Escolar Documentos
Profissional Documentos
Cultura Documentos
Capítulo 1 .................................................................................. 6
Breve análise da LGPD x legislações específicas do segmento
magistral
Capítulo 2 ................................................................................. 17
Considerações gerais sobre a segurança da informação por
departamento ou área da farmácia
Capítulo 3 ................................................................................... 32
Guia prático de procedimentos de implementação da
LGPD por departamento ou área da farmácia
Capítulo 4 ................................................................................... 58
Plano de gestão de crises na farmácia
Conclusão .................................................................................. 62
Anexo .......................................................................................... 63
Exemplificação de políticas, procedimentos e/ou comunicados
por área
Introdução
O objetivo deste documento é prover orientações às farmácias magistrais
relativas ao uso de dados pessoais identificáveis e/ou sensíveis, orientar
htps:/ w w.in.gov.br/materia/- as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1-resolucao-n648-de-30-de-agosto-de-2017-19349282
sobre os procedimentos gerais de adequação, nas diversas áreas da
htps:/w w.ingov.br/materia/-as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1-resolucao-n648-de-30-de-agosto-de-2017-19349282 https://www.in.gov.br/web/dou/-/resolucao-n-700-de-29-janeiro-de-2021-304446969
farmácia, que devem ser implementados em razão da entrada em vigor
da Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709, de 14
de agosto de 2018 —, bem como sugerir documentos auxiliares que
facilitarão referida implementação. Ainda, mais do que indicar ações
específicas, este documento é destinado ao treinamento e
conscientização das equipes internas, por meio de guias específicos de
atuação que descrevem situações “típicas” e “anormais” e como proceder
http://www.planalto.gov.br/ccivil_03/leis/l3820.htm
de forma adequada.
3
prescritores, prestadores de serviços e outros relacionamentos da
farmácia;
http://www.planalto.
gov.br/ccivil_03/leis/l5991.htm
estabelecimento; ht ps:/ www2.camara.leg.br/legin/fed/lei/2014/lei-13021-8-agosto-2014-7 9151-norma tualizada-pl.pdf
4
você estará mais bem preparado para iniciar seu processo de adequação
à LGPD, no sentido de gerenciar junto ao seu departamento jurídico as
adequações necessárias, treinar os colaboradores e acompanhar ponto a
ponto toda a implementação.
https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=99&data=25/03/2014
5
Capítulo 1
Breve análise da LGPD x legislações específicas ht p:/ bvsms.saude.gov.br/bvs/saudelegis/anvisa/20 9/rdc0 4do
_17_08_20 9.html
segmento magistral https://bvsms.saude.gov.br/bvs/saudelegis/anvisa/2007/rdc0067_08_10_2007.html
6
jurídica de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.” (gn)
7
• Consumidores e/ou compradores (por meio de receitas e do SAC);
• Colaboradores;
8
exemplo de operador pessoa física é o atendente quando solicita
dados pessoais ao cliente/paciente, e de operadores pessoas
jurídicas são as empresas de TI que fornecem os softwares de
gestão interna, as agências de marketing e as empresas de
contabilidade. Recomenda-se que os operadores que possuem
muitos dados pessoais ou que controlam/têm acesso a muitos
sistemas críticos dentro da farmácia magistral sejam monitorados
regularmente, dado o risco que podem impor ao controlador;
https://www.in.gov.br/web/dou/-/resolucao-n-700-de-29-janeiro-de-2021-304446969
• O encarregado tem um papel administrativo. É aquele
representante do estabelecimento que se comunica publicamente.
O controlador (nesse caso as farmácias magistrais) deverá indicar o
encarregado pelo tratamento de dados pessoais de forma pública,
permitindo ao público solicitar reclamações, exclusão de dados e
outras providências necessárias, bem como a comunicação com a
Autoridade Nacional de Proteção de Dados (ANPD), conforme
previsto no artigo 41 da lei.
9
consentimento do titular para que esse compartilhamento seja realizado.
Nesse sentido, alguns dos principais fluxos de informação das farmácias
magistrais já estão contemplados pela LGPD como válidos e não
requerem mudanças em seus processos, sendo necessário apenas
identificá-los e documentar que já estão adequados.
Lembre-se que o titular dos dados pessoais possui outros direitos além de
permitir o seu tratamento, englobando os direitos de remover o
consentimento, solicitar a correção de dados incorretos, a remoção de
dados e o acesso aos dados. Especificamente em relação ao direito de
eliminação (remoção) de dados pessoais pelo titular, a LGPD é bastante
clara em determinar que só podem ser removidos os dados obtidos por
meio de consentimento. Ou seja, os dados pessoais que decorrem de
outras obrigações não podem ser removidos, a exemplo dos dados que
constam no receituário, dada a obrigação legal de seu compartilhamento
com a Vigilância Sanitária, e dos dados enviados por meio do SNGPC,
também previstos em norma própria.
