Política de Privacidade e Proteção de Dados Pessoais
1. INTRODUÇÃO
A informação é um ativo valioso para o INSTITUTO DO CORAÇÃO RIO PRETO e é essencial para que possamos cumprir nossa missão de prestação de serviço com excelência na área da saúde. Priorizamos a privacidade e a segurança das informações dos nossos colaboradores, clientes e parceiros de negócios.
Esta Política de Proteção e privacidade de dados está em conformidade com as leis em vigor.
2. PROPÓSITO
Esta Política tem por propósito estabelecer diretrizes e princípios que assegurem a proteção e privacidade de dados permitindo aos colaboradores, clientes e parceiros de negócios do INSTITUTO DO CORAÇÃO RIO PRETO adotar padrões de comportamento seguro e adequados em relação a proteção dos dados pessoais e outros dados internos e confidenciais da organização;
Orientar em relação à adoção de controles e processos para atendimento dos requisitos de segurança da informação e as legislações em relação à proteção dos dados pessoais como a lei 13.709/2018 (LGPD);
Resguardar as informações do INSTITUTO DO CORAÇÃO RIO PRETO, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;
Prevenir incidentes com segurança e tratamento de dados, como o uso inadequado de bases de dados, tratamento de dados sem hipóteses previstas em lei, incidente de vazamento e responsabilização legal da empresa, parceiros e colaboradores;
Garantir os direitos dos titulares previstos na Lei Geral de Proteção de Dados – Lei nº 13709/2018;
3. CONCEITOS E DEFINIÇÕES
3.1 Dado Pessoal
Informação relacionada a pessoa natural identificada ou identificável;
3.2. Dado pessoal sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
3.3. Titular
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
3.4. Tratamento de dados
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3.5. Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
3.6. Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
3.7. Encarregado de Tratamento de Dados (DPO)
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
3.8. Tratamento de dados
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
4. ESCOPO
Esta política se aplica a todos os usuários das informações tratadas pelo INSTITUTO DO CORAÇÃO RIO PRETO incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a empresa como: funcionários, ex-funcionários, fornecedores, prestadores de serviços, parceiros de negócios, que possuíram ou possuem ou virão a possuir acesso as informações do INSTITUTO DO CORAÇÃO RIO PRETO e fazem uso, ou fizeram dos recursos computacionais e acessos aos serviços de dados e/ou bases de dados da empresa.
5. DIRETRIZES
O objetivo da segurança da informação e proteção dos dados pessoais tratados pela INSTITUTO DO CORAÇÃO RIO PRETO é garantir a gestão efetiva de todos os aspectos relacionados à segurança e governança do uso dos dados, provendo suporte às operações críticas de negócio e minimizando os riscos identificados em cada departamento e/ou processo de negócio, ou tratamento de dados respectivo e seus impactos à organização.
A diretoria executiva e o comitê de privacidade e proteção de dados, estão comprometidos com uma gestão efetiva de proteção dos dados pessoais e adotam medidas cabíveis para garantir que essa política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas a fim de se manter esta política realista, aplicável, sem comprometer o negócio da organização, garantindo seu propósito primário.
O INSTITUTO DO CORAÇÃO RIO PRETO declara como política de proteção de dados pessoais:
-
Elaborar, implantar e seguir por completo as políticas, normas e procedimentos de proteção dos dados pessoais, garantindo os requisitos básicos de confidencialidade, integridade e disponibilidade da informação, atingidos através de adoção de controle contra ameaças provenientes de fontes externas e internas.
-
Disponibilizar Políticas, normas e procedimentos de proteção dos dados pessoais a todas as partes interessadas e autorizadas tais como: Colaboradores, prestadores de serviços, parceiros e onde for aplicável em fornecedores e clientes.
-
Garantir a educação e conscientização sobre as práticas de proteção dos dados pessoais adotadas à todas as partes interessadas e autorizadas tais como: colaboradores, prestadores de serviços e parceiros.
-
Atender integralmente a Lei 13.709/2018 e aos requisitos de segurança da informação aplicáveis por outras legislações pertinentes e cláusulas específicas contratuais com parceiros de negócios.
-
Tratar integralmente os incidentes de uso dos dados e/ou segurança da informação, garantindo que sejam devidamente registrados, classificados, investigados, tratados e quando necessário comunicado as partes interessadas (ANPD/TITULARES/DIRETORIAS).
-
Garantir a continuidade do negócio adotando a melhoria contínua e planos de ação com objetivos de segurança das informações e uso legal dos dados.
-
Melhorar continuamente a gestão da segurança da informação, qualidade dos dados, governança dos enquadramentos dos registros de dados baseados nas hipóteses legais previstas na LGPD.
6. TRATAMENTO DE DADOS PESSOAIS
Nossos processos de negócio e seus respectivos tratamento de dados são revisados constantemente para que respeitem por natureza o aspecto da privacidade dos dados (privacy by design). Os riscos que identificamos são mitigados com planos de ação formalizados, ações e possíveis incidentes formalizados e tratados, indicadores para monitoramento dos aspectos relativos à proteção e uso dos dados pessoais são estabelecidos e acompanhados.
