Como a Criptografia Totalmente Homomórfica permite à grande rede de farmácias monetizar dado, combater fraude e construir programa de fidelidade clínica — sem nunca ver o paciente individual.
Documento de decisão para diretoria. Foi escrito para ser lido em uma reunião executiva ou em um sábado de manhã antes de uma decisão sobre o futuro do dado da rede.
Se você só vai ler uma coisa deste eBook, leia isto.
A grande rede de farmácias é, hoje, um dos maiores hubs de dado clínico sensível do Brasil — e quase ninguém na liderança dessas redes pensa nelas dessa forma. Cada CPF cadastrado em programa de fidelidade carrega um histórico de medicação que, lido por quem souber ler, conta a história clínica do paciente: hipertenso, diabético, em tratamento psiquiátrico, em quimioterapia, em terapia de reposição hormonal, em uso de antirretrovirais. A farmácia é, na prática, um prontuário ambulatorial paralelo ao SUS e à medicina suplementar — só que sem governança equivalente.
Esta posição é um ativo estratégico extraordinário. É também um passivo regulatório crescente que ainda não foi precificado. As três grandes pressões convergem:
ANPD começou em 2025 a investigar uso secundário de dado de farmácia sem base legal robusta. Será o primeiro de muitos.
Mercado de RWE ultrapassou USD 5B globalmente. Farmácia é fonte natural — mas só se conseguir vender sem expor paciente.
"Doctor shopping" e receita falsa custam bilhões ao setor. Combate exige cooperação entre redes — hoje impossível.
Não-adesão a tratamento crônico é responsável por 30% das internações evitáveis. A farmácia sabe — e não consegue agir.
FHE — Criptografia Totalmente Homomórfica — permite à rede destravar todos esses casos sem nunca decifrar o dado individual do cliente. Pharma compra insight cifrado. Redes detectam fraude colaborativa sem expor base. Programas de adesão funcionam sem que o algoritmo central nunca veja o histórico individual. Tudo isto é matematicamente possível hoje, e operacionalmente viável dentro do orçamento de TI de qualquer rede com mais de mil lojas.
A próxima década do varejo farmacêutico será definida por quais redes conseguirem monetizar dado clínico sem trair o cliente que confia nelas com a parte mais íntima da sua vida.
A farmácia virou silenciosamente um dos maiores hubs de dado clínico sensível do Brasil. Quase ninguém pensa nela dessa forma — e essa cegueira institucional é o maior risco e a maior oportunidade do setor.
Em 2005, uma cliente entrava na farmácia, mostrava a receita, comprava o remédio, ia embora. O cadastro tinha nome, CPF e endereço. Era isso. Em 2025, a mesma cliente abre o app da rede, recebe lembrete de quando reabastecer sua medicação, ganha pontos no programa de fidelidade, faz teleconsulta com o farmacêutico, recebe sugestões de produtos baseadas em histórico de compra, e tem todo o seu padrão de medicação armazenado por anos em servidores que cruzam dados com pelo menos meia dúzia de fornecedores externos.
Essa transformação aconteceu sem decreto. Foi feita por features sucessivas, cada uma defensável isoladamente, cada uma adicionando uma fração de coleta. O resultado agregado — sem que ninguém tenha planejado — é uma operação de dado clínico sensível de escala industrial, mediada por uma rede de fornecedores de TI que ninguém controla totalmente, sob regulação que ainda está se formando, com risco reputacional acumulado que ninguém ainda precificou.
Farmácia sempre foi varejo. O que mudou é que cinco operações novas se sobrepuseram ao varejo, cada uma com sua complexidade técnica e jurídica:
| Operação | O que é | Risco |
|---|---|---|
| Programa de fidelidade clínica | Histórico de compra cruzado com perfil de saúde | Categoria especial sob LGPD art. 11 |
| Teleconsulta farmacêutica | Atendimento clínico via app | Regulado pelo CFF; responsabilidade clínica |
| Vendas a pharma | Insights agregados sobre uso de medicamento | Anonimização frágil; valor regulatório duvidoso |
| Cruzamento com plano de saúde | Adesão, complicação, custo | Cruzamento bilateral sem base legal robusta |
| Controlados e SNGPC | Receituário branco/azul/amarelo, retenção | Anvisa + CFM; risco de fraude e exposição |
É importante nomear o que está em jogo. Uma grande rede brasileira de drogarias acumula, em cinco anos de operação digital, um conjunto de ativos cuja densidade científica e comercial é praticamente sem paralelo:
Quase nada disso pode ser usado sem fricção massiva. Esta é a contradição central do varejo farmacêutico em 2026: nunca houve tanto ativo de dado disponível, e nunca foi tão arriscado tentar usar.
