Política de privacidade de dados

E segurança da Informação

1. Termos e Definições

Esta politica foi baseada na Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), no Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/1990) e demais normas setoriais aplicáveis baseada na família ISO 27000, ISO 27001, ISO 27002 e ISO 27701, visando demonstrar de forma transparente como tratamos dados pessoais e  garantimos a segurança da informação e privacidade dos dados e os direitos dos titulares.

  • Ameaça: Causa potencial de um incidente, que pode vir a prejudicar a instituição UNIMED DE FRANCA SOCIEDADE COOPERATIVA DE SERVIÇOS MÉDICOS E HOSPITALARES e FILIAIS;

  • Ativo: São os bens e direitos que uma empresa possui e que podem ser convertidos em meios monetários, proporcionando ganhos para a UNIMED FRANCA e FILIAIS;

  • Ativo de Informação: Patrimônio intangível da UNIMED FRANCA, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a UNIMED FRANCA e FILIAIS por parceiros, clientes, empregados e terceiros, em formato escrito, verbal, físico, por imagens ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional ou por infraestrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.

  • Comitê Gestor de Segurança da Informação (CGSI): Comitê designado pela Diretoria Executiva para discutir, desenvolver normas, políticas para tratar as questões relacionadas à Privacidade de Dados e Segurança da Informação na Cooperativa.

  • Comitê de Crise: Comitê composto por membros pontuais da área de privacidade e segurança da informação, DPO e DPO Adjunto, promovendo maior celeridade no processo técnico/legal da prática de segurança, relacionados a demandas urgentes.

  • Confidencialidade: Garantia de que a informação da Unimed Franca não seja acessível ou repassada a pessoas que não estejam autorizadas a conhecê-la.

  • Controles: Controles físicos: Controle de acesso com uso de crachás, biometria e recolhecimento facial às dependências da Unimed Franca e Filiais. Controles lógicos: Controle através de senha de acesso aos sistemas da organização. Envolvendo também controles em processos definidos especificamente para cada norma da Política de Privacidade de Dados e Segurança da Informação.

  • Disponibilidade: Garantia que a informação da Unimed Franca estará acessível sempre que seu uso for necessário.

  • Frameworks de Segurança: É uma estrutura usada para definir uma série de processos, normas e políticas, com controles e gerenciamento para guarda e manuseio, transporte e monitoramento contínuo no ambiente corporativo para garantir a Confidencialidade a Disponibilidade e a Integridade da informação. Todo Framework deve considerar o tripé, Pessoas, Processos e Tecnologia.

  • Gestor da Informação: Gestor da informação é o responsável por identificar, tratar e classificar a informação na organização ou no setor.

  • Gerência de Segurança da Informação: Gerencia as oportunidades de aplicação de tecnologia e interage com outras áreas de maneira a assegurar a privacidade de dados e segurança das informações da organização.

  • Incidente de segurança da informação: Qualquer evento adverso que seja contrário aos princípios de Confidencialidade, Disponibilidade e Integridade da informação, que possa comprometer a Segurança da Informação na Unimed Franca e Filiais.

  •  Integridade: Garantir que a informação da Unimed Franca esteja em sua forma original, sem alterações, rasuras ou violações.

  • Risco de segurança da informação: Probabilidade de um evento adverso ocorrer e o seu possível impacto.

  • Segurança da Informação: Conjunto de medidas de proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

  • Usuário da informação: Pessoa que se relaciona com a Unimed Franca e detenha direitos de interagir diretamente com a informação, manipulando-a tanto em forma digital quanto física.

  • Vulnerabilidade: Fraqueza específica que possa ser explorada por uma ameaça como invasão, roubo ou perda de dados.

  • Tratamento de Dados: Toda e qualquer operação realizada com um dado, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, destruição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração é um tratamento de dado pessoal, e está resguardado pela LGPD e por essa política.

  • Dado Pessoal: Na LGPD é definido como “informação relacionada à pessoa identificada ou identificável”. Ou seja, quando ele permite a identificação, direta ou indireta, de uma pessoa (titular). Por exemplo: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial ou comercial, telefone, e-mail e endereço IP.