Geramos relatórios e painéis indicativos para o DPO e lideranças da organização com o objetivo de viabilizar a governança e melhoria constante em todos os aspectos relativos à conformidade LGPD.
Entendemos que a informação corporativa é um bem essencial para nossas atividades e para resguardar a qualidade de nossos serviços.
O INSTITUTO DO CORAÇÃO RIO PRETO através de sua diretoria geral e lideranças, promovem, incentivam e estimulam fortemente a manutenção e evolução constante desta política interna de proteção dos dados das pessoas com as quais a organização mantém qualquer tipo de relação comercial, administrativa ou assistencial, garantindo o tratamento de seus dados pessoais para os propósitos estabelecidos entre as partes em conformidade com a lei e nossos princípios morais e éticos.
6.1 Direito dos Titulares de Dados Pessoais
A Política de Privacidade do INSTITUTO DO CORAÇÃO RIO PRETO tem o propósito de garantir os direitos dos titulares previstos na LGPD, através dos seguintes tipos de solicitações:
-
Consulta Simples e Confirmação dos dados
-
Consulta Completa
-
Revogação do consentimento
-
Correção/Atualização/Complementação dos dados
-
Eliminação dos dados desnecessários
-
Oposição ao tratamento dos dados
-
Compartilhamento dos dados
Para a realização das solicitações, o titular deverá acessar a área do titular através do endereço https://www.incorriopreto.com.br e fornecer os dados necessários para a devida identificação. Os dados fornecidos na área do titular serão tratados apenas para registrar as datas da solicitação do titular e da resposta do controlador, em obediência aos prazos determinados na LGPD.
7. PAPÉIS E RESPONSABILIDADES
7.1 Comitê de Privacidade e Proteção de Dados
Institui-se o COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS, que é composto pelos coordenadores das áreas de tecnologia da informação, RH, Administração, Relacionamento e Financeiro, sendo liderado pela Encarregada de Proteção de Dados (DPO).
7.2 Responsabilidades do COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS
Analisar, revisar e propor a aprovação de políticas e normas relacionadas à proteção dos dados pessoais;
Garantir a disponibilidade de recursos necessários para uma gestão efetiva do programa de proteção dos dados pessoais;
Garantir que as atividades de governança e segurança dos dados estejam em conformidade com esta política;
Promover a divulgação da Política de Privacidade e Proteção dos Dados Pessoais e disseminar a cultura de proteção dos dados, uso legal, conceito de privacidade de dados desde a concepção e por padrão na organização.
7.3 Encarregado de Dados
Responsabilidades:
Conduzir a gestão e operação da governança dos dados, revisões contínuas nos processos de negócio com base nesta política e com base nas definições do COMITÊ LGPD;
Apoiar o COMITÊ LGPD em suas deliberações;
Identificar, avaliar e comunicar as ameaças e a proteção dos dados pessoais e implantar as medidas corretivas para reduzir os riscos inerentes;
Tomar as ações cabíveis para se fazer cumprir os termos desta política;
Realizar a gestão e comunicação dos incidentes de uso inadequado e segurança.
7.4 Gestores de áreas
7.4.1 Responsabilidades
Gerenciar os processos de tratamentos de dados e informações geradas sob suas responsabilidades durante todo o ciclo de vida dos dados pessoais, incluindo a criação, manuseio e seus descartes, dentro da linha de enquadramento legal dos registros nos sistemas, controles de uso até o momento da sua exclusão ou anonimização, no caso de fim de finalidades de uso, ou falta de enquadramento legal para tratamento;
Identificar, classificar e rotular as informações geradas sob responsabilidade da área, ajustando a classificação e rotulagem quando necessário. Todos os processos relevantes de negócio que tratam dados pessoais devem ser formalizados, assim como seus respectivos tratamentos de dados/finalidades e hipóteses legais que subsidiam os respectivos tratamentos;
Revisar os processos de negócio/tratamento de dados, identificação dos ativos e suas classificações periodicamente, ou sempre que houver mudanças de sistemas, bases relevantes de dados e/ou diretivas do COMITÊ LGPD
Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;
Solicitar a concessão ou revogação de acessos às informações e sistemas, de acordo com os procedimentos adotados pela organização.
7.5 Usuários da informação
Ler, compreender e executar integralmente os termos da política de proteção dos dados pessoais, assim como as normas e procedimentos adicionais publicadas;
Enviar dúvidas ou solicitações de esclarecimentos sobre a política de proteção dos dados pessoais ao COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS quando necessário;
Comunicar ao COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS e gerar notificação no sistema de incidentes sob qualquer evento que possa violar esta política e suas normas publicadas;
Assinar o termo de uso dos sistemas de informação da empresa e conhecimento desta política, formalizando a ciência e o aceite integral de seus termos e conteúdo, assumindo as responsabilidades pelo seu cumprimento;
Responder, sob a inobservância desta política, suas normas e procedimentos inerentes conforme as sanções e punições previstas.
