Ir al contenido
canna-br

RDC 1.014/2026 en la práctica: qué cambia para las asociaciones de cannabis

Gabriel Fonseca
Fundador · canna-br

Aviso legal: este post es informativo y no reemplaza la orientación jurídica. Cada asociación tiene una situación específica. Consulte a un abogado especializado antes de tomar decisiones con base en este contenido.

Durante casi veinte años, las asociaciones de cannabis medicinal en Brasil operaron bajo un régimen jurídico improvisado: Habeas Corpus colectivo concedido por el poder judicial local, renovado periódicamente, sin uniformidad nacional y sin fiscalización administrativa clara.

Eso cambió con la RDC 1.014/2026.

Qué es la RDC 1.014

Sección titulada «Qué es la RDC 1.014»

La Resolución de la Junta Colegiada 1.014/2026 de la ANVISA creó el primer “sandbox regulatorio” formal para asociaciones de pacientes de cannabis medicinal en Brasil. Vigencia: 4 de agosto de 2026.

Lo que hace, en la práctica:

  • Crea un régimen de autorización administrativa para las asociaciones aprobadas en el sandbox
  • Transfiere la fiscalización primaria del poder judicial a la ANVISA
  • Establece un conjunto de obligaciones operacionales que las asociaciones deben cumplir para mantener la autorización

Antes de la RDC, la protección era judicial — cada asociación negociaba su HC con el poder judicial local. Con la RDC, existe un camino administrativo, pero viene con requisitos concretos.

Lo que sigue igual

Sección titulada «Lo que sigue igual»

Las asociaciones que no soliciten el sandbox continúan en el régimen anterior: HC colectivo, riesgo penal para los directores, fiscalización indirecta. La RDC no deroga el régimen anterior — crea una alternativa. Para quienes están en el sandbox, la lógica cambia completamente.

Tampoco cambia lo siguiente: el cannabis sigue siendo una sustancia controlada. La regulación autoriza la operación dentro de reglas específicas; no descriminaliza en sentido amplio.

Qué cambia para quienes entran en el sandbox

Sección titulada «Qué cambia para quienes entran en el sandbox»

Fiscalización directa. La ANVISA pasa a ser la autoridad fiscalizadora. Eso significa visitas de inspección, auditorías documentales y la posibilidad de suspensión o cancelación de la autorización por incumplimiento.

Prohibiciones absolutas que deben estar en el sistema:

ProhibiciónQué significa operacionalmente
Comercialización vedadaNinguna transacción financiera por el producto cannabis en sí
Solo para socios registradosDispensación restringida al cuadro asociativo activo
Sin fines de lucroTodos los ingresos van a operación e investigación; prohibida la distribución de resultados
Publicidad prohibidaSin material de difusión de productos o servicios

Trazabilidad obligatoria. La RDC exige que toda dispensación, transferencia y evento de producto sea registrado y verificable. Eso incluye la cadena completa: de dónde vino el insumo, qué lote, qué COA (Certificate of Analysis), quién recibió, en qué cantidad, con base en qué prescripción vigente.

SNGPC. El Sistema Nacional de Gerenciamento de Produtos Controlados — hoy usado por farmacias para registrar la dispensación de sustancias controladas — pasa a ser requisito para las asociaciones en el sandbox. Las asociaciones necesitan enviar registros periódicos de dispensación en el formato ANVISA.

RBAC con segregación de funciones. La RDC implica que los diferentes roles dentro de la asociación (director, responsable técnico farmacéutico, cultivador, dispensador) deben estar claramente definidos en el sistema, con log de quién hizo qué. No basta separar en la práctica — debe estar en el registro.

LGPD aplicada a datos sensibles de salud. Los datos de los socios (diagnóstico, prescripción, dosificación, historial de uso) son datos sensibles según los términos de la LGPD (Art. 5 II). Eso exige: consentimiento explícito, control de acceso restringido, posibilidad de eliminación efectiva (Art. 18 IV) y — para quienes usan un sistema externo — contratos de procesamiento con el proveedor.

Por qué las planillas ya no sirven

Sección titulada «Por qué las planillas ya no sirven»

Las asociaciones que operan con Google Sheets, WhatsApp y planillas paralelas están ante un riesgo creciente por una razón simple: esos sistemas no producen una pista de auditoría verificable.

Cuando el fiscal de la ANVISA pide el historial de dispensaciones del lote LT-001, la respuesta no puede ser “déjame buscar en los registros”. Debe ser: aquí está el evento con timestamp, hash, responsable, cantidad, vínculo con la prescripción del paciente, deducción del inventario correspondiente.

Una planilla no tiene idempotencia. Puede ser editada retroactivamente. No tiene hash de verificación. No tiene RBAC. En una auditoría, la ausencia de esas propiedades es un problema que ninguna justificación resuelve.

Lo que debe estar en orden

Sección titulada «Lo que debe estar en orden»

Para una asociación que quiera entrar en el sandbox o prepararse para la fiscalización administrativa, el checklist operacional mínimo es:

  • Registro de socios con consentimiento LGPD documentado, datos de salud segregados
  • Trazabilidad de lotes desde el insumo hasta la dispensación final
  • Registro de dispensaciones con vínculo a prescripción vigente, cantidad, lote, dispensador
  • Control de cuotas — cada socio tiene un límite prescrito; el sistema debe validarlo antes de registrar la dispensación
  • SNGPC — capacidad de generar y enviar informes en el formato ANVISA
  • Audit trail inmutable — historial que no puede ser editado retroactivamente
  • RBAC — cada usuario solo hace lo que su rol permite; todo registrado

Eso es exactamente lo que entrega canna-br, construido con la RDC como referencia desde el inicio.

Responsabilidad personal de los directores

Sección titulada «Responsabilidad personal de los directores»

Un punto que no aparece en el texto de la resolución pero que cualquier abogado especializado mencionará: la RDC no elimina la responsabilidad personal de los directores de la asociación.

En caso de filtración de datos de salud de los socios, la LGPD impone responsabilidad civil y, en algunos casos, penal. En caso de irregularidad operacional grave, el HC colectivo puede ser impugnado. La autorización administrativa del sandbox no es un escudo para ningún tipo de irregularidad.

Usar un sistema que puede ser auditado públicamente — donde el código que procesa los datos de los socios es abierto y verificable — es una forma concreta de reducir ese riesgo personal. La directiva puede mostrar, a cualquier abogado o auditor, exactamente qué hace el sistema con los datos.

Lo que canna-br está construyendo ahora

Sección titulada «Lo que canna-br está construyendo ahora»

El sistema está en v0.2.1 con 154 tests pasando. Los módulos de dispensación, trazabilidad de lotes y control de cuotas están implementados. El SNGPC está en mock — el schema XSD específico para asociaciones todavía no fue publicado por la ANVISA, pero la arquitectura está lista para integración cuando salga el documento.

El piloto está siendo estructurado con asociaciones que quieran construir ese estándar desde el inicio — no adaptar un sistema genérico después de que llegue la fiscalización.

Si tu asociación está evaluando cómo prepararse para el nuevo régimen regulatorio, ponte en contacto o consulta la documentación técnica de compliance en /es/build/compliance/.

Traducción automática v1 — versión en español generada por LLM, pulido humano en curso. Reporta errores a gabriel@devmagic.com.br.

Tags: