Políticas

Fique por dentro de todas as nossas políticas

1. PROPÓSITOS E PRINCÍPIOS

Esta Política tem como objetivo estabelecer princípios, diretrizes e responsabilidades em relação à proteção de dados pessoais na Saúde BRB para resguardar os seguintes princípios de privacidade:

  • Adequação – os dados coletados pela organização devem ser usados de forma condizente com o que foi informado e permitido pelo titular;
  • Necessidade – os dados pessoais do titular coletados pelo controlador devem ser específicos e suficientes para a finalidade, sendo impositivo que esta esteja claramente definida;
  • Transparência – a organização deve prestar informações claras e precisas obre as atividades relativas aos dados pessoais, bem como estar acessível para esclarecimentos e atendimento de demandas do titular;
  • Livre acesso: o proprietário dos dados deve ter pleno acesso à informações sobre a forma como as suas informações estão sendo tratadas;
  • Qualidade: diz respeito à clareza, exatidão, relevância e atualização dos dados utilizados pela Saúde BRB;
  • Segurança: consiste na garantia de confidencialidade prestada pela Organização sobre os dados dos proprietários;
  • Prevenção: a Instituição deve estar apta para resolver quaisquer problemas com os dados de forma antecipada, no intuito de evitar ônus a si e ao titular;
  • Responsabilização e prestação de contas: a Caixa de Assistência é responsável pela adoção de medidas que comprovem boa-fé e diligência relacionadas à proteção de dados;
  • Não-discriminação: sobre qualquer hipótese haverá discriminação ou abuso contra o titular com base no tratamento de seus dados;
  • Finalidade: a Saúde BRB deverá comunicar, de forma clara e tempestiva, as destinações dos dados pessoais coletados.

Esta Política foi formulada tendo como referência a Missão, a Visão e os Valores Corporativos da Saúde BRB e tem também como objetivo promover a conformidade dos processos e atividades internas com a legislação e as melhores práticas relativas à proteção de dados pessoais.

2. APLICAÇÃO

A Política de Privacidade Corporativa aplica-se à Saúde BRB – Caixa de Assistência e à Clínica Saúde BRB.

3. PÚBLICO-ALVO

Esta Política estabelece as orientações gerais para a proteção de dados pessoais no ambiente corporativo da Saúde BRB, de beneficiários, fornecedores e parceiros no Brasil e no exterior, uma vez que na execução de suas operações coleta, manuseio e armazenamento de informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis, com vistas a:

    1. Estar em conformidade com as leis e regulamentações aplicáveis de proteção de dados pessoais, e seguir as melhores práticas;
    2. Proteger os direitos dos empregados da Instituição, beneficiários, fornecedores e parceiros contra os riscos de violações de dados pessoais;
    3. Ser transparente em relação aos procedimentos da Saúde BRB no Tratamento de dados pessoais; e
    4. Promover a conscientização do público interno sobre a proteção de dados pessoais e questões de privacidade.

Em particular, esta política exige que a equipe garanta que o DPO [Data Protection Officer] ou Encarregado de Proteção de Dados, seja consultado antes que qualquer nova atividade significativa de processamento de dados seja iniciada para garantir que as etapas de conformidade relevantes sejam tratadas.

Esta política deverá ser cumprida por empregados, parceiros, consultores, especialistas ou pessoas contratadas em regime temporário, estagiários, menores aprendizes e integrantes do quadro de pessoal de empresas contratadas e os integrantes que tenham acesso a quaisquer dados pessoais sob a guarda da Saúde BRB ou em seu nome.