O cliente que cadastra CPF no programa de fidelidade não compreende, em qualquer sentido prático, o que está entregando. Ele acredita estar trocando um identificador por desconto. Está, também, autorizando que sua medicação seja armazenada, cruzada, analisada, possivelmente vendida a pharma, possivelmente compartilhada com plano de saúde. O termo de uso diz isso de alguma forma. Mas dizer não é compreender, e a indústria opera sobre essa diferença.
A pergunta para a diretoria da rede não é se a arquitetura atual de dado é sustentável. É quanto tempo falta até o primeiro processo público mudar tudo.
A regulação que governa farmácia sempre foi pesada, mas até cinco anos atrás era pesada na dimensão errada. Agora começa a apertar exatamente onde dói.
Existe uma percepção confortável compartilhada por boa parte da diretoria de redes: a de que a regulação que importa é a da Anvisa sobre dispensação, e que dado de cliente é assunto de departamento de marketing. Esta visão funciona em 2024. Não funciona em 2027. E quem aceitar essa visão como verdade vai ser surpreendido por mudanças que já estão acontecendo.
Dado de saúde é categoria especial sob LGPD. Farmácia, ao registrar histórico de medicação no nome do cliente, é controladora de dado dessa categoria. O artigo 11 exige base legal específica e robusta para qualquer tratamento. As exceções para "tutela da saúde" são interpretadas de forma estreita. Em 2025 a ANPD abriu a primeira investigação formal contra uma grande rede brasileira por compartilhamento de dado com vendor de marketing sem base legal demonstrável. Será a primeira de muitas.
O detalhe que poucas redes incorporaram: a responsabilidade pelo dado não termina quando ele é compartilhado com fornecedor. Se o vendor de CRM, a plataforma de fidelidade, ou o sistema de teleconsulta vazar, a rede responde solidariamente. Toda a cadeia de fornecedores virou fonte de risco sistêmico.
O Sistema Nacional de Gerenciamento de Produtos Controlados é a base para fiscalização de receituário branco, azul e amarelo. A Anvisa tem expandido sistematicamente os requisitos de rastreabilidade. Cada nova RDC adiciona obrigações de armazenamento, retenção e auditoria. Quando essas obrigações encontram a LGPD, a tensão aparece: a Anvisa quer rastreamento perfeito, a LGPD quer minimização. As duas exigências são tecnicamente contraditórias na arquitetura tradicional. Sob FHE, deixam de ser.
O Conselho Federal de Farmácia tem regulamentado teleconsulta farmacêutica como ato profissional. Toda a operação de "farmacêutico digital" da rede está sob escrutínio do CFF. Responsabilidade técnica do farmacêutico cria uma camada nova de exposição: se a rede oferece orientação clínica via app, há um farmacêutico responsável, e há risco médico-legal real.
Redes brasileiras com operação europeia (Alliance Boots/Walgreens, parcerias com pharma global) já enfrentam exigências GDPR. O EHDS — European Health Data Space — vai exigir capacidade técnica de privacy-preserving analytics como pré-requisito para participação em qualquer iniciativa que envolva dado de paciente europeu. O EHDS define o padrão técnico que a regulação mundial vai adotar nos próximos cinco anos.
Não basta ter política. É preciso ter prova técnica de que o dado individual não pôde ter sido visto.
Aqui FHE deixa de ser curiosidade e vira ferramenta de defesa. A rede que processa dado sob FHE pode demonstrar à ANPD, ao CFF, à Anvisa, ao paciente desconfiado e ao parceiro pharma que dado individual nunca foi acessível, nem por funcionário, nem por vendor, nem por nuvem.
| Risco | Probabilidade 5 anos | Impacto |
|---|---|---|
| Multa LGPD por compartilhamento sem base legal | Alta | 2% do faturamento ou R$ 50M+ |
| Investigação ANPD por falha em fornecedor | Média-alta | Reputação + remediação cara |
| Class action por exposição de medicação | Média | Centenas de milhões |
| Perda de contratos com pharma global | Média | R$ 20M-100M anuais |
| Crise reputacional pós-breach | Baixa-média | 12-24 meses queda em fidelidade |
Sem matemática. Sem jargão. O que a diretoria precisa entender para tomar uma decisão.
