Guia Prático para Implementação e Gestão de Adequação Da Farmácia À Lei

GUIA PRÁTICO
para Implementação e Gestão de

Adequação da Farmácia à Lei Geral
de Proteção de Dados (LGPD)
Sumário
Introdução ................................................................................. 2
Capítulo 1 .................................................................................. 6
Breve análise da LGPD x legislações específicas do segmento
magistral
Capítulo 2 ................................................................................. 17
Considerações gerais sobre a segurança da informação por
departamento ou área da farmácia
Capítulo 3 ................................................................................... 32
Guia prático de procedimentos de implementação da
LGPD por departamento ou área da farmácia
Capítulo 4 ................................................................................... 58
Plano de gestão de crises na farmácia
Conclusão .................................................................................. 62
Anexo .......................................................................................... 63
Exemplificação de políticas, procedimentos e/ou comunicados
por área
Introdução
O objetivo deste documento é prover orientações às farmácias magistrais
relativas ao uso de dados pessoais identificáveis e/ou sensíveis, orientar
htps:/ w w.in.gov.br/materia/- as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1-resolucao-n648-de-30-de-agosto-de-2017-19349282
sobre os procedimentos gerais de adequação, nas diversas áreas da
htps:/w w.ingov.br/materia/-as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1-resolucao-n648-de-30-de-agosto-de-2017-19349282 https://www.in.gov.br/web/dou/-/resolucao-n-700-de-29-janeiro-de-2021-304446969
farmácia, que devem ser implementados em razão da entrada em vigor
da Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709, de 14
de agosto de 2018 —, bem como sugerir documentos auxiliares que
facilitarão referida implementação. Ainda, mais do que indicar ações
específicas, este documento é destinado ao treinamento e
conscientização das equipes internas, por meio de guias específicos de
atuação que descrevem situações “típicas” e “anormais” e como proceder
http://www.planalto.gov.br/ccivil_03/leis/l3820.htm
de forma adequada.
Para fácil entendimento do tema e dos procedimentos a serem adotados

pela farmácia, este documento está organizado da seguinte forma:
5
• O primeiro capítulo faz uma abordagem geral da legislação

aplicável (LGPD e legislações específicas do segmento magistral)
para contextualização da sua importância e impactos ao gestor.
Essa abordagem é importante para o gestor enxergar esforços
futuros a serem desenvolvidos na farmácia, com o fim de atender à
LGPD;
• O segundo capítulo informa aspectos gerais sobre a segurança da

informação por departamento da farmácia. Elencamos nele os
departamentos de forma geral, sabendo que cada farmácia possui
sua própria estrutura organizacional/departamental. É importante a
leitura dessa visão para seu entendimento e para utilizá-la como
elemento de treinamento dos colaboradores sobre a importância e
cuidados na captação e tratamento de dados de clientes,
3
prescritores, prestadores de serviços e outros relacionamentos da
farmácia;
• O terceiro capítulo se debruça especificamente sobre os

procedimentos a serem adotados em cada departamento da
farmácia e apresenta exemplificações práticas dos respectivos
documentos auxiliares a serem alterados/modificados para
atendimento à LGPD, assim como mapas de entrada e
saída/compartilhamento de dados com terceiros (p. ex., dados
remetidos para a Anvisa via SNGPC), fornecedores e parceiros (p.
ex., contabilidade externa e outros prestadores de serviço), para
facilitar a compreensão. Observe também que os procedimentos
indicados são gerais, devendo cada farmácia analisar seus
caminhos internos e decidir por ações específicas. Para tanto, a
farmácia deve considerar, junto a seu departamento jurídico, os
procedimentos específicos a serem executados no seu ht p:/ w w.planalto.gov.br/c iv l_03/leis/l59 1.htm
http://www.planalto.
gov.br/ccivil_03/leis/l5991.htm
estabelecimento; ht ps:/ www2.camara.leg.br/legin/fed/lei/2014/lei-13021-8-agosto-2014-7 9151-norma tualizada-pl.pdf
• Por último, como qualquer trabalho relacionado à privacidade e

proteção de dados, esse é sempre um processo contínuo de
gestão e melhoria. Logo,
htps:/ www.in.gov.br/web/dou/- resolucao-n-70 -de-29-jané
eiro-de-2021-304 46possível
969 que incidentes e crises de
naturezas diversas envolvendo tecnologia da informação ocorram.
Assim, o quarto capítulo é o “Plano de Gestão de Crises”, trazendo
observações gerais para você se preparar com antecedência a elas
e preveni-las ou resolvê-las caso aconteçam. https://www.in.gov.br/web/dou/-/resolucao-n-700-de-29-janeiro-de-2021-304446969
htps:/ www.in.gov.br/web/dou/- resolucao-n-70 -de-29-janeiro-de-2021-304 46969
Em síntese, o presente documento é um apoio de consulta a ser utilizado
nas operações cotidianas, para a solução de dúvidas pontuais durante a
implementação de ações de adequação da informação dentro da
farmácia, visando atender às premissas da nova lei.
Tome um tempo para a leitura e entendimento deste conteúdo. Assim,
4
você estará mais bem preparado para iniciar seu processo de adequação
à LGPD, no sentido de gerenciar junto ao seu departamento jurídico as
adequações necessárias, treinar os colaboradores e acompanhar ponto a
ponto toda a implementação.
https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=99&data=25/03/2014
5
Capítulo 1
Breve análise da LGPD x legislações específicas ht p:/ bvsms.saude.gov.br/bvs/saudelegis/anvisa/20 9/rdc0 4do
_17_08_20 9.html
segmento magistral https://bvsms.saude.gov.br/bvs/saudelegis/anvisa/2007/rdc0067_08_10_2007.html
Esta breve análise da legislação aplicável a dados pessoais considerará

dois eixos principais: a Lei Geral de Proteção de Dados Pessoais (LGPD) —
Lei 13.709, de 14 de agosto de 2018 — e as obrigações previstas nessa
legislação e, também, o arcabouço regulatório do setor de farmácias
magistrais e sua relação com a LGPD. É importante destacar que certas
legislações específicas impactam diretamente a LGPD (como a Portaria
SVS/MS nº 344/1998 e a obrigatoriedade do envio de balanços e relações
mensais de notificações para a vigilância sanitária, além de outras que
criam obrigações similares) e precisam ser conhecidas e identificadas
para serem conciliadas adequadamente com as obrigações previstas
nessa lei.
Lei Geral de Proteção de Dados
A LGPD foi promulgada em 14/08/2018 e entrou em vigor de forma

fracionada, estando vigentes, desde março/2021, suas disposições gerais.
Contudo, as penalidades e sanções administrativas (incluindo multas) só
iniciam sua vigência em 01/08/2021, nos termos da Lei nº 14.010/2020.
Dessa forma, considerando que as empresas têm até esse prazo para
atuar sem riscos jurídicos, seria altamente recomendável a utilização do
prazo existente para realizar seu processo de adequação à nova lei.
A legislação brasileira aplica-se somente aos dados pessoais de pessoas

físicas, conforme o artigo 1º da LGPD:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais,

inclusive nos meios digitais, por pessoa natural ou por pessoa
6
jurídica de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.” (gn)
Embora os dados de pessoas jurídicas não estejam contemplados nessa

legislação, ações de segurança da informação devem ser aplicadas para
ambos os casos (pessoas físicas e jurídicas), sob pena de eventuais
prejuízos causados a terceiros (pessoas jurídicas) poderem ser
contestados, implicando sanções civis como reparação por danos
materiais. Ou seja, na prática, as relações com outras empresas (pessoas
jurídicas) não estão protegidas pela LGPD, mas é importante destacar que
isso significa que é mais vantajoso contratar pessoas jurídicas para a
realização de serviços como marketing, consertos de ar-condicionado,
manutenção de balanças, escritórios de contabilidade etc., dentro do
escopo da LGPD.
No contexto do setor magistral existem diversos aspectos de trabalho

que não precisarão ser alterados em profundidade, pois a própria lei os
insere dentro de um quadro de exceções (em alguns casos). Exemplo
disso é o envio de dados de substâncias e produtos sujeitos a controle
especial, cujo envio de dados são determinados como compulsórios por
meio de norma própria, abaixo analisada.
A LGPD possui dois focos principais:
(I) Proteger a privacidade dos indivíduos; e
(II) Garantir que os dados pessoais dos indivíduos sejam tratados

apenas mediante sua autorização (consentimento) ou dentro de
hipótese legal previamente definida (combate ao uso indevido de
dados pessoais).
As farmácias magistrais trabalham com dados pessoais dos seguintes

tipos:
7
• Consumidores e/ou compradores (por meio de receitas e do SAC);
• Prescritores (por meio das ações de marketing e contato

farmacêutico-prescritor);
• Colaboradores;
• Visitantes (prestadores de serviço, entrevistas de emprego etc.);
Importante considerar 3 conceitos da LGPD para você saber como

proceder:
(I) Dado anonimizado;
(II) A diferença entre os agentes de tratamento de dados dentro da lei; e
(III) Quais as características do relatório de impacto à proteção de

dados pessoais e o papel da autoridade nacional.
O dado anonimizado é aquele que não pode ser rastreado de volta a um

titular, a exemplo dos relatórios contábeis sintéticos, que só apresentam
as despesas e receitas por centro de custo, em que não é possível
associar os dados aos seus titulares, ou de uma receita médica, que é
destinada a um paciente específico.
Sobre os agentes de tratamento que a lei define, ou seja, as pessoas ou

empresas que tratam os dados pessoais de clientes/pacientes,
prescritores, colaboradores e outros, é importante saber que:
• O controlador é a figura que toma as decisões sobre o tratamento

de dados pessoais, nesse caso, as farmácias magistrais;
• O operador executa o tratamento dos dados a serviço do

