Políticas

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

 

1. PROPÓSITO E PRINCÍPIOS

Esta Política tem como objetivo estabelecer princípios, diretrizes e responsabilidades em relação à proteção de dados pessoais na Saúde BRB para resguardar os seguintes princípios de privacidade:

• Adequação – os dados coletados pela organização devem ser usados de forma condizente com o que foi informado e permitido pelo titular;

• Necessidade – os dados pessoais do titular coletados pelo controlador devem ser específicos e suficientes para a finalidade, sendo impositivo que esta esteja claramente definida;

• Transparência – a organização deve prestar informações claras e precisas obre as atividades relativas aos dados pessoais, bem como estar acessível para esclarecimentos e atendimento de demandas do titular;

• Livre acesso: o proprietário dos dados deve ter pleno acesso à informações sobre a forma como as suas informações estão sendo tratadas;

• Qualidade: diz respeito à clareza, exatidão, relevância e atualização dos dados utilizados pela Saúde BRB;

• Segurança: consiste na garantia de confidencialidade prestada pela Organização sobre os dados dos proprietários;

• Prevenção: a Instituição deve estar apta para resolver quaisquer problemas com os dados de forma antecipada, no intuito de evitar ônus a si e ao titular;

• Responsabilização e prestação de contas: a Caixa de Assistência é responsável pela adoção de medidas que comprovem boa-fé e diligência relacionadas à proteção de dados;

• Não-discriminação: sobre qualquer hipótese haverá discriminação ou abuso contra o titular com base no tratamento de seus dados;

• Finalidade: a Saúde BRB deverá comunicar, de forma clara e tempestiva, as destinações dos dados pessoais coletados.

Esta Política foi formulada tendo como referência a Missão, a Visão e os Valores Corporativos da Saúde BRB e tem também como objetivo promover a conformidade dos processos e atividades internas com a legislação e as melhores práticas relativas à proteção de dados pessoais.

2. APLICAÇÃO

A Política de Privacidade Corporativa aplica-se à Saúde BRB – Caixa de Assistência e à Clínica Saúde BRB.

3. PÚBLICO ALVO

Esta Política estabelece as orientações gerais para a proteção de dados pessoais no ambiente corporativo da Saúde BRB, de beneficiários, fornecedores e parceiros no Brasil e no exterior, uma vez que na execução de suas operações coleta, manuseio e armazenamento de informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis, com vistas a:

3.1. Estar em conformidade com as leis e regulamentações aplicáveis de proteção de dados pessoais, e seguir as melhores práticas;

3.2. Proteger os direitos dos empregados da Instituição, beneficiários, fornecedores e parceiros contra os riscos de violações de dados pessoais;

3.3. Ser transparente em relação aos procedimentos da Saúde BRB no Tratamento de dados pessoais; e

3.4. Promover a conscientização do público interno sobre a proteção de dados pessoais e questões de privacidade.

Em particular, esta política exige que a equipe garanta que o DPO [Data Protection Officer] ou Encarregado de Proteção de Dados, seja consultado antes que qualquer nova atividade significativa de processamento de dados seja iniciada para garantir que as etapas de conformidade relevantes sejam tratadas.

Esta política deverá ser cumprida por empregados, parceiros, consultores, especialistas ou pessoas contratadas em regime temporário, estagiários, menores aprendizes e integrantes do quadro de pessoal de empresas contratadas e os integrantes que tenham acesso a quaisquer dados pessoais sob a guarda da Saúde BRB ou em seu nome.

4. DIRETRIZES

As seguintes diretrizes norteiam a governança e privacidade de dados pessoais na Saúde BRB:

4.1. Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos em que a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;

4.2. Garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;

4.3. Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que eles sejam coletados ou usados pela primeira vez para um novo propósito;

4.4. Fornecer ao titular, sempre que necessário, explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;

4.5. Limitar a coleta de dados pessoais estritamente ao que é permitido pela legislação vigente e em conformidade com o consentimento do titular, minimizando, quando possível;

4.6. Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;

4.7. Reter dados pessoais apenas pelo tempo necessário ao cumprimento dos propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;

