LLMO em farma: checklist de compliance e blindagem de reputação no Brasil

Por Patricia Gomes • 12 de novembro de 2025

De chatbots a assistentes de vendas, LLMs já conversam com pacientes e HCPs. Sem guardrails, eles sugerem uso off-label, capturam dados sensíveis e acionam o CONAR. Este checklist mostra como fazer LLMO com compliance no Brasil — mapeando riscos, rotinas técnicas e regras específicas para RX, OTC (MIP) e suplementos.

Escritório moderno com computador, documentos de compliance e gráficos em uma manhã suave. — A conformidade é essencial para a reputação no setor farmacêutico. Este checklist é um passo importante.

“Se o modelo acerta 99% e erra 1% num claim regulado, o estrago é de 100% na reputação.”

Antes de treinar: defina o escopo regulatório e a governança

Comece pelo básico: para quem o LLM fala (público geral vs. HCP), sobre o que fala (RX, OTC, suplementos) e com qual base legal trata dados. Sem isso, o projeto nasce torto. Estruture comitês com Jurídico/Regulatório, Farmacovigilância, Compliance e TI/IA — e dê poder real para travar releases.

Mapeie o arcabouço legal aplicável

Propaganda de medicamentos é regida pela Lei 9.294/1996 e pelo Decreto 2.018/1996, com a RDC 96/2008 como guia técnico-operacional. Em 14/08/2024, o STJ delimitou os poderes da ANVISA ao que está previsto em lei — registre o racional de aderência do seu produto a esse cenário. Para dados pessoais e sensíveis, aplique a LGPD (Lei 13.709/2018), com atenção redobrada ao art. 11 (dados de saúde). Considere ainda a autorregulação do CONAR (CBARP) e notas técnicas (por exemplo, a orientação de 01/07/2020 na COVID-19 sobre claims responsáveis).

Estabeleça governança e papéis

Nomeie DPO/LGPD, responsável técnico farmacêutico e um product owner de IA. Crie um fluxo único para aprovar conteúdo, alterar prompts e atualizar guardrails. Programe auditoria independente de compliance de IA a cada release (por exemplo, trimestral), com relatório assinado por Jurídico/Regulatório.

Micro-história — a “falha” que virou caso

Em 2024, uma rede do Nordeste lançou um bot para MIPs. O assistente passou a perguntar sintomas (“onde dói?”, “há quanto tempo?”) e gravar as respostas no log padrão. Sem base legal adequada, virou incidente LGPD e retratação pública. O conserto foi simples no código, caro na reputação.

Checklist técnico de LLMO: do design à operação segura

O objetivo é claro: evitar alegações proibidas, uso off-label, coleta indevida de dados e alucinações — com rastreabilidade ponta a ponta.

RAG regulatório com fontes controladas

Conecte o RAG a rótulos aprovados, bulas e Q&As validados pelo Regulatório. Em cada resposta, mostre versão e proveniência (carimbo de data/versão e nº de registro ANVISA, quando aplicável). Bloqueie geração aberta para indicação terapêutica; force respostas ancoradas em bula/rotulagem.

Classificadores de compliance em tempo real

Implemente um classificador de claims (detecção de indicação, superlativos proibidos e off-label) e filtros lexicais por RDC 96/2008/CONAR para termos como “experimente”, “tome”, “use”, “gostoso” e promoções do tipo “compre 3, pague 2”. Faça o gating de audiência: RX só para HCPs com validação (CRM/CRF/perfil); para público geral, retenha conteúdo técnico.

Injeção programática de avisos obrigatórios

Em MIP, injete automaticamente “SE PERSISTIREM OS SINTOMAS, O MÉDICO DEVERÁ SER CONSULTADO.” e nº de registro ou notificação simplificada. Em RX para HCPs, garanta identificação do produto, registro ANVISA, indicações aprovadas e referências científicas. Em suplementos, lembre que é alimento: nada de prometer prevenção/tratamento/cura.

