LGPD e dados pessoais no setor de cannabis: obrigações

O setor de cannabis e cânhamo industrial no Brasil opera na interseção de duas regulamentações de alta complexidade: o marco da ANVISA (RDCs 1011 a 1015/2026) e a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD). Enquanto a atenção dos operadores se concentra, compreensivelmente, na conformidade sanitária e penal, a proteção de dados pessoais é uma obrigação igualmente relevante — e cujo descumprimento acarreta sanções severas.

Este artigo aborda as obrigações da LGPD aplicáveis a empresas e associações do setor, com foco em dados de pacientes, colaboradores e parceiros comerciais. Para uma visão consolidada do marco regulatório principal, consulte o guia completo de regulamentação do cânhamo industrial no Brasil.

Por que a LGPD é especialmente relevante para o setor de cannabis

O setor de cannabis lida, por natureza, com categorias de dados que a LGPD classifica como sensíveis: dados de saúde de pacientes, informações sobre prescrições médicas, laudos laboratoriais individualizados e registros de uso de produtos medicinais. A lei impõe requisitos mais rigorosos para o tratamento de dados sensíveis, e o descumprimento pode gerar multas de até 2% do faturamento bruto, limitadas a R$ 50 milhões por infração.

Além disso, o estigma social associado ao uso de cannabis — mesmo para fins medicinais ou industriais legítimos — torna o vazamento de dados pessoais particularmente danoso para os titulares. Uma associação de pacientes que sofre um incidente de segurança pode expor seus membros a discriminação, perda de emprego ou constrangimento social.

Dados pessoais no setor: o que é tratado

Dados de pacientes

Associações de cannabis medicinal e empresas que comercializam produtos sob prescrição tratam um conjunto extenso de dados pessoais sensíveis:

• Nome completo, CPF e dados de contato.
• Diagnóstico médico e CID associado.
• Prescrições médicas com dosagem e produto prescrito.
• Histórico de compras de produtos medicinais.
• Laudos e exames complementares.
• Dados biométricos, quando aplicável (em sistemas de identificação para dispensação).

Esses dados são classificados como dados pessoais sensíveis pela LGPD (art. 5, II), e seu tratamento exige base legal específica.

Dados de colaboradores

Empresas produtoras de cânhamo industrial tratam dados de funcionários que incluem:

• Dados cadastrais e trabalhistas.
• Registros de treinamento em compliance e boas práticas.
• Resultados de exames admissionais e periódicos.
• Dados de acesso a áreas restritas (cultivo, processamento).

Dados de parceiros e fornecedores

A cadeia de valor do cânhamo envolve dados de:

• Representantes legais de fornecedores e distribuidores.
• Informações contratuais e financeiras.
• Dados de responsáveis técnicos e farmacêuticos.

Bases legais aplicáveis

A LGPD exige que todo tratamento de dados pessoais esteja fundamentado em uma base legal. No setor de cannabis, as bases mais relevantes são:

Consentimento (art. 7, I e art. 11, I)

Para dados sensíveis de pacientes, o consentimento específico e destacado é a base legal mais utilizada. O consentimento deve ser livre, informado e inequívoco, e o titular deve poder revogá-lo a qualquer momento.

Na prática, isso significa que associações e empresas devem:

• Obter consentimento por escrito ou por meio eletrônico verificável.
• Informar com clareza quais dados serão tratados, para quais finalidades e por quanto tempo.
• Oferecer mecanismo acessível para revogação.

Cumprimento de obrigação legal ou regulatória (art. 7, II e art. 11, II, a)

Parte do tratamento de dados no setor é exigida pela própria regulamentação da ANVISA. Registros de rastreabilidade, laudos laboratoriais vinculados a lotes e relatórios de farmacovigilância podem ser tratados com base no cumprimento de obrigação legal, sem necessidade de consentimento adicional.

Tutela da saúde (art. 11, II, f)

Para dados sensíveis tratados exclusivamente em procedimentos realizados por profissionais de saúde ou por entidades sanitárias, a tutela da saúde pode ser invocada como base legal. Essa base é relevante para farmácias que dispensam produtos à base de cannabis.

Exercício regular de direitos (art. 7, VI e art. 11, II, d)

Em processos judiciais ou administrativos — como defesa em fiscalizações da ANVISA ou disputas contratuais —, os dados pessoais podem ser tratados para exercício regular de direitos.

Obrigações específicas para o setor

Nomeação de encarregado (DPO)

A LGPD exige a nomeação de um encarregado pelo tratamento de dados pessoais (Data Protection Officer), que será o ponto de contato entre a organização, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). No setor de cannabis, o DPO deve ter familiaridade com a regulamentação sanitária para avaliar corretamente as bases legais aplicáveis.

Registro de atividades de tratamento (ROPA)

Toda organização deve manter um registro das operações de tratamento de dados pessoais que realiza. Para empresas do setor de cannabis, esse registro deve incluir:

• Categorias de dados tratados (cadastrais, de saúde, laboratoriais).
• Finalidades do tratamento.
• Bases legais utilizadas.
• Compartilhamentos com terceiros (laboratórios, ANVISA, operadoras de saúde).
• Prazos de retenção.
• Medidas de segurança aplicadas.

Relatório de impacto à proteção de dados (RIPD)

Operações de tratamento que envolvam dados sensíveis em larga escala — como as de associações com centenas ou milhares de pacientes — devem ser precedidas de um Relatório de Impacto à Proteção de Dados Pessoais. O RIPD avalia riscos e define medidas mitigadoras.

