Política de Privacidade - Unimed Sul Paulista

Siglas e Definições
  • LGPD: Lei nº 13.709/18 de 14 de agosto de 2018 ou “Lei Geral de Proteção de Dados Pessoais” dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
  • Dados Pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.
  • Dados Pessoais Sensíveis: Qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico.
  • Anonimização: Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento.
  • Encarregado ou DPO: Pessoa responsável pela Proteção de Dados Pessoais na Unimed e pela comunicação com a ANPD (Autoridade Nacional de Proteção de Dados) e com os titulares, contatável através do Portal Privacidade, disponível no portal da Unimed Sul Paulista.
  • Titular: Pessoa a quem os dados pessoais se referem.
  • Tratamento: Qualquer operação efetuada sobre dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Controlador(a): Pessoa a quem competem as decisões sobre o tratamento dos dados pessoais.
  • Operador(a): Pessoa que realiza o tratamento de dados pessoais em nome do(a) controlador(a).
  • ANPD: Autoridade Nacional de Proteção de Dados.
Objetivo

A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem, como objetivo, apresentar as regras aplicáveis para o tratamento de dados pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), alterada pela Lei Federal nº 13.853/2019, bem como organizar todos os pontos necessários para a construção de um programa de privacidade que garanta a conformidade com a referida legislação.
Resumidamente, esta Política visa demonstrar o comprometimento da Unimed Sul Paulista em:
  • Proteger os direitos dos colaboradores, clientes e parceiros;
  • Adotar processos e regras que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • Promover a transparência na forma em que a Unimed trata dados pessoais; e
  • Proteger a Unimed, bem como seus colaboradores, clientes, fornecedores e parceiros de riscos envolvendo incidentes de segurança envolvendo dados pessoais.
Abrangência
Esta política aplica-se a todos os administradores (Diretores Estatutários, Membros do Conselho de Administração, Conselho Fiscal e Comitês), colaboradores e cooperados da Unimed Sul Paulista.
O cumprimento desta Política também é obrigatório a todos os Terceiros prestadores de serviços, e em especial quando:
  • A operação de tratamento tenha sido ou será realizada no território brasileiro;
  • A atividade de tratamento objetivar a oferta de bens ou serviços que envolva o tratamento de dados de indivíduos localizados dentro do território brasileiro; ou
  • Os dados pessoais objetos do tratamento tenham sido coletados dentro do território brasileiro.
Importante destacar que a presente política se aplica a quaisquer marcas e serviços da UNIMED SUL PAULISTA COOPERATIVA DE TRABALHO MÉDICO, bem como de suas filiais. Consequentemente, compreendem e se aplicam a todos os seus produtos.

Introdução
Durante o curso de suas atividades, a Unimed Sul Paulista realiza o tratamento de dados pessoais, tanto de pessoas relacionadas a sua estrutura interna, quanto de terceiros.
A Unimed Sul Paulista considera que garantir o tratamento de dados pessoais realizado de forma legítima, correta e conforme é importantíssimo para o sucesso de suas atividades, bem como para resguardar sua imagem e credibilidade perante colaboradores, clientes, fornecedores e parceiros, bem como perante o público em geral e a ANPD (Autoridade Nacional de Proteção de Dados).
Esta Política também deve ser observada por todos os integrantes da Unimed Sul Paulista, sendo estabelecida como base cultural e procedimental em relação à proteção de dados e privacidade.
Havendo conflito entre as disposições desta Política e a legislação de proteção de dados aplicável, esta última prevalecerá.

Diretrizes
  1. PRINCÍPIOS NORTEADORES DA PROTEÇÃO DE DADOS PESSOAIS
A Unimed Sul Paulista cuida para que todas as atividades de tratamento de dados pessoais observem a boa-fé e estejam em conformidade com os princípios trazidos pela legislação sobre privacidade e proteção de dados. São eles:
  1. Princípio da finalidade e adequação: O tratamento de dados pessoais se limita aos propósitos legítimos, específicos, explícitos e informados ao Titular, e somente ocorre de forma compatível com estas finalidades. Dados pessoais não poderão ser coletados/obtidos para uma finalidade, e depois utilizados para outra. Todos os usos de um dado são compatíveis com o motivo original da coleta/obtenção.
  2. Princípio da necessidade: a coleta e utilização de dados pessoais é limitada ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, garantindo também, que tais informações sejam armazenadas pelo menor tempo possível/necessário.