controlador (pode ser tanto pessoa física quanto jurídica).Um
8
exemplo de operador pessoa física é o atendente quando solicita
dados pessoais ao cliente/paciente, e de operadores pessoas
jurídicas são as empresas de TI que fornecem os softwares de
gestão interna, as agências de marketing e as empresas de
contabilidade. Recomenda-se que os operadores que possuem
muitos dados pessoais ou que controlam/têm acesso a muitos
sistemas críticos dentro da farmácia magistral sejam monitorados
regularmente, dado o risco que podem impor ao controlador;
https://www.in.gov.br/web/dou/-/resolucao-n-700-de-29-janeiro-de-2021-304446969
• O encarregado tem um papel administrativo. É aquele
representante do estabelecimento que se comunica publicamente.
O controlador (nesse caso as farmácias magistrais) deverá indicar o
encarregado pelo tratamento de dados pessoais de forma pública,
permitindo ao público solicitar reclamações, exclusão de dados e
outras providências necessárias, bem como a comunicação com a
Autoridade Nacional de Proteção de Dados (ANPD), conforme
previsto no artigo 41 da lei.
O relatório de impacto à proteção de dados pessoais é a documentação

que reúne o mapeamento de dados da empresa, a avaliação de riscos e
o conjunto de políticas e procedimentos adotados. Nesse guia estão
identificados os documentos por meio dos quais a farmácia deverá avaliar
a necessidade de possíveis alterações e que constituem o que chamamos
de “Relatório de Impacto” em seu conjunto.
Importante considerar que a LGPD elenca 10 (dez) situações nas quais

será legítimo tratar os dados pessoais de terceiros e, entre elas, está o
consentimento, que é a forma pela qual existe acordo do titular ao uso
dos dados pela farmácia. Exceções à forma consentida de utilização de
dados do titular estão diversas operações de compartilhamento de dados
realizadas pelas farmácias magistrais (como a Vigilância Sanitária e
Polícias) que são obrigações legais, não sendo,então, necessário o
9
consentimento do titular para que esse compartilhamento seja realizado.
Nesse sentido, alguns dos principais fluxos de informação das farmácias
magistrais já estão contemplados pela LGPD como válidos e não
requerem mudanças em seus processos, sendo necessário apenas
identificá-los e documentar que já estão adequados.
Lembre-se que o titular dos dados pessoais possui outros direitos além de
permitir o seu tratamento, englobando os direitos de remover o
consentimento, solicitar a correção de dados incorretos, a remoção de
dados e o acesso aos dados. Especificamente em relação ao direito de
eliminação (remoção) de dados pessoais pelo titular, a LGPD é bastante
clara em determinar que só podem ser removidos os dados obtidos por
meio de consentimento. Ou seja, os dados pessoais que decorrem de
outras obrigações não podem ser removidos, a exemplo dos dados que
constam no receituário, dada a obrigação legal de seu compartilhamento
com a Vigilância Sanitária, e dos dados enviados por meio do SNGPC,
também previstos em norma própria.
Ao inventariar os dados que a farmácia utiliza (o Capítulo 3 é específico

nessa indicação), é necessário destacar quais informações devem ser
descartadas (eliminadas) após seu uso e delimitar um período adequado
para tanto, sendo necessário que cada tipo de dado catalogado seja
previamente avaliado e que se defina o período máximo de
armazenamento. Algumas normas da área magistral definem o tempo de
armazenamento de documentos e podem ser seguidas para esse
procedimento.
Um dos aspectos mais relevantes da LGPD é a obrigação de comunicar à

Autoridade Nacional de Proteção de Dados (ANDP) e ao público
eventuais incidentes que exponham a risco os dados pessoais de
terceiros, incluindo acesso não autorizado, perda e/ou dano
de dados pessoais tratados pelas farmácias magistrais (e/ou um
10
de seus operadores contratados), a exemplo dos ransomwares, tipo de
malware de criptovirologia (vírus) que ameaça publicar os dados da vítima
ou bloquear perpetuamente o acesso a eles. Nesse caso, mesmo que o
“resgaste” seja pago e o acesso aos dados seja reestabelecido, a intrusão
ocorrida é um incidente de segurança de dados pessoais, pois existiu um
risco real de sua divulgação não autorizada para terceiros, e a Autoridade
Nacional (ANDP) deve ser comunicada, assim como o titular dos dados.
Por conta disso, o capítulo 4 descreve orientações sobre o “Plano de
Ação” para a farmácia executar.
Por último, a LGPD estabelece sanções e multas administrativas que

podem ser aplicadas pela ANDP em caso de incidente de uso indevido de
dados e/ou incidente de falhas de segurança (vazamento de
informações, perda de dados). Oportuno ressaltar que perder dados de
terceiros é um incidente equiparado a acesso indevido.
A definição de políticas e procedimentos internos adequados atuará

como uma proteção dupla, tanto contra eventuais incidentes quanto
como uma documentação a ser utilizada para defesa das farmácias
magistrais perante a ANDP em eventual investigação. Contudo, o objetivo
a ser alcançado é impedir a ocorrência de incidentes de violação de
dados pessoais. Ao proceder dessa forma, a organização se protege e
demonstra, ao mesmo tempo, um sistema de proteção de dados
eficiente, o que minimiza potenciais penalidades.
Leis, portarias e resoluções com interface com a LGPD
Diversas normas interagem com a LGPD no sentido de fazer com que a

farmácia desenvolva procedimentos que envolvam tratamento de dados
e, ao mesmo tempo, cumpram com os ditames da lei. Citamos algumas
delas e, muito resumidamente, seu grau de criticidade quanto ao
cumprimento da LGPD.
11
Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor)
“Art. 43. O consumidor [...] terá acesso às informações existentes
em cadastros, fichas, registros e dados pessoais e de consumo
arquivados sobre ele, bem como sobre as suas respectivas fontes.”
Relevância na interação com a LGPD: média.
Lei nº 5.991, de 17 de dezembro de 1973

Essa lei não impõe obrigações específicas que impactam o projeto de
adequação à LGPD.
Relevância na interação com a LGPD: baixa.
Lei nº 6.360, de 23 de setembro de 1976

Dispõe sobre a Vigilância Sanitária a que ficam sujeitos os medicamentos,
as drogas, os insumos farmacêuticos e correlatos, cosméticos, saneantes
e outros produtos. Entre os pontos de destaque estão as restrições à
propaganda de medicamentos que necessitam de prescrição médica,
cujo marketing é restrito aos públicos especializados (médicos, dentistas
etc.).
Lei nº 6.437, de 20 de agosto de 1977

Dispõe sobre as infrações à legislação sanitária federal e estabelece
sanções.
Portaria SVS/MS nº 344, de 12 de maio de 1998 *

A Portaria SVS/MS nº 344/1998 institui regulamentação específica sobre
substâncias e medicamentos sujeitos a controle especial. Em relação ao
tema de proteção de dados, o seu principal impacto é em relação aos
12
dados obrigatórios que devem constar na receita (como nome do
prescritor, dados do paciente e do comprador, entre outros), a obrigação
de reter uma via da receita (exceto em casos previstos), o tempo de
armazenamento mínimo e a obrigação de compartilhamento das
informações com a Vigilância Sanitária.
Essas obrigações implicam tratamento/guarda de dados pessoais, tanto

dos prescritores (médicos, veterinários etc.) quanto dos pacientes, e seu
compartilhamento com terceiros (Vigilância Sanitária), o que a torna uma
legislação relevante para o projeto. Ao mesmo tempo, como se trata de
uma obrigação legal de compartilhamento e tratamento de dados, essas
operações estão englobadas dentro da permissão do artigo 11, inciso II,
alínea “a”, da LGPD, não sendo necessária a obtenção de consentimento
para realizá-las.
Dentro da LGPD, a obrigação que as farmácias magistrais possuem sobre

esses dados é de utilizá-los apenas para sua finalidade específica
(aviamento das receitas), guarda dos registros pelo período legal e
compartilhamento previsto em lei com as autoridades legais,
considerando que a legislação setorial as obriga a obtê-los. A guarda de
registros é realizada pelo Livro de Receituário Geral (para as farmácias
magistrais) e contém a relação de todas as operações realizadas pela
farmácia (manipulação e receitas aviadas). Essa obrigação legal de
compartilhamento de dados no SNGPC, embora relevante para a LGPD,
não requer mudança em relação aos procedimentos e fluxos internos,
https://www.
sendo cff.org.br/userfilesua
suficiente s/file/resolucoes/596.pdf
documentação no fluxo de dados da farmácia.
Relevância na interação com a LGPD: alta.
Resolução-RDC nº 96, de 17 de dezembro de 2008
Dispõe sobre a regulamentação à propaganda e publicidade de

medicamentos (por quaisquer meios).
13
Resolução-RDC nº 44, de agosto de 2009
Dispõe sobre Boas Práticas Farmacêuticas para o controle sanitário do

funcionamento, da dispensação e da comercialização de produtos e da
prestação de serviços farmacêuticos em farmácias e drogarias e dá outras
providências. A resolução apresenta uma série de aspectos legais, entre
eles a possibilidade de solicitação remota (por telefone e internet) de
medicamentos, o que certamente inclui a solicitação de dados do titular.
Resolução-RDC nº 22, de 29 de abril de 2014
Estabelece as regras do Sistema Nacional de Gerenciamento de Produtos

Controlados – SNGPC, que objetiva o controle e gestão sobre a
escrituração de dados de manipulação, prescrição, dispensação e
consumo de medicamentos e insumos farmacêuticos. O SNGPC é um
sistema que visa obter a rastreabilidade e gestão do fluxo de
medicamentos no Brasil e incrementa a fiscalização realizada pela
Vigilância Sanitária, ao obrigar as farmácias magistrais a compartilharem
seus dados de receituário (escrituração) com as autoridades.
As informações do SNGPC são controladas pelas autoridades de

Vigilância Sanitária, as quais podem acionar a polícia caso entendam
existir indícios de prática de ato criminoso para averiguação policial.
Logo, trata-se de um acesso mediado sempre pela Vigilância Sanitária.
Em termos de impacto à LGPD, o SNGPC possui obrigações similares à
de compartilhamento de dados à Vigilância Sanitária previstas na Portaria
SVS/MS nº 344/1998.
Do ponto de vista jurídico, não é necessário readequar processos, sendo
14
suficiente identificá-los e documentá-los, bem como garantir a segurança
da guarda das informações contra eventuais vazamentos e/ou acesso
https:autorizado
não //bvsms.saude.gov.por
br/bvs/saudelegis/anvisa/2007/rdc0067_08_10_2007.
terceiros. html
http://bvsms.saude.gov.br/bvs/saudelegis/anvisa/2009/rdc0044_17_08_2009.html
Resolução-RDC nº 471, de 23 de fevereiro de 2021
Dispõe sobre as regras e critérios para a prescrição, dispensação,

controle, embalagem e rotulagem de medicamentos à base de
http://www.cff.org.br/userfiles/file/resolucoes/566.pdf
substâncias classificadas como antimicrobianos. Similarmente a outros
marcos legais citados, aplica-se o mesmo procedimento de identificação
e documentação dos fluxos, de modo a garantir a segurança da
http://www.planalto.gov.ber/ccievitar
informação vil_03/leis/lseu
5991.htmacesso não autorizado por terceiros.