4. REFERÊNCIAS
  • Lei Federal nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, que define as normas e procedimentos para o tratamento de dados pessoais [LGPD].
  • Resolução Normativa ANS – RN n° 443/2019 – dispõe sobre adoção de práticas mínimas de governança corporativa, com ênfase em controles internos e gestão de riscos, para fins de solvência das operadoras de planos de assistência à saúde.
  • Estatuto – Saúde BRB.
  • Código de Ética e Conduta – Saúde BRB.
  • Regulamento Organizacional – Saúde BRB.
  • Regulamento de Pessoal – Saúde BRB.
  • Plano Estratégico 2021/2023 – Saúde BRB.
  • ISO 27001 – Sistema de Gestão de Segurança da Informação – norma para implementação de um sistema de gestão com foco em segurança da informação.
  • ISO 27701 – Sistema de Gestão de Segurança Privada –extensão da ISO 27001, tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
5. DEFINIÇÕES
  • Agentes de tratamento – o controlador e o operador.
  • Anonimização – utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  • Assessoria Técnica – [ASTEC] – unidade organizacional subordinada à Superintendência -DISUP, responsável pelo atendimento institucional a órgãos reguladores e fiscalizadores, patrocinadoras e auditorias, ouvidoria, planejamento estratégico, riscos corporativos [incluindo a governança, privacidade, proteção de dados e riscos de tecnologia], secretaria executiva, advocacia preventiva, consultivo jurídico, gestão do contencioso judicial e administrativo.
  • Autoridade nacional – órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
  • Banco de dados – conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
  • Bloqueio – suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Cibersegurança – prática que protege computadores e servidores, dispositivos móveis, sistemas eletrônicos, redes e dados contra ataques maliciosos. Também é chamada de segurança da tecnologia da informação ou segurança de informações eletrônicas.
  • Consentimento – manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  • Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Dado anonimizado – dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  • Dado pessoal – informação relacionada à pessoa natural identificada ou identificável.
  • Dado pessoal de criança e de adolescente – o Estatuto da Criança e do Adolescente [ECA] considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
  • Dado pessoal sensível – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Eliminação – exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  • Encarregado – pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados [ANPD].
  • Garantia da segurança da informação – capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.
  • Garantia da segurança de dados – ver garantia da segurança da informação
  • Gerência de Apoio Logístico e Finanças – [GERAF] – unidade organizacional, subordinada à Superintendência, responsável pelos processos – Contabilidade, Cadastro de Beneficiários, Finanças e Tributos, Gestão de Pessoas, Logística Interna, Orçamento e Tecnologia da Informação.
  • Interoperabilidade – capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico [ePING].
  • Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
  • Órgão Executivo – [OEX] – instância colegiada responsável pela administração geral da Saúde BRB cabendo-lhe, precipuamente, cumprir e fazer cumprir normas legais, estatutárias e regulamentares, bem como fazer executar as diretrizes legais baixadas pelo Conselho Deliberativo, dentro dos objetivos por ele fixados.
  • Relatório de impacto à proteção de dados pessoais – documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  • Segregação de funções – consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de maneira que nenhum colaborador, visitante, estagiário ou prestador de serviços, detenha poderes e atribuições em desacordo com este princípio, ou conflitantes entre si.
  • Setor de Administração – [SETAD] – unidade organizacional, subordinada à Gerência de Apoio Logístico e Finanças – [GERAF], responsável pelo departamento pessoal, treinamento/capacitação e gestão de empregados da Saúde BRB.
  • Setor de Informática – [SETIN] – unidade organizacional, subordinada à Gerência de Apoio Logístico e Finanças – [GERAF], responsável pelo pela gestão de infraestrutura de rede, cibersegurança, monitoramento e auditoria das informações e suporte técnico;
  • Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento Transferência internacional de dados.
  • Tratamento – toda operação realizada com dados pessoais, tais como:
    • Acesso – possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc.;, visando receber, fornecer, ou eliminar dados;
    • Armazenamento – ação ou resultado de manter ou conservar em repositório um dado;
    • Arquivamento – ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência;
    • Avaliação – ato ou efeito de calcular valor sobre um ou mais dados;
    • Classificação – maneira de ordenar os dados conforme algum critério estabelecido;
    • Coleta – recolhimento de dados com finalidade específica;
    • Comunicação – transmitir informações pertinentes a políticas de ação sobre os dados;
    • Controle – ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
    • Difusão – ato ou efeito de divulgação, propagação, multiplicação dos dados;
    • Distribuição – ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
    • Eliminação – ato ou efeito de excluir ou destruir dado do repositório;
    • Extração – ato de copiar ou retirar dados do repositório em que se encontrava
    • Modificação – ato ou efeito de alteração do dado;
    • Processamento – ato ou efeito de processar dados;
    • Produção – criação de bens e de serviços a partir do tratamento de dados;
    • Recepção – ato de receber os dados ao final da transmissão;
    • Reprodução – cópia de dado preexistente obtido por meio de qualquer processo;
    • Transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro;
    • Transmissão – movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.;
    • Utilização – ato ou efeito do aproveitamento dos dados.
  • Uso compartilhado de dados – comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
6. DIRETRIZES