  3. Princípio do livre acesso e qualidade dos dados: aos titulares é garantida a consulta facilitada e gratuita quanto à forma e duração do tratamento e integralidade de seus dados pessoais, estando assegurada a exatidão, clareza, relevância e atualização destes.
  4. Princípio da transparência: são garantidas aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
  5. Princípio da segurança e prevenção: a segurança e confidencialidade dos dados pessoais devem ser garantidas por meio de medidas técnicas e organizacionais, abaixo exemplificadas, a fim de prevenir a ocorrência de incidentes de segurança envolvendo dados pessoais.
  6. Princípio da não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios, ilícitos ou abusivos.
  7. Princípio da responsabilização: a Unimed armazena registros de todas as atividades de tratamento de dados pessoais e as respectivas medidas tomadas para adequar tais atividades às normas relativas à privacidade e proteção de dados pessoais, comprovando a eficácia e eficiência de tais medidas.
  1. BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
Para que uma atividade de tratamento promovida pela Unimed seja considerada legítima e adequada à LGPD, ela deve se enquadrar em uma das hipóteses abaixo:
    1. Cumprimento de Obrigação Legal
O tratamento de dados será realizado para o cumprimento de uma obrigação legal ou regulatória. Nestes casos, é importante que os responsáveis pelo tratamento estejam cientes de qual a obrigação legal fundamenta o tratamento (lei, norma, regulação, decisão ou acordo judicial, etc.). Caso haja alguma alteração nestas regras, é possível que a atividade de tratamento também deva ser alterada.
Exemplos: Arquivamento de notas fiscais, exames admissionais, manutenção de documentos ambientais, controle de ponto de colaboradores e envio de dados ao E-Social
Aplica-se a: Dados pessoais e dados pessoais sensíveis.
 
    1. Execução de Contrato com o Titular
Aplica-se quando se faz tratamento de dados pessoais fundamentada em um contrato firmado (ou prestes a ser firmado) com o titular, possibilitando que a Unimed Sul Paulista cumpra com as obrigações estabelecidas neste documento.
Exemplos: Entrega de produtos a clientes, atendimento a clientes, recrutamento e seleção, pagamento de colaboradores e fornecimento de benefícios aos colaboradores.
Aplica-se a: Dados pessoais.
 
    1. Exercício Regular de Direitos
Para que a Unimed Sul Paulista garanta seus direitos de defesa, resposta, ou atuação junto a órgãos públicos, em processos judiciais ou administrativos, pode-se manter guardados dados pessoais ou documentos que contenham dados pessoais e dados pessoais sensíveis, sejam de colaboradores, dirigentes, clientes, fornecedores ou demais terceiros, visando garantir o direito de produção de provas, em observância aos preceitos constitucionais da ampla defesa e do contraditório.
A retenção dos dados não deve ultrapassar o período estabelecido na tabela de temporalidade documental, que, por sua vez, estará sempre atualizada com os prazos legais e prescricionais aplicáveis para estabelecimento do período de retenção.
Exemplos: Arquivo de processos judiciais, arquivo de documentos para defesa em processos trabalhistas, arquivo de documentos para defesa em processos trabalhistas e documentos de comprovação para obtenção de benefícios fiscais.
Aplica-se a: Dados pessoais e dados pessoais sensíveis.
 
    1. Tutela de Saúde
Dados pessoais podem ser utilizados para a realização de procedimentos de saúde, inclusive envolvendo serviços de saúde. Nestes casos, terá um envolvimento de um profissional de saúde, prestador de serviços de saúde ou autoridade sanitária.
Exemplos: Procedimentos de Medicina do Trabalho e procedimentos junto a operadoras de convênio médico.
Aplica-se a: Dados pessoais e dados pessoais sensíveis.
 
    1. Proteção à Vida
Em caso de perigo ou iminência de perigo à sua vida ou incolumidade física, esta base legal será utilizada para o tratamento de dados pessoais e dados pessoais sensíveis, prezando pela preservação da vida dos titulares.
Exemplos: Procedimentos de Segurança do Trabalho e protocolos de acidentes de trabalho e emergências médicas.
Aplica-se a: Dados pessoais e dados pessoais sensíveis.
 
    1. Proteção do Crédito
A proteção do crédito fundamenta situações onde a Unimed trata dados pessoais, ou consulta dados pessoais visando decidir sobre a concessão de crédito a clientes. Para a utilização desta base legal, são observadas todas as leis aplicáveis à proteção ao crédito, portanto, quando for permitida a avaliação de idoneidade financeira do titular dos dados pessoais, antes da comercialização de serviços e produtos.
