1. CONTEXTUALIZAÇÃO
O HOSPITAL ALBERT SABIN, consciente de que na condução de suas atividades operacionais realiza diversas operações de tratamento de dados pessoais e diante da importância e da necessidade de adequar essas operações à LGPD – LEI GERAL DE PROTEÇÃO DE DADOS, estabelece por meio desta POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS regras, orientações e condições para que os dados pessoais possam ser tratados e protegidos, buscando sempre o melhor interesse dos titulares dos dados pessoais.
Além da LGPD, pela sua atividade na área da saúde, o HOSPITAL ALBERT SABIN deve atender também à diversas outras obrigações legais e regulatórias previstas e voltadas às instituições de saúde, as quais, inclusive, possuem conexão direta com a proteção de dados pessoais, tais como a necessidade de guarda de prontuários médicos e registros de atendimentos.
É certo que o HOSPITAL ALBERT SABIN é detentor de um grande volume de dados pessoais comuns e dados pessoais sensíveis e, de acordo com as definições da LGPD e das regulamentações da ANPD – Autoridade Nacional de Proteção de Dados, dependendo da situação, o Hospital Albert Sabin pode ser classificado como Controlador de Dados Pessoais, Operador de Dados Pessoais, Controlador conjunto de Dados Pessoais. Outrossim, estando em qualquer das classificações, não há dúvidas de que o HOSPITAL ALBERT SABIN deve sempre zelar pelo cumprimento das regras de privacidade e proteção de dados pessoais.
Desta forma, esta Política se insere em um cenário de respeito ao titular de dados pessoais, de prevenção à incidentes e de cumprimento às normas e princípios da LGPD.
2. DEFINIÇÕES
ASHM: Albert Sabin Hospital e Maternidade Ltda. – CNPJ n. 04.275.687/0001-29
UNIDADES ASHM: São as áreas do ASHM que compõem as seguintes estruturas: Hospital, Pronto Socorro e Ambulatório Médico localizados à Rua da Bahia, nº 342 – Bairro Recreio Estoril, Atibaia/SP; Ambulatório Médico localizado à Rua da Madeira, nº 35, Bairro Recreio Estoril, Atibaia/SP; Ambulatório Médico localizado à Alameda Lucas Nogueira Garcez, n. 805, Bairro Estância Lynce, Atibaia/SP; Ambulatório de Especialidades, localizado à Rua Pedro Cerbino, nº 77 no Bairro Atibaia Jardim em Atibaia/SP.
LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD”): Lei nº 13.709/2018 que dispõe sobre o tratamento de dados pessoais.
TITULAR DE DADOS PESSOAIS (“TITULAR”): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento pelo ASHM.
DADOS PESSOAIS: Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.
DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.
CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.
TRATAMENTO DE DADOS PESSOAIS (“TRATAMENTO”): Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.
ENCARREGADO DE PROTEÇÃO DE DADOS: Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. Será responsável pela implementação do Programa de Conformidade às leis de proteção de dados pessoais e condução das atividades relacionadas.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”): Órgão da administração pública Federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional.
FORNECEDORES: são considerados fornecedores os outros terceiros contratados e subcontratados, pessoa física ou jurídica, não enquadrados como parceiros comerciais.
PARCEIROS COMERCIAIS: são considerados parceiros comerciais os terceiros contratados pelo ASHM, sejam eles pessoa física ou jurídica.
TERCEIRO: É toda pessoa física ou jurídica contratada pelo ASHM para desenvolver ou auxiliar no desenvolvimento de suas atividades, tanto na qualidade de fornecedores de bens ou serviços, como de parceiros comerciais.
CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica.
ANONIMIZAÇÃO: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.
ELIMINAÇÃO: exclusão de dado ou conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro ou organismo internacional.
3. ESCOPO DA POLÍTICA DE PRIVACIDADE
A presente Política de Privacidade visa auxiliar todos os colaboradores, médicos, visitantes, pacientes, acompanhantes, terceiros, fornecedores ou qualquer outra pessoa física que tenham relacionamento com o Hospital Albert Sabin a compreender sobre a coleta, uso, armazenamento, tratamento e descarte de dados pessoais comuns e sensíveis, no âmbito das diretrizes da Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, entre outras normas relacionadas à atividade.
