A UNIMED DE PINDAMONHANGABA realiza atividades de tratamento visando o cumprimento de obrigações em leis ou em normas de órgãos reguladores atuantes em setores regulados (por exemplo, ANS, obrigações e licenças ambientais).

Nestes casos, é importante que os responsáveis pelo tratamento estejam cientes de qual a obrigação legal fundamenta o tratamento (lei, norma, regulação, decisão ou acordo judicial, etc.). Caso haja alguma alteração nestas regras, é possível que a atividade de tratamento também deva ser alterada.

Havendo dúvidas quanto à necessidade de se tratar dados para o cumprimento de obrigações legais ou regulatórias, é recomendado que o responsável pela atividade entre em contato com o Departamento Jurídico/Encarregado.

É importante que o tratamento realizado nestes casos esteja fundamentado em um contrato firmado (ou prestes a ser firmado) com o titular, e que seja essencial para que a UNIMED DE PINDAMONHANGABA cumpra com as obrigações estabelecidas neste contrato.

Em algumas hipóteses, contratos verbais também poderão ser considerados. Nestes casos, o Encarregado deve ser consultado para confirmar o enquadramento da atividade nesta base legal.

Alguns dados pessoais, ou documentos que contém dados pessoais, sejam de colaboradores, membros da UNIMED DE PINDAMONHANGABA, clientes, fornecedores ou demais terceiros, precisam ser armazenados para que a UNIMED DE PINDAMONHANGABA possa garantir seus direitos de defesa, resposta, ou atuação junto a órgãos públicos, em processos judiciais ou administrativos.

É importante que a retenção dos dados não ultrapasse o período estabelecido na política de retenção de dados, que, por sua vez, deve estar sempre atualizada com os prazos legais e prescricionais aplicáveis para estabelecimento do período de retenção.

Dados pessoais podem ser utilizados para a realização de procedimentos de saúde, inclusive envolvendo serviços de saúde. Nestes casos, deve necessariamente haver o envolvimento de um profissional de saúde, prestador de serviços de saúde, ou autoridade sanitária.

Esta base legal poderá ser utilizada para subsidiar o tratamento de dados, prezando pela preservação dos titulares, em caso de perigo ou iminência de perigo à sua vida ou incolumidade física.

A prevenção à fraude pode ser aplicada somente a dados sensíveis, quando utilizados em procedimentos de identificação e autenticação de cadastro em sistemas eletrônicos. Nestes casos, é essencial que o titular seja exaustivamente cientificado das formas nas quais seus dados sensíveis são tratados para essa finalidade, através de avisos complementares de privacidade, nos termos do item 4.5 abaixo.

Esta hipótese excepcional somente pode ser utilizada para fundamentar interesses legítimos do controlador ou de terceiros, de modo que estes interesses não podem impactar de forma injusta ou desproporcional os direitos e liberdades dos titulares.

É importante que as atividades baseadas nesta hipótese somente envolvam dados pessoais de titulares que já possuem alguma relação com a UNIMED DE PINDAMONHANGABA, sejam clientes, ex-clientes, colaboradores, etc.

O titular não pode “se assustar” com a atividade realizada sobre essa base legal. Ela deve, necessariamente, ocorrer dentro das legítimas expectativas dele.

As atividades realizadas com base no interesse legítimo devem ser revisadas e avaliadas pelo Encarregado, que também deve aprovar o desenvolvimento de novos projetos que envolvam atividades deste tipo. A avaliação deve envolver a elaboração de Relatório de Impacto à Proteção de Dados, que deverá ser elaborado com o apoio do responsável pela atividade.

Em hipóteses excepcionais, a UNIMED DE PINDAMONHANGABA coleta o consentimento do titular dos dados, o qual concede autorização mediante manifestação livre, espontânea, inequívoca e para finalidades determinadas. Esta base legal deve ser utilizada apenas em último caso, uma vez que para tal, é necessário seguir todos os requisitos da seção 4.6 abaixo.

Excepcionalmente, a UNIMED DE PINDAMONHANGABA poderá tratar dados pessoais e dados pessoais sensíveis com base nas demais hipóteses trazidas pela LGPD, desde que os possíveis riscos sejam avaliados com o Encarregado e o Comitê de Privacidade, de acordo com a criticidade dos dados envolvidos.

