LGPD para farmácias: quais são as obrigações e como se adequar

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), em vigor desde setembro de 2020, regula o tratamento de dados pessoais no Brasil — sejam eles coletados por empresas privadas, órgãos públicos ou qualquer outra organização.

A fiscalização e aplicação de sanções é responsabilidade da ANPD (Autoridade Nacional de Proteção de Dados), criada junto com a lei. As penalidades podem chegar a 2% do faturamento bruto anual da empresa, limitadas a R$ 50 milhões por infração.

Por que farmácias precisam de atenção especial?

Farmácias coletam e processam dados que a LGPD classifica como dados pessoais sensíveis — uma categoria que exige tratamento ainda mais rigoroso. O artigo 5º, inciso II, da LGPD inclui nessa categoria os dados referentes à saúde, incluindo informações sobre doenças, tratamentos e uso de medicamentos.

Dados coletados rotineiramente por uma farmácia que se enquadram nessa categoria incluem: histórico de compras de medicamentos, receitas médicas, cadastros de clientes com condições de saúde e dados de fidelidade vinculados a perfis de compra de medicamentos controlados.

Quais são as principais obrigações?

• Base legal para coleta de dados: Toda coleta de dado pessoal precisa de uma justificativa legal prevista na LGPD — como consentimento do titular, cumprimento de obrigação legal (ex: SNGPC) ou execução de contrato. Coletar dados sem base legal configura infração.
• Transparência e Política de Privacidade: O estabelecimento deve informar claramente quais dados coleta, para que os usa, por quanto tempo os armazena e com quem os compartilha. Essa informação deve estar disponível em linguagem acessível.
• Direitos dos titulares: Clientes têm o direito de acessar, corrigir, excluir ou solicitar a portabilidade dos próprios dados. A farmácia precisa ter um processo para atender essas solicitações.
• Segurança dos dados: A empresa deve adotar medidas técnicas e organizacionais para proteger os dados contra acessos não autorizados, vazamentos e incidentes de segurança.
• Encarregado de Dados (DPO): Organizações que tratam dados em grande escala ou que tratam dados sensíveis de forma sistemática devem indicar um Encarregado de Dados (Data Protection Officer). A ANPD pode dispensar essa obrigação para pequenas empresas, conforme regulamentação específica.

O que a farmácia deve fazer na prática?

O processo de adequação varia conforme o porte e o volume de dados tratados. Como ponto de partida, recomenda-se:

• Mapear quais dados pessoais são coletados e onde ficam armazenados
• Publicar uma Política de Privacidade clara e acessível
• Implementar consentimento explícito para dados que não têm outra base legal
• Garantir que sistemas e fornecedores que acessam dados dos clientes também estejam adequados
• Definir um processo para atender solicitações de titulares (acesso, exclusão, etc.)
• Registrar incidentes de segurança e, quando obrigatório, notificar a ANPD

Aviso importante

Este artigo tem caráter informativo e não substitui orientação jurídica especializada. Para adequação completa à LGPD, recomendamos consultar um advogado com experiência em proteção de dados.