  • Dado Pessoal Sensível: É aquele que se refere à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, relacionados à saúde ou à vida sexual, dados genéticos ou biométricos relativos à pessoa natural.

O tratamento de dados pessoais seguirá integralmente os princípios da LGPD: 

  • Finalidade;

  • Adequação; 

  • Necessidade; 

  • Livre acesso; 

  • Qualidade dos dados;

  • Transparência; 

  • Segurança; 

  • Prevenção; 

  • Não discriminação, e; 

  • Responsabilização.

2. Introdução

A UNIMED FRANCA tem como missão o comprometimento com a saúde de forma integrada, valorizando pessoas com soluções inovadoras e sustentáveis.

A UNIMED FRANCA entende que a informação corporativa é um bem essencial e estratégico para suas atividades e para resguardar a qualidade e segurança na prestação de serviços em saúde aos clientes, com ética e excelência no atendimento.
A UNIMED FRANCA compreende que a manipulação de suas informações passam por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança das informações corporativas.

Dessa forma, a UNIMED FRANCA estabelece sua Política de Privacidade de Dados e Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção a informações da organização ou sob sua responsabilidade

3. Propósito

Esta política tem por propósito estabelecer diretrizes e Normas de Privacidade de Dados e Segurança da Informação, que permitem a adoção de padrões de comportamento seguro, adequados as metas e necessidades da organização conforme as disposições legais. 
Conscientizar e formatizar as ações e comportamentos em relação a controles e processos para atender os objetivos de segurança almejados, dando retaguarda as informações da UNIMED FRANCA, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade.

Alinhar as ações de segurança em conformidade aos frameworks de segurança de mercado e as legislações vigentes, baseando principalmente na Lei Geral de Proteção de Dados nº 13.709/2018, tratamos os dados pessoais conforme às respectivas bases legais correlacionadas abaixo.
 

Garantir a gestão sistêmica e efetiva em todos os aspectos relacionados a privacidade de dados e segurança da informação, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a instituição.

A Diretoria Executiva e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação e Privacidade de Dados Pessoais na UNIMED FRANCA. Serão executadas revisões periódicas para garantir a contínua pertinência e adequação às necessidades da UNIMED FRANCA.

4. Abrangência

Esta política se aplica a todos os usuários de informação, incluindo qualquer indivíduo ou organização que possui ou já possuiu algum vínculo com a UNIMED FRANCA e suas FILIAIS, tais como: funcionários, ex-funcionários, cooperados, ex-cooperados, prestadores de serviço, ex-prestadores de serviço, terceirizados, ex-terceirizados, credenciados, ex-credenciados, análisar NDA de fornecedores e autorizados, que possuíram, possuem ou virão a possuir acesso às informações da UNIMED FRANCA e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura da organização.
 

Diretrizes: 

4.1. Seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade de informação da UNIMED FRANCA sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas;

4.2. Seguir por completo a Política de Privacidade de Dados e Segurança da Informação, garantindo o adequado tratamento dos dados pessoais em concordância com a legislação vigente, resguardando aos titulares dos dados os seus direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa humana, prevenindo possíveis violações da privacidade.

4.3. Disseminar políticas, normas e procedimentos de privacidade e segurança da informação a todas as partes interessadas e autorizadas, tais como: empregados, cooperados, terceiros contratados, prestadores de serviço, fornecedores e, onde pertinente, clientes.

4.4. Garantir a educação e conscientização sobre as práticas adotadas pela UNIMED FRANCA de privacidade e segurança da informação para empregados, cooperados, prestadores de serviço, terceiros contratados e clientes.

