POLÍTICA DE PROTEÇÃO DE DADOS - PDPD

Introdução

A empresa preza pela privacidade e entende que se trata de um direito fundamental de todas as pessoas.

Compreende que, em todos seus processos de negócio que há tratamento de dados pessoais, essa informação passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a proteção de dados pessoais e afetar negativamente a privacidade dos seus titulares.

 

Por isso, por meio deste documento estabelece regras, compatíveis com os requisitos da legislação brasileira, além de boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para os dados pessoais tratados pela organização.

ESCOPO

A Política de Proteção de Dados possui o objetivo de descrever e orientar todos os membros da organização, bem como aqueles que tratam dados pessoais em seu nome, sobre como proceder com o tratamento de dados pessoais em conformidade com a LGPD e outras legislações a respeito do tema, bem como ao processo de resposta aos titulares, o tratamento de dados pessoais coletados pela empresa e procedimento de notificação de incidentes.

Esta política se aplica a qualquer operação de tratamento de dados pessoais realizada pela empresa para todas as dimensões e atividades, em todas as regiões onde operamos, nos casos em que:

I. A operação de tratamento seja realizada em território nacional brasileiro;

II. Tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

III. Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

PAPEIS E RESPONSABILIDADES:

É de responsabilidade de todos que trabalham com ou para a IMEX garantir o tratamento adequado e a segurança dos dados pessoais que trafegam no ambiente da empresa.

Destaca-se algumas áreas principais em relação ao tratamento de dados pessoais nas seguintes funções organizacionais:

3.1. Comitê Gestor de Proteção de Dados Pessoais – CGPDP:

A empresa possui um Comitê Gestor de Proteção de Dados – CGPD/Gestor de Proteção de Dados, contando com a participação de, pelo menos, um representante da diretoria e um membro sênior das seguintes áreas: Tecnologia da Informação, Jurídico e Encarregado de Proteção de Dados (Consultoria Externa).

É responsabilidade do Comitê:

· Analisar, revisar e aprovar políticas e normas relacionadas à proteção de dados pessoais;

· Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;

· Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS (PPDP) e a legislação vigente;

· Promover a divulgação da PPDP e tomar as ações necessárias para disseminar uma cultura de proteção de Dados Pessoais no ambiente corporativo.

3.2. Encarregado pelo tratamento de dados pessoais:

É responsabilidade do Encarregado pelo Tratamento de Dados Pessoais:

· Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;

· Receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias;

· Orientar os empregados, terceiros contratados e demais partes da IMEX a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

· Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados, definidas em normas complementares publicadas pelo referido órgão;

· Auxiliar o CGPDP em suas deliberações;

· Atuar junto ao time de TI no ajuste das normas e procedimentos de segurança da informação, necessários para se fazer cumprir as Políticas de Privacidade, Proteção de Dados e Segurança da Informação;

· Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;

· Tomar as ações cabíveis para se fazer cumprir os termos desta política;

· Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares.

3.3. Time de Resposta a Incidentes:

É responsabilidade do time de Resposta a Incidentes:

· Garantir que políticas, normas e procedimentos de Segurança da Informação sejam ajustados de forma a atender os requisitos da Política Geral de Proteção de Dados Pessoais;

· Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela autoridade nacional de proteção de dados pessoais.

· Realizar o tratamento de incidentes de segurança da informação que envolvam o tratamento de dados pessoais, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável.

· Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à autoridade nacional e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar risco ou dano relevante aos titulares.

3.4. Usuários da Informação:

São aqueles que manipularão os dados pessoais dentro da empresa. É responsabilidade dos Usuários da Informação:

· Ler, compreender e cumprir integralmente os termos da Política Geral de Proteção de Dados Pessoais, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis;

· Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre Proteção de Dados Pessoais, suas normas e procedimentos ao Encarregado pelo Tratamento de Dados Pessoais ou, quando pertinente, ao Comitê Gestor de Proteção de Dados Pessoais;

· Comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados pela IMEX;

· Assinar as políticas de Segurança da Informação, Proteção de Dados e o Código de Conduta da IMEX, formalizando a ciência e o aceite integral das disposições contidas, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

· Responder pela inobservância das regras da Política Geral de Proteção de Dados Pessoais, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.