https:/ www2.camara.leg.br/legin/fed/lei/2014/lei-13021-8-agosto-2014-7 9151-normaatualizada-pl.pdf
Portaria MJSP nº 240, de 12 de março de 2019
http://www.planalto.gov.br/ccivil_03/leis/l3820.htm
A Portaria MJSP nº 240/2019 dispõe sobre os procedimentos para o
controle e a fiscalização de produtos químicos e define os produtos
https://www.cff.org.br/userfiles/file/resolucoes/596.pdf
químicos sujeitos a controle pela Polícia Federal. Dadas as características
das farmácias magistrais, diversos produtos químicos utilizados
rotineiramente em seus produtos estão incluídos nessa relação, a qual
https:/ www.in.gov.br/materia/-/as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1 -resolucao-n-648-de-30-de-agosto-de-2017-19349282
possui uma camada adicional de controle efetuada pela Polícia Federal,
que se soma às obrigações de compartilhamento de dados com a
Vigilância Sanitária. Não impacta de forma significativa o projeto de LGPD,
https://www.in.gov.br/en/web/dou/-/resolucao-n-700-de-29-janeiro-de-2021-304446969
pois os mapas de controle não apresentam dados pessoais.
Portaria MMA nº 280, de 29 de junho de 2020
Regulamenta os artigos 56 e 76 do Decreto nº 7.404, de 23 de dezembro
15
de 2010, e o artigo 8º do Decreto nº 10.388, de 5 de junho de 2020, além
de instituir o Manifesto de Transporte de Resíduos – MTR nacional, como
https://bvsms.saude.
ferramenta degov.bgestão
r/bvs/saudelegis/anvisa/2007/rdc0067_08_10_2007.
e documento declaratório html de implantação e
operacionalização do plano de gerenciamento de resíduos.

http://bvsms.saude.gov.br/bvs/saudelegis/anvisa/2009/rdc0044_17_08_2009.html
Resolução CFF nº 585, de 29 de agosto de 2013
Regulamenta as atribuições clínicas do farmacêutico, compondo assim
http://www.cff.org.br/userfiles/file/resolucoes/566.pdf
suas principais responsabilidades e obrigações profissionais. Embora a
legislação faça referência à privacidade apenas no âmbito de consultas
farmacêuticas e mesmo inexistindo referência expressa à proteção de
dados, é possível considerar que a legislação se orienta no sentido de
privacidade do indivíduo, apesar de essa resolução não ser de grande
impacto para o projeto em questão.
https:/ www2.camara.leg.br/legin/fed/lei/2014/lei-13021-8-agosto-2014-7 9151-normaatualizada-pl.pdf
http://www.planalto.CFF
Resolução gov.br/ccivil_03/leis/l3820.
nº 586, dehtm29 de agosto de 2013
Regulamenta
https://www.cff.org.br/userfiles/file/resolucoes/596.a prescrição farmacêutica, pdf estabelecendo as diretrizes para
a prescrição de medicamentos e demais produtos, bem como
tratamentos das informações. Além das obrigações técnico-científicas
(relativas à prescrição), é adequado destacar que a legislação faz
https:/ www.in.gov.br/materia/-/as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1 -resolucao-n-648-de-30-de-agosto-de-2017-19349282
referência expressa à obrigação de sigilo das informações e de que seu
uso deve ser restrito à finalidade de avaliação da saúde do indivíduo.
https://www.duas
Essas in.gov.br/en/web/dou/-/resolucao-n-700-de-29-janeide
obrigações, ro-de-2021-304446969 e de utilização de informações em
sigilo
conformidade à finalidade de avaliação da saúde do indivíduo (ou de
interesse sanitário e de fiscalização), também estão contempladas em
outras regulamentações, como a Portaria SVS/MS nº 344/1998 (que
regula o sistema de fiscalização de receitas controladas), e são as
obrigações mais relevantes dessa legislação.
16
Capítulo 2
Considerações sobre a segurança da informação por
departamento ou área da farmácia
Embora seja possível valer-se das normas pertinentes, percebe-se que

várias delas estão em um nível baixo de criticidade que poderia levar a
farmácia magistral a estruturar mudanças internas para atender à LGPD.
Entende-se que existe um grau de criticidade alto das farmácias
magistrais como um todo, relacionado ao tratamento de dados de
clientes/pacientes, prescritores, prestadores de serviços etc.
No entanto, esse risco é em parte mitigado pelo fato de que diversas

obrigações legais de coleta, armazenamento e compartilhamento de
dados pessoais são decorrentes de obrigações legais de legislação
setorial. Logo, não é necessária a readequação de muitos processos
internos, pois boa parte do uso de dados pessoais já está englobado pela
LGPD como legal (dentro de uma das bases de processamento previstas
no artigo 11 da lei).
Mas existem preocupações com a segurança da informação que

precisam ser consideradas, as quais estão informadas a seguir, por
departamento da farmácia.
A. Recursos Humanos/Administrativo: recrutamento, seleção,

treinamento e benefícios
A área de Recursos Humanos é o principal ponto de entrada (recebimento)

de dados pessoais de indivíduos que não são clientes das farmácias
magistrais, bem como dos próprios colaboradores, sendo necessário
proteger tais informações da mesma maneira e com as mesmas
preocupações relacionadas aos dados dos colaboradores internos.
17
Nesse sentido, são ações NECESSÁRIAS:
• Seguir as políticas aplicáveis a cada área e a Política de Segurança

da Informação;
• Utilizar apenas os sistemas e infraestrutura disponibilizados pela

organização para atuação profissional;
• Garantir a privacidade e o sigilo de todas as informações sigilosas e

dos dados pessoais aos quais possui acesso.
São ações DESEJÁVEIS:
• Informar a ocorrência de incidente de segurança da informação

(mesmo que sem total certeza do ocorrido) à área de TI (por meio
do “Comunicado de Gestão de Incidentes”).
São ações PROIBIDAS:
• Violar informações pessoais de clientes, prescritores,

colaboradores ou qualquer terceiro, de qualquer forma, seja
mediante ganho financeiro ou não.
Exemplo
https://www.
Estou cff.org.br/userfiles/filo
organizando e/resolucoes/596.pdf da folha de salários e percebi que um de
pagamento
meus colegas recebeu um aumento. Devo comentar isso com os
demais?
Resposta: Não. Essa é uma informação pessoal do seu colega e está fora
do escopo de sua função (pagar a folha de salários), tratando-se de
informação privada. Logo, se alguém deve escolher por comentar ou não
18
esse fato, é o próprio titular e não você.
No momento do recrutamento, alguns pontos relevantes informados

durante as entrevistas e objeto de questionamentos por parte dos
entrevistados precisam ser cuidados:
• É possível a aplicação de testes objetivos aos candidatos (de

conhecimento);
• É possível a aplicação de testes de perfil psicológico;
• Não é recomendada a realização de busca de antecedentes

criminais. A legislação específica é bastante restritiva (e não se
mostra necessária ao processo seletivo);
• Não é recomendada a realização de busca em instituições de

crédito como o Serasa (por não ser uma informação necessária ao
processo seletivo).
Recomendações:
• Período de guarda de currículos de candidatos (não aprovados): de

6 (seis) meses a 1 (um) ano. Em caso de candidatos “pré-aprovados”
para outras eventuais vagas, pode-se guardá-los para essa situação;
• Processo seletivo: interno, por meio de anúncios pontuais diversos

(incluindo sites de vagas), ou externo, por meio de consultorias
externas de seleção (headhunters). Ao se contratar consultorias
externas, é necessário firmar contrato para garantir que os dados
pessoais de candidatos sejam protegidos;
• Comunicação (divulgação) de vagas: ao comunicar a existência de
19
• vagas, ser o mais objetivo na descrição do cargo e evitar distinções
que possam ser entendidas pelos candidatos (e pelo público em
geral) como discriminatórias (gênero, idade, religião etc.);
• Meio de entrevista: podem ser realizadas por meio eletrônico (e

gravadas) ou em sala com câmera (gravação áudio/vídeo – sala de
fiscal). É necessário informar expressamente ao candidato e
esclarecer que ele poderá solicitar uma cópia da gravação, caso
deseje;
• Benefícios como plano de saúde, odontológico etc.: prestadores

de serviço (como clínica médica que realiza os exames necessário
para admissão/demissão e periódicos) recebem dados dos
colaboradores, de forma que o vínculo com esses terceiros deve
ser sempre regularizado pelos respectivos contratos.
A área de RH possui acesso a dados pessoais de colaboradores e

ex-funcionários das farmácias magistrais e envia dados para uma
diversidade de terceiros prestadores de serviços. Desse modo, sua
criticidade é alta, pois é necessário evitar qualquer vazamento e/ou perda
de informação, bem como garantir que os prestadores de serviços (que
atuam como operadores a serviço das farmácias magistrais) estejam
cientes das obrigações da LGPD e garantam seu cumprimento.
20
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
B. Contabilidade/Fiscal
Essa área centraliza atividades como contas a pagar (colaboradores e

fornecedores) e a receber (vendas), impostos e obrigações legais. Em
relação à LGPD, o mais relevante são as informações recebidas da área de
Recursos Humanos e do prestador de serviço de contabilidade para a
formação da folha de pagamentos (o pagamento é realizado
internamente, mas o seu processamento é feito pelo prestador de
serviço).
Sua relevância se dá pelos pagamentos aos colaboradores, que são