Imagine um cofre transparente. Você consegue ver que há algo dentro, mas não consegue ver o que é. Agora imagine que você consegue, de fora do cofre, com luvas matemáticas, manipular o conteúdo: somar, multiplicar, comparar, computar regressões. Você executa operações sobre o conteúdo do cofre sem nunca abri-lo. Quando termina, devolve o cofre fechado para o dono da chave, que abre e vê o resultado. Isto é FHE.
Toda a criptografia que sua rede usa hoje — TLS no app, AES nos backups, HTTPS nas APIs — protege dado em dois dos três estados: em trânsito e em repouso. O terceiro estado, "em uso" (quando o servidor processa), exige dado em claro. É nesse estado que vendor de CRM precisa ver o histórico para gerar a campanha. É onde a plataforma de fidelidade acessa CPFs para calcular pontos. É onde a ferramenta de BI roda queries sobre milhões de transações. FHE elimina o terceiro estado.
| Tecnologia | Promete | Falha |
|---|---|---|
| Anonimização | "Removemos o CPF" | Re-identificação trivial via cruzamento de atributos |
| TEE (enclave hardware) | "O chip isola" | Confia no fabricante; ataques laterais |
| Federated Learning | "Dado fica na loja" | Gradientes vazam dado individual |
| Differential Privacy | "Adicionamos ruído" | Ruim para decisão sobre cliente individual |
| FHE | "Servidor nunca vê em claro" | Custo computacional alto — mas decrescente |
FHE caiu duas a três ordens de magnitude em sete anos. Para uma rede com receita acima de R$ 5B, o investimento total — capex inicial mais opex anual — fica abaixo de 0,3% do orçamento de TI. É menos do que a maioria das redes gasta numa única atualização do sistema de gestão de loja. E o caso de uso tipicamente fecha apenas com um único contrato com pharma.
O que muda concretamente em cada vertical da operação. Fidelidade, fraude, pharma, adesão, controlados, OTC.
Esta é a categoria onde a rede tem maior valor potencial e maior exposição atual. O programa de fidelidade, hoje, é mediado por vendor que precisa ver o histórico de compra para calcular pontos, segmentar campanhas, oferecer descontos personalizados. Cada uma dessas operações expõe o cliente.
Sob FHE, o perfil do cliente fica permanentemente cifrado no servidor. Algoritmo de recomendação roda sobre cifras. A campanha é gerada sem que a rede ou o vendor jamais veja a lista de clientes nem o que eles compraram. O cliente recebe oferta relevante; a rede nunca teve perfil legível para vazar.
O app lembra o cliente de comprar a medicação crônica antes que acabe. Esse é um serviço caro hoje porque exige saber qual medicação cada cliente toma. Sob FHE, o algoritmo de lembrete roda sobre o histórico cifrado. O servidor central nunca sabe que aquele cliente toma antidepressivo. O serviço é o mesmo; o passivo desaparece.
Este é um caso onde FHE destrava algo que nenhuma outra solução consegue destravar. Receita falsa, doctor shopping (paciente que coleta receita de vários médicos para o mesmo controlado), uso indevido de antibióticos, automedicação perigosa — tudo isto custa bilhões ao setor anualmente. O combate exige cooperação entre redes concorrentes. Hoje, essa cooperação é estruturalmente impossível: redes não compartilham por motivo competitivo e legal.
Sob FHE com Private Set Intersection (PSI), redes podem cifrar listas de CPFs em controlados e descobrir apenas a interseção — quem aparece em três ou mais redes simultaneamente comprando o mesmo controlado. Sem revelar bases inteiras. Sem revelar histórico individual. Apenas o sinal de fraude. Isto é defesa setorial que hoje literalmente não existe.