4.5. Atender integralmente requisitos de privacidade e segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;

4.6. Tratar integralmente incidentes de segurança da informação, garantindo que eles sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades competentes;

4.7.  Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;

4.8. Melhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

5. Prazo de Armazenamento de Dados

Os dados pessoais coletados são compartilhados exclusivamente com órgãos governamentais e entidades privadas quando necessário para o cumprimento de obrigações legais, regulatórias ou contratuais, e para a cooperação interna entre as cooperativas Unimed, no contexto de questões relacionadas à cobrança e atendimento de beneficiários de outras cooperativas (intercâmbio).
No caso específico de ações de marketing, os dados são compartilhados com a plataforma RD Station, exclusivamente para o envio de comunicados e publicidade. Para estas finalidades, é disponibilizada ao titular a opção de opt-out, permitindo a exclusão ou a interrupção do envio de tais comunicações.

Eventualmente, poderá ser necessário realizar compartilhamentos com empresas externas, fora do escopo mencionado. Nesses casos, os dados serão compartilhados de forma anonimizada, ou seja, desprovidos de informações que permitam a identificação direta ou indireta dos titulares. Tal procedimento não configura tratamento de dados pessoais, uma vez que os dados anonimizados não são considerados como tais nos termos da legislação vigente.

Quando possível, realizamos anonimização ou pseudonimização utilizando hash criptográfico irreversível e segregação de chaves, assegurando que o dado não possa ser revertido ao titular, exceto em ambiente controlado e autorizado.
 

5.1 Por quanto tempo mantemos seus dados?

A Unimed Franca manterá seus dados pessoais armazenados somente pelo tempo necessário para cumprir as finalidades para as quais foram coletados, bem como para o cumprimento de obrigações legais, regulatórias ou para o exercício de direitos em processos. Os principais prazos que observamos são:

  • Dados de Saúde e Prontuários de Pacientes: Serão mantidos por, no mínimo, 20 anos após o último registro, em conformidade com a Lei nº 13.787/2018 e a Resolução CFM nº 1.821/2007. 

  • Dados Fiscais, Contábeis e Contratuais: Serão mantidos pelos prazos exigidos pela legislação tributária e civil, que podem ser de 5 anos ou, para documentos fiscais eletrônicos (como NF-e), 11 anos (132 meses).

  • Dados de Ex-Funcionários e Documentos Trabalhistas: Serão mantidos pelos prazos prescricionais trabalhistas e previdenciários, que podem chegar a 10 anos ou mais, para cumprimento de obrigações legais.

  • Dados para Fins de Marketing: Serão mantidos até que você revogue o seu consentimento.

Após o término do prazo de retenção, os dados pessoais serão eliminados de forma segura ou anonimizados.

Adotamos controles técnicos e administrativos alinhados ao padrão ISO/IEC 27001, incluindo criptografia em repouso e trânsito, controle de acesso baseado em funções (RBAC), gestão de vulnerabilidades, registro de logs, teste de intrusão anual e políticas de backup com retenção de 30 dias em armazenamentos geograficamente redundantes.

6. Compartilhamento internacional de dados

Para a prestação de nossos serviços, podemos precisar transferir seus dados pessoais para outros países. Essa transferência ocorre de forma segura e em conformidade com a LGPD, conforme estabelecido pela Resolução CD/ANPD nº 19, de 23 de agosto de 2024, que regula o compartilhamento internacional de dados pessoais.

Armazenamento de Dados em Nuvem: Utilizamos serviços de computação em nuvem de fornecedores de tecnologia, e essa transferência é realizada com base em Cláusulas-Padrão Contratuais celebradas entre a Unimed Franca e as empresas fornecedoras. Essas cláusulas, aprovadas pela ANPD, impõem ao importador dos dados obrigações de proteção equivalentes às da legislação brasileira, garantindo a segurança da operação.

7. Papéis e responsabilidades

7.1    Comitê Gestor de Segurança da Informação

Fica constituído o COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO, contando com a participação do representante da diretoria executiva e cooperados, um assessor médico, além de membros das seguintes áreas: Tecnologia da Informação, Jurídico, Segurança da Informação, Gestão de Pessoas, Marketing, Gestão Hospitalar, Riscos, Educação Corporativa, Atendimento, DPO e DPO adjunto.

