Política de Privacidade de Dados | Unimed Leste Paulista

Siglas e Definições

ULP - UNIMED LESTE PAULISTA.
LGPD - Lei Federal nº 13.709/2018, a Lei Geral de Proteção de Dados.
Dado Pessoal - Toda e qualquer informação relativa a uma pessoa natural identificada ou identificável.
Dados Pessoais Sensíveis - Dado pessoal que diga respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Anonimização - Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento.
Encarregado (DPO) - Pessoa responsável pela Proteção de Dados Pessoais e pela interface de comunicação da organização com a ANPD e com os Titulares.
Titular - Pessoa natural identificada ou identificável a quem se referem os dados pessoais.
Tratamento - Toda operação efetuada com dados pessoais, por meios automatizados ou não, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador(a) - Pessoa a quem competem as decisões sobre o tratamento dos dados pessoais.
Operador(a) - Pessoa que realiza o tratamento de dados pessoais em nome do(a) controlador(a).
ANPD - Autoridade Nacional de Proteção de Dados.

Objetivos

Em suas atividades, a UNIMED LESTE PAULISTA realiza o tratamento de dados pessoais, tanto de pessoas relacionadas à sua estrutura interna, bem como de seus beneficiários e/ou usuários e terceiros.

Esta Política Interna de Proteção de Dados Pessoais ("Política") tem como objetivo apresentar as regras aplicáveis para o tratamento de dados pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou "LGPD"), alterada pela Lei Federal nº 13.853/2019, bem como organizar todos os pontos necessários para a construção de um programa de privacidade que garanta a conformidade com a referida legislação.

Resumidamente, esta Política visa demonstrar o comprometimento da ULP em:

Proteger os direitos dos titulares de dados pessoais;
Adotar processos e regras que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
Promover a transparência sobre a forma pela qual a ULP trata os dados pessoais; e
Adotar medidas de proteção em relação a risco de incidente de segurança que envolva dados pessoais, bem como apresentar o plano de resposta a incidentes e a remediação.

A UNIMED LESTE PAULISTA considera que garantir que o tratamento de dados pessoais seja realizado de forma legítima e correta é primordial para o sucesso de suas atividades, bem como para resguardar a sua credibilidade perante colaboradores, cooperados, beneficiários e/ou usuários, fornecedores de produtos ou serviços e ANPD.

Havendo conflito entre as disposições desta Política e a Legislação de Proteção de Dados aplicável, esta última prevalecerá.

Abrangência

Esta Política deverá ser observada por todos os integrantes da ULP, sejam eles colaboradores, cooperados, beneficiários, fornecedores de produtos ou serviços, sendo estabelecida como base cultural e procedimental em relação à proteção de dados e à privacidade.

Aplica-se esta Política também a todos que em algum momento tratam dados pessoais pela, ou em nome da ULP, em especial quando:

A operação de tratamento tenha sido ou será realizada no território brasileiro;
A atividade de tratamento objetivar a oferta ou o fornecimento de bens ou serviços ou que envolva o tratamento de dados de indivíduos localizados no território brasileiro; ou
Os dados pessoais objetos do tratamento que tenham sido coletados no território brasileiro.

Políticas ou outros documentos institucionais adicionais serão criadas para atender casos específicos no que tange à privacidade e à proteção de dados, principalmente se exigido por lei ou regulamento.

Diretrizes

PRINCÍPIOS NORTEADORES DA PROTEÇÃO DE DADOS PESSOAIS

A UNIMED LESTE PAULISTA cuidará para que todas as atividades de tratamento de dados pessoais observem a boa-fé e estejam em conformidade com os princípios trazidos pela legislação sobre privacidade e proteção de dados, sendo eles:

Princípios da finalidade: o tratamento de dados pessoais deve atender a propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedado o tratamento posterior de forma incompatível com essas finalidades;
Princípio da adequação: o tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Princípio da necessidade: o tratamento de dados pessoais deverá ser limitado ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Princípio do livre acesso: aos titulares deverá ser garantida a consulta facilitada e gratuita quanto à forma e à duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Princípio da qualidade dos dados: aos titulares deverá ser garantida a exatidão, a clareza, a relevância e a atualização dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Princípio da transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis, sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Princípio da segurança: a ULP deve adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos;
Princípio da responsabilização e prestação de contas: demonstração, pela ULP, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

PROGRAMA DE GOVERNANÇA EM PRIVACIDADE

Para que o Programa de Governança em Privacidade e Proteção de Dados Pessoais da UNIMED LESTE PAULISTA seja efetivo e produza resultados positivos, é importante que os pilares e procedimentos abaixo sejam constantemente observados durante as operações de tratamento de dados pessoais.