10
de seus operadores contratados), a exemplo dos ransomwares, tipo de
malware de criptovirologia (vírus) que ameaça publicar os dados da vítima
ou bloquear perpetuamente o acesso a eles. Nesse caso, mesmo que o
“resgaste” seja pago e o acesso aos dados seja reestabelecido, a intrusão
ocorrida é um incidente de segurança de dados pessoais, pois existiu um
risco real de sua divulgação não autorizada para terceiros, e a Autoridade
Nacional (ANDP) deve ser comunicada, assim como o titular dos dados.
Por conta disso, o capítulo 4 descreve orientações sobre o “Plano de
Ação” para a farmácia executar.
11
Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor)
“Art. 43. O consumidor [...] terá acesso às informações existentes
em cadastros, fichas, registros e dados pessoais e de consumo
arquivados sobre ele, bem como sobre as suas respectivas fontes.”
12
dados obrigatórios que devem constar na receita (como nome do
prescritor, dados do paciente e do comprador, entre outros), a obrigação
de reter uma via da receita (exceto em casos previstos), o tempo de
armazenamento mínimo e a obrigação de compartilhamento das
informações com a Vigilância Sanitária.
13
Relevância na interação com a LGPD: baixa.
14
suficiente identificá-los e documentá-los, bem como garantir a segurança
da guarda das informações contra eventuais vazamentos e/ou acesso
https:autorizado
não //bvsms.saude.gov.por
br/bvs/saudelegis/anvisa/2007/rdc0067_08_10_2007.
terceiros. html
Relevância na interação com a LGPD: média.
http://bvsms.saude.gov.br/bvs/saudelegis/anvisa/2009/rdc0044_17_08_2009.html
Resolução-RDC nº 471, de 23 de fevereiro de 2021
15
de 2010, e o artigo 8º do Decreto nº 10.388, de 5 de junho de 2020, além
de instituir o Manifesto de Transporte de Resíduos – MTR nacional, como
https://bvsms.saude.
ferramenta degov.bgestão
r/bvs/saudelegis/anvisa/2007/rdc0067_08_10_2007.
e documento declaratório html de implantação e
operacionalização do plano de gerenciamento de resíduos.
http://www.planalto.CFF
Resolução gov.br/ccivil_03/leis/l3820.
nº 586, dehtm29 de agosto de 2013
Regulamenta
https://www.cff.org.br/userfiles/file/resolucoes/596.a prescrição farmacêutica, pdf estabelecendo as diretrizes para
a prescrição de medicamentos e demais produtos, bem como
tratamentos das informações. Além das obrigações técnico-científicas
(relativas à prescrição), é adequado destacar que a legislação faz
https:/ www.in.gov.br/materia/-/as et_publisher/Kujrw0TZC2Mb/content/id/19349381/do1-2017-10-1 -resolucao-n-648-de-30-de-agosto-de-2017-19349282
referência expressa à obrigação de sigilo das informações e de que seu
uso deve ser restrito à finalidade de avaliação da saúde do indivíduo.
https://www.duas
Essas in.gov.br/en/web/dou/-/resolucao-n-700-de-29-janeide
obrigações, ro-de-2021-304446969 e de utilização de informações em
sigilo
conformidade à finalidade de avaliação da saúde do indivíduo (ou de
interesse sanitário e de fiscalização), também estão contempladas em
outras regulamentações, como a Portaria SVS/MS nº 344/1998 (que
regula o sistema de fiscalização de receitas controladas), e são as
obrigações mais relevantes dessa legislação.
16
Capítulo 2
Considerações sobre a segurança da informação por
departamento ou área da farmácia
17
Nesse sentido, são ações NECESSÁRIAS:
Exemplo
https://www.
Estou cff.org.br/userfiles/filo
organizando e/resolucoes/596.pdf da folha de salários e percebi que um de
pagamento
meus colegas recebeu um aumento. Devo comentar isso com os
demais?
Resposta: Não. Essa é uma informação pessoal do seu colega e está fora
do escopo de sua função (pagar a folha de salários), tratando-se de
informação privada. Logo, se alguém deve escolher por comentar ou não
18
esse fato, é o próprio titular e não você.
Recomendações:
19
• vagas, ser o mais objetivo na descrição do cargo e evitar distinções
que possam ser entendidas pelos candidatos (e pelo público em
geral) como discriminatórias (gênero, idade, religião etc.);
20
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
B. Contabilidade/Fiscal
21
informações de cunho contábil e fiscal, como fluxo de caixa e
pagamento de impostos, que são sintéticas (não contêm dados pessoais),
não se submetem às obrigações da LGPD, embora seja importante sua
proteção.