Exemplo: Consulta a cadastros para avaliar idoneidade financeira.
Aplica-se a: Dados pessoais.
 
    1. Prevenção à Fraude e Segurança
A prevenção à fraude pode ser aplicada somente a dados sensíveis, quando utilizados em procedimentos de identificação e autenticação de cadastro em sistemas eletrônicos. Nestes casos, o titular será cientificado das formas nas quais seus dados sensíveis são tratados para essa finalidade, através de avisos complementares de privacidade.
Exemplo: Biometria digital e facial para segurança em cadastros.
Aplica-se a: Dados pessoais sensíveis.
 
    1. Interesse Legítimo do Controlador/Terceiros
Em hipótese excepcional, é utilizada para fundamentar interesses legítimos da UNIMED SUL PAULISTA, de modo que estes interesses não podem impactar de forma injusta ou desproporcional os direitos e liberdades dos titulares.
É importante que as atividades baseadas, nesta hipótese somente envolvem dados pessoais de titulares que já possuem alguma relação com a Unimed, sejam clientes, ex-clientes, colaboradores, etc. 
As atividades realizadas, com base no interesse legítimo, são revisadas e avaliadas pelo Encarregado/DPO, que também aprova o desenvolvimento de novos projetos que envolvam atividades deste tipo. A avaliação envolve a elaboração de Relatório de Impacto à Proteção de Dados, conforme item 7.13, com o apoio do responsável pela atividade.
Exemplos: Estudos e relatórios internos sobre as atividades da Unimed, avaliações de desempenho de colaboradores, oferta de serviços adicionais a titulares que já são clientes e estatística e analytics de serviços e plataformas.
Aplica-se a: Dados pessoais.
 
    1. Consentimento do Titular
Em caráter de excepcionalidade, algumas áreas coletam o consentimento do titular dos dados, o qual concede autorização mediante manifestação livre, espontânea, inequívoca e para finalidades determinadas. Esta base legal é utilizada para justificar o tratamento de dados pessoais e dados sensíveis, quando as atividades não se enquadram nas demais hipóteses, ou, eventualmente, quando houver determinação regulatória para a coleta de consentimento do beneficiário. Além disto, a Unimed Sul Paulista possui mecanismo de fácil revogação do consentimento coletado, bem como a verificação das atividades baseadas no consentimento, para avaliar se há aderência entre a finalidade atual da operação e o consentimento.
  1. PROGRAMA DE PRIVACIDADE UNIMED SUL PAULISTA
Para que o programa de privacidade da Unimed Sul Paulista se mostre efetivo e produza resultados positivos, os pilares e procedimentos abaixo são constantemente observados durante as operações de tratamento de dados pessoais.
    1. Gestão e Governança
Todos os pontos desta política são observados por todos aqueles descritos no item 2 acima (Âmbito de Aplicação). Além disso, a observância e o cumprimento de todas as obrigações da lei são definidos, documentados e registrados.
Visando essa organização, a Unimed Sul Paulista segue os pontos a seguir, na estrutura de governança, em privacidade e proteção de dados pessoais.
  1.        2. Responsáveis pelo Programa de Privacidade
Para facilitar o controle de conteúdo, datas de publicação e prazos para a revisão, os documentos de governança relacionados à privacidade (incluindo esta política) são controlados e gerenciados de forma centralizada pelo Comitê de Privacidade e Proteção de Dados Pessoais e pelo Encarregado de Proteção de Dados Pessoais.
  1.       1. Comitê de Privacidade e Proteção de Dados Pessoais
O comitê é composto por integrantes de áreas-chave da Unimed Sul Paulista, capazes de deliberar e decidir sobre assuntos relacionados à privacidade e proteção de dados, incluindo representantes da gerência, regulação, tecnologia da informação, gestão de rede contratos, recursos humanos, marketing, secretaria administrativa, serviço de arquivo médico, atendimento e qualidade da operadora e hospital. Adicionalmente, podem ser chamados, para deliberação de assuntos específicos, representantes de áreas específicas envolvidas em atividades de tratamento de dados pessoais. 
Os objetivos do comitê são, principalmente, garantir a comunicação do programa de privacidade e discutir ou tomar decisões sobre novas atividades de tratamento, com base nos riscos levantados através de Relatórios de Impacto à Proteção de Dados Pessoais.