3.5. Demais Responsabilidade:

O gerente de TI é responsável por:

· Garantir que todos os sistemas, serviços e equipamentos utilizados para armazenar dados pessoais atendam aos padrões de segurança aceitáveis.

· Realizar verificações e varreduras regulares para garantir que o hardware e o software de segurança estão funcionando corretamente com vistas à garantia da confidencialidade, da integridade e da disponibilidade dos dados pessoais.

 

O gerente de marketing é responsável por:

· Aprovar quaisquer declarações de proteção de dados anexadas à comunicação, como e-mails e cartas.

· Abordar quaisquer consultas de proteção de dados feitas por jornalistas ou meios de comunicação, como jornais.

· Quando necessário, trabalhar com o Encarregado de Dados para garantir que as iniciativas de marketing da Empresa cumpram os princípios de proteção de dados.

· Divulgar o informativo mensal ou demais comunicações referentes a conscientização sobre segurança da informação e proteção de dados.

· Revisão e atualização do Site, conforme diretrizes de proteção de dados;

 

O Gestor de Pessoas é responsável por:

· Melhorar a conscientização de todos os colaboradores a respeito da proteção de dados pessoais dos titulares de dados pessoais, internos e externos.

· Organizar treinamentos para melhorar os conhecimentos técnicos e aumentar a conscientização dos colaboradores que trabalham com dados pessoais.

· Proteger dados pessoais de colaboradores de ponta a ponta. Ele deve garantir que os dados pessoais dos colaboradores sejam tratados com base em finalidades comerciais legítimas e na necessidade do empregador.

4. DIRETRIZES:

A Presidência, Diretoria Executiva e o Comitê Gestor de Proteção de Dados Pessoais estão comprometidos com uma gestão efetiva da Proteção de Dados Pessoais.

Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização.

Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da IMEX.

A IMEX estabelece as seguintes diretrizes a serem seguidas:

a) Consentimento do Titular: Garantia ao titular da escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos em que a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular.

b) Conformidade legal: Garantia que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;

c) Transparência com titular: Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;

· Notificar titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;

· Garantir que, na ocorrência de uma violação de dados, todas as partes interessadas serão notificadas, conforme requisitos e prazos previstos na legislação vigente;

· Garantir a existência de um responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

d) Livre acesso: Sempre que necessário, fornecer ao titular explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;

· Fornecer aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes;

· Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de garantia, e que não exista nenhuma restrição legal a esse acesso ou a revisão dos dados pessoais;

· Seguir conforme Procedimento de Resposta ao Titular de Dados Pessoais da IMEX (item 5).

e) Necessidade e minimização: Limitar a coleta de dados pessoais estritamente ao que é permitido de acordo com a legislação vigente, e os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, onde possível, a coleta dos referidos dados pessoais.

· Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;

f) Armazenamento e descarte: Reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;

· Bloquear o acesso a dados pessoais e não realizar mais nenhum tratamento quando os propósitos declarados expirarem, mas a retenção dos dados pessoais for exigida pela legislação vigente;

· Seguir as diretrizes da Política de Descarte e Retenção de Dados da IMEX.

g) Qualidade dos dados: Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista uma base legal para manter dados desatualizados;

h) Controles de Segurança: Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para Dados Pessoais;

· Tratar integralmente violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;

i) Documentação: Disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: Empregados, terceiros contratados e, onde pertinente, clientes;

· Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando dados pessoais forem compartilhados com terceiros;

j) Conscientização: Garantir a educação e conscientização de empregados, terceiros contratados e, onde pertinente, parceiros e clientes, sobre as práticas de proteção de dados pessoais adotadas pela IMEX;

k) Atualização e manutenção: Melhorar continuamente a Gestão de Proteção de Dados Pessoais através da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização;

l) Não discriminação: Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.

