A constatação da prática de cadastramento da biometria e do número do CPF dos clientes levou o IDEC – Instituto Brasileiro de Defesa do Consumidor a notificar a maior rede de farmácias do Brasil, exigindo que explique a finalidade e interrompa a coleta destes dados pessoais, bem como a questionar a Associação Brasileira de Farmácias – ABRAFARMA se outras empresas do segmento têm também adotado este procedimento .

Segundo o IDEC, os usuários relataram que os atendentes das farmácias justificam que o cadastro da biometria é necessário para a adequação à LGPD.

A justificativa, entretanto, contraria frontalmente as disposições da Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2018), cujos princípios impõem a limitação da coleta de dados ao mínimo necessário para cada finalidade legítima, específica, informada ao cliente.

Decorre do princípio da necessidade (art. 6º, III da LGPD) a obrigação da empresa coletar, para atender à finalidade legítima pretendida, os dados menos intrusivos da privacidade do titular ou que lhe sejam potencialmente menos danosos. 

Tanto a impressão digital de uma pessoa, como o seu reconhecimento facial, são dados biométricos, que não sofrem mudança significativa ao longo da sua vida, o que lhes torna potencialmente mais lesivos que outros – o registro desses dados eleva significativamente o grau de risco das operações de tratamento para os direitos e liberdades dos respectivos titulares, devendo portanto ser coletados apenas nos casos em que não se possa atingir os mesmos fins (que devem ser legítimos) por outros meios, registrando-se esta impossibilidade para prestação de contas.

O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, no qual a Lei brasileira se inspirou, determina que o tratamento desta categoria de dados somente deve ocorrer em situações específicas, sempre mediante a implementação das garantias adequadas, suficientemente aptas a salvaguardar os direitos fundamentais e os interesses dos titulares dos dados.

O consentimento do titular dos dados, tanto na Europa, quanto no Brasil, constitui uma hipótese de autorização para o tratamento destes dados sensíveis. 

Mas sempre que um tratamento de dados implica um elevado risco para os direitos das pessoas, como é o caso do tratamento de dados biométricos, deve-se realizar previamente uma Avaliação de Impacto sobre Proteção de Dados Pessoais, com especificação das medidas mitigadoras dos riscos envolvidos. Neste sentido é o Regulamento europeu, tendo a LGPD determinado a regulamentação do procedimento da Avaliação de Impacto pela Autoridade Nacional de Proteção de Dados- ANPD. Contudo, diante do princípio da prevenção (art. 6º, VIII) e da prescrição contida no art. 46, de adoção das medidas técnicas e administrativas aptas a proteger os dados pessoais, desde a concepção do serviço até a sua execução (privacy by design), o tratamento de dados biométricos exige, em qualquer hipótese, uma criteriosa avaliação dos riscos para os titulares dos dados e a implementação de medidas proporcionalmente eficazes para mitigar cada um deles, sob pena de desconformidade com a Lei. 

A manutenção de dados biométricos na farmácia não atende ainda à exigência de legitimidade do propósito, uma vez que sequer guarda uma relação de pertinência com a atividade ali desenvolvida, afrontando também o princípio da adequação.

No caso sob investigação, foi noticiado pela imprensa  que a rede de farmácias teria adquirido, em 2020, uma empresa tecnológica de big data de saúde, que teria o objetivo de “redução dos custos e prevenção de casos graves, com a otimização do uso de planos de saúde”. Paralelamente, a política de privacidade da empresa prevê o compartilhamento dos dados com outras empresas do grupo, parceiros da indústria farmacêutica, empresas de consultoria e tecnologia parceiras, sem informar quais são, o que viola direitos dos titulares dos dados e os princípios da LGPD. 

Abstraindo da investigação em si, a probabilidade de se verificarem fatos como os noticiados dão ao consumidor uma noção concreta dos riscos a que se submete ao consentir no uso indiscriminado da sua biometria.

Em qualquer hipótese o uso de dados biométricos deve ser restrito, somente admissível em situações excepcionais, cujas particularidades o revelem como a escolha necessária, após uma ponderação de todos os fatores envolvidos e uma criteriosa avaliação dos riscos para os titulares dos dados, inclusive dos riscos persistentes após a implementação de medidas proporcionalmente eficazes para a sua mitigação.