Segurança, privacidade e minimização de dados

Adote coleta zero de dados sensíveis por padrão. Se inevitável, baseie-se no art. 11 da LGPD (ex.: tutela da saúde por serviço de saúde) ou em consentimento específico e destacado. Aplique pseudonimização, retenção mínima e ambientes segregados (produção vs. tuning). Mantenha logs imutáveis (WORM) de prompts/completions e avaliações — com acesso restrito e trilhas de auditoria.

Métricas de qualidade e risco

Defina taxa-alvo de alucinação por tipo de resposta regulada, com método e amostra auditáveis. Calcule um “compliance score” por resposta (checagem automática de campos/avisos) e publique um SLA de atualização do repositório regulatório (ex.: até 5 dias após mudança de bula).

Contraponto — quando não usar GenAI na ponta

Se o caso de uso depende de coletar sintomas para personalizar recomendação de produto, e você não opera como serviço de saúde nem tem base legal robusta, pare. Use FAQ estático validado, sem captura de dados. Menos brilhante, muito mais seguro.

“Sem dado datado e trilha de auditoria, IA vira palpite caro — e passivo”, como resumiu um gerente de CX.

Checklist jurídico-regulatório para conteúdos gerados por LLM

Converta normas em regras operacionais do produto — e escreva isso no playbook do time.

Publicidade de medicamentos: o que é permitido e o que é vedado

Para MIP, é possível comunicar ao público, com avisos e limites (RDC 96/2008). Para RX, é vedado ao público geral; foque em materiais técnicos para HCPs. Benefícios e promoções não se aplicam a medicamentos, inclusive MIP. Após o STJ/2024, alinhe estritamente à Lei 9.294/1996 e ao Decreto 2.018/1996; trate a RDC 96/2008 como guia operacional e registre o racional jurídico.

LGPD: bases legais e riscos

Dados de saúde exigem base do art. 11 (consentimento específico e destacado; ou hipóteses como tutela da saúde por serviços/autoridade de saúde). Eleve o escrutínio: saúde é sensível e alvo de coordenação regulatória. Faça RIPD/LIA para chatbots que processem sintomas, adesão e efeitos adversos — e atualize a cada major release.

CONAR e publicidade responsável

Siga veracidade, responsabilidade social e proteção a vulneráveis. Evite alegações não comprovadas; na COVID-19, o CONAR orientou contra claims categóricos de cura/prevenção sem aprovação. Tenha dossiê técnico pronto para defesa: bibliografia, bula/rotulagem e parecer regulatório.

Documentação e trilhas de auditoria

Registre prompt, versão do modelo, fontes citadas, checks de avisos e auditorias. Mantenha moderação humana para casos-limite (ex.: perguntas sobre uso off-label ou em populações especiais).

Checklist de reputação e gestão de crises

Planeje para o pior dia — antes de ele acontecer.

Controles de “kill switch” e rollback

Tenha um botão de pausa por canal (site, WhatsApp, app) e rollback de modelo/prompt em 1 clique. Deixe pronta a mensagem de contingência, aprovada com Jurídico e PR. É a diferença entre tropeço e tombo.

Monitoramento e detecção precoce

Ative alertas para picos de menções negativas e tickets sobre recomendações de uso. Revise diariamente 100% das respostas com “compliance score” abaixo do limiar definido.

Playbook de crise

Mapeie cenários: promoção indevida de RX, coleta indevida de dados, alegação proibida em suplemento. Defina porta-vozes, FAQs e prazos: interno em 2h; resposta pública/CONAR em 24–48h (conforme política). Em 2025, um post automatizado com “experimente” para MIP virou representação no CONAR; a empresa pausou o canal em 1h, publicou retratação com base na RDC 96/2008 e reabriu em 48h após recalibrar o classificador lexical.

Checklist por categoria: RX, OTC (MIP) e suplementos — regras e rotulagem

Regras separadas, com marcação obrigatória e referências. Aqui, economizar uma linha sai caro.