4. DESTINATÁRIOS
Esta Política se aplica e é obrigatória a todos os destinatários abaixo relacionados:
aos empregados/colaboradores, médicos e outros profissionais do ASHM;
a todos os terceiros, prestadores de serviços, fornecedores e parceiros de negócio do ASHM;
pacientes, visitantes e acompanhantes;
aos agentes de tratamento de dados pessoais externos que de qualquer forma se relacionem com o ASHM;
aos titulares de dados pessoais, cujos dados são tratados pelo ASHM.
5. APLICABILIDADE
Esta Política estabelece diretrizes e regras para garantir que seus destinatários entendam e cumpram as legislações que versam sobre proteção de dados pessoais em todas as interações com atuais e futuros titulares de dados pessoais, terceiros e agentes de tratamento de dados pessoais externos no âmbito de suas atividades, incluindo todos os dados tratados em nome do ASHM, por qualquer meio, seja físico (papel), eletrônicos/digital (computador e demais equipamentos) ou pessoal.
6. OBJETIVOS
São objetivos da Política de Privacidade e Proteção de Dados Pessoais:
– Estabelecer as diretrizes e responsabilidades do ASHM que assegurem e reforcem o seu compromisso com o cumprimento das legislações de proteção de dados pessoais aplicáveis;
– Descrever as regras a serem seguidas na condução das atividades e operações de tratamento de dados pessoais realizadas;
– Garantir a conformidade do ASHM com as legislações de proteção de dados pessoais aplicáveis;
A presente Política deve ser lida em conjunto com as obrigações previstas nos documentos abaixo relacionados, que versam sobre informações em geral, e a complementam quando aplicável:
Contratos de trabalho dos empregados do ASHM;
Termos que dispõem sobre obrigações de confidencialidade em relação às informações e dados pessoais;
Políticas e normas de procedimentos de segurança da informação, bem como termos e condições de uso;
Regulamentos e normas internas a respeito da proteção de dados pessoais que vierem a ser elaboradas e atualizadas.
7. PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
O ASHM cumprirá com os seguintes princípios de proteção de dados pessoais quando do tratamento de dados pessoais:
FINALIDADE: realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
ADEQUAÇÃO: realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
NECESSIDADE: o tratamento de dados pessoais realizado será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
LIVRE ACESSO: será garantido aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
QUALIDADE DOS DADOS: será garantido aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
TRANSPARÊNCIA: será garantido aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
SEGURANÇA: deverão ser utilizados medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
PREVENÇÃO: serão adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
NÃO DISCRIMINAÇÃO: serão garantidos a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: serão adotadas medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
8. BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
Todas as operações de tratamento de dados pessoais no âmbito das atividades conduzidas pelo ASHM terão uma base legal que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.
O ASHM realizará a avaliação periódica das finalidades de suas operações de tratamento, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais, e o legítimo interesse da Instituição.
A realização de operações de tratamento de dados pessoais pelo ASHM poderá ser realizada:
Mediante o fornecimento de consentimento pelo titular de dados pessoais;
Para o cumprimento de obrigação legal ou regulatória;
Para a realização de estudos por órgão de pesquisa;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular de dados pessoais;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Quando necessário para atender aos interesses legítimos do ASHM ou de terceiros;
Para a proteção do crédito.
O ASHM realizará registros de suas operações de tratamento a partir de categorias de tratamento, cada uma delas descritas a partir de sua(s) finalidade(s), servindo de auxílio e suporte para a sua avaliação periódica, podendo ser consultados por autoridades públicas competentes para o acesso e retenção dos dados em seu nome, resguardados os direitos do titular de dados pessoais.
9. BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS
O tratamento de dados pessoais sensíveis representa riscos mais altos ao titular de dados pessoais e por esta razão o ASHM assume o compromisso de resguardo e cuidados especiais.
Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, mas também estarão sujeitos às disposições próprias previstas na LGPD.