É responsabilidade do CGSI:

  • Analisar, revisar e propor a aprovação de práticas relacionadas à segurança da informação e privacidade de dados;

  • Solicitar a diretoria a disponibilidade dos recursos necessários para uma efetiva Gestão de Privacidade de Dados e Segurança da Informação;

  • Propor medidas para que as atividades de privacidade de dados e segurança da informação sejam executadas em conformidade com essa política;

  • Promover a divulgação da Política de Privacidade e Segurança da Informação, tomar as ações necessárias para disseminar uma cultura de segurança no ambiente da UNIMED FRANCA.

7.2    Comitê de Crise

Fica constituído o COMITÊ DE CRISE, composto primordialmente por membros da Privacidade e Segurança da Informação e pelo Encarregado de Dados Pessoais (DPO) e pelo Encarregado de Dados Pessoais Substituto (DPO Adjunto), podendo contemplar outras áreas conforme necessidade (TI, Jurídico, RH, Comunicação etc.).

É responsabilidade do Comitê de Crise: 

  • Atuar diretamente em reuniões extraordinárias para discutir possíveis incidentes de segurança; 

  • Bloquear acessos, logs, senhas, telefones e quaisquer formas de comunicação que venham a ser uma ameaça e/ou perigo de vazamento de dados e incidentes de segurança;

  • Definir plano de ação em combate a ameaças de segurança dentro do ambinete da UNIMED FRANCA.

7.3 Gerência de Segurança da Informação

É responsabilidade da Gerência de Segurança da Informação:

  • Conduzir a Gestão e Operação da segurança da informação e privacidade de dados, tendo como base esta política e demais resoluções do CGSI;
  • Apoiar o CGSI em suas deliberações;
  • Aprovar as normas e procedimentos de segurança da informação e privacidade de dados, necessários para se fazer cumprir a PPDSI;
  • Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;
  • Tomar as ações cabíveis para se fazer cumprir os termos desta política;
  • Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.

7.4 Gestor da Informação

Liderança responsável pelas as informações geradas pela área de negócio em que atua, sendo de sua responsabilidade:

  • Gerenciar as informações sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas estabelecidas pela UNIMED FRANCA;

  • Identificar, classificar e rotular as informações geradas sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela UNIMED FRANCA;

  • Periodicamente revisar as informações geradas sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem delas conforme necessário;

  • Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

  • Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pela área de Tecnologia da Informação.

7.5    Titulares dos dados e Usuários da Informação:

Aos titulares de dados a Lei Geral de Proteção de Dados define uma série de direitos relacionados a dados pessoais. Para exercê-los, entre em contato com nosso canal do Encarregado de Dados Pessoais (DPO), cujas informações estão ao final desta política. Seus direitos incluem: 

  • Confirmação da existência de tratamento;

  • Acesso aos dados;

  • Correção de dados incompletos, inexatos ou desatualizados;

  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

  • Portabilidade dos seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa;

  • Eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses de guarda legal;

  • Informação das entidades públicas e privadas com as quais a Unimed Franca realiza uso de compartilhamento de dados;

  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

  • Revogação do consentimento;

  • Dados de Crianças e Adolescentes: Somente coletamos dados de menores de 18 anos mediante consentimento específico e em destaque do responsável legal, conforme art. 14 da LGPD, assegurando linguagem clara, coleta mínima necessária e prioridade absoluta dos direitos da criança e do adolescente;

  • Mantemos Registro das Operações de Tratamento (ROPA) atualizado, contemplando categorias de dados, finalidade, bases legais, destinatários, prazos de retenção e medidas de segurança, disponível à ANPD sempre que requisitado;

  • Não realizamos decisões exclusivamente automatizadas que produzam efeitos jurídicos ou significativos ao titular. Caso venhamos a adotar tais práticas, garantiremos direito à revisão humana, informações claras sobre critérios usados e possibilidade de contestação.

7.6    Cookies: 

O que são cookies? São pequenos arquivos de texto que um site armazena no seu computador ou dispositivo móvel quando você o visita. Como usamos os cookies? Utilizamos cookies para diferentes finalidades:

  • Cookies Necessários: Essenciais para que o site funcione corretamente. Eles permitem a navegação e o uso de funcionalidades básicas, como o acesso a áreas seguras. Sem eles, o site não opera como deveria.