Para que o programa de privacidade da UNIMED DE PINDAMONHANGABA se mostre efetivo e produza resultados positivos, é importante que os pilares e procedimentos abaixo sejam constantemente observados durante as operações de tratamento de dados pessoais.

4.4 PROGRAMA DE PRIVACIDADE E PROTEÇÃO DE DADOS DA UNIMED

Para que o programa de privacidade da UNIMED DE PINDAMONHANGABA se mostre efetivo e produza resultados positivos, é importante que os pilares e procedimentos abaixo sejam constantemente observados durante as operações de tratamento de dados pessoais.

4.4.1 Gestão e Governança

É importante que todos os pontos desta política sejam observados por todos aqueles descritos no item 2 acima (Âmbito de Aplicação). Além disso, é importante que esta observância e o cumprimento de todas obrigações da lei sejam bem definidos, documentados e registrados.

Visando essa organização, a UNIMED DE PINDAMONHANGABA deverá seguir os pontos a seguir, na estruturação e operação de sua estrutura de governança em privacidade e proteção de dados:

4.4.2.   Responsáveis pelo Programa de Privacidade    

A gestão e aplicação do programa de privacidade deverá ser conduzida pelos responsáveis abaixo.

Para facilitar o controle de conteúdo, datas de publicação e prazos para revisão, os documentos de governança relacionados à privacidade (incluindo esta política) devem ser controlados e gerenciados de forma centralizada pelo Comitê de Privacidade e pelo Encarregado de Proteção de Dados.

4.4.3 Comitê de Segurança da Informação         

O Comitê de Segurança da Informação deve se reunir quadrimestralmente, para apresentação e acompanhamento do programa de privacidade da UNIMED DE PINDAMONHANGABA, e deve ser composto por integrantes de áreas-chave da UNIMED DE PINDAMONHANGABA, capazes de deliberar e decidir sobre assuntos relacionados à privacidade e proteção de dados, incluindo representantes dos departamentos jurídico, diretoria, encarregado de proteção de dados, tecnologia da informação e recursos humanos.

Adicionalmente, podem ser chamados, para deliberação de assuntos específicos, representantes do departamento de marketing, comunicação, auditoria interna, e demais representantes de áreas específicas envolvidas em atividades de tratamento de dados pessoais.

Os objetivos do comitê são, principalmente, garantir a comunicação do programa de privacidade, e discutir e tomar decisões sobre novas atividades de tratamento, com base nos riscos levantados através de Relatórios de Impacto à Proteção de Dados Pessoais.

Adicionalmente, o Comitê de Segurança da Informação deverá sempre ser envolvido para tomar decisões a respeito de atividades de tratamento que envolvem riscos avaliados como altos. Caso o risco seja considerado muito alto, a decisão deverá ser escalada ao comitê executivo / conselho da UNIMED DE PINDAMONHANGABA.

4.4.3.1 Encarregado de Proteção de Dados (DPO)        

O Encarregado de Proteção de Dados (DPO ou Data Protection Officer) deve possuir conhecimentos jurídicos e técnicos relacionados à proteção de dados pessoais e experiência na área que sejam proporcionais ao nível de complexidade e sensibilidade das operações de tratamento de dados pessoais que a UNIMED DE PINDAMONHANGABA realiza.

O Encarregado de Proteção de Dados deve gozar de um grau razoável de independência do restante da administração, de modo a lhe permitir assegurar os direitos dos titulares de dados cujos dados pessoais são tratados pela UNIMED DE PINDAMONHANGABA. Suas funções não devem incluir atividades ou responsabilidades que podem conflitar com a responsabilidade da UNIMED DE PINDAMONHANGABA para com os titulares de dados pessoais.

A atuação do Encarregado de Proteção de Dados deve garantir a conformidade da UNIMED DE PINDAMONHANGABA em relação às leis e demais normas de privacidade e proteção de dados aplicáveis aos seus negócios, através do programa de privacidade.

Suas principais atribuições envolvem:

1. Gestão do programa de privacidade;
2. Desenvolvimento, manutenção e revisão anual das normas e políticas de privacidade da organização, inclusive desta política;
3. Fiscalização do cumprimento das normas e políticas de privacidade da organização; e
4. Monitoramento do nível de conformidade da organização, através de análises de diagnóstico semestrais, com a definição de planos de ação para melhorar o treinamento e a clareza das políticas de privacidade; e
5. Atuação como ponto de contato para autoridade nacional de proteção de dados e os titulares dos dados.
6. Recepção, junto ao Comitê de Segurança da Informação, das eventuais requisições realizadas por titulares de dados pessoais, dando imediato atendimento a tais requerimentos, quando aplicável.
7. Preparo dos Relatórios de Impacto à Proteção de Dados Pessoais, na forma descrita no item 4.9.6 abaixo, com apuração e revisão dos riscos das atividades nele relatadas, junto com o Comitê; e
8. Validação da nomeação de guardião de privacidade.

