farmify.
Produto Preços Termos de Uso
Entrar Começar grátis
Seções
1. Quem somos 2. Dados que coletamos 3. Por que usamos 4. Bases legais (LGPD) 5. Compartilhamento 6. Retenção 7. Segurança 8. Cookies 9. Seus direitos 10. Menores 11. Transferência internacional 12. Atualizações 13. Contato e DPO
Documento legal · LGPD

Política de Privacidade

Versão 2.0 · Vigência a partir de 1º de agosto de 2026
Última atualização: julho de 2026

Resumo em 30 segundos. A Farmify coleta apenas os dados necessários para operar o serviço e cumprir obrigações legais. Não vendemos dados pessoais. Você pode solicitar acesso, correção ou exclusão dos seus dados a qualquer momento.

1. Quem Somos

Esta Política de Privacidade descreve como a OrcPharm Tecnologia Ltda. ("OrcPharm", "Farmify", "nós") coleta, usa, armazena e protege os dados pessoais de seus usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis.

A OrcPharm opera a plataforma Farmify, um SaaS de gestão e marketplace para farmácias de manipulação. Atuamos como:

  • Controladora dos dados pessoais de Estabelecimentos (farmácias), seus colaboradores e dos Clientes Finais cadastrados diretamente em nossa plataforma;
  • Operadora quando processamos dados pessoais de Clientes Finais por instrução do Estabelecimento contratante (via módulos de PDV, fidelidade e notificações).

Esta política aplica-se a todos os Usuários da plataforma Farmify, incluindo o site institucional, o painel web e o aplicativo mobile para consumidores.

2. Dados que Coletamos

2.1 Dados de Estabelecimentos e seus Colaboradores

CategoriaDados
Identificação da empresaRazão social, nome fantasia, CNPJ, inscrição estadual
Dados do responsávelNome completo, CPF, e-mail, telefone, cargo
Dados do farmacêutico RTNome, CRF, e-mail profissional
EndereçoLogradouro, CEP, cidade, estado, coordenadas geográficas
FinanceiroDados de cartão de crédito (tokenizados pelo Stripe), histórico de cobranças e repasses
Uso da plataformaLogs de acesso, ações na interface, endereço IP, user agent

2.2 Dados de Clientes Finais (Consumidores do Marketplace)

CategoriaDados
IdentificaçãoNome completo, CPF, data de nascimento, sexo biológico (para fórmulas)
ContatoE-mail, telefone celular, endereço de entrega
Dados de saúde*Receituários médicos enviados, diagnósticos informados voluntariamente, histórico de manipulação
PagamentoTokenização Stripe (não armazenamos número de cartão em nossos servidores)
LocalizaçãoCoordenadas de entrega, histórico de buscas por farmácias próximas
ComportamentoHistórico de pedidos, avaliações, itens salvos

* Dados de saúde são dados sensíveis sob a LGPD (art. 11). Seu tratamento exige consentimento específico, destacado e livre, ou outra base legal qualificada. Eles são usados exclusivamente para processar pedidos e atender obrigações regulatórias.

2.3 Dados Coletados Automaticamente

  • Endereço IP e dados de geolocalização aproximada;
  • Identificadores de dispositivo (UUID, push token para notificações);
  • Logs de requisição (timestamp, rota acessada, código HTTP) para segurança e diagnóstico;
  • Cookies e tecnologias similares (descritas na Seção 8).

2.4 Dados que Não Coletamos

  • Números de cartão, CVV ou dados bancários completos (processados exclusivamente pelo Stripe);
  • Dados biométricos;
  • Dados de menores de 18 anos sem consentimento de responsável legal.