É necessário que todos os colaboradores, gestores, cooperados, diretores, prestadores de serviços, dentre outros, observem as políticas, instruções normativas e procedimentos que compõem o Programa de Governança em Privacidade da UNIMED LESTE PAULISTA.

Elenca-se, abaixo, o rol de documentos que devem ser aplicados pela UNIMED LESTE PAULISTA para dar cumprimento ao seu Programa de Governança em Privacidade e Proteção de Dados Pessoais:

Procedimento para Manuseio de Dados Pessoais;
Procedimento Privacy by Design;
Relatório de Impacto à Proteção de Dados Pessoais;
Procedimento para Uso e Gestão do Consentimento como Base Legal Autorizadora para o Tratamento de Dados Pessoais;
Procedimento para Compartilhamento de Dados Pessoais;
Normas de Transparência (Avisos de Privacidade);
Plano de Resposta a Incidentes de Violação de Dados Pessoais; e
Política de Segurança da Informação, Sigilo e Confidencialidade dos Dados.

Competência para Alterações: Os documentos que compõem o Programa de Governança em Privacidade da UNIMED LESTE PAULISTA somente poderão ser alterados mediante aprovação da Diretoria Executiva.

ESTRUTURA DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE

O Programa de Governança em Privacidade implementado na UNIMED LESTE PAULISTA, é composto por uma base normativa, elencada acima, assim como de uma equipe estruturada para garantir o bom atendimento e eficiência das normas supracitadas, por meio de treinamento, monitoramento e fiscalização.

A referida equipe é composta por:

Comitê de Privacidade;
Encarregado (DPO) pela Proteção de Dados;
Gerentes; e
Líderes.

COMITÊ DE PRIVACIDADE

O Comitê de Privacidade trata-se de um colegiado multidisciplinar liderado pelo Encarregado (DPO) pela proteção de dados pessoais e deve ser composto pelos representantes das seguintes áreas:

Encarregado (DPO) e Suplente pela Proteção de Dados Pessoais;
Gerente de Mercado;
Gerente de Controladoria;
Gerente de Saúde;
Gerente de Tecnologia da Informação;
Governança, Risco e Compliance e Qualidade;
Tecnologia da Informação;
Gestão de Pessoas;
HMU;
Vaga para participantes rotativos.

A formação do colegiado poderá ser revisada e alterada sempre que houver necessidade.

Este colegiado estará focado no debate e decisão sobre assuntos atinentes à privacidade e proteção de dados pessoais cuja criticidade ou risco sejam considerados altos. A sua composição, funcionamento e detalhamento de suas atividades constam no Regimento Interno POD LPD 002.

ENCARREGADO (DPO) PELA PROTEÇÃO DE DADOS PESSOAIS

É necessário haver a nomeação de responsável pela gestão e aplicação do Programa de Governança em Privacidade da UNIMED LESTE PAULISTA para facilitar o controle de conteúdo, as datas de publicação e os prazos para revisão dos documentos procedimentos que o compõem (incluindo esta Política).

O responsável pelo Programa de Governança em Privacidade da UNIMED LESTE PAULISTA é o Encarregado pela Proteção de Dados (DPO ou Data Protection Officer).

As principais atribuições do Encarregado (DPO) na UNIMED LESTE PAULISTA envolvem, sem prejuízo de demais atividades estabelecidas em políticas e procedimentos específicos que compõem o Programa de Governança em Privacidade:

Gestão do Programa;
Desenvolvimento, manutenção e propositura de revisão de procedimentos e políticas de privacidade daULP, inclusive desta Política;
Fiscalização do cumprimento de procedimentos e políticas do Programa;
Monitoramento do nível de conformidade da ULP, por meio de análises de diagnóstico semestrais, com a definição de planos de ação para melhorar o treinamento e a clareza dos documentos que integram o Programa;
Atuação como ponto de contato para a ANPD e os titulares dos dados pessoais;
Recepção de requisições dos titulares em conformidade com o Programa;
Preparo dos Relatórios de Impacto à Proteção de Dados Pessoais, com apuração e revisão dos riscos das atividades.