realizados nominalmente (identificados). Assim, a folha é uma informação
pessoal relevante, que precisa ser adequadamente guardada. Já
21
informações de cunho contábil e fiscal, como fluxo de caixa e
pagamento de impostos, que são sintéticas (não contêm dados pessoais),
não se submetem às obrigações da LGPD, embora seja importante sua
proteção.
A área de Contabilidade/Fiscal possui acesso a dados pessoais de

colaboradores em função de sua operação, mas nenhum acesso para
outras questões (documentos contábeis e fiscais). Por isso sua criticidade
é média, sendo necessário criar procedimentos específicos apenas para
tratamento de dados dos colaboradores; para demais operações,
aplicam-se as políticas e procedimentos gerais de proteção de dados.
Mapeamento de Dados
Legenda:
C. Suprimentos/Compras
Área que trata de pouco a nenhum dado pessoal, sua principal função
22
é realizar a compra de insumos e a contratação de fornecedores. Logo, a
relação é, na maioria dos casos, entre pessoas jurídicas (o que não entra
no escopo da LGPD).
Contudo, é possível que, em casos específicos, ocorra a contratação de

prestadores de serviços pessoa física e/ou que sejam recebidos dados
pessoais para o cumprimento de algum contrato. Nessas hipóteses, é
suficiente adotar as políticas e procedimentos gerais de proteção de
dados e privacidade da organização.
A área de Suprimentos/compras tem criticidade baixa, sendo possível

aplicar ao departamento políticas e procedimentos gerais de proteção de
dados e privacidade, sem a necessidade de criação de políticas
específicas.
Mapeamento de Dados
Legenda:
23
D. Laboratórios/Áreas Técnicas
Áreas que recebem grande fluxo de dados pessoais provenientes da área

de “Atendimento ao cliente (SAC virtual ou balcão)”, transferidos nas
ordens de manipulação. Porém, são áreas que possuem pouco ou
nenhum contato direto com clientes (pacientes/prescritores), com
exceção de contatos do(s) farmacêutico(s) com prescritores e validação
de receitas digitais (Valida Magistral ou outras ferramentas de validação).
Mesmo nesses casos, tais áreas tratam poucos dados pessoais, apenas os
verificam/confirmam.
Contudo, dadas as suas particularidades, é adequado destacar alguns

pontos relevantes.
Quanto a dados de visitantes às áreas técnicas:
• Não é comum solicitar informações (identificação, nome etc.) de

visitantes que adentram às instalações da farmácia magistral; no
entanto, é recomendável realizar essa solicitação, especialmente
para documentar a presença de fiscais (quando estiveram no local
e quais setores visitaram);
• Os equipamentos de CFTV (equipamentos que, quando ligados a

uma central, oferecem ao estabelecimento comercial um serviço
de segurança por meio de imagens);
• Sobre a localização de câmeras, embora em geral não existam nos

laboratórios das farmácias, é importante destacar que são vedadas
em locais como banheiros/vestiários.
As áreas de laboratório/técnicas recebem fluxo de dados pessoais, o qual,

todavia, não interfere no processo. Seu único ponto de fragilidade é
24
a preparação de rótulos e ordens de produção, de forma que seu nível de
criticidade é baixo, sendo suficiente seguir as políticas e procedimentos
gerais de proteção de dados e privacidade da organização.
Mapeamento de Dados
Legenda:
E. Área de Atendimento ao Consumidor (SAC virtual e balcão)
A área de atendimento ao consumidor (SAC) é o principal ponto de

entrada de dados pessoais nas farmácias magistrais, por meio do cadastro
de clientes (dados dos clientes) e receitas dos prescritores (dados dos
prescritores), o que requer atenção especial à segurança e privacidade.
Simultaneamente, dado o fato de que as farmácias magistrais utilizam
softwares de gestão, é necessário que estes estejam adequados à LGPD
e possuam medidas de proteção e segurança integrada (como
criptografia em seus bancos de dados), tratando-se de requisitos a serem
observados quando da contratação de prestadores de serviço de TI.
Nesse sentido, é relevante destacar os seguintes pontos e cuidados ao

coletar dados pessoais:
• Informar sobre a LGPD (correção, portabilidade e/ou remoção de
25
dados pessoais). Com a entrada em vigor da lei, é provável que esse
tipo de demanda aumente significativamente;
• O atendimento aos clientes é internalizado nas farmácias magistrais

(o que facilita a gestão de privacidade de dados);
• A forma de contato principal é passiva, ao passo que a forma ativa

se dá principalmente para clientes que utilizam medicamentos
contínuos (em alguns casos) ou situações que exigem retorno da
farmácia magistral (como reclamações e para confirmar o interesse
do cliente);
• Não é comum a realização de pesquisas de opinião com os

clientes, mas esse tipo de pós-atendimento é possível. Porém, é
preciso dar ao cliente a opção de não ser contatado.
Em relação ao pós-atendimento para orientações ou pesquisas com

clientes, é necessário obter o consentimento deles para entrar em
contato, ou seja, quando do primeiro atendimento, é adequado indagar
ao cliente se ele deseja ser contatado futuramente para pesquisas de
opinião e/ou avisado quando sua medicação estiver terminando (em
caso de medicamento de uso contínuo).
A área de atendimento ao consumidor (SAC) trata dados pessoais de

terceiros (clientes e prescritores), recebendo dados de diversas fontes
(atendimento presencial e remoto, por exemplo). Dessa forma, sua
criticidade é alta, pelo número de dados tratados (coletados). Será
necessário, pois, implementar política e procedimento específico de
proteção de dados e privacidade, para garantir a adequação da área à
LGPD, por se tratar do principal ponto de entrada de dados pessoais na
organização.
26
Mapeamento de Dados
Legenda:
F. Marketing
A área de marketing apresenta uma série de restrições legais à sua

atividade, como observado quando da análise da legislação aplicável (ex.,
RDC nº 96/2008), de forma que sua atuação deve se adequar a alguns
parâmetros principais, a saber:
• Não induzir o consumo de medicamentos;
• Não prometer resultados (não embasados na literatura médica);
• Não promover medicamentos de forma direta.
Diante disso, a atuação do marketing não pode agir de forma “ativa”, no

sentido de prospectar clientes diretos, devendo ser direcionada para
esforços institucionais (da própria marca da farmácia magistral) ou
diretamente para os prescritores, que podem ser acessados diretamente.
O marketing de prescritores normalmente é realizado na própria base
27
de prescritores, identificada por meio das receitas dos pacientes ou por
outros meios. Em ambos os casos, é necessário que o prescritor seja
informado sobre as ações de marketing (em um contato inicial) e possua
a liberdade de aceitar ou não contatos posteriores. Novamente, é
necessário obter o consentimento do prescritor, o que pode ser
realizado após o primeiro contato com ele após sua identificação no
sistema.
Em relação aos clientes, é possível que sejam realizadas ações por mídias
sociais e marketing de conteúdo (inbound-marketing), por meio de
landing pages (páginas voltadas a obter o e-mail e outros contatos de
potenciais clientes). Em ambos os casos, é necessário que existam nessas
ferramentas meios de solicitar a remoção do cadastro.
Por último, é possível que serviços de marketing sejam realizados por

prestadores de serviço. Nessa hipótese, o contrato deve necessariamente
prever que o prestador de serviço está ciente da LGPD e das obrigações
de segurança da informação e privacidade (dos dados pessoais
tratados/coletados sob determinação do contrato).
A área de marketing possui acesso a dados pessoais de terceiros (clientes

e prescritores), recebendo dados de diversas fontes, como mídias sociais,
as quais são utilizadas para realização de contatos ativos (especialmente
para criação de relacionamento com os prescritores). Diante disso, sua
criticidade é alta, pelo número de dados tratados (coletados) e, também,
pelas restrições às atividades de marketing impostas pela legislação
específica.
28
Mapeamento de Dados
Legenda:
G. TI/Segurança da Informação
A área de TI/Segurança da Informação é fundamental na questão de

adequação de procedimentos da farmácia para atender à LGPD. É
importantíssimo que processos e políticas sejam sempre documentados
na farmácia para facilitar a implementação de medidas, e o TI, nesse
aspecto, constitui a área de aporte da documentação. Por meio do TI, a
farmácia também se obriga legalmente a compartilhar dados com a
Vigilância Sanitária (tanto pelo sistema do SNGPC quanto pelos relatórios
regulares que, em alguns estados e municípios, já podem ser enviados
por via eletrônica).
29
As farmácias magistrais dependem de seu software de gestão, os quais
precisam ser adequados à LGPD quanto a promover medidas de
segurança, como criptografia em seus bancos de dados. Contudo, essas
medidas não podem ser diretamente implementadas pela farmácia, mas
sim pelo provedor do software. Veja no Capítulo 3 – “Guia prático de
procedimentos de implementação da LGPD por departamento ou área
da farmácia”, item “Avaliação do grau de adequação do provedor de
soluções de Tecnologia da Informação”, os requisitos técnicos relevantes
a serem considerados e que devem ser encaminhados aos provedores de
soluções para ajustes.
A farmácia magistral:
• possui, em geral, um baixo grau de maturidade em segurança da

informação;
• em função disso, pode facilmente sofrer ataques por ransonwares

e outras tentativas de hacking;
• não possui planos de contingência preparados em caso de

problemas de segurança da informação.
Ransonwares: é um tipo de programa de computador que restringe

acesso a um sistema (ou banco de dados) tornando-o criptografado,
e o hacker cobra um resgaste para liberar a senha de acesso ao
sistema. Nas situações em que o pagamento não ocorre, os
arquivos podem ser perdidos ou publicados na internet.
Importante ressaltar que é considerado um incidente de violação de

dados pessoais (pela LGPD) não só casos de divulgação indevida de
dados pessoais, mas também de acesso não autorizado e de perda.
30
Dessa forma, um caso de ransonware (que é relativamente comum)
qualifica-se como um incidente de violação, podendo acarretar as
sanções e penalidades para a farmácia previstas na LGPD.
A área de TI/Segurança da Informação controla/gerencia todos os

sistemas, inventário e fluxos de dados da empresa, possuindo conexão
com todos os departamentos internos e com terceiros. Por isso, sua
criticidade é alta, sendo necessária e estratégica sua adequação à LGPD,
pois diversos procedimentos de outros departamentos dependerão
do TI.
Mapeamento de Dados
Legenda:
31
Capítulo 3
Guia prático de procedimentos de implementação da
LGPD por departamento ou área da farmácia
Chamamos de “Guias de Procedimento” as ações práticas a serem feitas