8. SANÇÕES E PUNIÇÕES
As violações, mesmo que por omissão, ou tentativa frustrada desta política, suas normas e procedimentos publicados podem acarretar penalidades que incluem advertência verbais, notificações formais, suspensão não remunerada, cancelamento de contrato (no caso de parceiros de negócio ou prestadores de serviços), e demissão por justa causa do funcionário da empresa;
A aplicação de sanções e punições poderá ser realizada de acordo com a definição do COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS, onde a gravidade do incidente ou ameaça e/ou dano causado será avaliado, além da recorrência e as hipóteses previstas nos contratos e/ou no artigo 482 da CLT podem o COMITÊ LGPD, no uso disciplinar que lhe é atribuído em conjunto com o departamento de RH e/ou jurídico, aplicar a pena cabível;
Para violações que estejam relacionadas a atividades criminosas ou que possam acarretar dano à INSTITUTO DO CORAÇÃO RIO PRETO ou aos titulares das informações, o infrator será responsabilizado pelos prejuízos cabendo a aplicação de medidas judiciais.
Para violações que que estejam relacionadas a atividades criminosas ou que possam acarretar dano à empresa ou aos titulares dos dados pessoais, o infrator será responsabilizado pelos prejuízos cabendo a aplicação de medidas judiciais.
9. DECLARAÇÃO DE COMPROMETIMENTO DA DIRETORIA
A Diretoria declara-se comprometida em um programa de governança que envolve a Segurança e Proteção dos Dados Pessoais de seus clientes e qualquer pessoa ou entidade acerca de seus negócios, garantindo a confidencialidade, integridade e disponibilidade, conforme legislação brasileira de boas práticas de governança de dados.
Nos comprometemos com os fundamentos e princípios de uso dos dados pessoais regidos pela lei 13.709/2018.
Nos comprometemos com a conscientização de todo nosso time de colaboradores, diretorias e executivos e com os processos adequados para uso legal dos dados.
9.1 Nosso papel de controlador de dados pessoais
O INSTITUTO DO CORAÇÃO RIO PRETO assume o papel de controlador de dados pessoais e, para isso, estabelece mecanismos de proteção a esses dados, além dos serviços para prover aos titulares das informações que tratamos para que exerçam seus direitos de confirmação do tratamento, acesso, possibilidade de atualização, portabilidade dentre outros.
O INSTITUTO DO CORAÇÃO RIO PRETO, no papel de controlador, trata dados pessoais de pacientes, responsáveis, acompanhantes, colaboradores, prestadores de serviços, fornecedores, médicos. Para tal, realiza-se os enquadramentos devidos nas hipóteses previstas em lei, revisando e formalizando os processos de tratamentos de dados e cada etapa crítica onde os dados são coletados, armazenados, compartilhados e processados. Assim, calcula-se riscos e planeja-se mecanismos de mitigação, a fim de evitar o uso inadequado e vazamento de dados à luz de mecanismos tecnológicos de segurança digital, políticas, procedimentos e processos revisados, desenhados com os aspectos da privacidade por natureza (Privacy by design).
9.2 Partes interessadas
Governo, sócios, clientes, colaboradores, prestadores de serviços, pessoa física, parceiros de negócios, empresas prestadoras de serviços, operadores de saúde, colaboradores, clínicas, médicos, investidores, pacientes, acompanhantes, responsáveis, fornecedores.
9.3 Principais mecanismos - Proteção dos Dados Pessoais
A Base de nosso programa de conformidade à LGPD é estabelecida a partir dessa política, onde buscamos abordar todos os procedimentos acerca do tema segurança da informação e uso legal dos dados pessoais que transacionam com a empresa. Para isso, estabelecemos alguns mecanismos chaves que estabelecem um arcabouço estruturado para um sistema de gestão da privacidade e da informação, que considera a proteção de privacidade como potencial afetada pelo tratamento dos dados pessoais.
Essa política apresentará o conjunto de processos que estabelecem os mecanismos para segurança dos dados em nossa custódia, considerando processos, pessoas, infraestrutura e tecnologia, seguindo os princípios, fundamentos e hipóteses legais previstas em lei, observando todos os artigos que regem a LGPD. Além disso, os mecanismos de gestão da melhoria contínua que visam a observação dessa própria política geral (este documento, nesta revisão e versão) e todos os demais processos de segurança e uso legal dos dados, estarão em um verdadeiro ciclo de monitoramento e melhoramentos para que possam ser exigidos por normativas, diretivas e portarias legais a partir das comunicações e/ou novas exigências da ANPD (Autoridade Nacional de Proteção dos Dados Pessoais).
10. APROVAÇÃO
Esta Política foi aprovada no dia 20/01/2022