O tratamento de dados pessoais sensíveis pelo ASHM somente poderão ser realizados quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas ou, sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:
(i) O cumprimento de obrigação legal ou regulatória pelo ASHM;
(ii) Execução de contrato ou de procedimentos preliminares relacionados a contrato;
(iii) O exercício regular de direitos e em processo judicial, administrativo e arbitral;
(iv) Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
(v) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
(vi) Para a proteção de crédito e para prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
10. DIREITOS DOS TITULARES DE DADOS PESSOAIS
O ASHM no contexto das suas atividades de tratamento de dados pessoais, reforça o seu compromisso de respeito aos direitos dos titulares de dados pessoais, quais sejam:
DIREITO À CONFIRMAÇÃO DA EXISTÊNCIA DO TRATAMENTO: o titular de dados pessoais pode questionar ao ASHM se há a realização de operações de tratamento relativos a dados pessoais seus;
DIREITO DE ACESSO: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados;
DIREITO DE CORREÇÃO: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
DIREITO DE ELIMINAÇÃO: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pelo ASHM, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados ou estudo por órgão de pesquisa. Na hipótese de eliminação, o ASHM se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados;
DIREITO DE SOLICITAR A SUSPENSÃO DE TRATAMENTO ILÍCITO DE DADOS PESSOAIS: a qualquer momento, o titular de dados pessoais poderá requisitar a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.
DIREITO DE OPOSIÇÃO: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar sua oposição, que será analisada a partir dos critérios presentes na LGPD.
DIREITO À PORTABILIDADE DOS DADOS: o titular de dados pessoais poderá requisitar que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e de serviços do ASHM, bem como os limites técnicos de sua infraestrutura.
DIREITO À REVOGAÇÃO DO CONSENTIMENTO: o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da revogação. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços. Sendo este o caso, o titular de dados pessoais será informado. O ASHM também informará sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
11. DADOS QUE COLETAMOS
Os dados pessoais são coletados de acordo com a condição de interação do Titular com o ASHM e poderão ser recolhidos diretamente ou por intermediários, seja no momento do agendamento e da realização de consultas, exames, procedimentos, no atendimento médico ou no atendimento administrativo (ouvidoria, solicitação de documentos) seja no uso de plataformas, seja na formalização de termos e contratos, seja no ato de pagamento e na consulta junto aos órgãos de proteção ao crédito, emissão de notas ou interação (negativas/autorizações) com convênios/seguradoras. Nessas situações, poderão ser solicitados os seguintes dados:
DADOS BIOGRÁFICOS: Nome, Nome Social, Sexo, Estado Civil, Nome da Mãe, Profissão, Nacionalidade, Naturalidade, Data de Nascimento, Nome do Representante Legal, Local/Empresa onde trabalha, informações sobre filhos e dependentes.
DADOS CADASTRAIS: CPF, RG, Cartão Nacional de Saúde, PIS, Carteira Nacional de Habilitação, Número de Registro Profissional junto aos órgãos de classe ou assemelhados, inscrição de INSS e FGTS, Número de Certidões, Número de atendimento.
DADOS DE LOCALIZAÇÃO: Endereço Residencial, Código Postal, Bairro, Cidade, Estado, País
DADOS DE CONTATO: Telefone Celular, Telefone Fixo, Telefone Comercial, Número Whatsapp, endereço eletrônico (e-mail).
DADOS DE AUTENTICAÇÃO: Nome de usuário, senha, log de acesso, IP da máquina, local de acesso, provedor, dispositivo.
DADOS DE REGISTROS: informações obtidas dos Titulares em decorrência das interações com o ASHM, podendo ser registros eletrônicos, físicos, áudios, vídeos e imagens.
DADOS FINANCEIROS: Número/Validade e Código de Cartão de Crédito/Débito, Chave PIX, Dados de Cheque.
DADOS SENSÍVEIS DE SAÚDE: Informações sobre as suas condições de saúde, exames clínicos, diagnósticos, exames complementares, encaminhamentos, alertas de doenças (diabetes, hipertensão etc.), grupo sanguíneo, prescrição de medicamentos, antecedentes pessoais e familiares de doenças e de ambiente social, consultas e procedimentos e suas respectivas especialidades e indicações;
OUTROS DADOS SENSÍVEIS: Dados genéticos, dados de origem racial ou étnica, dados relativos à vida e orientação sexual, dados biométricos (usados para fins de identificação inequívoca), dados relacionados à convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados relacionados à infrações ou condenações penais.