Pharma quer comprar dado de farmácia para entender uso real de medicamento, padrões de doença, eficácia de tratamento, market share por região. Hoje, esse mercado existe via dados anonimizados (modelo IQVIA/Close-Up) — frágil legalmente e cada vez mais contestado.
Sob FHE, pharma envia query cifrada ("quantos pacientes em São Paulo iniciaram metformina nos últimos 90 dias e abandonaram em 30?"). A rede computa sobre base cifrada. Devolve apenas a estatística agregada cifrada que pharma decifra com sua chave. Pharma pagou pelo insight. A rede faturou. O cliente nunca foi exposto. É um mercado novo de receita recorrente sem nenhum dos riscos legais do modelo atual.
Não-adesão a tratamento crônico é responsável por 30% das internações evitáveis. A farmácia é a única instituição que sabe quando o paciente realmente parou de comprar — antes do médico saber, antes do plano saber. Mas agir sobre essa informação exige tratamento de dado clínico nominalmente — o que a regulação dificulta.
Sob FHE, o sistema detecta abandono, gera intervenção (lembrete, ligação do farmacêutico, oferta de teleconsulta), tudo sobre dados cifrados. O algoritmo central nunca sabe que o paciente é o José da Silva — sabe apenas que algum paciente do segmento "diabético sob metformina" não comprou em 45 dias. O farmacêutico que faz a ligação vê o necessário no momento da chamada e nada persiste depois.
Operadora tem histórico clínico do paciente. Farmácia tem histórico de medicação. Cruzar nominalmente é ouro científico — e juridicamente quase impossível. Sob FHE, ambas as partes cifram suas bases, executam join cifrado em servidor neutro, e só o resultado agregado é decifrado. Detecção de não-adesão, alerta de interação medicamentosa, prevenção de eventos adversos. Isto reduz internação — e operadora paga por isso.
Anvisa quer rastreamento perfeito de controlado. LGPD quer minimização. Tradicionalmente isso é tensão. Sob FHE, é possível operar SNGPC cifrado: a rede mantém os dados, a fiscalização da Anvisa pode rodar análises agregadas (volumes, regiões, padrões anômalos) sobre as cifras sem precisar acessar o paciente individual. A rastreabilidade é mantida, a privacidade é matematicamente garantida.
Padrão de compra de medicamentos sem prescrição (analgésico, antiácido, anti-histamínico) é proxy de sintomas e doença não diagnosticada. Em escala, vira ferramenta de saúde pública: pico de antitérmicos em uma região é sinal de epidemia respiratória semanas antes do sistema de saúde detectar oficialmente. Sob FHE, a rede pode oferecer este sinal a autoridade sanitária ou a parceiros de saúde sem expor cliente individual.
Análise de troca de marca, fidelidade a princípio ativo, comportamento pós-promoção. Tudo isto é insight valioso para pharma e para a própria rede otimizar mix. Sob FHE, a análise acontece sem que ninguém acesse o histórico individual.
Os números reais. Quanto custa, quanto retorna.
| Componente | Investimento |
|---|---|
| Time fundador (cripto + ML + PM + jurídico) | R$ 4M – 6M / ano |
| Licenças e tooling | R$ 200k – 800k / ano |
| Infra computacional | R$ 1M – 2.5M inicial |
| Consultoria estratégica | R$ 600k – 1.5M |
| Estudo regulatório | R$ 300k – 800k |
| Integração com PDV, ERP, CRM, app | R$ 1.5M – 4M |
| Total ano 1 | R$ 7M – 14M |
| Item | Estimativa |
|---|---|
| Compute | R$ 1.5M – 4M |
| Time de manutenção | R$ 3.5M – 6M |
| Auditoria | R$ 400k – 1M |
| Opex anual estabilizado | R$ 5.4M – 11M |
Para uma rede com receita acima de R$ 5B (RD/Drogasil, DPSP, Pague Menos), isto representa entre 0,1% e 0,3% do faturamento. É menos do que a maioria das redes gasta em uma única campanha nacional.
Mercado de RWE para pharma é hoje USD 5B globalmente. Rede brasileira com FHE captura segmento premium estimado em R$ 30M-150M anuais incrementais em três anos.
Fraude estimada do setor: 3-5% das vendas de controlados. Para uma rede de R$ 10B com 8% em controlados, isto é R$ 24-40M de exposição anual. Redução com PSI inter-redes: R$ 8-20M anuais.