Adicionalmente, o Comitê de Privacidade está sempre envolvido para tomar decisões a respeito de atividades de tratamento que envolvem riscos avaliados como altos. Caso o risco seja considerado muito alto, a decisão é escalada à Diretoria Executiva e Conselho de Administração.
  1.       2. Encarregado de Proteção de Dados / DPO
O Encarregado de Proteção de Dados tem como missão garantir a conformidade da Unimed Sul Paulista em relação às leis e demais normas de privacidade e proteção de dados aplicáveis, através do Programa de Privacidade. Entre as funções determinadas para o Encarregado estão:
  1. Gestão do programa de privacidade.
  2. Desenvolvimento, manutenção e revisão das normas e políticas de privacidade da Unimed Sul Paulista, inclusive desta política.
  3. Fiscalização do cumprimento das normas e políticas de privacidade da Unimed Sul Paulista.
  4. Monitoramento do nível de conformidade da Unimed Sul Paulista, através de análises de diagnóstico periódicas, com a definição de planos de ação para disseminação das políticas de privacidade.
  5. Ponto focal para autoridade nacional de proteção de dados e os titulares dos dados.
  6. Recepção e resposta as eventuais requisições realizadas por titulares de dados pessoais.
  7. Confecção dos Relatórios de Impacto à Proteção de Dados Pessoais, com apuração revisão dos riscos das atividades nele relatadas.
É de responsabilidade do Encarregado e Comitê de Privacidade a decisão, em casos de risco baixo a moderado, sobre as atividades de tratamento de dados pessoais conduzidas pela Unimed Sul Paulista. Caso o risco seja considerado alto, a decisão é escalada à Diretoria Executiva.
Compete também ao Encarregado auxiliar e orientar os colaboradores da Unimed Sul Paulista e sobre dúvidas quanto ao Programa de Privacidade e a forma correta de tratamento de Dados Pessoais a ser adotada durante a execução de suas atividades.
A Immunize Desenvolvimento de Sistema e Consultoria LTDA, sob o CNPJ:36.487.128/0001-79, representada pela colaboradora Dayane Martins, foi nomeada como Encarregada de Proteção de Dados da Unimed Sul Paulista.
    1. Registro de Operações de Tratamento de Dados Pessoais
A Unimed Sul Paulista mantém um registro de todas as suas operações de tratamento de dados pessoais, contendo, as seguintes informações sobre cada operação:
  1. Descrição do fluxo da informação em cada etapa de seu ciclo de vida (coleta, armazenamento, uso, compartilhamento – e neste caso, a finalidade para transferência – e descarte).
  2. Base legal para tratamento.
  3. Tipos de dados pessoais coletados.
  4. Finalidade para o qual o dado é tratado.
  5. Local lógico (nuvem, servidor, laptop etc.) e geográfico onde o dado é tratado.
  6. Período de retenção do dado.
  7. Área responsável pelo dado.
  8. Volume aproximado de registros existentes.
    1. Treinamentos
Todos os colaboradores da Unimed Sul Paulista que estejam envolvidos nas atividades de tratamento de dados pessoais recebem treinamentos periódicos, decididos pelo Comitê de Privacidade e Proteção de Dados Pessoais, especificamente sobre:
  1. Conceitos gerais de Privacidade e Proteção de Dados, incluindo a apresentação desta política e de materiais de estudo sobre os princípios da LGPD.
  2. Conceitos específicos de Privacidade e Proteção de Dados, aplicados às atividades de cada área.
    1. Transparência
Todas as operações envolvendo atividades de tratamento de dados pessoais de titulares devem observar o respectivo Aviso de Privacidade.
Além disso, caso a Unimed Sul Paulista promova atividade que envolve o tratamento de dados pessoais de forma que excepcionalmente não se enquadram nos Avisos de Privacidade, e se, em razão disso, o respectivo Aviso não contenha informações claras e suficientes sobre os pontos elencados abaixo, aplicáveis a esta atividade, é apresentado um aviso específico para complementação das informações fornecidas ao titular, devendo ser validado pelo Encarregado e disponibilizado antes que os dados pessoais sejam efetivamente tratados:
  1. Escopo da atividade.
  2. Quais os dados envolvidos na atividade.
  3. Finalidade da atividade de tratamento.
  4. Forma e duração do tratamento.
  5. Descrição da forma de coleta, utilização, armazenagem e descarte das informações.
  6. Informações sobre os agentes de tratamento envolvidos na atividade.
  7. A eventual existência de decisões automatizadas incorporadas na atividade.
    1. Consentimento
O consentimento somente embasará atividades de tratamento de dados pessoais em casos excepcionais. Nestes casos, o Encarregado será consultado para confirmar quanto à exigência de consentimento para a atividade, e a impossibilidade de seu enquadramento em outras bases legais, bem como revisar a forma de coleta do consentimento se aplicável, que observará os pontos a seguir:
  1. Manifestação livre: O titular deve fornecer o consentimento de maneira livre, sem que seja forçado a dar o consentimento para que possa usufruir do serviço/produto relacionado;
  2. Manifestação granular: O titular forneceu a sua autorização (consentimento) para que fosse realizado o tratamento em situações específicas e determinadas.
  3. Manifestação informada: O titular, teve acesso ao Aviso de Privacidade correspondente a atividade na qual foi sujeitado, antes do fornecimento de sua autorização, garantindo possuir plena ciência da finalidade e dos limites da atividade de tratamento realizada.
  4. Manifestação inequívoca: O titular forneceu os seus dados pessoais, sem qualquer dúvida ou questionamento quanto aos limites da atividade.
As áreas responsáveis por coletar os termos de consentimento mantêm evidências de documentação, armazenamento e gestão da autorização concedida para assegurar que o consentimento foi coletado de maneira correta, possibilitando a demonstração dessa atividade tanto ao próprio titular como para a Autoridade Nacional de Proteção de Dados - ANPD, bem como para garantir ao titular o direito à revogação do consentimento.
    1. Segurança da Informação
Para garantir a segurança dos dados pessoais tratados no exercício de suas atividades e evitar a ocorrência de acessos indevidos ou não autorizados, perda, destruição ou qualquer outra ação que comprometa a integridade, disponibilidade ou confidencialidade dessas informações, a Unimed Sul Paulista mantém procedimentos e ferramentas implementadas, os quais seguem os mais altos padrões das normas técnicas de segurança da informação.
O Comitê de Privacidade e Proteção de Dados Pessoais, o Encarregado e a área de segurança da informação da Unimed Sul Paulista trabalham em conjunto para manter todos os dados pessoais tratados sempre seguros, maximizando a prevenção a exposições, vazamentos e acesso indevido.
A Unimed Sul Paulista possui manual específico para casos de ocorrência de incidentes envolvendo dados pessoais. Em casos de ocorrência de incidentes envolvendo dados pessoais, será demonstrado procedimento para mitigação das consequências, que está disponível e pode ser consultado no Procedimento de Resposta a Incidentes de Violação de Dados Pessoais e manter contato de forma rotineira com o(s) responsável(is) por esses registros garantindo assim seu devido controle.
Para garantir que as medidas de segurança implementadas se mantenham sempre atualizadas e em consonância com as melhores práticas e ferramentas disponíveis atualmente no mercado, estes manuais e procedimentos passam por revisões periódicas, identificando e corrigindo eventuais falhas.
    1. Coleta, Uso, Armazenamento e Descarte de Dados
Todas as atividades de tratamento de dados pessoais promovidas e mapeadas pela Unimed Sul Paulista ocorrem em respeito a todos os pilares deste documento, estando sempre atribuídas a uma base legal específica, conforme termos do item 6 acima (Bases legais para o tratamento de dados pessoais).
    1. Coleta de Dados Pessoais
O procedimento de coleta de dados pessoais é limitado àqueles essenciais para o cumprimento da finalidade específica, determinada e informada ao titular dos dados, sempre observando a necessidade de manter atualizados os dados coletados.
Sempre que a coleta for feita em pontos ativos (onde os titulares fornecem seus próprios dados), os titulares dos dados pessoais são informados, antes da coleta, de todos os detalhes sobre a atividade de tratamento, nos termos do item 7.4 acima (transparência).
Dados pessoais somente são coletados em pontos passivos (através de acesso a bases públicas/privadas de dados, por exemplo) se tais bases forem notoriamente fidedignas (atribuídas a órgãos ou entidades públicas e oficiais), se existir um contrato entre o provedor da base e a Unimed, ou mediante expressa autorização do Encarregado ou do Comitê de Privacidade.
Dados fornecidos por terceiros somente são recebidos mediante celebração de contrato que inclua a cláusula de privacidade robusta o suficiente além do compromisso com normas específicas relativas à privacidade e proteção de dados pessoais. A idoneidade desses terceiros também deve ser verificada.