pela farmácia, em suas diversas áreas, para atendimento à LGPD.
Considerando-se que as farmácias magistrais têm particularidades e
diferenças entre si quanto à divisão departamental (algumas com mais
departamentos que outras), dividiremos os “Guias de Procedimento” das
áreas seguindo a mesma divisão departamental acima, que descreve os
cuidados de cada área.
Em cada departamento descreveremos suas atividades principais e, na

sequência, sugestões de ações a serem executadas, como alterações em
contratos que garantam a aplicação da LGPD e modificações em políticas
e procedimentos. Também colocamos em cada descritivo a prioridade
com que você deve efetuar as adequações.
Além das sugestões de alteração nos contratos demonstradas a seguir, a

farmácia também deve procurar descrever as políticas e procedimentos
em forma de “Procedimentos Operacionais Padrão” (POPs) que, por
exemplo, ajudem os colaboradores a exercer suas atividades sem risco de
erros no tratamento de dados pessoais de terceiros (clientes, prescritores,
terceirizados). Também alocamos sugestões de POPs contemplando
espaços para a farmácia colocar sua logo. Lembre-se sempre de avaliar se
os textos e formato dos POPs estão harmonizados com seu modelo de
descrição e adapte-os conforme seu padrão.
A. Guia de procedimento da Área de Recursos Humanos/

Administrativo: recrutamento, seleção, treinamento e benefícios
etc.
32
A área de RH possui acesso a dados pessoais de colaboradores e
ex-funcionários das farmácias magistrais, além de enviar dados para uma
diversidade de terceiros prestadores de serviços. Por esse motivo, seu
plano de ação de adequações será orientado para organizar a relação
entre colaborador e farmácia magistral, por meio de ajustes do contrato
de trabalho, e com terceiros (prestadores de serviço de contabilidade e de
benefícios, por exemplo).
1. Contratos a serem revistos/implementados
1.1 Contrato de Trabalho: o contrato de trabalho é o documento que

organiza a relação jurídica entre as partes, cuja celebração é adequada,
recomendando-se a previsão das seguintes cláusulas:
Confidencialidade das informações
“O COLABORADOR declara que assume obrigação de confidencialidade,

de forma que não poderá, sob hipótese alguma, por ação ou omissão,
utilizar em proveito próprio e/ou revelar a terceiros qualquer informação
confidencial, seja referente a dados da CONTRATANTE quanto de
clientes, prescritores ou terceiros a qualquer título.”
“O COLABORADOR declara estar ciente de que a revelação de qualquer

informação confidencial sem autorização expressa e anuência prévia
enseja a aplicação de penalidades civis como danos materiais e morais,
além de ser condição de demissão por justa causa.”
Utilização de dados pessoais pela farmácia magistral
“O COLABORADOR declara que está ciente de que o CONTRATANTE

trata seus dados pessoais em razão da existência da relação empregatícia
entre as partes, sendo esse tratamento legítimo e permitido dentro da
33
legislação de proteção de dados e privacidade vigente. Qualquer
compartilhamento de dados pessoais realizado a terceiros pelo
CONTRATANTE para operacionalização da relação empregatícia se dará
mediante a celebração de contratos destinados a finalidades específicas
e para o adequado cumprimento da relação entre COLABORADOR e
CONTRATANTE.”
Priorização para adequação: média.
1.2. Contrato de Contabilidade (processamento de folha de pagamento

etc.): o compartilhamento de dados pessoais com terceiros precisa ser
organizado. Assim, considerando que os dados de colaboradores da
farmácia magistral são compartilhados com a contabilidade para
processamento de folha de pagamento e outras providências,
recomenda-se a previsão das seguintes cláusulas:
“A CONTRATADA declara que assume obrigação de confidencialidade e

proteção de informações confidenciais, incluindo dados pessoais de
colaboradores que forem compartilhados pela CONTRATANTE para o
exercício de suas atividades regulares, de forma que não poderá, sob
hipótese alguma, por ação ou omissão, utilizar em proveito próprio e/ou
revelar a terceiros qualquer informação confidencial recebida, sem prévia
autorização da CONTRATANTE.”
Declaração de operador (corresponsável)
“A CONTRATADA declara estar ciente da existência da Lei Geral de

Proteção de Dados Pessoais (LGPD) e que, como operadora da
CONTRATANTE, está apta a cumprir com as obrigações legais de
privacidade e proteção de dados exigidas por essa legislação.”
34
Uso adequado dos dados pessoais e respeito à sua finalidade
“A CONTRATADA declara que utilizará os dados pessoais recebidos e/ou

compartilhados com a CONTRATANTE apenas para as finalidades
previstas no escopo do presente contrato, sendo expressamente vedada
qualquer outra utilização que extrapole seu escopo, exceto se
previamente comunicada e autorizada pelos titulares dos dados
pessoais.”
Comunicação de incidente de segurança relativo a dados pessoais
“A CONTRATADA declara que comunicará à CONTRATANTE, por escrito,

em prazo não superior a 24 (vinte e quatro) horas do momento em que
tomar conhecimento, sobre qualquer incidente de segurança ou
tratamento não autorizado ou ilícito dos dados pessoais objeto deste
instrumento, sejam estes acidentais ou não, incluindo acesso, aquisição,
uso, alteração ou divulgação não autorizados ou, ainda, vazamento,
perda, destruição ou danos a dados pessoais, efetivo ou potencial, bem
como adotará todas as medidas necessárias para eliminar ou conter o
incidente de segurança e manter a CONTRATANTE sempre informada
das medidas de correção e impactos dele decorrentes.”
Devolução de informações e remoção após o término do contrato
“A CONTRATADA declara que, após o término do presente contrato,

devolverá à CONTRATANTE todas as informações recebidas, bem como
documentos e certificados de pagamentos de taxas e envios às
autoridades públicas, e que, posteriormente à devolução, realizará a
remoção de todas as informações de seus sistemas.”
1.3. Contrato de Prestadores de Serviços de Recrutamento (Headhunters,
35
sites de vagas etc.): o compartilhamento de dados pessoais com
terceiros precisa ser organizado. No caso de recrutamento e seleção de
pessoas que ainda não possuem vínculo com a farmácia, recomenda-se
a previsão das seguintes cláusulas:

colaboradores e candidatos que forem compartilhados durante a
execução regular do contrato, de forma que não poderá, sob hipótese
alguma, por ação ou omissão, utilizar em proveito próprio e/ou revelar a
terceiros qualquer informação confidencial recebida, sem prévia

Proteção de Dados Pessoais (LGPD) e que está apta a cumprir, como
operadora da CONTRATANTE, com as obrigações legais de privacidade e
proteção de dados exigidas por essa legislação.”

pessoais.”
36
A CONTRATADA declara que comunicará à CONTRATANTE , por escrito,

devolverá à CONTRATANTE todas as informações recebidas ou obtidas
que sejam relativas ao presente contrato, bem como realizará a remoção
de todas as informações de seus sistemas.”
1.4. Contrato de Prestadores de Serviços de Benefícios (vale-refeição

etc.): o compartilhamento de dados pessoais com terceiros precisa ser
organizado, especialmente com prestadores de serviços de benefícios
que necessitam de algumas informações pessoais para realizar seus
contratos. Deve sempre existir uma gestão e acompanhamento desses
contratantes, recomendando-se, portanto, a previsão das seguintes
cláusulas:

colaboradores e candidatos que forem compartilhados durante a
execução regular do contrato, de forma que não poderá, sob hipótese
alguma, por ação ou omissão, utilizar em proveito próprio e/ou revelar a
37
terceiros qualquer informação confidencial recebida, sem prévia


pessoais.”
“A CONTRATADA declara que comunicará à CONTRATANTE , por escrito,

38

devolverá à CONTRATANTE todas as informações recebidas ou obtidas
que sejam relativas ao presente contrato, bem como realizará a remoção
de todas as informações de seus sistemas.”
2. Políticas e Procedimentos
Para essa área e todas as demais descritas em sequência, a farmácia

deverá desenvolver políticas e procedimentos (POPs) descrevendo
atividades que apoiem a aplicação da LGPD para os colaboradores ou
terceiros.
Aqui apresentamos alguns exemplos de políticas, procedimentos e/ou

comunicados por área (Anexo I) que devem ser incorporados, podendo
ser harmonizados conforme o padrão de documentos da farmácia. Ao
final desse guia estão os respectivos documentos por área.
• Política de Gestão de Dados Pessoais de Colaboradores

- Política de Gestão de Dados Pessoais de Colaboradores_RH
- Procedimento de Gestão de Contas a Pagar_RH e Contabilidade
- Relação de Serviços Contratados_Suprimentos e ADM
• Comunicado de Gestão de Dados Pessoais – Entrevista
• Comunicado de Gestão de Incidentes

- Comunicado de Gestão de Incidentes_RH e TI
• Relação de Serviços Contratados

39
B. Guia de Procedimento da Área de Contabilidade/Fiscal
A área de Contabilidade/Fiscal possui acesso a dados pessoais de

colaboradores em parte de sua operação (folha de salários), tratando-se
de ponto que precisa ser adequado à LGPD.
1.1. Contrato de Contabilidade (processamento de folha de pagamento

etc.): ver item 1.2. acima (“Recursos Humanos”).
• Procedimento de Gestão de Contas a Pagar

C. Guia de Procedimento da Área de Suprimentos/Compras
A área de Suprimentos/Compras trata de pouco a nenhum dado pessoal

de colaboradores e terceiros, porém, é importante que atue como área
gestora da contratação de serviços pela farmácia magistral, garantindo
que os terceiros estão cientes das obrigações que a LGPD impõe a ambas
as partes.
Nessas áreas não há necessidade, em geral, de revisão de contratos.