Operadoras pagam por intervenções que reduzem internação. Cada paciente crônico mantido em adesão vale tipicamente R$ 200-500/ano para o pagador. Rede pode capturar parcela. Estimativa: R$ 15-60M anuais.
Exposição esperada a multas: R$ 30-100M VPL em 5 anos. Hedge: R$ 12-50M de valor segurador.
Programas de fidelidade com privacidade verificável têm taxa de adesão e retenção 15-25% maior. Para rede com 50M de cadastros, o impacto em receita por cliente é mensurável: R$ 20-80M anuais.
Operadoras, hospitais e healthtechs preferem parceiros que demonstram capacidade de proteger dado. Acesso a parcerias exclusivas: R$ 10-40M anuais.
Para qualquer rede com mais de mil lojas, FHE é o investimento de transformação digital com maior assimetria de retorno disponível em 2026.
FHE em farmácia é sobre virar a primeira rede que pode dizer, com prova matemática: "nós cuidamos sem invadir".
A indústria de varejo farmacêutico no Brasil é, há vinte anos, dominada por consolidação, preço e logística. Vence quem tem mais lojas, melhor preço, melhor entrega. Esse jogo continua. Mas há uma camada nova de competição emergindo — e quem se posicionar primeiro nela captura uma vantagem que dura uma década inteira.
Foco em comunicação direta com cliente. Programa público sobre proteção de dado. Auditoria externa anual publicada. Posicionamento explícito como "a rede que você pode confiar com sua medicação". Funciona melhor para redes premium/médicas (onde o cliente é mais consciente).
Foco em parcerias com pharma, operadora e hospital. Posicionamento como "a infraestrutura de dado de saúde mais confiável do país". Receita recorrente de dado vira pilar. Funciona para grandes redes que querem virar plataforma.
Foco em organizar consórcio anti-fraude usando PSI/FHE. Captura papel de articulador setorial, ganha visibilidade em Anvisa e ANPD, redesenha discurso público sobre controlados. Funciona para qualquer rede com sponsor disposto a investir capital político.
O cenário a explicitar: o que acontece se nenhuma das grandes redes brasileiras adotar FHE estruturalmente nos próximos 36 meses? Resposta: healthtechs e plataformas de pharma vão capturar o espaço. Vão oferecer "dados de farmácia anonimizados" como produto, capturando margem que poderia ser da rede e expondo a rede a risco de breach. Em cinco anos, a posição estará tomada — e será cara reverter.
A rede que lidera FHE não está adotando tecnologia. Está protegendo o cliente que confia nela com a parte mais íntima da vida.
Contratar cripto-engenheiro fundador ou parceria com consultoria especializada. Identificar três casos de uso candidatos. Alinhar com jurídico e DPO.
Saída: arquitetura documentada, três casos selecionados, parecer jurídico favorável.
Construir um caso de uso ponta a ponta. Recomendação: programa de adesão sob cifra (alto valor, baixo risco operacional). Validar latência, integração com ERP/CRM/PDV.
Saída: demo funcional, métricas validadas, primeiro grupo de clientes em fase beta.
Lançar oferta comercial para parceiro pharma — consulta cifrada sobre base. Marketing dirigido a Medical Affairs e RWE de pharma global. Pricing premium versus produto IQVIA tradicional.
Saída: primeiro contrato fechado, primeiro insight entregue, primeira receita atribuível.
Múltiplos casos sobre a infraestrutura. Programa público de cliente. Possível primeiro consórcio anti-fraude com outras redes.
Saída: 3+ casos ativos, primeiro consórcio inter-redes, reconhecimento setorial.
Alta probabilidade. Mitigação: parceria com consultoria especializada (Stickybit, Tune Insight). Rede não precisa ter talento internamente desde o início.
Operação varejo é avessa a complexidade técnica. Mitigação: tratar como projeto comercial, não de TI. Engajar Diretor Comercial e CDO desde o início. Comunicação em linguagem de negócio.
Rede típica opera dezenas de sistemas (PDV, ERP, CRM, app, fidelidade, BI). Mitigação: integrar apenas os 2-3 que importam para o primeiro caso.