Nestes casos, os dados pessoais deverão possuir uma descrição completa do seu ciclo de vida, antes da realização do compartilhamento à Unimed, garantindo que, em nenhuma destas etapas, tenha ocorrido qualquer forma de tratamento ilícito ou inadequado.
A Unimed Sul Paulista coleta dados de seus públicos de relacionamento com foco exclusivo em operar seus produtos de assistência à saúde em todos os níveis, além de cumprir as legislações aplicáveis às cooperativas, em especial a Lei 9.656/1998 e normativas publicadas pela Agência Nacional de Saúde (ANS). Esses dados podem ser coletados no ato da aquisição dos produtos ou contratação de prestadores, como os dados cadastrais básicos, declarações de saúde e de vínculos de elegibilidade (trabalhistas, familiares etc.), e durante a assistência médica prestada, como dados de saúde e de utilização do plano. Assim, há o tratamento de dois tipos de dados pessoais: (a) aqueles fornecidos pelo próprio Titular; e (b) aqueles coletados automaticamente.
    1. Uso de Dados Pessoais
A utilização dos dados pessoais é limitada à expectativa que o titular dos dados possuía quando da realização da coleta das informações (inclusive se a coleta foi realizada por terceiros), sendo que, na eventual hipótese de necessidade de alteração da finalidade previamente informada ao titular, este será novamente informado sobre as intenções da Unimed, avaliando a necessidade de qualquer adequação.
O mesmo dado não poderá ser utilizado para outra finalidade, exceto com a ciência / expectativa do titular.
    1.  Armazenamento de Dados Pessoais
O armazenamento de dados pessoais será realizado pelo tempo mínimo necessário para atendimento da finalidade pretendida e cumprimento de eventuais obrigações legais que regulam determinada atividade de tratamento, seguindo a matriz de temporalidade.
Após o cumprimento da finalidade e término de prazos legais de retenção, os dados serão descartados, o que por sua vez deverá seguir meios adequados, conforme abaixo:
  1. Documentos e dados em formato físico: O descarte deve ser realizado por meio de trituradores de papel, sendo proibido o uso direto de lixeiras.
  2. Documentos e dados em formato eletrônico: o descarte ocorrerá conforme definido em documento específico da área de Segurança da informação, garantindo inclusive sua destruição nos servidores, fitas backup e quaisquer outros tipos de repositório de dados tecnológicos, desde que não seja justificada sua guarda.
Para fins estatísticos e de pesquisa, alguns dados pessoais podem passar por procedimento de anonimização permanente, validado pelo Encarregado e devidamente formalizado.
    1. Tratamento de Dados Pessoais Sensíveis
A Lei Geral de Proteção de Dados Pessoais classifica alguns dados como sensíveis, devido à capacidade de gerar discriminação ao titular destas informações. A LGPD traz as seguintes informações como dados pessoais sensíveis: a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando relacionados a um indivíduo.
Os dados pessoais sensíveis que são tratados pela Unimed Sul paulista em suas operações são considerados lícitos e legítimos, baseando-se nas bases legais previstas pela LGPD, conforme item 6, e recebem a máxima prioridade na Segurança de Informação.
    1. Tratamento de Dados Pessoais de Crianças e Adolescentes
O tratamento de dados pessoais de “crianças” e “adolescentes” é realizado:
  1. Voltado ao melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta.
  2. De modo que informações destinadas a este público sejam prestadas de modo claro, acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado.
Quando do tratamento dos dados de crianças e adolescentes, ocorrerá, necessariamente, a coleta do consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela lei.
    1. Relatório de Impacto à Proteção de Dados Pessoais
Os relatórios de impacto à proteção de dados pessoais são documentos que contêm a descrição dos processos que envolvem o tratamento de dados pessoais que, por sua natureza, são passíveis de gerar riscos às liberdades civis e individuais dos titulares dos dados pessoais. A elaboração deste documento será exigível em especial quando:
  1. Da realização de operações de tratamento de dados pessoais sensíveis.
  2. Da realização e condução de operações que, por sua natureza, realizem o tratamento de dados críticos, passíveis de gerar altos riscos aos titulares de dados pessoais em caso de ocorrência de incidentes envolvendo tais informações.