  • Cookies Analíticos ou de Desempenho: Coletam informações sobre como os visitantes usam nosso site e quais páginas são mais visitadas. Esses dados nos ajudam a entender e melhorar a performance do site.

  • Cookies de Funcionalidade: Permitem que o site se lembre de escolhas que você fez (como seu nome de usuário ou região) para fornecer uma experiência mais personalizada.

  • Cookies de Marketing ou Publicidade: São usados para direcionar anúncios mais relevantes para você e seus interesses. Eles também podem ser usados para limitar o número de vezes que você vê um anúncio e ajudar a medir a eficácia de campanhas publicitárias.

  • Como gerenciar os cookies? Ao visitar nosso site pela primeira vez, haverá um banner de cookies que dará as opções claras de aceitar, rejeitar todos os cookies não necessários ou configurar as preferências de forma granular. Os cookies que não são estritamente necessários para o funcionamento do site estarão desativados por padrão, e só serão ativados com o seu consentimento.

7.7    Usuários da Informação:

  • Ler, compreender e cumprir integralmente os termos da Política de Privacidade de Dados e Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;

  • Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Privacidade e Segurança da Informação, suas normas e procedimentos de segurança a Gerência de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação;

  • Comunicar à Gerência de Segurança da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da UNIMED FRANCA;

  • Assinar o Termo de Uso de Sistemas de Informação da UNIMED FRANCA, formalizando a ciência e o aceite integral das disposições da Política de Privacidade e Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

  • Assinar o Termo de Confidencialidade e Sigilo da UNIMED FRANCA, formalizando o compromisso de manter a confidencialidade e o sigilo sobre todas as informações a que tiver acesso no exercício da atividade de empregado desta Cooperativa;

  • Responder pela inobservância da Política de Privacidade e Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.

8. Sações e punições

As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades sendo realizada a análise pelo CGSI e encaminhadas ao Comitê de Integridade e Compliance.

Após realizada a apuração das questões que deram origem ao incidente de segurança, será emitido pelo CGSI um parecer técnico para a aplicação de sanções que seguirá o fluxo definido devendo-se considerar: Incidentes ocasionados por questões técnicas deverão ser encaminhados a Diretoria Executiva para deliberação. Incidentes ocasionados por questões comportamentais deverão ser encaminhados ao Comitê de Integridade e Compliance para deliberação.

9. Casos Omissos

Os casos omissos serão avaliados pelo CGSI e deverão ser encaminhados a Diretoria Executiva para deliberação.

As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da UNIMED FRANCA adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações.

10. Encarregado de Proteção de Dados (DPO)

Para assegurar o cumprimento da Lei Geral de Proteção de Dados (LGPD), a Unimed Franca nomeou um Encarregado de Proteção de Dados (DPO). Apoiado pelo Comitê Gestor de Segurança da Informação, o DPO é o responsável por supervisionar nossa estratégia de proteção de dados e atua como o canal de comunicação oficial para atender às suas solicitações e para o contato com a Autoridade Nacional de Proteção de Dados (ANPD).

Se você tiver qualquer dúvida sobre como seus dados são tratados ou se desejar exercer seus direitos previstos na LGPD, entre em contato com nosso Encarregado:

Nome do Encarregado: Bruno Martins Torchia
Canal de Contato: dpo@unimedfranca.com.br 

Como alternativa ao contato direto com o Encarregado, oferecemos o Portal do Titular, uma ferramenta online onde você pode verificar e solicitar seus dados tratados pela cooperativa. O acesso está disponível em: 

11. Histórico de revisão

Esta política é revisada com periodicidade anual ou conforme o entendimento do CGSI. 
Rev. 00 – Elaboração da política (19/01/2021).
Rev. 01 – Atualização da política com as adequações legais e internas (12/12/2025).

12. Referências

NBR ISO 27000;
NBR ISO 27001;
NBR ISO 27002;
NBR ISO 27701;
Codigo de Defesa do Consumidor (Lei nº 8.078/1990);
Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018);
Marco Civil da Internet (Lei nº 12.965/2014).