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
C. Suprimentos/Compras
Área que trata de pouco a nenhum dado pessoal, sua principal função
22
é realizar a compra de insumos e a contratação de fornecedores. Logo, a
relação é, na maioria dos casos, entre pessoas jurídicas (o que não entra
no escopo da LGPD).
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
23
D. Laboratórios/Áreas Técnicas
24
a preparação de rótulos e ordens de produção, de forma que seu nível de
criticidade é baixo, sendo suficiente seguir as políticas e procedimentos
gerais de proteção de dados e privacidade da organização.
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
25
dados pessoais). Com a entrada em vigor da lei, é provável que esse
tipo de demanda aumente significativamente;
26
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
F. Marketing
27
de prescritores, identificada por meio das receitas dos pacientes ou por
outros meios. Em ambos os casos, é necessário que o prescritor seja
informado sobre as ações de marketing (em um contato inicial) e possua
a liberdade de aceitar ou não contatos posteriores. Novamente, é
necessário obter o consentimento do prescritor, o que pode ser
realizado após o primeiro contato com ele após sua identificação no
sistema.
Em relação aos clientes, é possível que sejam realizadas ações por mídias
sociais e marketing de conteúdo (inbound-marketing), por meio de
landing pages (páginas voltadas a obter o e-mail e outros contatos de
potenciais clientes). Em ambos os casos, é necessário que existam nessas
ferramentas meios de solicitar a remoção do cadastro.
28
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
G. TI/Segurança da Informação
29
As farmácias magistrais dependem de seu software de gestão, os quais
precisam ser adequados à LGPD quanto a promover medidas de
segurança, como criptografia em seus bancos de dados. Contudo, essas
medidas não podem ser diretamente implementadas pela farmácia, mas
sim pelo provedor do software. Veja no Capítulo 3 – “Guia prático de
procedimentos de implementação da LGPD por departamento ou área
da farmácia”, item “Avaliação do grau de adequação do provedor de
soluções de Tecnologia da Informação”, os requisitos técnicos relevantes
a serem considerados e que devem ser encaminhados aos provedores de
soluções para ajustes.
A farmácia magistral:
30
Dessa forma, um caso de ransonware (que é relativamente comum)
qualifica-se como um incidente de violação, podendo acarretar as
sanções e penalidades para a farmácia previstas na LGPD.
Mapeamento de Dados
Legenda:
Verde (dados recebidos)
Laranja (dados enviados)
31
Capítulo 3
Guia prático de procedimentos de implementação da
LGPD por departamento ou área da farmácia
32
A área de RH possui acesso a dados pessoais de colaboradores e
ex-funcionários das farmácias magistrais, além de enviar dados para uma
diversidade de terceiros prestadores de serviços. Por esse motivo, seu
plano de ação de adequações será orientado para organizar a relação
entre colaborador e farmácia magistral, por meio de ajustes do contrato
de trabalho, e com terceiros (prestadores de serviço de contabilidade e de
benefícios, por exemplo).
33
legislação de proteção de dados e privacidade vigente. Qualquer
compartilhamento de dados pessoais realizado a terceiros pelo
CONTRATANTE para operacionalização da relação empregatícia se dará
mediante a celebração de contratos destinados a finalidades específicas
e para o adequado cumprimento da relação entre COLABORADOR e
CONTRATANTE.”
34
Uso adequado dos dados pessoais e respeito à sua finalidade
35
sites de vagas etc.): o compartilhamento de dados pessoais com
terceiros precisa ser organizado. No caso de recrutamento e seleção de
pessoas que ainda não possuem vínculo com a farmácia, recomenda-se
a previsão das seguintes cláusulas:
36
A CONTRATADA declara que comunicará à CONTRATANTE , por escrito,
em prazo não superior a 24 (vinte e quatro) horas do momento em que
tomar conhecimento, sobre qualquer incidente de segurança ou
tratamento não autorizado ou ilícito dos dados pessoais objeto deste
instrumento, sejam estes acidentais ou não, incluindo acesso, aquisição,
uso, alteração ou divulgação não autorizados ou, ainda, vazamento,
perda, destruição ou danos a dados pessoais, efetivo ou potencial, bem
como adotará todas as medidas necessárias para eliminar ou conter o
incidente de segurança e manter a CONTRATANTE sempre informada
das medidas de correção e impactos dele decorrentes.”
37
terceiros qualquer informação confidencial recebida, sem prévia
autorização da CONTRATANTE.”
38
Devolução de informações e remoção após o término do contrato
2. Políticas e Procedimentos
39
B. Guia de Procedimento da Área de Contabilidade/Fiscal
2. Políticas e Procedimentos
Políticas e Procedimentos
40
- Política de Gestão de Serviços Contratados_Suprimentos
Políticas e Procedimentos
41
terceiros (clientes e prescritores), recebendo dados de diversas fontes
(atendimento presencial e remoto etc.) que precisam ser adequados.