  3. A operação de tratamento de dados pessoais estiver amparada na base legal do interesse legítimo.
Em caso de necessidade de elaboração deste documento, a obrigatoriedade primária de elaboração será do gestor da área responsável pela operação, tendo o Encarregado pela proteção de dados pessoais o papel primordial de avaliar o documento preparado por este gestor e elaborar um parecer final sobre a atividade de tratamento.
Via de regra, tais documentos não deverão ser publicados ou disponibilizados, contudo, poderão ser objeto de requisição da Autoridade Nacional de Proteção de Dados Pessoais, a qualquer tempo.
    1. Direitos dos Titulares
A Unimed Sul Paulista disponibiliza, em todas as atividades de tratamento de dados pessoais, os direitos dos titulares. A identidade dos titulares requerentes deve ser verificada e o atendimento acontece sob a orientação do Encarregado.
Para recebimento de requisições de exercício dos direitos dos titulares, a Unimed Sul Paulista possui canais abertos e direcionados, conforme abaixo:
  1. Para colaboradores: Portal privacidade disponível no site da Unimed Sul Paulista.
  2. Para clientes, parceiros ou terceiros: Portal privacidade disponível no site da Unimed Sul Paulista ou solicitação presencial na Central de Atendimento ao Cliente.
Eventual decisão de recusa, parcial ou total, no atendimento às requisições de titulares será validada pelo Encarregado.
      1. Direito à Informação e ao Acesso
Ao titular, mediante sua expressa requisição, é garantido o direito de confirmação da existência de tratamento de seus dados pessoais. A Unimed utiliza meios eficazes, cuja gestão e operacionalização será supervisionada pelo Encarregado, para fornecer cópia dos dados pessoais, mediante requisição do titular, por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.
Se em formato simplificado, o conjunto de dados deve ser entregue imediatamente.
Se exigido de forma completa, será fornecido no prazo de até 15 (quinze) dias, contado da data do requerimento do titular contendo as informações que seguem:
  1. Inexistência de registro;
  2. Origem dos dados;
  3. Critérios utilizados;
  4. Finalidade do tratamento.
Para os casos em que o tratamento tiver como origem o consentimento do titular ou contrato celebrado com o titular, este poderá solicitar cópia eletrônica integral de seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
 
      1. Direito à Retificação
O titular tem o direito de obter, a qualquer momento e mediante requisição, a correção de seus dados pessoais, quando incompletos, inexatos ou desatualizados.
      1. Direito à Exclusão, Anonimização e Bloqueio dos Dados Pessoais
O titular tem direito de obter, a qualquer momento e mediante requisição, a eliminação, a anonimização ou o bloqueio de seus dados pessoais, quando as informações objeto de requisição se mostrarem excessivas, ou o tratamento dado pelo controlador estiver em desconformidade com as determinações da LGPD.
Em hipótese de ocorrência de requisições de eliminação de dados pessoais, a Unimed Sul Paulista, considerando que nenhum direito possui caráter absoluto, verificará se o tratamento dos dados objeto de requisição se justifica em alguma hipótese legal, caso em que a solicitação e, por consequência, o direito do titular dos dados não prevalecerá.
      1. Direito à Oposição
É garantido ao titular o direito de, a qualquer momento e mediante requisição, opor-se ao tratamento de seus dados pessoais, quando a base legal que originou o tratamento não for o consentimento. Neste mesmo sentido, este direito só será garantido e exercível quando a Unimed deixar de observar e cumprir algumas das disposições trazidas na legislação que trata sobre o tema.
      1. Direito à Portabilidade
O titular tem direito de, a qualquer momento e mediante requisição, solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. Para atendimento a essa solicitação do titular é necessário que os dados pessoais do titular requerente sejam desvinculados de dados de outros titulares, e fornecidos em formato Interoperável, tal como.xls, .xlsx, .csv ou JSON.
      1. Direitos Atrelados ao Consentimento
Mediante requisição e a qualquer momento, o titular pode solicitar informação sobre a possibilidade de não fornecer consentimento e as consequências de sua negativa, bem como de sua revogação.
    1. Compartilhamento de Dados Pessoais com Terceiros
Em situações onde seja necessária a transferência ou o compartilhamento de dados pessoais para terceiros (considerados “operadores”), para a prestação de um serviço específico ou atendimento de uma demanda pontual, a Unimed Sul Paulista formaliza instrumentos contratuais para garantir a integridade e a confiabilidade das informações compartilhadas e também respeito às normas específicas relativas à privacidade e proteção de dados pessoais.