Cabe ao Encarregado de proteção de dados a recomendação ao Controlador sobre os riscos, em casos de risco baixo a moderado, sobre as atividades de tratamento de dados pessoais conduzidas pela UNIMED DE PINDAMONHANGABA. Caso o risco seja considerado alto, a decisão deverá ser escalada junto ao Comitê de Segurança da Informação.

Por fim, o Encarregado deve auxiliar a esclarecer dúvidas e orientar demais membros da UNIMED DE PINDAMONHANGABA, durante a execução de suas atividades, quando envolverem operações de tratamento de dados pessoais.

 

4.4.3.2 Guardião da Privacidade   

Os Guardiões da Privacidade são colaboradores nomeados para serem o ponto focal nas áreas de negócio da UNIMED DE PINDAMONHANGABA, a fim de facilitar o contato do Encarregado e do Comitê de Segurança da Informação para com a área, e vice-versa.

Todas as decisões e comunicações do Encarregado e do Comitê de Privacidade direcionadas às áreas devem incluir os guardiões das respectivas áreas em cópia. Os guardiões não possuem poder decisório a respeito das operações de tratamento de dados pessoais.

Preferencialmente, deverão ser nomeados guardiões representantes das 7 (sete) áreas de maior risco da UNIMED DE PINDAMONHANGABA.

As principais atribuições dos guardiões são:

1. Distribuição e direcionamento das decisões e deliberações do Encarregado e do Comitê de Segurança da Informação às suas respectivas áreas;
2. Suporte na disseminação da cultura de privacidade, bem como na organização e condução de treinamentos sobre o programa de privacidade, voltados às suas respectivas áreas;
3. Auxiliar na coleta de evidências sobre a aplicação e conformidade das regras do programa de privacidade em suas respectivas áreas; e
4. Auxiliar o Encarregado na elaboração de Relatórios de Impacto à Proteção de Dados referentes a atividades de suas respectivas áreas.

 

4.4.2 Registro de Operações de Tratamento de Dados Pessoais       

A UNIMED DE PINDAMONHANGABA manterá um registro de todas as suas operações de tratamento de dados pessoais, contendo, no mínimo, as seguintes informações sobre cada operação:

1. Descrição do fluxo da informação em cada etapa de seu ciclo de vida (coleta, armazenamento, uso, compartilhamento – e neste caso, a finalidade para transferência – e descarte);
2. Base legal para tratamento;
3. Tipos de dados pessoais coletados;
4. Finalidade para o qual o dado é tratado;
5. Local lógico (nuvem, servidor, laptop etc.) e geográfico onde o dado é tratado;
6. Período de retenção do dado;
7. Área responsável pelo dado; e
8. Volume aproximado de registros existentes.

O Encarregado será responsável por manter o registro atualizado, bem como atribuir responsáveis para cada atividade registrada.

 

4.4.3.   Treinamentos           

Todos os membros da UNIMED DE PINDAMONHANGABA que estejam envolvidos nas atividades de tratamento de dados pessoais deverão receber treinamentos periódicos, decididos pelo Comitê de Segurança da Informação e organizado pelo Encarregado, especificamente sobre:

1. Conceitos gerais de Privacidade e Proteção de Dados (Campanha Educativa LGPD), incluindo a apresentação desta política e de materiais de estudo sobre os princípios da LGPD; e
2. Conceitos específicos de Privacidade e Proteção de Dados, aplicados às atividades de cada área.

O treinamento referido no item “i” acima deverá fazer parte do procedimento de integração dos colaboradores da UNIMED DE PINDAMONHANGABA.

 

4.5 TRANSPARÊNCIA

         

Todas as operações envolvendo atividades de tratamento de dados pessoais de titulares externos (terceiros/parceiros/clientes), deverão observar a Política de Privacidade e Proteção de Dados da UNIMED DE PINDAMONHANGABA, disponível na página www.unimedpinda.com.br.