Segurança da informação

A LGPD exige a adoção de medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, destruição, perda, alteração e vazamento. No setor de cannabis, isso inclui:

• Criptografia de dados em repouso e em trânsito.
• Controle de acesso baseado em perfis (segregação por função).
• Logs de acesso auditáveis.
• Política de backup e recuperação de desastres.
• Treinamento periódico de funcionários em segurança da informação.

Transferência internacional de dados

Empresas que exportam produtos ou compartilham dados com matrizes ou parceiros no exterior devem observar as regras de transferência internacional de dados da LGPD (arts. 33 a 36), garantindo que o país de destino ofereça nível adequado de proteção ou que existam cláusulas contratuais específicas.

Penalidades e riscos

A ANPD pode aplicar as seguintes sanções por descumprimento da LGPD:

• Advertência, com indicação de prazo para adoção de medidas corretivas.
• Multa simples de até 2% do faturamento bruto, limitada a R$ 50 milhões por infração.
• Multa diária.
• Publicização da infração.
• Bloqueio ou eliminação dos dados pessoais.
• Suspensão parcial do funcionamento do banco de dados.
• Proibição parcial ou total do exercício de atividades de tratamento.

Para organizações do setor de cannabis, a publicização da infração pode ser particularmente danosa, dada a sensibilidade social do tema e o risco reputacional associado.

Intersecção LGPD e compliance regulatório ANVISA

A conformidade com a LGPD não substitui — e não conflita com — a conformidade com as normas da ANVISA. As duas regulamentações são complementares:

• A ANVISA exige rastreabilidade e documentação, o que envolve tratamento de dados pessoais.
• A LGPD exige que esse tratamento seja feito com base legal, finalidade definida, segurança adequada e respeito aos direitos dos titulares.

Organizações que integram os programas de compliance regulatório e de proteção de dados reduzem redundâncias, evitam contradições e demonstram maturidade institucional. Para aprofundar a relação entre compliance regulatório e operação no setor, consulte o artigo sobre compliance regulatório no setor de cannabis no Brasil.

Boas práticas para o setor

Privacy by design

Incorpore a proteção de dados desde a concepção de processos e sistemas. Ao desenvolver um novo formulário de cadastro de pacientes ou um sistema de rastreabilidade, avalie desde o início quais dados são realmente necessários (minimização) e como protegê-los.

Contratos com cláusulas de proteção de dados

Todos os contratos com fornecedores, laboratórios, distribuidores e parceiros devem incluir cláusulas de proteção de dados, definindo responsabilidades, limites de tratamento e obrigações em caso de incidente. Para orientações sobre estruturação contratual no setor, consulte o artigo sobre contratos e compliance no setor de cânhamo.

Plano de resposta a incidentes

Estabeleça um plano de resposta a incidentes de segurança que defina:

• Equipe responsável e canais de comunicação.
• Procedimentos de contenção e investigação.
• Critérios para comunicação à ANPD e aos titulares afetados (obrigatória quando o incidente possa acarretar risco ou dano relevante).
• Prazo para comunicação (a LGPD exige prazo razoável, e a ANPD tem recomendado dois dias úteis).

Revisão periódica

A LGPD e sua regulamentação pela ANPD estão em constante evolução. Revise periodicamente suas políticas, processos e contratos para garantir aderência às normas vigentes.

Perguntas frequentes

Dados de pacientes de cannabis medicinal são considerados sensíveis pela LGPD?

Sim. Dados de saúde — incluindo diagnósticos, prescrições e histórico de uso de produtos medicinais à base de cannabis — são classificados como dados pessoais sensíveis pela LGPD (art. 5, II). Seu tratamento exige base legal específica, como consentimento específico e destacado ou cumprimento de obrigação legal.

Preciso de consentimento para todos os dados que trato no setor de cannabis?

Não. O consentimento é uma das bases legais previstas na LGPD, mas não a única. Dados tratados para cumprimento de obrigação legal ou regulatória (como registros exigidos pela ANVISA), tutela da saúde e exercício regular de direitos podem ser tratados sem consentimento, desde que respeitados os demais princípios da lei.

O que acontece se minha associação sofrer um vazamento de dados de pacientes?

A organização deve comunicar o incidente à ANPD e aos titulares afetados em prazo razoável, especialmente se o vazamento puder acarretar risco ou dano relevante. Além das sanções administrativas (multa, publicização, suspensão), a organização pode responder civilmente por danos morais e materiais causados aos titulares.

Posso compartilhar dados de pacientes com a ANVISA durante uma fiscalização?

Sim. O compartilhamento de dados com órgãos reguladores no cumprimento de obrigação legal é amparado pela LGPD. Contudo, a organização deve limitar o compartilhamento aos dados estritamente necessários para atender à demanda regulatória e documentar o fundamento legal do compartilhamento.

Minha empresa precisa nomear um DPO?

Sim. A LGPD exige a nomeação de um encarregado (DPO) por todas as organizações que tratam dados pessoais. No setor de cannabis, o DPO deve compreender tanto a LGPD quanto a regulamentação sanitária, dada a natureza sensível dos dados tratados.

Como a LGPD se relaciona com as normas da ANVISA?

As duas regulamentações são complementares. A ANVISA exige documentação e rastreabilidade que envolvem dados pessoais; a LGPD exige que esse tratamento tenha base legal, finalidade legítima e medidas de segurança adequadas. Integrar os programas de compliance regulatório (ANVISA) e de proteção de dados (LGPD) é a abordagem mais eficiente e segura.

---

Para gerenciar dados de pacientes, documentação regulatória e compliance de forma integrada e segura, conheça o Canhamo Industrial CRM e a Hemp AI.