12. SOBRE O TRATAMENTO DE DADOS PESSOAIS
Para garantir o atendimento aos princípios da lei, o ASHM deverá manter a organização das atividades e processos de maneira a identificar os dados coletados, a base legal, finalidade e adequação ao ciclo de vida dos dados.
A utilização de todo e qualquer website e/ou aplicativos desenvolvidos em nome do ASHM não implica necessariamente na disponibilização de dados pessoais. No entanto, se o usuário contatar o ASHM para qualquer tipo de solicitação, seus dados poderão ser solicitados.
Quando o dado coletado for de menores de idade, deverá ser dado o consentimento inequívoco e informado de um dos pais/responsável legal e referidos dados serão protegidos e atenderão à necessidade de privacidade da criança.
Em atendimentos presenciais, para dar entrada a solicitações e atendimentos, será necessário, igualmente, o fornecimento de dados pessoais, que serão coletados por um atendente responsável, que realizará o registro das informações em sistema cadastral, registrando, ainda, se necessário, o consentimento, ressalvado que os dados pessoais solicitados devem ser informados para que seja possível dar sequência ao pedido ou atendimento.
Os dados pessoais coletados, incluindo aqueles direta ou indiretamente relacionados à saúde, serão tratados para efeito de prestação de cuidados integrados de saúde, incluindo gestão dos sistemas e demais serviços, auditoria e melhoria contínua, podendo ser relacionados com os dados das demais UNIDADES do ASHM que possuam o mesmo objetivo.
O ASHM poderá, ainda, tratar dados pessoais coletados para efeito das finalidades previstas no item 9 desta Política inclusive para procedimentos realizados por profissionais da saúde e serviços de saúde, comunicações relevantes para a promoção da sua saúde, pesquisas de satisfação para melhoria de serviços, dentre outros.
13. DEVERES PARA O USO ADEQUADO DE DADOS PESSOAIS
Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de seus trabalhos e atividades no ASHM.
DEVERES ESPECÍFICOS DOS TITULARES DE DADOS PESSOAIS: Incumbe aos titulares de dados pessoais comunicar ao ASHM sobre quaisquer modificações em seus dados pessoais (e.g. mudança de endereço). Esta comunicação poderá se dar por meio de plataforma eletrônica/digital com a qual o titular se relaciona com o ASHM; (ii) Por e-mail endereçado ao responsável com o qual o titular se relaciona no ASHM; (iii) Por e-mail ou carta endereçada diretamente ao ENCARREGADO DE PROTEÇÃO DE DADOS, quando nomeado;
DEVERES DOS EMPREGADOS DO ASHM, AGENTES DE TRATAMENTO DE DADOS PESSOAIS E TERCEIROS:
Não disponibilizar nem garantir acesso aos dados pessoais mantidos pelo ASHM para quaisquer pessoas não autorizadas ou competentes de acordo com as normas internas.
Cumprir as normas, políticas e recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação do ASHM.
DEVERES DE TODOS OS DESTINATÁRIOS DESTA POLÍTICA: Todos os destinatários desta Política têm o dever de contatar o ENCARREGADO DE PROTEÇÃO DE DADOS nomeado pelo ASHM, quando da suspeita ou da ocorrência efetiva das seguintes ações:
Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
Tratamento de dados pessoais sem a autorização do ASHM no escopo das atividades que desenvolve;
Operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação;
Eliminação ou destruição não autorizada pelo ASHM de dados pessoais de plataformas digitais ou acervos físicos
Qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados.
14. DO COMPARTILHAMENTO DE DADOS ENTRE AS UNIDADES DO ASHM
O compartilhamento de dados pessoais de titulares de dados pessoais entre as Unidades do ASHM é permitido, desde que respeitada a sua finalidade e base legal, observado o princípio da necessidade, ficando o tratamento de dados pessoais sempre adstrito ao desenvolvimento de atividades autorizadas.