4.8. Bloquear o acesso a dados pessoais, e não realizar qualquer tratamento quando os propósitos declarados expirarem, mas reter os dados pessoais quando for exigido pela legislação vigente;

4.9. Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista base legal para manter dados desatualizados;

4.10. Fornecer, aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela Organização, incluindo os dados que são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter informações adicionais;

4.11. Notificar titulares, quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;

4.12. Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com nível apropriado de garantia e que não haja qualquer restrição legal a esse acesso ou a revisão dos seus dados pessoais;

4.13. Garantir a rastreabilidade e prestação de contas durante o tratamento de dados pessoais, inclusive quando esses forem compartilhados com terceiros;

4.14. Tratar integralmente de violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;

4.15. Garantir que, na ocorrência de violação de dados, as partes interessadas sejam notificadas, conforme requisitos e prazos previstos na legislação vigente;

4.16. Documentar e comunicar, conforme apropriado, as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

4.17. Estruturar a unidade organizacional responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

4.18. Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para dados pessoais;

4.19. Disponibilizar políticas, normas e procedimentos sobre proteção de dados pessoais às partes interessadas e autorizadas, tais como: empregados, terceiros contratados, e, onde pertinente, de parceiros e beneficiários,

4.20. Garantir a educação continuada e a conscientização de empregados, terceiros contratados e, onde pertinente, de parceiros e beneficiários, sobre as práticas de proteção de dados pessoais adotadas pela Saúde BRB;

4.21. Aprimorar, de forma contínua, a gestão de proteção de dados pessoais, por meio da definição e revisão sistemática dos objetivos de privacidade e de proteção de dados pessoais em todos os níveis da Instituição;

4.22. Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que sejam usados para fins discriminatórios, ilícitos ou abusivos;

4.23. Garantir a conformidade integral com leis e regulamentações de proteção de dados pessoais;

4.24. Tratar os dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural;

4.25. Adotar medidas para garantir que as regras de privacidade e proteção de dados sejam cumpridas ao implementar processos, procedimentos ou sistemas que envolvam tratamento de dados pessoais, desde a fase de concepção até o lançamento/implantação de cada projeto.

5. DIREITOS DOS TITULARES DE DADOS PESSOAIS

A Saúde BRB está comprometida com os direitos dos titulares de dados pessoais, quais sejam:

5.1. Ser informado de como serão tratados os seus dados pessoais coletados e sob a guarda da Saúde BRB;

5.2. Possibilitar o acesso aos seus dados pessoais sob a guarda da Saúde BRB;

5.3. Corrigir os seus dados pessoais se estiverem imprecisos, incorretos ou incompletos;

5.4. Excluir, bloquear e/ou anonimizar seus dados pessoais em determinadas circunstâncias [“direito de ser esquecido”]. Isso pode incluir, mas não se limita às circunstâncias em que não é mais necessário que a Saúde BRB retenha seus dados pessoais para os propósitos para os quais foram coletados;

5.5. Restringir o tratamento de seus dados pessoais em determinadas circunstâncias;

5.6. Opor-se ao tratamento dos seus dados pessoais, caso seja baseado em legítimo interesse;

5.7. Revogar o consentimento a qualquer momento;

5.8. Possibilitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa;

5.9. Revisar as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; e

5.10. Apresentar queixa à Saúde BRB ou à Autoridade Nacional de Proteção de Dados, caso suspeite que qualquer um de seus direitos de proteção de dados pessoais tenha sido violado.

6. ENCARREGADO DE DADOS

O [OEX] designará o agente responsável para atuar como canal de comunicação entre a Caixa de Assistência, os titulares dos dados e a Autoridade Nacional de Proteção de Dados [ANPD].

São atribuições do Encarregado de Dados:

6.1. Acolher reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

6.2. Receber comunicações da Autoridade Nacional e adotar providências.

6.3. Orientar os empregados e os contratados da Instituição a respeito das práticas e serem tomadas em relação à proteção de dados pessoais.

6.4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O encarregado de dados será contatado por meio do canal exclusivo instituído para acolher manifestações dos titulares dos dados pessoais, no Portal na Internet ou por mensagem eletrônica para dpo@saudebrb.com.br.