3. Por Que Usamos Seus Dados

FinalidadeDados usados
Criação e gestão de contaNome, e-mail, CPF/CNPJ, senha (hash)
Prestação do serviço SaaS (PDV, estoque, manipulação)Dados do estabelecimento e colaboradores
Processamento de pedidos no marketplaceDados do cliente, endereço, receituário, pagamento
Cobrança de assinaturas e repassesCNPJ, dados de pagamento, histórico financeiro
Compliance sanitário (SNGPC, livros eletrônicos)CPF paciente, CRF RT, dados da fórmula, receituário
Comunicação com o usuário (notificações, alertas)E-mail, telefone, push token
Prevenção de fraudes e segurançaIP, logs, padrão de acesso
Melhoria do produto e analyticsDados de uso anonimizados ou pseudonimizados
Obrigações legais e fiscaisCNPJ, CPF, notas fiscais, livros contábeis

4. Bases Legais (LGPD)

Todo tratamento de dados pessoais pela OrcPharm está fundamentado em pelo menos uma das bases legais da LGPD:

Base legalQuando aplicamos
Execução de contrato (art. 7º, V)Prestação do serviço SaaS, processamento de pedidos, cobrança de assinatura
Cumprimento de obrigação legal (art. 7º, II)SNGPC, emissão fiscal, retenção de registros contábeis, Anvisa
Legítimo interesse (art. 7º, IX)Segurança, prevenção de fraude, melhoria do produto (dados agregados)
Consentimento (art. 7º, I)Comunicações de marketing, dados de saúde do Cliente Final, cookies não essenciais
Proteção da saúde (art. 11, II, f)Dados de saúde necessários ao processo de manipulação farmacêutica

Onde o consentimento é a base legal, o titular pode revogá-lo a qualquer momento sem prejuízo ao tratamento realizado anteriormente.

5. Compartilhamento de Dados

A OrcPharm não vende dados pessoais. Compartilhamos dados apenas nas situações abaixo:

5.1 Parceiros Operacionais

ParceiroDados compartilhadosFinalidade
StripeE-mail, nome, dados de pagamentoProcessamento de pagamentos e cobrança recorrente
AWS / provedores de nuvemTodos os dados armazenados na plataformaHospedagem segura, backups
Sendgrid / provedor de e-mailE-mail, nomeEnvio de notificações transacionais e alertas
Sentry / monitoramentoLogs de erro (sem dados pessoais identificáveis)Detecção e diagnóstico de erros

Todos os parceiros são contratados sob acordos de processamento de dados (DPAs) que os obrigam a proteger as informações e usá-las exclusivamente para as finalidades contratadas.

5.2 Autoridades e Órgãos Reguladores

Compartilhamos dados com autoridades públicas, órgãos reguladores (Anvisa, CRF, Receita Federal) e o Poder Judiciário quando exigido por lei, determinação judicial ou obrigação regulatória.

5.3 Estabelecimentos (Farmácias)

Dados de Clientes Finais são compartilhados com o Estabelecimento contratante exclusivamente para finalidades relacionadas ao pedido realizado. O Estabelecimento assume o papel de controlador independente nesses casos e deve cumprir a LGPD.

5.4 Fusões e Aquisições

Em caso de fusão, aquisição ou venda de ativos, os dados podem ser transferidos ao adquirente, que ficará obrigado a honrar esta Política de Privacidade.

6. Retenção de Dados

Categoria de dadoPrazo de retenção
Dados de conta ativaDurante toda a vigência do contrato
Dados após cancelamento90 dias para exportação; depois excluídos ou anonimizados
Registros fiscais e contábeis5 anos (Código Tributário Nacional)
Registros SNGPC / psicotrópicos10 anos (RDC Anvisa 20/2011 e portarias correlatas)
Logs de acesso e segurança6 meses (Marco Civil da Internet — Lei 12.965/2014)
Dados de pagamento (tokenizados)Conforme política do Stripe; excluídos no cancelamento
Backups criptografados90 dias em rotação (sobrescritos automaticamente)

Após o prazo aplicável, os dados são excluídos de forma segura ou anonimizados de modo irreversível.

7. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

  • Criptografia em trânsito: TLS 1.2+ em todas as comunicações;
  • Criptografia em repouso: AES-256-GCM para dados sensíveis no banco de dados;
  • Autenticação: senhas em hash bcrypt, tokens JWT com expiração curta, rate limiting e bloqueio por tentativas excessivas;
  • Isolamento multi-tenant: cada Estabelecimento acessa apenas seus próprios dados;
  • Controle de acesso: princípio do menor privilégio para todos os colaboradores;
  • Monitoramento: alertas automáticos para acessos suspeitos e anomalias;
  • Backups: cópias criptografadas com testes periódicos de restauração.