4.1. Política de Privacidade e Aviso de Privacidade aos titulares:

A comunicação acerca do tratamento de dados pessoais realizado por nós deverá ser fornecida antes da coleta dos dados.
 
Deverá ser informado os tipos de dados pessoais coletados, as finalidades do tratamento, os métodos de tratamento, os direitos dos titulares de dados em relação aos seus dados pessoais, o período de retenção, possíveis transferências internacionais de dados, se os dados serão compartilhados com terceiros e as medidas de segurança da Empresa para proteger dados pessoais.
 
Essas informações são fornecidas por meio da Política de Privacidade ou um Aviso de Privacidade, que estarão no site da empresa (https://www.imexmedicalgroup.com.br/sobre/).
 
No caso em que os dados forem compartilhados com terceiros, a empresa deve garantir que os titulares de dados tenham sido notificados sobre isso.
 
Quando houver transferência internacional de dados pessoais, esta informação deve estar bem clara na Política ou Aviso de Privacidade, informando explicitamente para onde e para qual(is) entidade(s) os dados pessoais estão sendo transferidos.
 
Para a coleta de dados pessoais sensíveis, a Política ou Aviso de Privacidade deve indicar explicitamente a finalidade para a qual esses dados pessoais sensíveis estão sendo coletados.
 

4.2. Consentimento do Titular:

 
Quando o tratamento de dados pessoais for justificado apenas com base no consentimento do titular de dados, deverá ser mantido um registro da coleta desse consentimento para fins comprovatórios perante a Autoridade Nacional de Proteção de Dados Pessoais.
 
Esse também será o caso quando houver o tratamento de dados pessoais de uma criança menor de 16 anos, deve ser garantido que o consentimento dos pais ou responsáveis seja dado antes da coleta usando o Termo de Consentimento dos Pais.
 

4.3. Registro de Tratamento de Dados Pessoais:

A IMEX deverá manter em seu portifólio de políticas e procedimentos padrões, um mapeamento do fluxo de dados pessoais da empresa atualizado.
 
Este documento é obrigatório para conformidade com a LGPD e facilitará o gerenciamento do programa de governança em relação a proteção de dados pessoais, pois identificará:
 
· Processos de negócios que usam dados pessoais;
· Fonte de dados pessoais;
· Bases legais de tratamento;
· Medidas de Segurança;
· Quem possui acesso aos dados pessoais;
· Atividade de processamento;
· Mantém o inventário das categorias de dados dos dados pessoais processados;
· As finalidades para as quais cada categoria de dados pessoais é usada;
· Destinatários e potenciais destinatários dos dados pessoais;
· Principais sistemas e repositórios de armazenamento;
· Quaisquer transferências de dados; e
· Requisitos de retenção e descarte.
 
Quando um tipo de processamento, em particular usando novas tecnologias e levando em consideração a natureza, escopo, contexto e finalidades do processamento é susceptível de resultar em um alto risco para os direitos e liberdades das pessoas naturais, a IMEX, antes do processamento, efetuará um Relatório de Impacto das Operações de tratamento (RIPD) previstas na proteção dos dados pessoais. Um único Relatório de Impacto pode abordar um conjunto de operações de processamento semelhantes que apresentam altos riscos semelhantes.
 

4.4. Segurança e organização interna:

A IMEX conta com políticas e procedimentos que complementam este documento e o programa de governança ao tratamento de dados pessoais.
 
Assim, todos os colaboradores devem seguir também as diretrizes das nossas:
 
  • Política de Segurança da Informação: dita as regras de segurança mantidas dentro da empresa.
  • Política de Privacidade: dita como é realizado o tratamento de dados pessoais.
  • Política de Retenção e Descarte de Dados: Dita as regras de armazenamento e descarte de informações da empresa.
  • Procedimento de Resposta a Incidente de Segurança: dá as diretrizes de como proceder em casos de incidentes de segurança da informação.
  • Procedimento de Resposta a Solicitação do Titular de Dados: dá as diretrizes de como proceder em casos de solicitações dos titulares de dados pessoais.
  • Código de Conduta: dita as normas de conduta da empresa.
 