Todas as operações envolvendo atividades de tratamento de dados pessoais de titulares internos (colaboradores/cooperados), deverão observar a Política de Segurança da Informação, disponível nos sistemas SigQuali, Tasy e na área restrita do Cooperado.

Além disso, caso a UNIMED DE PINDAMONHANGABA promova atividade que envolve o tratamento de dados pessoais de formas que excepcionalmente não se enquadram no respectivo Aviso de Privacidade, e caso, em razão disso, o respectivo Aviso não contenha informações claras e suficientes sobre os pontos elencados abaixo, aplicáveis a esta atividade, será necessária a apresentação de aviso específico para complementação das informações fornecidas ao titular, devendo ser validado pelo Encarregado e disponibilizado antes que os dados pessoais sejam efetivamente tratados:

• Escopo da atividade;
• Quais os dados envolvidos na atividade;
• Finalidade da atividade de tratamento;
• Fora e duração do tratamento;
• Descrição da forma de coleta, utilização, armazenagem e descarte das informações;
• Informações sobre os agentes de tratamento envolvidos na atividade; e
• A eventual existência de decisões automatizadas incorporadas na atividade.

 

4.6 CONSENTIMENTO        

O consentimento somente poderá embasar atividades de tratamento de dados pessoais em casos excepcionais. Nestes casos, o Encarregado deverá ser consultado para confirmar quanto à exigência de consentimento para a atividade, e a impossibilidade de seu enquadramento em outras bases legais, bem como revisar a forma de coleta do consentimento se aplicável, que deverá observar os pontos a seguir:

• Manifestação livre: O titular deve fornecer o consentimento de maneira livre, sem que seja obrigado para tanto para, por exemplo, usufruir do serviço/produto relacionado.

Exemplos:

• Manifestação granular: O titular forneceu a sua autorização (consentimento) para que fosse realizado o tratamento em situações específicas e determinadas.

• Manifestação informada: O titular, teve acesso ao aviso de privacidade correspondente a atividade na qual foi sujeitado, antes do fornecimento de sua autorização, garantindo possuir plena ciência da finalidade e dos limites da atividade de tratamento realizada.
• Manifestação inequívoca: O titular forneceu os seus dados pessoais, sem qualquer dúvida ou questionamento quanto aos limites da atividade.

Ainda, para garantir que o consentimento foi coletado de maneira correta, possibilitando inclusive a demonstração deste fator tanto ao próprio titular como para a Autoridade Nacional de Dados Pessoais, bem como para garantir ao titular o direito à revogação do consentimento, a UNIMED DE PINDAMONHANGABA realizará a documentação, o armazenamento e a gestão da autorização concedida, por meio de controle técnico e específico de gestão de consentimento.

 

4.7 SEGURANÇA     

Para garantir a segurança dos dados pessoais tratados no exercício de suas atividades e evitar a ocorrência de acessos indevidos ou não autorizados, perda, destruição ou qualquer outra ação que comprometa a integridade, disponibilidade ou confidencialidade dessas informações, a UNIMED DE PINDAMONHANGABA manterá procedimentos e ferramentas implementadas, os quais seguem os mais altos padrões das normas técnicas de segurança da informação, conforme definido no documento SED-POL-TI-002 Política de Segurança da Informação.

O Comitê de Segurança da Informação, o Encarregado e a área de Tecnologia da informação da UNIMED DE PINDAMONHANGABA deverão trabalhar em conjunto para manter todos os dados pessoais tratados sempre seguros, maximizando a prevenção a exposições, vazamentos e acesso indevido.

Para garantir que as medidas de segurança implementadas pela UNIMED DE PINDAMONHANGABA se mantenham sempre atualizadas e em consonância com as melhores práticas e ferramentas disponíveis atualmente no mercado, estes manuais e procedimentos passam por revisões periódicas, identificando e corrigindo eventuais falhas.

 

4.8 INCIDENTE DE SEGURANÇA 

Incidentes podem ser definidos como qualquer falha na observância dos pontos descritos nesta política, que podem gerar risco de dano aos titulares de dados pessoais.

A UNIMED DE PINDAMONHANGABA possui processos e procedimentos para casos de ocorrência de incidentes envolvendo dados pessoais, que está disponível no procedimento de resposta de incidentes SED-PS-TI-010.