As seguintes diretrizes norteiam a governança e privacidade de dados pessoais na Saúde BRB:

    1. Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos em que a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;
    2. Garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;
    3. Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que eles sejam coletados ou usados pela primeira vez para um novo propósito;
    4. Fornecer ao titular, sempre que necessário, explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;
    5. Limitar a coleta de dados pessoais estritamente ao que é permitido pela legislação vigente e em conformidade com o consentimento do titular, minimizando, quando possível;
    6. Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;
    7. Reter dados pessoais apenas pelo tempo necessário ao cumprimento dos propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;
    8. Bloquear o acesso a dados pessoais, e não realizar qualquer tratamento quando os propósitos declarados expirarem, mas reter os dados pessoais quando for exigido pela legislação vigente;
    9. Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista base legal para manter dados desatualizados;
    10. Fornecer aos titulares dos dados pessoais tratados as informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela Organização, incluindo os dados que são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter informações adicionais;
    11. Notificar titulares, quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;
    12. Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com nível apropriado de garantia e que não haja qualquer restrição legal a esse acesso ou a revisão dos seus dados pessoais;
    13. Garantir a rastreabilidade e prestação de contas durante o tratamento de dados pessoais, inclusive quando esses forem compartilhados com terceiros;
    14. Tratar integralmente de violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;
    15. Garantir que, na ocorrência de violação de dados, as partes interessadas sejam notificadas, conforme requisitos e prazos previstos na legislação vigente;
    16. Documentar e comunicar, conforme apropriado, as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
    17. Estruturar a unidade organizacional responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
    18. Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para dados pessoais;
    19. Disponibilizar políticas, normas e procedimentos sobre proteção de dados pessoais às partes interessadas e autorizadas, tais como: empregados, terceiros contratados, e, onde pertinente, de parceiros e beneficiários,
    20. Garantir a educação continuada e a conscientização de empregados, terceiros contratados e, onde pertinente, de parceiros e beneficiários, sobre as práticas de proteção de dados pessoais adotadas pela Saúde BRB;
    21. Aprimorar, de forma contínua, a gestão de proteção de dados pessoais, por meio da definição e revisão sistemática dos objetivos de privacidade e de proteção de dados pessoais em todos os níveis da Instituição;
    22. Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que sejam usados para fins discriminatórios, ilícitos ou abusivos;
    23. Garantir a conformidade integral com leis e regulamentações de proteção de dados pessoais;
    24. Tratar os dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural;
    25. Adotar medidas para garantir que as regras de privacidade e proteção de dados sejam cumpridas ao implementar processos, procedimentos ou sistemas que envolvam tratamento de dados pessoais, desde a fase de concepção até o lançamento/implantação de cada projeto.
7. DIREITOS DOS TITULARES DE DADOS PESSOAIS

A Saúde BRB está comprometida com os direitos dos titulares de dados pessoais, quais sejam:

    1. Ser informado de como serão tratados os seus dados pessoais coletados e sob a guarda da Saúde BRB;
    2. Possibilitar o acesso aos seus dados pessoais sob a guarda da Saúde BRB;
    3. Corrigir os seus dados pessoais se estiverem imprecisos, incorretos ou incompletos;
    4. Excluir, bloquear e/ou anonimizar seus dados pessoais em determinadas circunstâncias [“direito de ser esquecido”]. Isso pode incluir, mas não se limita às circunstâncias em que não é mais necessário que a Saúde BRB retenha seus dados pessoais para os propósitos para os quais foram coletados;
    5. Restringir o tratamento de seus dados pessoais em determinadas circunstâncias;
    6. Opor-se ao tratamento dos seus dados pessoais, caso seja baseado em legítimo interesse;
    7. Revogar o consentimento a qualquer momento;
    8. Possibilitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa;
    9. Revisar as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; e
    10. Apresentar queixa à Saúde BRB ou à Autoridade Nacional de Proteção de Dados, caso suspeite que qualquer um de seus direitos de proteção de dados pessoais tenha sido violado.
8. RESPONSABILIDADE 1. Órgão Executivo – [OEX]
  1. Assegurar que a Política de Privacidade Corporativa seja aderente aos objetivos estratégicos da Saúde BRB.
  2. Assegurar que esta Política de Privacidade Corporativa e normas correlatas sejam efetivamente cumpridas.
  3. Ter comprometimento com as diretrizes de privacidade e atuar como agente mobilizador para o cumprimento dos dispositivos desta Política.
  4. Prover os recursos necessários para o cumprimento das diretrizes desta Política de Privacidade Corporativa.
  5. Implementar controles internos – normativos e reportes sistematizados periódicos ao [OEX] – que documentem processos e procedimentos e evidenciem a gestão adequada das atividades relacionadas à proteção de dados pessoais.

2. Diretor-Superintendente, Gerentes, Coordenadores e Supervisores

  1. Assegurar que os subordinados estejam conscientizados da importância das boas práticas de privacidade de dados em suas rotinas de trabalho e demandar ao [SETAD] as capacitações adequadas às responsabilidades inerentes aos cargos que ocupam, incluindo aspectos relevantes da legislação, regulamentos e contratos, dentre outros.
  2. Segregar as funções de aprovação de operações, execução e controle na equipe subordinada, de modo que nenhuma pessoa possa ter completa autoridade sobre uma parcela significativa de qualquer processo.
  3. Assegurar que as permissões de acesso aos sistemas dos seus colaboradores estejam registradas, controladas e aderentes às atribuições dos cargos que ocupam.
  4. Acompanhar o cumprimento dessa Política e das normas internas correlatas, bem como assegurar que os riscos corporativos, em suas unidades organizacionais, estejam avaliados e controlados adequadamente.
  5. Orientar suas equipes sobre o uso adequado de dados pessoais manuseados na Saúde BRB.
  6. Comunicar à [ASTEC] e ao [SETIN] os casos de descumprimento de Políticas, Normas ou Procedimentos internos, e os casos de falhas na execução de atividades operacionais.
  7. Prover informações necessárias para a identificação e tratamento de riscos relacionados à privacidade de dados.

3. Assessoria Técnica – [ASTEC]

  1. Avaliar, sob o aspecto jurídico e regulatório, os riscos relacionados à privacidade de dados e a suficiência dos controles identificados nos incidentes de segurança da informação e reportar às instâncias competentes, provendo suporte nas eventuais ações preventivas e/ou corretivas.
  2. Assessorar, sob o aspecto jurídico e regulatório, quanto à identificação, planejamento e coordenação de programas para melhoria das atividades relacionadas à proteção de dados pessoais, implementando e aprimorando os processos e controles.
  3. Prover consultoria e suporte às unidades organizacionais para quaisquer requerimentos de privacidade, propor controles apropriados e verificar a implementação, manutenção e operação destes controles.
  4. Monitorar, em conjunto com o [SETIN], o cumprimento desta Política de Privacidade Corporativa e normas correlatas.
  5. Assegurar que nos contratos celebrados pela Saúde BRB estejam presentes cláusulas de sigilo e confidencialidade que reflitam os princípios e normatizações aqui dispostas, quando cabível.
  6. Revisar periodicamente as regras de privacidade corporativa estabelecidas e propor alterações.