Como tal, possui grande acesso a dados pessoais daqueles, além de
representar a farmácia magistral perante o mercado.
42
de remédios de uso contínuo) para oferecer reposição de
medicamento;
Exemplos
43
saber se o pai dele comprou um medicamento. Como proceder?
44
ausência de informações, não é possível confirmar sua identidade e que
a pessoa é quem diz ser. Logo, a farmácia não poderá divulgar nenhuma
informação até a correta confirmação.
Políticas e Procedimentos
45
assemelhadas possuam meios de descadastramento;
Exemplos
46
(autorização) para comunicação. Logo, ela não deve ocorrer.
Resposta: nesse caso a ação só pode ser feita se os dados forem gerais
(anonimizados), sendo expressamente proibido o acesso aos dados
pessoais dos clientes sem que eles autorizem (ou desejem participar)
dessa iniciativa.
Regulamentação do setor
47
“A CONTRATADA declara que assume obrigação de confidencialidade e
proteção de informações confidenciais, incluindo dados pessoais de
colaboradores que forem compartilhados pela CONTRATANTE para o
exercício de suas atividades regulares, de forma que não poderá, sob
hipótese alguma, por ação ou omissão, utilizar em proveito próprio e/ou
revelar a terceiros qualquer informação confidencial recebida, sem prévia
autorização da CONTRATANTE.”
48
Vedação à venda/compartilhamento de banco dados
2. Políticas e Procedimentos
49
• Política de Marketing e Utilização de Dados
- Política de Marketing e Utilização de Dados_Mkt
50
para o exercício de suas atividades regulares, de forma que não poderá,
sob hipótese alguma, por ação ou omissão, utilizar em proveito próprio
e/ou revelar a terceiros qualquer informação confidencial recebida, sem
prévia autorização da CONTRATANTE.”
51
compartilhamento, a qualquer título, de dados pessoais contidos nos
bancos de dados obtidos/tratados durante a execução do presente
contrato, sendo estes de uso exclusivo para a finalidade do contrato e nos
limites de sua obtenção.”
Segurança de dados
52
em que tomar conhecimento, sobre qualquer incidente de segurança ou
tratamento não autorizado ou ilícito dos dados pessoais objeto deste
instrumento, sejam estes acidentais ou não, incluindo acesso, aquisição,
uso, alteração ou divulgação não autorizados ou, ainda, vazamento,
perda, destruição ou danos a dados pessoais, efetivo ou potencial, bem
como adotará todas as medidas necessárias para eliminar ou conter o
incidente de segurança e manter a CONTRATANTE sempre informada
das medidas de correção e impactos dele decorrentes.”
53
as seguintes previsões:
54
contrato, sendo estes de uso exclusivo para a finalidade do contrato e nos
limites de sua obtenção.”
Segurança de dados
55
instrumento, sejam estes acidentais ou não, incluindo acesso, aquisição,
uso, alteração ou divulgação não autorizados ou, ainda, vazamento,
perda, destruição ou danos a dados pessoais, efetivo ou potencial, bem
como adotará todas as medidas necessárias para eliminar ou conter o
incidente de segurança e manter a CONTRATANTE sempre informada
das medidas de correção e impactos dele decorrentes.”
56
• Implementação de mecanismos de anonimização no banco de
dados;
Políticas e Procedimentos
• Procedimento
- de Resposta a Incidentes
- Procedimento de Resposta a Incidentes_TI
- Registro de Incidências_TI
57
Capítulo 4
Plano de gestão de crises na farmácia
58
O Comitê de Gestão de Crises deve ser organizado antes que
qualquer incidente de exposição de dados ocorra, de forma que a
farmácia esteja preparada para enfrentá-lo. Para isso, a farmácia deve
estruturar um comitê que trabalhe no assunto. É recomendável que
inclua, quando possível:
59
(como mandado de segurança ou outras provisões), comunicando-se
ao prestador de serviço para avaliar o caso.
60
As ações devem ser implementadas a depender de suas
características e dentro do cronograma estipulado, sendo papel do
Comitê garantir que existem recursos financeiros e humanos para sua
implementação adequada.
61
Conclusão
O advento da LGPD trouxe mais segurança no tratamento e uso de
informações pessoais, incluindo aí todos os dados de pessoas físicas
com os quais a farmácia trabalha.
62
Anexo
Exemplificação de políticas, procedimentos e/ou
comunicados por área
B. Área de Contabilidade/Fiscal
C. Área de Suprimentos/Compras
63
D. Áreas de Laboratórios/Técnicas
F. Área de Marketing
G. Área de TI
64
anfarmag.org.br