A UNIMED DE PINDAMONHANGABA manterá canal público para recebimento de notícias de incidentes através do e-mail privacidade@unimedpinda.com.br, que pode ser utilizado, também, pelos seus colaboradores, cooperados, clientes, fornecedores, parceiros, terceiros e prestadores de serviços. Comunicações serão recebidas pelo Encarregado, que verificará o ocorrido juntamente com o Comitê de Segurança da Informação e procederá à aplicação do Plano de Respostas a Incidentes.

4.9 COLETA, USO, ARMAZENAMENTO E DESCARTE DE DADOS         

Todas as atividades de tratamento de dados pessoais promovidas pela UNIMED DE PINDAMONHANGABA deverão ocorrer em respeito a todos os pilares deste documento, estando sempre atribuídas a uma base legal específica, conforme termos do item 4.3 acima (Bases legais para o tratamento de dados pessoais).

4.9.1 Coleta de Dados Pessoais    

O procedimento de coleta de dados pessoais deverá ser restrito àqueles essenciais para o cumprimento da finalidade primária determinada e informada ao titular dos dados, sempre observando a necessidade de manter atualizados os dados coletados.

Sempre que a coleta for feita em pontos ativos (onde os titulares fornecem seus próprios dados), os titulares dos dados pessoais deverão ser informados, antes da coleta, de todos os detalhes sobre a atividade de tratamento, nos termos do item 4.5 acima.

Dados pessoais somente poderão ser coletados em pontos passivos (através de acesso a bases públicas/privadas de dados, por exemplo) se tais bases forem notoriamente fidedignas (atribuídas a órgãos ou entidades públicas e oficiais), se existir um contrato entre o provedor da base e a UNIMED DE PINDAMONHANGABA, ou mediante expressa autorização do Encarregado ou do Comitê de Segurança da Informação.

Dados fornecidos por terceiros somente poderão ser recebidos mediante celebração de contrato que inclua a cláusula de privacidade robusta o suficiente, conforme orientações do departamento jurídico e do Encarregado, que deverão verificar a idoneidade de todos os terceiros que fornecem dados à UNIMED DE PINDAMONHANGABA. Nestes casos, os dados pessoais deverão possuir uma descrição completa do seu ciclo de vida, antes da realização do compartilhamento à UNIMED DE PINDAMONHANGABA, garantindo que, em nenhuma destas etapas, tenha ocorrido qualquer forma de tratamento ilícito ou inadequado.

 

4.9.2 Uso de Dados Pessoais

A utilização dos dados pessoais deverá estar limitada à expectativa que o titular dos dados possuía quando da realização da coleta das informações (inclusive se a coleta foi realizada por terceiros), sendo que, na eventual hipótese de necessidade de alteração da finalidade previamente informada ao titular, este deverá ser novamente informado sobre as intenções da UNIMED DE PINDAMONHANGABA, avaliando a necessidade de qualquer adequação.

O mesmo dado jamais poderá ser utilizado para outra finalidade, exceto com a ciência / expectativa do titular.

4.9.3 Armazenamento de Dados Pessoais          

O armazenamento de dados pessoais deverá ser realizado pelo tempo mínimo necessário para atendimento da finalidade pretendida e cumprimento de eventuais obrigações legais que regulam determinada atividade de tratamento, seguindo a Política de retenção de dados pessoais.

Sendo cumprida a finalidade e observados os prazos legais de necessária retenção da informação, os dados deverão ser descartados, o que por sua vez deverá seguir meios adequados, conforme definido no anexo III do documento SED-PS-TI-004 Classificação da informação, na plataforma SigQuali (com acesso restrito ao ambiente interno e setor responsável, caso necessário solicite acesso ao setor responsável).

Alternativamente, para fins estatísticos e de pesquisa, dados pessoais poderão passar por procedimento de anonimização permanente, validado pelo Comitê de Segurança da Informação junto a Diretoria e Gerência.

 

4.9.4 Tratamento de Dados Pessoais Sensíveis 

A legislação de proteção de dados pessoais classifica alguns tipos de dados pessoais como dados sensíveis, dada a capacidade que possuem de gerar discriminação ao titular destas informações.

A LGPD classifica as seguintes informações como dados pessoais sensíveis: a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando relacionados a um indivíduo.

