A distopia do ‘me fala o CPF’ nas farmácias do Brasil

Na hora de comprar remédio, você já deve ter ouvido o simpático pedido do outro lado do balcão: “Me fala o CPF para ver se você tem desconto”. Existe boa chance de você ser seduzido pela palavra mágica: desconto. Mas, se você é dessas pessoas que não se sente confortável em passar dados a qualquer um, pode ter sido surpreendido com a expressão incrédula dos farmacêuticos. “Como assim você não quer desconto?”, indagam, em tom de condenação.

De fato, recusar pechincha não parece ser algo que a maioria de nós faria. Mas por que, em toda compra nas grandes drogarias, querem tanto assim o número dos nossos CPFs? O que está por trás dessa insistência para que forneçamos nossos cadastros de pessoa física?

Videos by VICE

Uma primeira resposta para essa pergunta é a cota de registros que os atendentes devem adicionar ao sistema. Em breve conversa que tive com atendente da Droga Raia na Vila Madalena, em São Paulo, fui informado de que cada funcionário precisa atingir uma meta de 100 novos cadastros no sistema por mês.

A pergunta que não é respondida de barriga no balcão é qual é este sistema que está sendo alimentado com nossos dados e para o que estão sendo usados. A dúvida permanece em quem estuda os direitos do consumidor. Para os especialistas que consultei, trata-se de algo obscuro, perigoso e abusivo.

“Chamou nossa atenção a postura muito agressiva da RaiaDrogasil no ano passado, de firmar convênios com as operadoras de plano de saúde e a disseminação de formas de coletas de dados pessoais”, comentou Rafael Zanatta, advogado especialista em direitos digitais do Instituto de Defesa do Consumidor (IDEC), por telefone.

“A interpretação que faço é que realmente existe um processo de captura, que é uma prática abusiva, ao exigir o CPF para verificar se há desconto”, comentou o advogado. Ele explica que, segundo o Código de Defesa do Consumidor, os descontos devem ser vinculados a um determinado produto, e não à entrega do CPF .

Zannata também aponta que, como o número do documento do consumidor é pedido mais de uma vez nesses estabelecimentos, isso indica que, além dos programas governamentais como o Nota Fiscal Paulista ou o Nota Paraná, também é alimentado o banco de dados da própria farmácia. E isso pode ser mais problemático.

“O grande problema é que todo mundo têm os seus dados, menos você. E quem têm que ter os seus dados é você”

O valor que dados pessoais têm para formulação de campanhas publicitárias é conhecido há bastante tempo; nos últimos anos, a captação dessas informações foi usada tanto para obter mais lucro quanto para influenciar o debate público e a política. O problema mais grave da prática é a falta de conhecimento sobre como são tratados e armazenados e, acima disso, por onde circulam.

Na ausência de legislação específica para dados pessoais, as informações coletadas nas farmácias são regulamentadas por dois textos. O primeiro é a lei 13021/2014 que descreve como uma das atividades do farmacêutico a de “estabelecer o perfil farmacoterapêutico no acompanhamento sistemático do paciente, mediante elaboração, preenchimento e interpretação de fichas farmacoterapêuticas“.

O segundo é uma normativa da Anvisa publicada em 2009 que trata da responsabilidade do farmacêutico em assegurar a privacidade do usuário e o proíbe de fazer outro uso dos dados que não seja para a melhor prestação do serviço. O texto ainda destaca que “os dados dos usuários não podem ser utilizados para qualquer forma de promoção, publicidade, propaganda”. Apesar da existência dessas poucas regras, Zanatta salienta que elas são insuficientes pois, “além de não existir uma fiscalização efetiva, não se trata de uma pauta nacional”.

O fato do Brasil não ter lei de proteção de dados pessoais é mais um elemento complicador dessa equação. Segundo Zanatta, a coleta de dados feita nas farmácias não possui praticamente nenhuma proteção legal. “O Marco Civil cobre algumas regras básicas de proteção de dados pessoais para quem está na camada de aplicações de internet, mas o mundo offline está completamente desprotegido”, observou o advogado.

A lei nacional de proteção de dados é uma demanda antiga de movimentos de direitos digitais. Diversos desses grupos se juntaram em 2016 na Coalizão Direitos na Rede para incluir essa pauta no debate público e hoje trabalham com a campanha Seus Dados São Você. A discussão em torno de proteção mais efetiva de dados pessoais está em pauta desde 2010, quando se iniciaram os debates em torno do que viria a se tornar o projeto de lei 5276/2016, hoje em tramitação na Câmara dos Deputados.