Além disso, todos os colaboradores celebram em seu contrato um acordo de confidencialidade e proteção e dados.
 

5. DO PROCEDIMENTO DE RESPOSTA AO TITULAR:

Possuímos um procedimento de resposta ao titular de dados pessoais, quando este nos requisitar algum de seus direitos previstos na legislação. Todas as solicitações devem ser redirecionadas para o e-mail epd@imexmedicalgroup.com.br e serão avaliadas individualmente acerca do cumprimento dos requisitos da LGPD.
 
As respostas atenderão os requisitos legais, bem como os segredos comerciais e industriais, se houver, com a finalidade de respeitar os preceitos das normas e leis pertinentes.
 

6. DIVULGAÇÃO DE DADOS PESSOAIS:

Podemos, no curso normal de nossos negócios e para fins de tratamento de dados, compartilhar os dados pessoais com o pessoal relevante dentro da empresa, ou com nossos colaboradores devidamente autorizados, contratados/subcontratados, para assegurar a consistência em nossas atividades de contratação, maximizamos a qualidade e a eficiência de nossos serviços e de nossas operações comerciais.
 
Também podemos ser obrigados a divulgar dados pessoais a autoridades reguladoras, tribunais e agências governamentais quando exigido por lei, regulamento ou processo legal, ou defender os interesses, direitos ou propriedade da IMEX MEDICAL GROUP a ou de terceiros relacionados.
 
Nesses casos, todas as relações deverão ser precedidas de contrato ou termos de confidencialidade de dados pessoais, autorizado pelo Jurídico e revisado pelo Encarregado de Proteção de Dados.
 
Caso contrário, não compartilharemos os dados pessoais com outras partes, a menos que haja uma solicitação do titular ou o mesmo nos tenha dado aprovação prévia para tal compartilhamento.
 

7. SANÇÕES E PUNIÇÕES:

As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de proteção de dados pessoais, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.
 
A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Proteção de Dados Pessoais, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o
 
CGPDP, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.
 
No caso de terceiros contratados ou prestadores de serviço, o CGPDP deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.
 
Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à IMEX, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos anteriormente neste item.
 

6. GLOSSÁRIO:

Anonimização

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Autoridade Nacional de Proteção de Dados Pessoais

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional brasileiro;

Bloqueio

Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Comitê Gestor de Proteção de Dados – CGPD

Grupo de trabalho multidisciplinar, que tem por finalidade tratar questões ligadas à Proteção de Dados Pessoais;

Consentimento

Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dado Anonimizado

Dado que passou pelo processo de anonimização, portanto não identifica um titular.

Dado Pessoal Sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado Pessoal

Informação que identifica ou possa identificar uma pessoa natural.

Eliminação

Exclusão de dado ou de conjunto de dados armazenados.

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Segurança da informação

A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações.

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento de dados 

Toda operação realizada com dados pessoais.

Usuário da informação

Colaboradores ou terceiros alocados na prestação de serviços, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da IMEX para o desempenho de suas atividades profissionais.

Violação de dados pessoais

Situação em que dados pessoais são processados violando um ou mais requisitos relevantes de proteção da privacidade.

7. DISPOSIÇÕES FINAIS:

As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de proteção de dados pessoais, não se esgotam em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos.

Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados.

Em caso de algum conflito com a Lei Geral de Proteção de Dados, esta prevalece sobre as regras dispostas nessa política.

Se você tiver dúvidas, poderá enviar um e-mail para o seguinte endereço de e-mail: epd@imexmedicalgroup.com.br.

Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Proteção de Dados Pessoais.

8. APROVAÇÃO DA POLÍTICA:

A Política Geral de Proteção de Dados Pessoais é aprovada pelo Comitê Gestor de Proteção de Dados Pessoais, em conjunto com a Diretoria.

A presente política foi aprovada no dia 28/12/2023.


ALIX TECNOLOGIA CORPORATIVA
Encarregado de Proteção de Dados
epd@imexmedicalgroup.com.br

IMEX MEDICAL GROUP
juridico@imexmedicalgroup.com.br