15. DO COMPARTILHAMENTO DE DADOS PESSOAIS A TERCEIROS
Conforme descrito na presente Política de Privacidade, por ocasião da prestação de serviços de atendimento médico e hospitalar, poderá haver transmissão de dados pessoais comuns e sensíveis pelo ASHM a terceiros, inclusive com o acesso, por esses terceiros, de prontuário médico, exames, diagnóstico e tratamento de pacientes. Além disso, poderão ser compartilhados dados e informações à agentes de suporte dos sistemas informatizados, à fornecedores de equipamentos médicos, de prestadores de serviços médicos, de exames e procedimentos, à operadoras de planos de saúde e seguradoras, bem como à empresas de auditoria, de consultoria e de sociedades de advogados, do SAME (responsável pela guarda e arquivamento de documentos físicos).
Assim, qualquer empresa de subcontratante do ASHM tratará os dados pessoais comuns e sensíveis de pacientes, visitantes e acompanhantes, na estrita obrigação de seguir as diretrizes desta Política de Proteção e Privacidade de Dados, inclusive no tocante às garantias para execução de medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos da lei aplicável e assegure a segurança e proteção dos direitos dos titulares dos dados.
O ASHM poderá, ainda, transmitir, dados pessoais comuns e sensíveis a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas à luz das normas e leis aplicáveis, no cumprimento de obrigações jurídicas e contratuais, nas transferências inter-hospitalares, para atender às solicitações de autoridades públicas, governamentais, judiciais, administrativas e/ou policiais ou, ainda, para efeito de certificação, avaliação e medição dos níveis de serviços.
16. PROGRAMA DE CONFORMIDADE ÀS LEIS DE PROTEÇÃO DE DADOS PESSOAIS
O Programa de Conformidade da LGPD visa a garantir o compromisso do ASHM em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados com as seguintes ações com envolvimento do Comitê Gestor de Privacidade e Proteção de Dados do ASHM:
ü Produção e disseminação de informações, independente do formato, que descrevam as responsabilidades individuais dos destinatários desta Política no âmbito da privacidade e proteção de dados pessoais;
ü Fornecimento de treinamentos, orientações e aconselhamentos para os empregados do ASHM e terceiros, incluindo, mas não se limitando a cursos online, workshops, reuniões internas, conversas regulares, palestras, dentre outras iniciativas;
ü Incorporação de preocupações e cuidados no tratamento de dados pessoais em todas as etapas de suas atividades, incluindo, mas não se limitando às rotinas administrativas e prestação de serviços.
ü Identificação e aprofundamento da avaliação dos riscos que podem comprometer a área de privacidade e proteção de dados pessoais;
ü Definir, criar e implementar planos de ação e políticas para mitigar os riscos identificados;
ü Manter uma avaliação contínua dos cenários com vistas a avaliar se as medidas implementadas não requerem novas diretrizes e ações.
17. DO ENCARREGADO DE PROTEÇÃO DE DADOS (DPO – Data Protection Officer)
A pessoa nomeada como ENCARREGADO DE PROTEÇÃO DE DADOS DO ASHM deverá:
ü Conduzir o Programa de Conformidade da LGPD, zelando pela sua fiscalização e eficácia;
ü Monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis, de acordo com as políticas internas;
ü Orientar os destinatários desta Política quanto ao regime de privacidade e proteção de dados pessoais do ASHM;
ü Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas do ASHM;
ü Organizar treinamentos sobre proteção de dados pessoais;
ü Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes (e.g. Ministério Público, Autoridade Nacional de Proteção de Dados Pessoais etc.);
ü Responder às solicitações e reclamações de titulares de dados pessoais;
ü Auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo proteção de dados;
ü Elaborar os relatórios de impacto à privacidade e proteção de dados, pareceres técnicos e revisão de documentos no que se refere à proteção de dados.
18. SEGURANÇA DA INFORMAÇÃO
As normas de segurança da informação e prevenção contra incidentes de dados pessoais estão contidas na Política de Segurança da Informação do ASHM e nas normativas internas e documentos correlatos ao tema.