RX — medicamentos sob prescrição

Público-alvo: exclusivamente HCPs (gating obrigatório por CRM/validação de perfil).
Proibido: publicidade ao público geral.
Marcação obrigatória em materiais técnicos a HCPs: identificação do produto, nº de registro ANVISA, indicações aprovadas e fontes científicas.
Guardrails de LLM: bloqueio de respostas a leigos; detector de off-label e de superlativos promocionais.
Referências normativas: Lei 9.294/1996; Decreto 2.018/1996; RDC 96/2008 (parâmetros operacionais); decisão do STJ de 14/08/2024 (limites normativos).

OTC (MIP) — medicamentos isentos de prescrição

Permitido: divulgação ao público, com restrições claras.
Marcação obrigatória em toda peça/resposta do LLM:
Nº de registro ANVISA ou frase de notificação simplificada.
Indicação terapêutica autorizada.
Frase: “SE PERSISTIREM OS SINTOMAS, O MÉDICO DEVERÁ SER CONSULTADO.”
Advertências específicas quando aplicável (ex.: sonolência).
Proibido: “compre 3, pague 2”, “experimente”, “tome/use”, listas de preço com frases promocionais.
Referências normativas: RDC 96/2008; Lei 9.294/1996; Decreto 2.018/1996.

Suplementos alimentares

Natureza jurídica: alimento, não medicamento.
Proibido: alegar prevenção, tratamento ou cura; atribuir propriedade farmacológica; claims sem comprovação.
Marcação recomendada: “Produto para uso em alimentação; não é medicamento.” e direcionamento à rotulagem aprovada.
Guardrails de LLM: bloqueio de termos terapêuticos; exigência de fonte para alegações funcionais; checagem automática contra base de claims aprovados.
Referências normativas: Código CONAR (Anexo de alimentos) e orientação de 01/07/2020 para evitar claims de cura/prevenção sem aprovação; Lei 9.294/1996 quando houver interseção terapêutica.

Observações transversais de rotulagem e vendas

Programas de fidelidade e incentivos não se aplicam a medicamentos, inclusive MIP (RDC 96/2008). Sempre que o LLM mencionar um medicamento, injete automaticamente o nº de registro ANVISA. Justifique investimento em compliance com decisões recentes e feche o ciclo com auditorias documentadas.

Exemplo prático — operação no e-commerce

Num e-commerce do Sul, o bot recebe: “esse analgésico MIP serve para dor muscular?”. A resposta injeta o princípio ativo, nº de registro ANVISA, indicação aprovada e a frase obrigatória. Se o usuário pergunta “posso tomar 3 de uma vez?”, o classificador aciona alerta, troca para mensagem segura (“siga a bula e a orientação médica”) e oferece link para a bula.

Fechamento operacional

Go-live: validação jurídica final, teste de 200 prompts críticos por categoria, treinamento de SAC e PR.
Melhoria contínua: revisão mensal do repositório RAG (bula/rotulagem), recalibração dos classificadores e atualização das listas de termos proibidos.

Datas-chave

14/08/2024 — decisão do STJ sobre limites normativos da ANVISA (divulgada em 26/08).
12/11/2025 — data desta publicação.

Fontes

Resolução-rdc nº 96, de 17 de dezembro de 2008

Resolução nº 96, de 17 de dezembro de 2008

Para Primeira Turma, Anvisa extrapolou sua competência ao criar regras sobre propaganda de remédios

RDC 96/2008: regras para propaganda de medicamentos

A potencial reviravolta das regras de publicidade e propaganda de medicamentos no Brasil

Lei nº 13.709, de 14 de agosto de 2018 (LGPD)

Lei nº 9.294, de 15 de julho de 1996

Decreto nº 2.018, de 1º de outubro de 1996

Código Brasileiro de Autorregulamentação Publicitária (CONAR/CBARP)