Por fim, o Encarregado (DPO) deve auxiliar os colaboradores da UNIMED LESTE PAULISTA e esclarecer-lhes sobre qualquer dúvida sobre o programa de privacidade e a forma correta de tratamento de dados pessoais a ser adotada durante a execução de suas atividades.

GERENTES

Os gerentes prestarão auxílio para o Encarregado (DPO), sem prejuízo de qualquer outra atividade atribuída a estes pelo Encarregado (DPO) pela Proteção de Dados, mediante prévia validação do Comitê de Privacidade, desse modo em relação ao Programa de Governança em Privacidade as atividades habituais dos Gerentes são:

Monitoramento do cumprimento das políticas e procedimentos internos;
Acompanhar os planos de ação para correção de gaps do Programa de Privacidade da UNIMED LESTE PAULISTA;
Elaborar e analisar os relatórios de impacto à proteção de dados pessoais;
Manutenção das evidências de execução do Programa de Governança em Privacidade.

Por fim, haverá atribuição aos Gerentes de alçada para decisões de aprovação de soluções, produtos, práticas de negócio, sistema etc., cujo risco de privacidade seja classificado como baixo, sendo os riscos médios e altos submetidos ao Encarregado (DPO) e ao Comitê de Privacidade.

LÍDERES

Os Líderes prestarão auxílio para o Encarregado (DPO), sem prejuízo de qualquer outra atividade atribuída a estes pelo Encarregado (DPO) pela Proteção de Dados, mediante prévia validação do Comitê de Privacidade, desse modo em relação ao Programa de Governança em Privacidade as atividades habituais dos Líderes são:

Facilitador de treinamento e comunicações para os colaboradores de sua área;
Levantador de informações de projetos da área, para auxílio no preparo de Relatório de Impacto à Proteção de Dados; e
Ponto focal dos colaboradores da área para com o Encarregado (DPO) e vice-versa.

Por fim, aos Líderes não será atribuído poder decisório.

AVALIAÇÃO DE TERCEIROS

Todos os terceiros com quem a UNIMED LESTE PAULISTA estabelecer vínculo comercial, deverá ser avaliado em relação à sua estrutura técnica e organizacional, a fim de que seja averiguada a sua capacidade de garantir a segurança dos dados pessoais eventualmente compartilhados na vigência do contrato firmado.

Esta avaliação deverá ser regulamentada por procedimento específico e deverá abranger avaliação documental e in loco quando necessário, sendo ainda necessário o ajuste de todos os contratos, vigentes e futuros para prever cláusula específica de proteção de dados pessoais.

Nos casos de profissionais terceirizados alocados nas dependências da UNIMED LESTE PAULISTA, conforme regulamento, deverão passar pelo mesmo treinamento ao qual os colaboradores da ULP são submetidos, para que possa conhecer as regras internas da Organização sobretudo, as normas de proteção de dados.

AVALIAÇÃO DE RISCO E MATURIDADE

A fim de garantir o fiel atendimento das normas que compõem o Programa de Governança em Privacidade da UNIMED LESTE PAULISTA, deverá ser realizado periodicamente uma avaliação de risco conduzida pelo Encarregado (DPO) pela proteção de dados pessoais, com o auxílio dos pontos focais internos das áreas para que sejam detectadas eventuais vulnerabilidades das áreas no que concerne às operações de tratamento de dados pessoais, para que posteriormente seja apontada medidas e mecanismos de mitigação de risco.

A referida avaliação deverá ser documentada bem como o seu plano de ação deverá ser exposto para o Comitê de Privacidade para eventuais deliberações e ajustes. Os referidos planos de ação deverão ser postos em prática pelos líderes das áreas, sob a coordenação do Encarregado (DPO) pela proteção de dados pessoais e sob a supervisão dos Gerentes.