Entretanto, a farmácia deve avaliar se em seu estabelecimento existem
contratos firmados através dessas áreas e providenciar as mesmas
adequações sugeridas anteriormente. Aqui, as alterações sugeridas estão
focadas nas políticas e procedimentos.
Políticas e Procedimentos
• Política de Gestão de Serviços Contratados
40
- Política de Gestão de Serviços Contratados_Suprimentos

D. Guia de Procedimento das Áreas de Laboratório/Técnicas
A área de Laboratório/Operações recebe fluxo de dados pessoais, mas

não interfere no processo, que está finalizado no software de gestão da
farmácia magistral. O único ponto de fragilidade existente é na área que
manipula os rótulos e ordens de produção, de forma que seu nível de
criticidade é baixo, sendo suficiente seguir as políticas e procedimentos
gerais de proteção de dados e privacidade da organização.
Nessas áreas também não há necessidade, em geral, de revisão de

contratos. Porém, a farmácia deve avaliar se em seu estabelecimento
existem contratos firmados através dessas áreas e providenciar as
mesmas adequações sugeridas anteriormente. Aqui, as alterações
sugeridas também estão focadas nas políticas e procedimentos.
• Política de Gestão de Dados Pessoais de Visitantes

- Política de Gestão de Dados Pessoais de Visitantes_Laboratórios
• Comunicado de Privacidade – Vigilância por CFTV

- Comunicado de Privacidade – Vigilância por CFTV_Laboratórios
E. Guia de Procedimento da Área de Atendimento ao Consumidor

(SAC virtual e balcão)
A área de Atendimento ao Consumidor (SAC) trata dados pessoais de
41
terceiros (clientes e prescritores), recebendo dados de diversas fontes
(atendimento presencial e remoto etc.) que precisam ser adequados.
Como tal, possui grande acesso a dados pessoais daqueles, além de
representar a farmácia magistral perante o mercado.
Seguem exemplificações de ações necessárias (obrigatórias), desejáveis e

proibidas; em seguida, são apresentados alguns casos práticos referente
a cada uma destas.
São ações NECESSÁRIAS:
• Solicitar informações obrigatórias para aviamento de receitas

(como cópia desta);
• Preencher no sistema os dados do cliente (ERP);
• Utilizar apenas os canais de comunicação da farmácia magistral

(aplicativos, telefone, e-mail etc.);
• Seguir as políticas internas comerciais;
• Solicitar dados do cliente em caso de reclamação de qualquer

natureza (relacionada a dados pessoais ou não) e confirmar que se
trata do paciente.
• Informar ao cliente que os dados (e cópia da receita) são

devidamente protegidos e que são solicitados devido a exigências
legais;
• Perguntar se é possível retornar o contato posteriormente (em caso
42
de remédios de uso contínuo) para oferecer reposição de
medicamento;
• Perguntar se o cliente está disposto a ser acionado (ou não) para

eventual pesquisa de satisfação;
• Perguntar se o cliente aceita receber material promocional de

marketing;
• Informar o paciente de seus direitos relativos a dados pessoais

(caso ele faça qualquer solicitação nesse sentido).
Observação: a Política de Gestão de Dados Pessoais de Clientes e

Prescritores (PDPC) contém relação detalhada dos direitos do titular
(cliente). De forma geral, ele tem direito de saber se a farmácia
magistral possui dados pessoais seus (como nome, RG, endereço) e
se pode solicitar a remoção destes do sistema de ERP.
• Violar informações pessoais de clientes e prescritores de qualquer

forma, seja mediante ganho financeiro ou não;
• Utilizar meios próprios de comunicação (como celular) para

comunicação com clientes;
• Realizar contato com clientes que não desejam ser contactados.
Exemplos
1) Imagine a seguinte situação: um indivíduo vem à farmácia e pede para
43
saber se o pai dele comprou um medicamento. Como proceder?
Resposta: nesse caso, é necessário que o indivíduo comprove (por meio

de documentos) que é de fato filho do comprador do medicamento, e
deve ser documentado que a informação foi divulgada ao comprador
(por exemplo, se o pai é idoso, existe o risco de ele não possuir cognição
plena).
2) O celular da farmácia quebrou e você decidiu ser proativo e utilizar seu

aparelho (e sua própria linha) para realizar o atendimento aos clientes.
Essa ação é adequada?
Resposta: essa ação é inadequada, pois o colaborador está recebendo

dados pessoais e sensíveis dos clientes em dispositivo pessoal, o que
aumenta as chances de vazamentos e incidentes. Embora proativa, tal
ação não deve ser realizada.
3) Durante o atendimento, você identificou uma receita de um

medicamento incomum para uma pessoa famosa e decidiu compartilhar
esse fato (e a foto da receita) no grupo de WhatsApp da família. Essa ação
é adequada?
Resposta: essa ação é inadequada, pois, mesmo que se trate de uma

pessoa famosa, é um dado pessoal sigiloso (eventual medicação
utilizada) e, ao violar essa privacidade, sua ação colocou a organização
em riscos reputacionais, jurídicos e financeiros.
4) Um indivíduo solicitou à farmácia cópia de seus dados pessoais, mas se

recusa a se identificar corretamente (com nome, CPF e RG). Como
proceder?
Resposta: nesses casos, o mais adequado é responder que, dada a
44
ausência de informações, não é possível confirmar sua identidade e que
a pessoa é quem diz ser. Logo, a farmácia não poderá divulgar nenhuma
informação até a correta confirmação.
• Política de Gestão de Dados Pessoais de Clientes e Prescritores

- Política de Gestão de Dados Pessoais de Clientes e Prescritores_SAC
F. Guia de procedimento da Área de Marketing
A área de marketing, em virtude de suas características, possui uma ação

ativa de busca de clientes e prescritores, recebendo dados de diversas
fontes, como mídias sociais, além do relacionamento com área de
atendimento ao cliente (SAC). Todavia, é importante observar que possui
uma série de restrições legais (detalhada na Política de Marketing e
Utilização de Dados), o que exige cuidados específicos, especialmente
quando se trata da coordenação de prestadores de serviço, como
agências de marketing.
Abaixo descreve-se uma série de ações necessárias (obrigatórias),

desejáveis e proibidas, e, depois, apresentam-se alguns casos práticos
referentes a cada uma delas.
São ações NECESSÁRIAS:
• Verificar se qualquer campanha/comunicação está adequada à

legislação (em especial à Lei nº 6.360/1976 e à Resolução-RDC nº
96/2008);
• Fiscalizar/revisar qualquer ação de prestador de serviço;
• Garantir que ferramentas como e-mail, marketing e outras
45
assemelhadas possuam meios de descadastramento;
• Garantir que a comunicação com prescritores só ocorra após

consentimento deles;
• Garantir que a base de leads (clientes potenciais) é válida e declarou

consentimento para ações de marketing.
• Engajar a comunicação com o cliente em mídias sociais sem

solicitar dados pessoais e demais informações em meios públicos
(nesses casos, direcionar o cliente para os canais de atendimento);
• Garantir que o cliente possui acesso fácil aos canais de

comunicação para solução de dúvidas referentes a produtos e,
inclusive, à gestão de seus dados pessoais (podendo fazer
solicitações nesse sentido).
• Violar informações pessoais de clientes e prescritores de qualquer

forma, seja mediante ganho financeiro ou não;
Realizar contato com clientes que não desejam ser contactados.
Exemplos
1) Um indivíduo solicita à farmácia que não entre mais em contato com

ele porque não possui mais interesse em seus produtos. Como proceder?
Resposta: nesse caso o cliente sinalizou que revogou o consentimento
46
(autorização) para comunicação. Logo, ela não deve ocorrer.
2) Uma empresa farmacêutica possui interesse em realizar uma

campanha com todos os nossos clientes e, para isso, irá avaliar os seus
respectivos perfis de consumo para desenvolver uma estratégia. Essa
ação é permitida?
Resposta: nesse caso a ação só pode ser feita se os dados forem gerais
(anonimizados), sendo expressamente proibido o acesso aos dados
pessoais dos clientes sem que eles autorizem (ou desejem participar)
dessa iniciativa.
1.1 Contrato de Prestador de Serviço (Agência de Publicidade,

Marketing, E-mail Marketing etc.): a relação com prestador de serviço de
publicidade requer maior atenção, em face das restrições relativas à
prática de marketing pelas farmácias magistrais. Além dessas restrições, é
necessário adequar-se às exigências da LGPD, recomendando-se, pois, a
previsão das seguintes cláusulas no contrato:
Regulamentação do setor
“A CONTRATADA declara estar ciente de que a CONTRATANTE é farmácia

magistral, logo, sujeita a restrições à sua atividade marketing, de forma
que todo e qualquer conteúdo, campanha, fluxo de ativação ou serviço
deverá ser previamente submetido à CONTRATANTE para avaliação
prévia antes de sua execução, só podendo ser executado após
aprovação.”
47
colaboradores que forem compartilhados pela CONTRATANTE para o
exercício de suas atividades regulares, de forma que não poderá, sob
hipótese alguma, por ação ou omissão, utilizar em proveito próprio e/ou
revelar a terceiros qualquer informação confidencial recebida, sem prévia


pessoais.”
Utilização de bancos de dados (leads etc.)
“A CONTRATADA declara que contatos, e-mails e demais dados pessoais

coletados/obtidos durante a execução do presente contrato são de
propriedade da CONTRATANTE e que, ao término do contrato, a
CONTRATADA deverá entregar cópia desse banco de dados, acesso a
eventuais sistemas (como de disparo de e-mail marketing) e remover os
originais do banco de dados.”
48
Vedação à venda/compartilhamento de banco dados
“A CONTRATADA declara que não realizará qualquer venda e/ou

compartilhamento, a qualquer título, de dados pessoais contidos nos
bancos de dados obtidos/tratados durante a execução do presente
contrato, sendo estes de uso exclusivo para a finalidade do contrato e nos
limites de sua obtenção”.


devolverá à CONTRATANTE todas as informações, planejamento
estratégico, modelos, layouts e documentos referente ao presente
contrato e, posteriormente à devolução, realizará a remoção desses
documentos e informações de seus sistemas.”
49
• Política de Marketing e Utilização de Dados
- Política de Marketing e Utilização de Dados_Mkt
• Termos de Uso e Política de Privacidade (website e marketplace)

- Termos de Uso e Política de Privacidade (website e
marketplace)_Mkt
G. Guia de Procedimento da Área de TI
A área de TI/Segurança da Informação controla/gerencia todos os

sistemas, inventário e fluxo de dados da empresa, possuindo conexão
com todos os departamentos internos e com terceiros. Desse modo,
centralizará a maior parte das novas políticas e procedimentos a serem
criados, que necessitam da atuação da área de TI para sua adequada
implementação.
1.1. Contrato de Prestador de Serviço – Software de Gestão (ERP): os

softwares de gestão (ERP) utilizados pelas farmácias magistrais são
essenciais para a gestão e atividade cotidiana das organizações, pois
centralizam processos e todo o fluxo de dados pessoais realizados.
Por isso, é importante que os prestadores de serviço se
comprometam com as disposições da LGPD e com práticas de
segurança da informação. Recomenda-se, portanto, a previsão das
seguintes cláusulas no contrato:
“A CONTRATADA declara que assume obrigação de confidencialidade

e proteção de informações confidenciais, incluindo dados pessoais
de colaboradores que forem compartilhados pela CONTRATANTE
50
para o exercício de suas atividades regulares, de forma que não poderá,
sob hipótese alguma, por ação ou omissão, utilizar em proveito próprio
e/ou revelar a terceiros qualquer informação confidencial recebida, sem
prévia autorização da CONTRATANTE.”