Algumas operações (queries em base inteira de 50M de clientes) ainda são custosas. Mitigação: começar por casos seletivos de alto valor por consulta.
Pharma já tem relação com IQVIA. Pode resistir a mudar. Mitigação: oferecer FHE como complemento, não substituição. Começar com Medical Affairs onde há mais sensibilidade a privacidade.
Mitigação: velocidade. Cada mês de atraso é mês de risco.
FHE deve reportar a CDO/Comercial, não CIO. Resultado: entrega técnica sem capacidade comercial.
Tentar começar pelo consórcio anti-fraude entre redes (politicamente complexo). Erro. Começar internamente, validar, expandir.
Quem é o custodiante da chave? Cliente? Rede? Anvisa? CFF? O design da governança de chave é metade do projeto.
Para os CEOs, Conselheiros e CDOs das redes que ainda podem escolher liderar.
A rede que vocês lideram cresceu sobre uma promessa simples e antiga: a de que a farmácia é um lugar onde o cliente pode chegar em momento de necessidade e ser atendido com competência, respeito e privacidade. Que o farmacêutico de balcão é um profissional confiável. Que a marca da rede vale mais do que o preço da loja vizinha porque carrega décadas de relação construída uma compra de cada vez.
Esta promessa atravessou décadas. Sobreviveu à consolidação, à padronização, à digitalização do PDV, à entrada do e-commerce. Sobreviveu porque era — e em grande parte ainda é — verdadeira. Os clientes que escolhem comprar em uma rede premium em vez de na drogaria de bairro fazem isso, no fundo, por confiança institucional.
Mas nos últimos quinze anos, sem que ninguém tenha decretado, a relação entre rede e cliente mudou de natureza. O cliente deixou de ser quem aparece na loja e ganha um saco com remédio. Tornou-se uma fonte contínua de dado: CPF, histórico de compra, app de fidelidade, geolocalização da loja, padrão de consumo, dados de teleconsulta. Cada um desses dados nasceu de uma feature defensável. O resultado agregado é uma operação que nenhum executivo individual conscientemente desenharia: coleta massiva de dado clínico íntimo, mediada por dezenas de fornecedores de tecnologia, sob regulação que está virando hostil.
É possível voltar atrás sem perder os benefícios. FHE permite continuar oferecendo programa de fidelidade, teleconsulta, recomendação personalizada, parceria com pharma — sem nunca ver o cliente individual. É possível continuar fazendo tudo o que a rede precisa fazer. É possível fazê-lo enquanto a rede mantém, com prova matemática, que aquele cliente nunca foi exposto.
O que está em jogo não é uma feature técnica. É a possibilidade da rede voltar a ser, sem ambiguidade, o que ela sempre disse ser: um espaço onde o cliente é cuidado, não vigiado.
Em três anos, alguma rede vai liderar. A pergunta é se será a sua, ou aquela para quem você terá que olhar como referência.
Há uma janela. É curta. É real. Quem ler este eBook tem em mãos um mapa. O resto é coragem.
— Fim do Volume I
Criptografia que permite computar sobre dados cifrados sem decifrá-los.
Problema matemático base do FHE moderno.
Os três principais esquemas em uso prático.
Permite duas redes descobrirem clientes em comum sem revelar bases inteiras. Caso central para combate a fraude.
Evidência clínica derivada de dados de uso real. Mercado dominado por IQVIA, com espaço para entrante FHE-based.
Sistema Nacional de Gerenciamento de Produtos Controlados (Anvisa).
Artigo que classifica saúde como categoria especial de dado pessoal.
Conselho Federal de Farmácia — regulador da teleconsulta farmacêutica.
Principais bibliotecas FHE.
| Vendor | Foco |
|---|---|
| Tune Insight | Lattigo, foco em saúde e dado clínico |
| Owkin | FL+FHE para pesquisa clínica |
| Zama | Concrete, TFHE |
| Duality | OpenFHE, foco em saúde e finanças |
| Inpher | FHE+MPC híbrido |
| Stickybit | Boutique técnica brasileira em FHE/PQC |
O Balcão que Não Lembra
eBook estratégico para a alta gestão de grandes redes de farmácias.
Volume I · Edição 2026 · Distribuição confidencial.
Composto em Iowan Old Style e SF Pro.
— fim —