PRIVACIDADE DESDE A CONCEPÇÃO VISANDO A UNIFORMIZAÇÃO

Com o intuito de diminuir a possibilidade de eventual risco se materializar, assim como para que as iniciativas da UNIMED LESTE PAULISTA sejam concebidas em conformidade com a LGPD, todos os novos produtos e projetos, assim como os projetos e produtos vigentes que sofrerem alguma alteração, deverão ser avaliados do ponto de vista de privacidade e de sua aderência às normas internas de privacidade e, por conseguinte, à LGPD, conforme procedimento específico, a ser adotado pelas áreas em conjunto com o Encarregado (DPO) pela proteção de dados pessoais, sem prejuízo da supervisão da Gerências cuja avaliação será necessária de Terceiros

RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

Sem prejuízo de qualquer outra forma adotada pelo Encarregado (DPO) pela proteção de dados para fazer o monitoramento do programa de privacidade, nos termos desta política, deverá ser adotado, quando cabível o relatório de impacto à proteção de dados pessoais.

O relatório de impacto à proteção de dados pessoais é documento que contém a descrição dos processos que envolvem o tratamento de dados pessoais que, por sua natureza, são passíveis de gerar riscos às liberdades civis e aos direitos fundamentais dos titulares dos dados pessoais. A elaboração deste documento será exigível em especial quando:

Houver o tratamento de dados críticos, passíveis de gerar altos riscos aos titulares em caso de ocorrência de incidentes envolvendo tais informações; e

A operação de tratamento de dados pessoais tiver como fundamento seu interesse legítimo.

Em caso de necessidade de confecção do mencionado relatório, a obrigatoriedade primária de elaboração será do gestor da área responsável pela operação, tendo o Encarregado (DPO) pela proteção de dados da UNIMED LESTE PAULISTA o papel primordial de avaliar o documento preparado por este colaborador e elaborar um parecer final sobre a atividade de tratamento.

O relatório de impacto deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise da UNIMED LESTE PAULISTA com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

O relatório produzido não será objeto de divulgação e serão observados os segredos comercial e industrial. Contudo, poderá ser objeto de requisição da ANPD a qualquer tempo e, por isso, a UNIMED LESTE PAULISTA manterá o relatório atualizado e armazenado.

DA DIVULGAÇÃO

Essa política poderá ser divulgada a todos da instituição com o objetivo de conscientizá-los, seja através do sítio eletrônico, da intranet ou por qualquer outro meio que alcance a finalidade.

DAS DÚVIDAS

No caso de alguma dúvida em relação as suas obrigações, direitos e deveres em relação ao tratamento de dados pessoais, entre em contato com nosso Encarregado (DPO) pela Proteção de Dados Pessoais (DPO) por meio do endereço: dpo@unimedlestepaulista.com.br ou pelo telefone: (019) 3638-2873.

DAS NOTÍCIAS DE INCIDENTES, RECLAMAÇÕES E COMUNICAÇÕES

Para se precaver em caso de incidentes de privacidade que importem em risco de dano aos titulares de dados pessoais, a UNIMED LESTE PAULISTA manterá canal público para recebimento de notícias de incidentes para ser utilizado pelos seus beneficiários e/ou usuários e colaboradores, sendo este: dpo@unimedlestepaulista.com.br.

As reclamações e comunicações dos titulares serão recebidas pelo Encarregado (DPO), que verificará o ocorrido e aplicará o Procedimento de Respostas a Incidentes.

DAS RESPONSABILIDADES

Para que esta Política produza os efeitos pretendidos, é de grande importância que todos os colaboradores, cooperados, gestores, diretores, prestadores de serviços, dentre outros, atuem de acordo com os princípios definidos pela LGPD e cumpram as normas de privacidade e proteção de dados pessoais.

Todos no exercício de suas atividades, deve garantir que os dados pessoais sejam tratados em conformidade com lei e com esta Política. No caso de eventual conduta contrária a essa Política, será analisado de forma administrativa, se houve falhas decorrente de dolo e/ou culpa do agente, bem como as sanções administrativas, civis ou penais à serem implementadas conforme cada caso concreto, devendo ser mensurado o grau do dano, se há reincidência, boa-fé e cooperação do agente, se houve vantagem auferida ou pretendida pelo agente, a gravidade e a natureza dos riscos gerados a instituição, considerando ainda os direitos que foram afetados.

DA REVISÃO

A revisão dessa Política poderá ocorrer a cada 1 (um) ano, ou por maior e/ou menor periodicidade conforme a necessidade da instituição, apontamento de auditoria ou para atender novas legislações em vigor.

Referências Bibliográficas

Este documento foi elaborado com base na Lei Federal n. 13.709/2018 - Lei Geral de Proteção de Dados "LGPD".