Em regra, a UNIMED DE PINDAMONHANGABA não trata dados sensíveis para suas operações, utilizando-os apenas para finalidades internas, principalmente junto ao departamento de recursos humanos. Não obstante e em todo caso, para que as atividades de tratamento de dados pessoais sensíveis sejam consideradas lícitas e legítimas, se faz necessário o enquadramento destas atividades em uma das bases legais previstas pela LGPD, nos termos do item 4.3 acima.

Adicionalmente, dados sensíveis deverão receber a máxima prioridade na segurança, nos termos das políticas de segurança e classificação da informação vigentes.

Na hipótese de coleta de dados pessoais de pessoas com deficiência (PCD) serão tratados como dado pessoal sensível atendendo a conformidade ao tratamento de dados determinado na Lei 13.709/18 Lei Geral de Proteção de Dados.

 

4.9.5 Tratamento de Dados Pessoais de Crianças e Adolescentes    

Da mesma forma, o tratamento de dados pessoais de “crianças” e “adolescentes” deve ser situação excepcionalíssima. Nestes casos remotos, ele somente deverá ser realizado:

• Visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta.
• De forma clara e compreensível, de modo que informações destinadas a este público deverão ser prestadas de modo claro, acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado.

Quando do tratamento dos dados de “crianças”, deverá, necessariamente, haver a coleta do consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela lei.

 

4.9.6 Relatório de impacto à proteção de dados pessoais         

Os relatórios de impacto à proteção de dados pessoais são documentos que contêm a descrição dos processos que envolvem o tratamento de dados pessoais que, por sua natureza, são passíveis de gerar riscos às liberdades civis e individuais dos titulares dos dados pessoais. A elaboração deste documento será exigível em especial quando:

• Da realização de operações de tratamento de dados pessoais sensíveis; e
• Da realização e condução de operações que, por sua natureza, realizem o tratamento de dados críticos, passíveis de gerar altos riscos aos titulares de dados pessoais em caso de ocorrência de incidentes envolvendo tais informações.
• A operação de tratamento de dados pessoais estiver amparada na base legal do interesse legítimo.

Em caso de necessidade de elaboração deste documento, a obrigatoriedade primária de elaboração será do gestor da área responsável pela operação, tendo o Encarregado pela proteção de dados pessoais da UNIMED DE PINDAMONHANGABA, o papel primordial de avaliar o documento preparado por este gestor e elaborar um parecer final sobre a atividade de tratamento.

Ainda, o Encarregado da UNIMED DE PINDAMONHANGABA disponibilizará um modelo específico a ser seguido, o qual, dentre outras coisas, conterá: (i) a descrição dos tipos de dados coletados; (ii) a metodologia utilizada para a coleta e para a garantia da segurança das informações; e (iii) a análise do controlador com relação a medidas salvaguardas e mecanismos de mitigação de risco adotados.

Para auxiliar os gestores de cada área da UNIMED DE PINDAMONHANGABA a identificarem a necessidade de elaboração deste relatório, bem como auxiliá-los no momento de preparação deste documento, será realizado as campanhas educativas e cartilhas como orientação.

Via de regra, tais documentos não deverão ser publicados ou disponibilizados, contudo, poderão ser objeto de requisição da Autoridade Nacional de Proteção de Dados Pessoais, a qualquer tempo.

 

4.10 DIREITOS DOS TITULARES  

Em toda atividade de tratamento de dado pessoal, a UNIMED DE PINDAMONHANGABA deverá buscar garantir os direitos dos titulares abaixo. Em todos os casos, a identidade dos titulares requerentes deverá ser verificada, e o atendimento deverá ocorrer sob a orientação do Encarregado.

Com relação ao recebimento de requisições de exercício dos direitos dos titulares, a UNIMED DE PINDAMONHANGABA possui um canal aberto e direcionado aos colaboradores, cooperados, fornecedores, clientes, parceiros ou terceiros da UNIMED DE PINDAMONHANGABA, disponível por meio do endereço eletrônico: privacidade@unimedpinda.com.br. Ainda, caso estes direitos pretendam ser exercidos por aos colaboradores, cooperados, fornecedores, clientes, parceiros ou terceiros que possuam dados pessoais sob o escopo de tratamento da UNIMED DE PINDAMONHANGABA, a UNIMED DE PINDAMONHANGABA possui um canal específico direcionado para tanto, disponível por meio do endereço eletrônico: privacidade@unimedpinda.com.br

Eventual decisão de recusa no atendimento às requisições de titulares deverá ser validada pelo Encarregado e Comitê.