Proteção de Dados (LGPD) e que, como operadora da CONTRATANTE,
está apta a cumprir com as obrigações legais de privacidade e proteção
de dados exigidas por essa legislação.”

pessoais.”
Utilização de bancos de dados
“A CONTRATADA declara que contatos, e-mails e demais dados pessoais

coletados/obtidos durante a execução do presente contrato são de
propriedade da CONTRATANTE e que, ao término do contrato, a
CONTRATADA deverá entregar cópia desse banco de dados e remover
os originais do banco de dados.”
51
limites de sua obtenção.”
Adoção de políticas de governança
“A CONTRATADA declara que adota políticas de governança em

privacidade e proteção de dados pessoais, com medidas de inibição à
utilização indevida dos dados pessoais, planos de contingenciamento e
eventual punição para casos de violações às obrigações legais nelas
estabelecidas, em conformidade com a legislação aplicável.”
Segurança de dados
“A CONTRATADA declara que adota políticas de segurança da informação

adequadas às práticas e exigências de mercado, o que inclui a proteção
de seus sistemas e bancos de dados dos clientes por meio de diversas
tecnologias, a exemplo da aplicação de técnicas de criptografia em
bancos de dados.”
Encarregado de Proteção de Dados (DPO)
“A CONTRATADA declara que possui encarregado de proteção de dados

(DPO), o qual é responsável para atuar como canal de comunicação em
questões relacionadas aos dados pessoais perante os seus titulares e a
Autoridade Nacional de Proteção de Dados (ANPD).”

em prazo não superior a 24 (vinte e quatro) horas do momento
52
em que tomar conhecimento, sobre qualquer incidente de segurança ou
Política de back-up (cópia de segurança)
“A CONTRATADA declara que realizará back-up regular de seu banco de

dados em períodos regulares e que acondicionará back-ups em
servidores distintos, em localidades físicas diferentes, garantindo a
redundância do sistema de back-up. A CONTRATADA declara que a
CONTRATANTE possuirá acesso a essas cópias de segurança de acordo
com as condições comerciais acordadas entre as partes.”

devolverá à CONTRATANTE todas as informações, planejamento
estratégico, modelos, layouts e documentos referente ao presente
contrato e, posteriormente à devolução, realizará a remoção desses
documentos e informações de seus sistemas.”
Priorização para adequação: alta.
1.2 Contrato de Prestador de Serviço – Validador de Receitas (Valida

Magistral ou outro): a relação com prestadores de serviço de validação
de receita (receitas on-line) deve ser organizada para garantir que os
dados pessoais do cliente final sejam protegidos. Logo, recomendam-se
53
as seguintes previsões:

proteção de informações confidenciais, incluindo dados pessoais dos
clientes e prescritores que forem compartilhados pela CONTRATANTE
para o exercício de suas atividades regulares, de forma que não poderá,
sob hipótese alguma, por ação ou omissão, utilizar em proveito próprio
e/ou revelar a terceiros qualquer informação confidencial recebida, sem
prévia autorização do titular dos dados pessoais.”

“A CONTRATADA declara que utilizará os dados pessoais compartilhados

com a CONTRATANTE apenas para as finalidades previstas no escopo do
presente contrato, sendo expressamente vedada qualquer outra
utilização que extrapole seu escopo, exceto se previamente comunicada
e autorizada pelos titulares dos dados pessoais.”

54
limites de sua obtenção.”
Adoção de políticas de governança
“A CONTRATADA declara que adota políticas de governança em

privacidade e proteção de dados pessoais, com medidas de inibição à
utilização indevida dos dados pessoais, planos de contingenciamento e
eventual punição para casos de violações às obrigações legais nelas
estabelecidas, em conformidade com a legislação aplicável.”
Segurança de dados
“A CONTRATADA declara que adota políticas de segurança da informação

adequadas às práticas e exigências de mercado, o que inclui a proteção
de seus sistemas e bancos de dados dos clientes por meio de diversas
tecnologias, a exemplo da aplicação de técnicas de criptografia em
bancos de dados.”
Encarregado de Proteção de Dados (DPO)
“A CONTRATADA declara que possui encarregado de proteção de dados

(DPO), o qual é responsável para atuar como canal de comunicação em
questões relacionadas aos dados pessoais perante os seus titulares e a
Autoridade Nacional de Proteção de Dados (ANPD).”

55
Avaliação do grau de adequação do provedor de soluções de

Tecnologia da Informação
A área de TI ainda deve se responsabilizar por verificar e adequar, junto

aos provedores de soluções de Tecnologia da Informação da farmácia, as
operações e tratamento de dados para atendimento da Lei Geral de
Proteção de Dados Pessoais (LGPD), visto que essas soluções
tecnológicas são essenciais para o funcionamento da farmácia. Quando
as adequações forem contratuais, a área administrativa será envolvida.
A área de TI deve certificar-se de quais ações (e obrigações) devem ser

necessariamente executadas pelos prestadores de serviço, onde estes
precisam agir e quais são de obrigação das farmácias magistrais.
Destaque-se que, no escopo da LGPD, ambas as partes (farmácia e
prestador de serviço de tecnologia) são corresponsáveis pelo
cumprimento da lei, mas cada um pode (e deve) executar ações
específicas dentro de sua organização (e serviço).
A farmácia deve avaliar o grau de adequação de seu provedor e tomar

decisões sobre a continuidade ou não de contratação de seus serviços.
Entre os pontos-chave a serem observados no prestador de serviços de
tecnologia estão:
• Implementação de criptografia no banco de dados;
56
• Implementação de mecanismos de anonimização no banco de
dados;
• Criação de mecanismos de privacidade (e proteção) maior para

dados pessoais de crianças e adolescentes;
• Contratos de prestação de serviço adequados à LGPD;
• Implementação de ferramentas de envio de solicitação de aceite

de compartilhamento de dados pessoais, de forma automática,
pelos clientes finais com as farmácias magistrais;
• Apresentação de nova versão web da plataforma do provedor, se

aplicável, considerando as adequações feitas.
Já existe um entendimento por parte dos provedores de que há

necessidade de implementação de medidas de segurança da informação
nos seus respectivos bancos de dados, o que significará uma melhoria na
qualidade da prestação de serviço de forma geral e protegerá a farmácia.
Isso é ponto essencial, pois facilitará a relação farmácia-provedor, mesmo
porque, nesses bancos de dados, estão alocados os dados pessoais dos
titulares de interesse das farmácias: os clientes.
• Política de Segurança da Informação (PSI)

- Política de Segurança da Informação (PSI)_TI
• Procedimento
- de Resposta a Incidentes
- Procedimento de Resposta a Incidentes_TI
- Registro de Incidências_TI
57
Capítulo 4
Plano de gestão de crises na farmácia
No contexto da LGPD, a crise se instala quando dados da farmácia

(dados de clientes, parceiros ou pessoal interno) são expostos, seja
por ação de hackers, seja por uso indevido, falta de segurança
adequada dos dados, permitindo seu fácil manejo por terceiros (nesse
caso, pessoas de dentro ou de fora do negócio), ou falta de
planejamento do estabelecimento, permitindo fácil acesso a dados.
Para antever, prevenir, eliminar e/ou debelar problemas ocorridos
com dados, é necessário fazer um plano de gestão de crises na
farmácia.
O plano de gestão de crises deve ser aprimorado por cada farmácia

magistral, pois possui particularidades operacionais próprias que
precisam ser contempladas nesse tipo de planejamento. A seguir,
apresentamos orientações gerais para a criação do Plano de Gestão
de Crises na farmácia.
O primeiro ponto importante é a consciência de que crises

acontecerão, cedo ou tarde, e são inevitáveis. Contudo, é possível
mitigar seus danos e facilitar o processo de superação. Em relação a
crises, desastres e incidentes, o Procedimento de Resposta a
Incidentes (PRI), associado à Política de Segurança da Informação,
determina o fluxograma de ações a serem implementadas para a
identificação de um incidente de segurança.
Entretanto, existem crises que são muito maiores do que simples

incidentes de segurança, configurando-se como desastres que
atingem sistemas críticos e expõem a organização como um todo. E
a farmácia precisa se preparar como segue.
• Fase 1 – Organização do Comitê de Gestão de Crises
58
O Comitê de Gestão de Crises deve ser organizado antes que
qualquer incidente de exposição de dados ocorra, de forma que a
farmácia esteja preparada para enfrentá-lo. Para isso, a farmácia deve
estruturar um comitê que trabalhe no assunto. É recomendável que
inclua, quando possível:
a) Membro da administração da empresa;

b) Gestor da área de TI/Segurança da Informação;
c) Gestor da área de Atendimento;
d) Gestor de Recursos Humanos (para organizar a comunicação
interna).
Tempo de resposta: o Comitê de Gestão de Crises deve ser capaz de

organizar quais medidas serão tomadas e comunicá-las às partes
envolvidas (autoridades, titulares dos dados) em no máximo 24h (vinte
e quatro horas).
Observação: determinadas situações podem necessitar de pessoas

de outras áreas da organização e até mesmo de fora (como
consultores), o que é aceitável. O mais importante é que o tempo de
resposta se mantenha curto (a depender da situação, o prazo de 24h
pode ser muito baixo, mas é um bom padrão a ser seguido).
• Fase 2 – Plano de contingências técnico-operacionais
O plano de contingências dependerá das ações de atenuação

identificadas pelo TI/Segurança da Informação, e, em determinadas
situações, pode ser necessário interromper temporariamente as
atividades da organização. Tais ações incluem como o TI vai operar o
sistema para amenizar impactos negativos imediatos. Caso seja
adequado e viável, deve-se proceder com mecanismos judiciais
59
(como mandado de segurança ou outras provisões), comunicando-se
ao prestador de serviço para avaliar o caso.
Comunicação Institucional: no primeiro momento de crise, o pior

problema é a desorganização e a falta de informação, e isso afeta a
equipe. Uma das ações mais importantes do Comitê é se dirigir à
equipe da organização, informar o que ocorreu e as ações que estão
sendo tomadas. Por isso, a fase 3 do plano de gestão de crises é
fundamental.
• Fase 3 – Comunicação e marketing
Certas crises transbordam a organização e afetam clientes,

prescritores e demais terceiros. Nesses casos, não existe outra opção
além de organizar a comunicação com essas pessoas.
A comunicação não precisa ser realizada no primeiro momento, mas