A Unimed Sul Paulista exige dos operadores com os quais compartilha os dados pessoais de seus Titulares, ou seja, as empresas terceirizadas que realizarem o processamento de quaisquer dados que coleta, que implementem uma Política de Segurança da Informação (PSI) e Política de Privacidade e Proteção de Dados Pessoais, que deverá conter as diretrizes que especificar como, por exemplo, os meios tecnológicos para assegurar a proteção dos dados. Se os dados forem classificados pela Unimed como “críticos”, o(s) operador(es) será(ão) auditado(s) para verificação do cumprimento das diretrizes estabelecidas.
    1. Transferência Internacional de Dados Pessoais
Na hipótese de transferência de dados pessoais para países estrangeiros, a Unimed Sul Paulista adotará uma das salvaguardas a seguir, necessárias para garantir a integridade, a disponibilidade e a confidencialidade dos dados pessoais, conforme regulações da Autoridade Nacional de Proteção de Dados Pessoais.
  1. Caso os dados pessoais sejam transferidos para países com níveis de proteção de dados pessoais considerados como adequado pela ANPD (Autoridade Nacional de Proteção de Dados).
  2. Quando a UNIMED fornecer salvaguardas adequadas, no formato de: (i) cláusulas contratuais específicas para determinada transferência; (ii) cláusulas-padrão contratuais; (iii) normas corporativas globais; e (iv) selos, certificados e códigos de conduta regularmente emitidos.
  3. Caso coletado o consentimento específico do titular de dados pessoais;
  4. Quando exigido por Lei para a tutela da saúde e demais circunstâncias específicas.
  5. Quando expressamente autorizado pela Autoridade Nacional de Dados Pessoais.
    1. Incidente de Segurança
Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
A Unimed Sul Paulista possui procedimento operacional para adotar as medidas de segurança, técnicas e administrativas no caso de ocorrência de um incidente, bem como realizar a devida comunicação à ANPD (Autoridade Nacional de Proteção de Dados) e o titular de dados. Se identificado, o titular poderá também notificar através do Portal da Privacidade disponível no link https://www.unimed.coop.br/web/sulpaulista/lgpd.
    1. Da Atuação Perante a Autoridade Nacional de Proteção de Dados
A Unimed Sul Paulista atuará em conjunto com a Autoridade Nacional de Proteção de Dados (ANPD) para zelar pela proteção de dados pessoais nos limites da legislação vigente e revisará suas diretrizes e procedimentos sempre que a ANPD exigir.
Todas as solicitações e/ou questionamentos da ANPD serão prontamente respondidas pelo Encarregado devidamente nomeado.
Havendo instauração de procedimento, pela ANPD, para averiguar qualquer situação envolvendo dados pessoais, como, mas não se limitando, ao descumprimento da LGPD, o Encarregado contará com o suporte do Comitê de Privacidade e Proteção de Dados Pessoais.
  1. RESPONSABILIDADES
Para que a presente Política produza os efeitos pretendidos, é de grande importância que todos os colaboradores, gestores, diretores, prestadores de serviços, dentre outros, observem as disposições contidas neste documento, levando em consideração que os atos de quaisquer colaboradores poderão repercutir para a Unimed Sul Paulista como um todo, produzindo efeitos de magnitudes não previsíveis.
Colaboradores ou fornecedores que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética, podendo ou não se identificar. O descumprimento das diretrizes desta Política acarretará aplicação de medidas cabíveis conforme o respectivo grau de importância e de acordo com normativos internos.
Situações excepcionais serão encaminhadas para a Diretoria Executiva e/ou demais órgãos de Governança.
  1. DISPOSIÇÕES GERAIS
Sem prejuízo das disposições contidas nesta Política, a Unimed Sul Paulista se reserva o direito de revisá-la, na periodicidade que melhor entender, sempre respeitando o prazo máximo de um ano.
Ocorrendo revisões e atualizações neste documento e que demandem nova coleta de consentimento, caso a Unimed Sul Paulista utilize essa base legal para o tratamento, o Titular será notificado por meio dos contatos que forneceu no cadastro.

Referências Bibliográficas
  • Lei Federal nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, “LGPD”.
  • Lei Federal nº 13.853/2019 – Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados.
  • Política de segurança da informação.
  • Resolução Normativa nº 452 da Agência Nacional de Saúde Suplementar (ANS).
  • Norma Derivada nº 015/19 - Sobre a Política Nacional de Proteção de Dados Pessoais do Sistema Unimed.