“Seria importante ter essa proteção o quanto antes”, comentou Lucas Teixeira, membro da direção de tecnologia da Coding Rights. Para ele, a falta de transparência na coleta de dados nas farmácias é crítica, já que dados relacionados a questões de saúde são considerados extremamente sensíveis, ao mesmo tempo que o CPF é um forte identificador. “Uma vez que você coleta o CPF da pessoa, você consegue não apenas associar o histórico de compras das pessoas, mas também comprar dados diversos sobre outros fatos da vida delas.” Plataformas como o site Tudo sobre todos seria uma dessas bases de dados onde é possível fazer esse tipo de cruzamento.

Ele aponta que o cenário atual favorece a coleta indiscriminada e a experimentação por parte de empresas que negociam bases de dados, conhecidas como Data Brokers. “No Brasil não vale tudo, mas vale muito mais do que em outros lugares do mundo que já oferecem essa camada de proteção”, comentou Teixeira. Um dos principais problemas relacionados a essa prática, além de seus dados estarem por aí sem você não ter uma ideia de para o que eles são usados, é a questão do Score de Crédito e do Profiling. Essas prática permitiria a discriminação de pessoas com base em informações pessoais sigilosas.

Leia também: Como empresas financeiras stalkeiam suas informações online

Teixeira aponta que um dos argumentos usados para defender a coleta de dados indiscriminada é a possibilidade de torná-los anônimos, mas isso não é tão simples assim. “Um dos campos que está em desenvolvimento constante é a reidentificação de dados, mesmo sem identificadores diretos, você consegue cruzando muitas dessas bases de dados identificar quem são essas pessoas”, comentou Teixeira.

Quanto à consequência negativa que a exposição de informações sigilosas podem ter, já existem alguns exemplos conhecidos. Um deles é o do bombeiro americano que buscou apoio para combater sua doença nas redes sociais e teve as informações usadas para negar uma oportunidade de trabalho. Neste caso, a informação foi publicada voluntariamente nas redes sociais, mas a situação pode ser mais sinistra quando esse não é o caso.

Para o professor de comunicação da ECA-USP e autor da pesquisa “Datacracia: a vida na interface”, Luli Radfahrer, a possibilidade da criação de perfis dos consumidores está entre as consequências mais graves. “Uma pessoa pode não ser contratada pelos dados de saúde dela, mesmo que esses dados sejam coisas efêmeras ou que não as afetem de fato”, comentou.

Ele aponta que o uso indiscriminado de dados sensíveis e médicos podem aprofundar discriminações de forma um tanto quanto distópica. Pode ir desde o aprofundamento do Score de Crédito até a negação de vagas específicas de emprego a pessoas com determinadas condições médicas.

Radfahrer cita o exemplo de que dados que indicam consumo de medicamento para o fígado podem apontar que determinada pessoa não cuida bem da saúde ou que pode ter problemas com álcool. Ou que, por exemplo, o uso frequente de analgésicos pode indicar a falta de prática esportiva. “De repente você percebe que o presidente de uma empresa consome Rivotril (remédio tarja preta usado como ansiolítico e anticonvulsivante) em quantidades industriais. Isso pode ser um motivo demiti-lo, mesmo que o consumo do medicamento não seja dele, ou mesmo que isso não interfira em seu trabalho”, exemplificou.

“Como essas tecnologias são novas, muito disso acaba ficando em uma zona cinza, e até o momento de isso ser regulado, muitos desses dados vão sendo coletados”, comentou o professor.

Para ele, existe o risco da legislação chegar tarde demais e a amostragem de dados coletados ser grande o suficiente para prejuízos. “O grande problema é que todo mundo têm os seus dados, menos você. E quem têm que ter o seus dados é você”, disse.

Procuradas para responder questionamentos sobre a forma de tratamento de dados e a relação de parceria com operadoras de planos de saúde em programas de desconto, os grupos Raia Drogasil (Droga Raia e Drogasil), grupo DPSP (Drogarias Pacheco e Drogaria São Paulo) e Ultra (Extrafarma) não responderam até o fechamento da matéria.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter e Instagram .