Incidente de segurança. Em caso de violação de dados que possa acarretar risco ou dano relevante, notificaremos a ANPD e os titulares afetados no prazo de até 72 horas após a ciência do incidente, conforme art. 48 da LGPD.

8. Cookies e Tecnologias Similares

8.1 O que usamos

TipoFinalidadePode recusar?
EssenciaisManter sessão autenticada, preferências de segurançaNão (sem eles o serviço não funciona)
FuncionaisLembrar preferências de idioma e layoutSim
AnalíticosEntender uso do produto (dados agregados)Sim
MarketingNão utilizamos cookies de rastreamento para fins publicitáriosN/A

8.2 Como gerenciar

Cookies não essenciais podem ser recusados no banner de consentimento exibido no primeiro acesso. Você também pode gerenciá-los diretamente nas configurações do seu navegador.

9. Seus Direitos como Titular de Dados

A LGPD garante ao titular de dados pessoais os seguintes direitos (art. 18):

👁
Confirmação e Acesso
Confirmar se tratamos seus dados e receber cópia completa das informações que possuímos sobre você.
✏️
Correção
Solicitar a correção de dados incompletos, inexatos ou desatualizados.
🗑
Eliminação
Solicitar a exclusão de dados tratados com base no consentimento (sujeito a obrigações legais de retenção).
⏸
Bloqueio / Anonimização
Solicitar o bloqueio ou anonimização de dados desnecessários ou excessivos.
📦
Portabilidade
Receber seus dados em formato estruturado e legível por máquina (CSV/JSON) para uso em outro serviço.
🚫
Oposição
Opor-se ao tratamento realizado com base em legítimo interesse, quando não houver motivo legítimo preponderante.
ℹ️
Informação sobre compartilhamento
Conhecer as entidades com as quais compartilhamos seus dados.
↩️
Revogação do consentimento
Retirar o consentimento dado a qualquer momento, sem prejuízo ao tratamento anterior.

9.1 Como exercer seus direitos

Envie sua solicitação para lgpd@orcpharm.com.br com:

  • Nome completo;
  • Documento de identificação (CPF);
  • Descrição do direito que deseja exercer;
  • E-mail cadastrado na plataforma.

Responderemos em até 15 dias úteis. Poderemos solicitar verificação de identidade antes de processar a requisição.

9.2 Reclamações à ANPD

Se considerar que seus direitos foram desrespeitados, você pode registrar reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

10. Menores de Idade

O Farmify não é direcionado a menores de 18 anos. Não coletamos dados de menores de forma intencional. Dados de saúde de pacientes menores podem ser inseridos por Estabelecimentos no contexto de receituários pediátricos — nesses casos, o Estabelecimento é o controlador e deve garantir o consentimento do responsável legal.

Se identificarmos que coletamos dados de menor sem o consentimento adequado, os dados serão excluídos imediatamente.

11. Transferência Internacional de Dados

Parte dos nossos serviços de infraestrutura pode envolver servidores localizados fora do Brasil (ex.: AWS us-east-1, Stripe EUA). Nessas situações, garantimos proteção adequada por meio de:

  • Contratos com cláusulas padrão de proteção de dados (SCCs/DPAs);
  • Avaliação de adequação dos países destinatários conforme decisões da ANPD;
  • Criptografia dos dados durante a transferência e em repouso.

12. Atualizações desta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças no serviço, na legislação ou nas nossas práticas. Alterações materiais serão comunicadas por e-mail com 15 dias de antecedência. O uso continuado da plataforma após a data de vigência da nova versão indica aceitação.

O histórico de versões está disponível mediante solicitação para lgpd@orcpharm.com.br.

13. Contato e Encarregado de Dados (DPO)

Para exercer seus direitos, tirar dúvidas sobre esta Política ou reportar incidentes de privacidade:

  • Encarregado de Dados (DPO): lgpd@orcpharm.com.br
  • Suporte geral: contato@orcpharm.com.br
  • Jurídico: juridico@orcpharm.com.br

OrcPharm Tecnologia Ltda.
CNPJ: 00.000.000/0001-00
São Paulo — SP, Brasil

Termos de Uso Política de Privacidade Planos Contato

© 2026 OrcPharm Tecnologia Ltda. · CNPJ 00.000.000/0001-00 · Todos os direitos reservados.