4. Setor de Tecnologia da Informação – [SETIN]

  1. Propor soluções para monitoração da utilização dos recursos tecnológicos disponibilizados aos usuários, para que o tratamento dos dados seja realizado adequadamente.
  2. Definir e configurar equipamentos e aplicativos para correta utilização dos recursos tecnológicos, atentando, inclusive, para que os requisitos de segurança e privacidade sejam aplicados e os respectivos controles estejam adequadamente implementados, operados e mantidos de acordo com esses padrões.
  3. Monitorar, em conjunto com a [ASTEC], o cumprimento desta Política de Privacidade Corporativa e normas correlatas.
  4. Propor ações para melhoria da cibersegurança com vistas à otimização dos recursos alocados em ativos de informação, projetos, processos de negócio e proteção dos dados.
  5. Homologar os recursos tecnológicos, de forma a garantir segurança da informação, considerando a privacidade por padrão, atentando sempre os princípios e diretrizes estabelecidos nesta Política.
  6. Monitorar impactos na segurança e de privacidade do ambiente tecnológico quando da alteração ou inclusão de recursos, ou decorrentes da aquisição de serviços e ativos da informação, emitindo parecer sobre as necessidades de adequação dos mesmos antes de iniciarem suas operações.
  7. Manter registros e documentação relativos à cibersegurança em nível corporativo, incluindo um banco de dados de riscos e assuntos de segurança tecnológica e privacidade.
  8. Detectar, identificar e registrar violações, ou tentativas de acessos relevantes e significativas não autorizadas, para tomada de providências corretivas, legais e de auditoria.
  9. Monitorar os acessos visando verificar: vazamento de informações. acessos ou tentativas de acessos a sites com conteúdo inadequado, repasse de conteúdo inadequado, tentativa de quebra de controles de segurança da informação e privacidade dos dados. e armazenamento de arquivos multimídia.
  10. Restringir e controlar os acessos e os privilégios de usuários dos ativos de informação, incluindo os aqueles com privilégios de acesso remoto e externo, para que o tratamento dos dados seja realizado apenas por quem de direito.
  11. Registrar formalmente todos os incidentes de segurança da informação identificados e/ou reportados, facilitando a identificação e tratamento dos incidentes envolvendo dados pessoais.
  12. Encaminhar, para ciência da [ASTEC], os incidentes de segurança da informação identificados e/ou reportados, facilitando a identificação e tratamento dos incidentes envolvendo dados pessoais.
  13. A qualquer tempo, efetivar a restrição, bloqueio, suspensão e/ou cancelamento de acessos e/ou tecnologias [hardware e/ou software] que estejam infringindo as políticas de segurança, como também nos casos em que sejam verificados incidentes de segurança ou que haja identificação de vulnerabilidades.
  14. Manter registros atualizados de solicitações, permissões, alterações e cancelamentos de acessos de usuários de ativos de informação.

5. Setor de Administração – [SETAD]

  1. Orientar novos colaboradores, no processo de admissão, sobre suas responsabilidades e as diretrizes e regras definidas nesta Política e normas internas correlatas.
  2. Obter a ciência do colaborador no termo de compromisso e responsabilidade sobre a Política de Privacidade Corporativa, no processo de admissão e sempre que houver atualização de seus dispositivos.
  3. Nos casos de remanejamento interno de usuários, providenciar tempestivamente a adequação dos acessos a dados pessoais permitidos e acionar o [SETIN] para que sejam adotadas as providências pertinentes.
  4. Nos processos de demissão, providenciar tempestivamente o cancelamento dos acessos a dados pessoais permitidos ao usuário desligado e acionar o [SETIN] para que sejam adotadas as providências pertinentes.
  5. Desenvolver e implementar, em conjunto com a [ASTEC] e [SETIN], programas periódicos de capacitação e conscientização para os colaboradores sobre proteção de dados pessoais.