4.10.1. Direito à Informação e ao Acesso

Ao titular, mediante sua expressa requisição, é garantido o direito de confirmação da existência de tratamento de seus dados pessoais. A UNIMED DE PINDAMONHANGABA utilizará meios eficazes, cuja gestão e operacionalização será supervisionada pelo Encarregado, para fornecer cópia dos dados pessoais, mediante requisição do titular, por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.

Se em formato simplificado, o conjunto de dados deve ser entregue imediatamente.

Se exigido de forma completa, deverá ser fornecido no prazo de até 15 (quinze) dias, contado da data do requerimento do titular contendo as informações que seguem:

• Inexistência de registro;
• Origem dos dados;
• Critérios utilizados;
• Finalidade do tratamento.

Para os casos em que o tratamento tiver como origem o consentimento do titular ou contrato celebrado com o titular, este poderá solicitar cópia eletrônica integral de seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

 

4.10.2. Direito a Retificação           

O titular terá o direito de obter, a qualquer momento e mediante requisição, a correção de seus dados pessoais, quando incompletos, inexatos ou desatualizados.

4.10.3. Direito à exclusão, anonimização e bloqueio dos dados pessoais

O titular terá o direito de obter, a qualquer momento e mediante requisição, a eliminação, a anonimização ou o bloqueio de seus dados pessoais, quando as informações objeto de requisição se mostrarem excessivas, ou o tratamento dado pelo controlador estiver em desconformidade com as determinações da LGPD.

Em hipótese de ocorrência de requisições de eliminação de dados pessoais, a UNIMED DE PINDAMONHANGABA, considerando que nenhum direito possui caráter absoluto, deverá verificar se o tratamento dos dados objeto de requisição se justifica em algumas das hipóteses abaixo, caso em que a solicitação e, por consequência, o direito do titular dos dados não deverá prevalecer:

• Cumprimento de obrigação legal ou regulatória;
• Estudo por órgão de pesquisa;
• Transferência a terceiro, desde que respeitados os requisitos de Tratamento de dados dispostos em lei; ou
• Uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que os dados sejam mantidos anonimizados.

4.10.4. Direito à Oposição  

É garantido ao titular o direito de, a qualquer momento e mediante requisição, opor-se ao tratamento de seus dados pessoais, quando a base legal que originou o tratamento não for o consentimento. Neste mesmo sentido, este direito só será garantido e exercível quando a UNIMED DE PINDAMONHANGABA deixar de observar e cumprir algumas das disposições trazidas na legislação que trata sobre o tema.

 

4.10.5. Direito à portabilidade        

O titular tem direito de, a qualquer momento e mediante requisição, solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. Para tal, recomendamos que os dados pessoais do titular requerente sejam desvinculados de dados de outros titulares, e fornecidos em formato Interoperável, tal como XLS, CSV ou JSON.

 

4.10.6. Direitos atrelados ao consentimento       

O titular tem direito de, a qualquer momento e mediante requisição, solicitar informação sobre a possibilidade de não fornecer consentimento e as consequências de sua negativa, bem como de revogar o consentimento anteriormente fornecido.

 

4.11. COMPARTILHAMENTO DE DADOS PESSOAIS COM TERCEIROS       

Na hipótese da UNIMED DE PINDAMONHANGABA objetivar a transferência ou o compartilhamento de dados pessoais para terceiros (“operadores”), para a prestação de um serviço específico ou atendimento de uma demanda pontual, a UNIMED DE PINDAMONHANGABA deverá, necessariamente:

• Celebrar instrumentos contratuais robustos: capazes de garantir a integridade e a confiabilidade das informações compartilhadas, bem como o respeito às normas específicas relativas à privacidade e proteção de dados pessoais, com a utilização do banco cláusulas-padrão, que deverá ser anualmente validado e revisado pelo Encarregado, e aplicado seguindo o Procedimento de Contratos da UNIMED DE PINDAMONHANGABA, bem como a seguinte matriz:

4.11.1. Transferência internacional de dados pessoais

Na hipótese de transferência de dados pessoais para países estrangeiros, a UNIMED DE PINDAMONHANGABA deverá adotar uma das salvaguardas a seguir, necessárias para garantir a integridade, a disponibilidade e a confidencialidade dos dados pessoais, conforme regulações da Autoridade Nacional de Proteção de Dados.