é importante que uma crise, especialmente um incidente de violação
de privacidade, seja comunicada aos afetados, junto com as ações
corretivas.
Autoridade Nacional de Proteção de Dados (ANPD): é

necessário comunicar à ANPD qualquer incidente de segurança
que afete dados pessoais (artigo 48 da LGPD), porém, a
legislação não estabelece prazo, determinando que será feita em
“prazo razoável”. É recomendável realizar a comunicação em
72h (setenta e duas horas), seguindo o padrão europeu, e, caso
seja necessário mais tempo, informar o motivo da demora na
comunicação à ANPD.
• Fase 4 – Implementação de ações
60
As ações devem ser implementadas a depender de suas
características e dentro do cronograma estipulado, sendo papel do
Comitê garantir que existem recursos financeiros e humanos para sua
implementação adequada.
• Fase 5 – Documentação e análise do ocorrido
Após o término de uma crise, é necessário documentar todo o

ocorrido, o ciclo de reuniões e debates realizados internamente,
compilar as medidas de marketing (comunicação ao público e aos
clientes), bem como medidas técnicas que foram realizadas. Ao reunir
todas essas medidas, é importante atentar-se para cinco aspectos
fundamentais:
1. O Plano de Gestão de Crises foi eficaz em organizar a gestão dessa

crise?
2. A comunicação interna foi feita de forma clara e direta?
3. O problema já tinha sido identificado e foi negligenciado até se

tornar desastroso?
4. Quais foram as ações que não deram certo e quais produziram

efeitos positivos?
5. Como podemos melhorar o planejamento para a próxima crise?
61
Conclusão
O advento da LGPD trouxe mais segurança no tratamento e uso de
informações pessoais, incluindo aí todos os dados de pessoas físicas
com os quais a farmácia trabalha.
A aplicação da lei já é necessária, e a partir de 1º de agosto de 2021 as

empresas também poderão ser multadas por descumprimento, mas
principalmente por descuido – ou não – no vazamento e/ou uso
indevido de dados de pessoas físicas.
Cabe ao estabelecimento farmacêutico a preparação, adequação e

treinamento de pessoal para o cumprimento das alterações que
deverão ser feitas em documentos e processos para atendimento à
lei.
Dessa forma, é importantíssimo elaborar o Plano de Gestão de Crises,

que é o procedimento a ser executado caso a farmácia incida ou seja
envolvida em uso indevido de dados pessoais que armazena/utiliza.
Esse plano só pode ser elaborado por cada farmácia de acordo com
sua estrutura e processos, para garantir a continuidade das operações
regulares e preparar a organização contra eventuais incidentes e
desastres.
Por último, visto que a fase final da LGPD se instala a partir de 1º de

agosto do corrente ano, é vital que a farmácia inicie imediatamente
seu processo de adequação à lei. Para isso, reúna seu departamento
jurídico, contábil e outros que comportam dados pessoais e inicie o
planejamento e execução das medidas. Se achar necessário, contrate
consultoria especializada nesse planejamento e condução para
facilitar o trabalho, uma vez que é complexo.
62
Anexo
Exemplificação de políticas, procedimentos e/ou
comunicados por área
A. Área de Recursos Humanos/Administrativo: recrutamento, seleção,

treinamento e benefícios etc.
• Política de Gestão de Dados Pessoais de Colaboradores

- Política de Gestão de Dados Pessoais de Colaboradores_RH
• Comunicado de Gestão de Dados Pessoais – Entrevista
• Comunicado de Gestão de Incidentes


B. Área de Contabilidade/Fiscal
• Procedimento de Gestão de Contas a Pagar

C. Área de Suprimentos/Compras
• Política de Gestão de Serviços Contratados

- Política de Gestão de Serviços Contratados_Suprimentos

63
D. Áreas de Laboratórios/Técnicas
• Política de Gestão de Dados Pessoais de Visitantes

- Política de Gestão de Dados Pessoais de Visitantes_Laboratórios
• Comunicado de Privacidade – Vigilância por CFTV

- Comunicado de Privacidade – Vigilância por CFTV_Laboratórios
E. Atendimento ao Consumidor (SAC virtual e balcão)
• Política de Gestão de Dados Pessoais de Clientes e Prescritores

- Política de Gestão de Dados Pessoais de Clientes e
Prescritores_SAC
F. Área de Marketing
• Política de Marketing e Utilização de Dados

- Política de Marketing e Utilização de Dados_Mkt
• Termos de Uso e Política de Privacidade (website e marketplace)

- Termos de Uso e Política de Privacidade (website e
marketplace)_Mkt
G. Área de TI
• Política de Segurança da Informação (PSI)

- Política de Segurança da Informação (PSI)_TI
• Procedimento de Resposta a Incidentes

- Procedimento de Resposta a Incidentes_TI
- Registro de Incidências_TI
64
anfarmag.org.br

Guia Prático para Implementação e Gestão de Adequação Da Farmácia À Lei

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia Prático para Implementação e Gestão de Adequação Da Farmácia À Lei

Enviado por

Direitos autorais:

Formatos disponíveis

GUIA PRÁTICO

para Implementação e Gestão de

Para fácil entendimento do tema e dos procedimentos a serem adotados

• O primeiro capítulo faz uma abordagem geral da legislação

• O segundo capítulo informa aspectos gerais sobre a segurança da

• O terceiro capítulo se debruça especificamente sobre os

• Por último, como qualquer trabalho relacionado à privacidade e

Tome um tempo para a leitura e entendimento deste conteúdo. Assim,

Esta breve análise da legislação aplicável a dados pessoais considerará

Lei Geral de Proteção de Dados

A LGPD foi promulgada em 14/08/2018 e entrou em vigor de forma

A legislação brasileira aplica-se somente aos dados pessoais de pessoas

“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais,

Embora os dados de pessoas jurídicas não estejam contemplados nessa

No contexto do setor magistral existem diversos aspectos de trabalho

A LGPD possui dois focos principais:

(I) Proteger a privacidade dos indivíduos; e

(II) Garantir que os dados pessoais dos indivíduos sejam tratados

As farmácias magistrais trabalham com dados pessoais dos seguintes

• Prescritores (por meio das ações de marketing e contato

• Visitantes (prestadores de serviço, entrevistas de emprego etc.);

Importante considerar 3 conceitos da LGPD para você saber como

(I) Dado anonimizado;

(II) A diferença entre os agentes de tratamento de dados dentro da lei; e

(III) Quais as características do relatório de impacto à proteção de

O dado anonimizado é aquele que não pode ser rastreado de volta a um

Sobre os agentes de tratamento que a lei define, ou seja, as pessoas ou

• O controlador é a figura que toma as decisões sobre o tratamento

• O operador executa o tratamento dos dados a serviço do

O relatório de impacto à proteção de dados pessoais é a documentação

Importante considerar que a LGPD elenca 10 (dez) situações nas quais

Ao inventariar os dados que a farmácia utiliza (o Capítulo 3 é específico

Um dos aspectos mais relevantes da LGPD é a obrigação de comunicar à

Por último, a LGPD estabelece sanções e multas administrativas que

A definição de políticas e procedimentos internos adequados atuará

Leis, portarias e resoluções com interface com a LGPD

Diversas normas interagem com a LGPD no sentido de fazer com que a

Relevância na interação com a LGPD: média.

Lei nº 5.991, de 17 de dezembro de 1973

Relevância na interação com a LGPD: baixa.

Lei nº 6.360, de 23 de setembro de 1976

Relevância na interação com a LGPD: baixa.

Lei nº 6.437, de 20 de agosto de 1977

Relevância na interação com a LGPD: baixa.

Portaria SVS/MS nº 344, de 12 de maio de 1998 *

Essas obrigações implicam tratamento/guarda de dados pessoais, tanto

Dentro da LGPD, a obrigação que as farmácias magistrais possuem sobre

Relevância na interação com a LGPD: alta.

Resolução-RDC nº 96, de 17 de dezembro de 2008

Dispõe sobre a regulamentação à propaganda e publicidade de

Resolução-RDC nº 44, de agosto de 2009

Dispõe sobre Boas Práticas Farmacêuticas para o controle sanitário do

Relevância na interação com a LGPD: média.

Resolução-RDC nº 22, de 29 de abril de 2014

Estabelece as regras do Sistema Nacional de Gerenciamento de Produtos

As informações do SNGPC são controladas pelas autoridades de

Do ponto de vista jurídico, não é necessário readequar processos, sendo

Dispõe sobre as regras e critérios para a prescrição, dispensação,

Relevância na interação com a LGPD: média.

Relevância na interação com a LGPD: baixa.

Portaria MMA nº 280, de 29 de junho de 2020

Regulamenta os artigos 56 e 76 do Decreto nº 7.404, de 23 de dezembro

Relevância na interação com a LGPD: baixa.