6. Público Interno:

  1. Ler, compreender e cumprir fielmente a Política de Privacidade Corporativa e as normas correlatas, como também quaisquer outras leis ou normas aplicáveis.
  2. Proteger os dados pessoais contra acessos, modificação, destruição ou divulgação não autorizada pela Saúde BRB.
  3. Fazer uso adequado dos dados pessoais manuseados no exercício de suas atribuições, de forma que sejam utilizados exclusivamente para as finalidades definidas pela Saúde BRB.
  4. Em lugares públicos, áreas expostas, blogs, sites e redes sociais, observar o sigilo profissional sobre as informações a que tem acesso na Caixa de Assistência, em especial aquelas que possam ensejar riscos relacionados à privacidade de indivíduos e à reputação da Instituição.
  5. Comunicar, por meio do e-mail [email protected] qualquer descumprimento ou violação desta Política e de normas correlatas, ou qualquer evento que possa trazer impactos na proteção de dados pessoais.
9. ENCARREGADO DE DADOS

O [OEX] definirá o agente responsável para atuar como canal de comunicação entre a Caixa de Assistência, os titulares dos dados e a Autoridade Nacional de Proteção de Dados [ANPD].

São atribuições do Encarregado de Dados:

    1. Acolher reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
    2. Receber comunicações da Autoridade Nacional e adotar providências.
    3. Orientar os empregados e os contratados da Instituição a respeito das práticas e serem tomadas em relação à proteção de dados pessoais.
    4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O encarregado de dados será contatado por meio do canal exclusivo instituído para acolher manifestações dos titulares dos dados pessoais, no Portal na Internet ou por mensagem eletrônica para [email protected]

10. MONITORAMENTO E AUDITORIA

Todas as informações produzidas, acessadas, armazenadas ou distribuídas pelos recursos disponibilizados pela Saúde BRB poderão ser monitoradas e controladas.

O acesso e uso de dados pessoais para o desempenho de atividades de monitoramento e auditoria na Saúde BRB são de uso restrito da [ASTEC] e [SETIN].

O processo de monitoramento e auditoria é autorizado exclusivamente para atender o objetivo de averiguar o cumprimento das diretrizes corporativas, identificar conteúdo e/ou acessos indevidos, detectar fraudes ou coletar evidências para dar suporte à Saúde BRB em processos judiciais ou em atendimento às auditorias externas, órgãos reguladores e fiscalizadores.

Os acessos aos dados pessoais de titulares com finalidade diversa das acima citadas serão interpretados como uso impróprio.

A Saúde BRB se reserva o direito de registrar e examinar todos os eventos relacionados aos acessos à Internet dos usuários de ativos de informação, a fim de garantir que os recursos não estejam sendo utilizados de forma indevida, ou, para fins não autorizados.

11. GESTÃO DA POLÍTICA

Os dispositivos da presente Política não constituem rol enumerativo, sendo obrigação dos usuários de dados pessoais adotar, sempre que possível, outras medidas cabíveis, além das aqui previstas, com o objetivo de garantir a proteção aos dados pessoais manuseados na Caixa de Assistência.

Os eventuais casos que não estejam contemplados neste documento, ou nos documentos auxiliares que o compõem, devem ser analisados, em primeira instância, pela [ASTEC] em conjunto com o [SETIN], e, caso os mesmos não tenham uma solução ou medida plausível para a solução do evento, caberá à [GERAF] documentar e reportar ao [OEX] para apreciação de situações específicas.

A [ASTEC] é a unidade organizacional responsável por manter atualizados os dispositivos e as regras consolidadas nesta Política.

Esta Política entrará em vigor quando aprovada pelo Conselho Deliberativo.

Como nos contatar

E-mail