civil – RBDCilvil, Belo Horizonte, v. 16, p. 75-104, abr./jun. 2018; ALMEIDA JUNIOR, Vitor de Azevedo. Dignidade, autonomia e escolhas existenciais. Revista Fórum de Direito Civil – RFDC, v. 4, p. 253-278, 2015. LEVINSON, Wendy. Patient-centred communication: a sophisticated procedure. British Medical Journal. v. 20, n. 10, may, 2011, p. 823-825.

[8] MCGRAIL, KM. GUTTERIDGE K, Meagher NL. Building on principles: the case for comprehensive, proportionate governance of data access. In: Gkoulalas-Divanis A, Loukides G, editors. Medical data privacy handbook. Cham: Springer, 2015.

[9] Resolução ANVISA RDC n.º 20/2011, art. 2º “As farmácias e drogarias privadas, assim como as unidades públicas de dispensação municipais, estaduais e federais que disponibilizam medicamentos mediante ressarcimento, a exemplo das unidades do Programa Farmácia Popular do Brasil, devem dispensar os medicamentos contendo as substâncias listadas no Anexo I desta Resolução, isoladas ou em associação, mediante retenção de receita e escrituração nos termos desta Resolução”. (Grifou-se)

[10] Resolução ANVISA RDC n.º 20/2011, art. 5º, “A prescrição de medicamentos antimicrobianos deverá ser realizada em receituário privativo do prescritor ou do estabelecimento de saúde, não havendo, portanto, modelo de receita específico. Parágrafo único. A receita deve ser prescrita de forma legível, sem rasuras, em 2 (duas) vias e contendo os seguintes dados obrigatórios:

I – identificação do paciente: nome completo, idade e sexo;

II – nome do medicamento ou da substância prescrita sob a forma de Denominação Comum Brasileira (DCB), dose ou concentração, forma farmacêutica, posologia e quantidade (em algarismos arábicos );

III – identificação do emitente: nome do profissional com sua inscrição no Conselho Regional ou nome da instituição, endereço completo, telefone, assinatura e marcação gráfica (carimbo); e

IV – data da emissão”. (Grifou-se)

[11] DUHIGG, Charles, How Companies Learn Your Secrets. The New York Times. Feb. 16, 2012. Para uma análise mais detida: SIEGEL, Eric. Predictive Analytics: The Power to Predict Who Will Click, Buy, Lie, or Die. New Jersey (EUA): John Wiley & Sons, Inc., Hoboken, 2015. p. 40 e ss.

Gabriel Schulman é advogado, sócio de Trajano Neto e Paciornik Advogados, Árbitro da CAMES. Doutor em Direito pela Universidade do Estado do Rio de Janeiro (UERJ). Mestre em Direito pela Universidade Federal do Paraná (UFPR). Especialista em Direito da Medicina (Universidade de Coimbra). Professor de Proteção de Dados Pessoais na Escola de Direito e Ciências Sociais da Universidade Positivo. Membro do Comitê de Saúde da OAB/PR e do Comitê Executivo de Saúde do CNJ no Paraná. Integrante do IBERC.

Leia mais em: https://www.jota.info/opiniao-e-analise/artigos/quer-informar-o-cpf-hoje-para-obter-descontos-nos-medicamentos-19122020
Copyright © 2020, Jota. Todos os direitos reservados.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s