O ASHM reforça o compromisso consubstanciado em sua Política de Segurança da Informação em empregar medidas técnicas e organizacionais adequadas no trato com dados pessoais, e envidar esforços para proteção dos dados pessoais dos titulares de dados pessoais contra acessos não autorizados, perda, destruição, compartilhamento não autorizado, entre outras hipóteses.
19. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
Nas hipóteses em que o ASHM for autorizado a tratar dados pessoais independentemente do consentimento do titular de dados, o ASHM poderá transferir dados pessoais para outros países desde que, alternativamente: (i) O país seja classificado como tendo um nível adequado de proteção de dados atribuído pela ANPD ou a transferência seja autorizada pela ANPD; (ii) O agente de tratamento de dados pessoais internacional ofereça pelo menos uma das salvaguardas abaixo: Códigos de Conduta regularmente emitidos ou Cláusulas Contratuais Padrão emitidas pela ANPD; Selos e Certificados de conformidade ou adequação à proteção de dados pessoais concedidos por entidades reconhecidas pela ANPD;
Caso o País não tem nível adequado de proteção de dados reconhecido ou que não há salvaguardas da conformidade do agente de tratamento, caberá ao ASHM obter consentimento explícito e destacado dos titulares de dados pessoais, com informação sobre o caráter internacional da operação.
20. TREINAMENTO
Os destinatários desta Política se comprometem a participar dos treinamentos, workshops, encontros e capacitações propostos pelo ASHM ou a quem este indicar, para a ampliação da cultura de proteção de dados pessoais na empresa.
21. MONITORAMENTO
O ASHM reconhece o seu compromisso em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados, comprometendo-se a criar e manter seu Programa de Conformidade da LGPD atualizado com as normas e recomendações emitidas pela ANPD ou outras autoridades competentes.
O ASHM assume o compromisso de revisitar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso permanente da empresa com a privacidade e a proteção de dados pessoais.
22. Sanções e Punições
a) As normas estabelecidas nesta política devem ser consideradas para todos os seus destinatários e devem ser integralmente cumpridas e respeitadas, pois a sua infração pode gerar impacto negativo sobre a organização e reputação da empresa.
b) As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como de outras normas, procedimentos, manuais e/ou códigos, serão passíveis das penalidades previstas no âmbito correspondente;
c) A aplicação das sanções e punições será realizada considerando a gravidade da infração, considerando a recorrência;
c1) No caso de empregados, deverão ser consideradas as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o ASHM, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível (advertência, suspensão ou até o desligamento por justa causa).
c2) No caso de terceiros destinatários ou prestadores de serviço, o ASHM deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato, podendo ensejar a suspensão do relacionamento mantido com o ASHM, ações administrativas e/ou judiciais no âmbito que for pertinente.
e) Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano ao ASHM (seja dano material como à imagem) o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens anteriores desta política.
23. Casos Omissos
Os casos omissos serão avaliados pelo Comitê Gestor de Proteção de Dados e de Segurança da Informação para posterior deliberação da Diretoria do ASHM.
24. SOLUÇÕES DE CONFLITOS
As diretrizes estabelecidas nesta política e nas demais normas, procedimentos, códigos, regulamentos e manuais não se esgotam em razão da contínua evolução das relações de trabalho, da tecnologia e do surgimento de novas situações.
Quaisquer situações decorrentes desta Política ou em outras derivadas desta, que possam gerar conflitos internos ou externos ao ASHM deverão ser imediatamente notificadas à Gerência de Segurança da Informação para a adoção de medidas adequadas.
25. REVISÕES
Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Proteção de Dados e de Segurança da Informação do ASHM.
26. GESTÃO DA POLÍTICA
Esta Política é aprovada, nesta data, pelo Comitê Gestor de Proteção de Dados e de Segurança da Informação – a quem cabe qualquer modificação e atualização, em conjunto com o Setor de TI e a Diretoria do ASHM.
Criação em 01/2022
Atualizada em 04/2023
_______________
Contato Encarregado
LUCAS R.
E-mail: dpo@sabinatibaia.com.br