• Caso os dados pessoais sejam transferidos para países com níveis de proteção de dados pessoais considerado como adequado pela ANPD.
• Quando a UNIMED DE PINDAMONHANGABA fornecer salvaguardas adequadas, no formato de: (i) cláusulas contratuais específicas para determinada transferência; (ii) cláusulas-padrão contratuais; (iii) normas corporativas globais; e (iv) selos, certificados e códigos de conduta regularmente emitidos.
• Caso coletado o consentimento específico do titular de dados pessoais;
• Quando exigido por Lei para a tutela da saúde e demais circunstâncias específicas; ou
• Quando expressamente autorizado pela Autoridade Nacional de Dados Pessoais.

 

4.12 RESPONSABILIDADES          

Para que a presente Política produza os efeitos pretendidos, é de grande importância que todos os colaboradores, gestores, diretores, alta direção, prestadores de serviços, parceiros, terceiros, dentre outros, observem as disposições contidas neste documento, e garantam seu cumprimento, levando em consideração que seus atos que poderão repercutir para a UNIMED DE PINDAMONHANGABA como um todo, produzindo efeitos de magnitudes não previsíveis.

Assim, com o apoio dos responsáveis descritos no item 4.4.2 acima, para a garantia do cumprimento das normas de privacidade e proteção de dados pessoais, os pontos a seguir devem ser observados por todos, sem prejuízo dos demais pontos desta política:

Os colaboradores e cooperados possuem como dever primário o de garantir a integridade, disponibilidade e confidencialidade dos dados pessoais tratados no exercício de sua função;

• O tratamento dos dados pessoais deverá, necessariamente, observar as finalidades propostas, não permitido o tratamento incompatível ou excessivo ou para finalidades diversas, sem que haja a expressa autorização da UNIMED DE PINDAMONHANGABA, o qual previamente validou esta nova finalidade com o titular das informações.
• O colaborador deverá se utilizar do mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções.
• Os dados pessoais tratados no exercício da função deverão necessariamente ser armazenados em local seguro e oficialmente aprovados pela UNIMED DE PINDAMONHANGABA, sendo vedado o armazenamento não autorizado em ambientes próprios, como notebooks ou área de trabalho de computadores.
• Os dados pessoais tratados no exercício da função não poderão ser apagados, deletados ou anonimizados, sem que haja comando direto da UNIMED DE PINDAMONHANGABA para tanto.
• Os dados pessoais tratados no exercício da função, como regra, não poderão ser enviados para endereços de e-mail pessoal ou dispositivos remotos como pen drives.

Feitas as recomendações básicas necessárias, todos os colaboradores da UNIMED DE PINDAMONHANGABA terão à disposição o atendimento do Encarregado de Proteção de Dados Pessoais da UNIMED DE PINDAMONHANGABA.

 

5. VALIDAÇÃO E APROVAÇÃO PELO CONSELHO DE ADMINISTRAÇÃO

 Esta Política foi validada e aprovada pelo Conselho de Administração, conforme ata de reunião do dia 09/05/2022

 

6. REGRAS DE CONSEQUÊNCIA

As consequências em caso de descumprimento destas diretrizes serão tratadas em conformidade com o Código de Conduta e Ética Institucional, tópico de penalidades e ações disciplinares. Situações excepcionais serão encaminhadas para a Diretoria Executiva e/ou demais órgãos de governança.

 

7. REFERÊNCIAS

RESOLUÇÃO NORMATIVA – RN Nº 452, DE 25 DE MARÇO DE 2020 – Institui o Programa de Acreditação de Operadoras de Planos Privados de Assistência à Saúde – Disponível em: http://www.ans.gov.br/images/stories/Legislacao/rn/452/anexos_rn_452.pdf

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO – Documento SED-POL-TI-002. Disponível no sistema Sigquali e Tasy.

CLASSIFICAÇÃO DA INFORMAÇÃO – Documento SED-PS-TI-004. Disponível no sistema Sigquali.

RESPOSTA A INCIDENTES – Documento SED-PS-TI-010. Disponível no sistema Sigquali.

NORMA DERIVADA Nº 015/19 – Sobre a Política Nacional de Proteção de Dados Pessoais do Sistema UNIMED DE PINDAMONHANGABA.

 

8. CONTROLE DE ALTERAÇÕES

Revisão 0 – Inicial.