Políticas

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS


1. A QUEM É DIRECIONADA ESTA POLÍTICA

A Saúde BRB instituiu esta Política de Privacidade para firmar o seu compromisso com a proteção dos Dados Pessoais, nos termos da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) e demais leis e regulamentações sobre o tema, bem como para registrar a forma como protege a privacidade desses dados.

2. ÂMBITO E VALIDADE

Esta Política estabelece as orientações gerais para a proteção de dados pessoais dentro do ambiente corporativo da Saúde BRB, beneficiários, fornecedores e parceiros no Brasil e no exterior, uma vez que na execução de suas operações coleta, manuseia e armazena informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“Dados Pessoais”), com vistas a:

    I. Estar em conformidade com as leis e regulamentações aplicáveis de proteção de Dados Pessoais, e seguir as melhores práticas;
    II. Proteger os direitos dos empregados da Instituição, beneficiários, fornecedores e parceiros contra os riscos de violações de Dados Pessoais;
    III. Ser transparente em relação aos procedimentos da Saúde BRB no Tratamento de Dados Pessoais; e
    IV. Promover a conscientização em toda a Saúde BRB em relação à proteção de Dados Pessoais e questões de privacidade.

Em particular, esta política exige que a equipe garanta que o DPO (Data Protection Officer) ou Encarregado de Proteção de Dados, seja consultado antes que qualquer nova atividade significativa de processamento de dados seja iniciada para garantir que as etapas de conformidade relevantes sejam tratadas.
Esta política deverá ser cumprida por todos os empregados, parceiros, consultores, especialistas ou pessoas contratadas em regime temporário, estagiários, menores aprendizes e pessoas integrantes do quadro de pessoal de empresas contratadas e todos os integrantes que tenham acesso a quaisquer Dados Pessoais sob a guarda da Saúde BRB ou em seu nome.

3. PRINCÍPIOS E DIRETRIZES

Norteiam a governança e privacidade de dados na Saúde BRB os seguintes princípios:

    I. Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos em que a lei aplicável permitir especificamente o processamento de Dados Pessoais sem o consentimento do titular;
    II. Garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;
    III. Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que eles sejam coletados ou usados pela primeira vez para um novo propósito;
    IV. Fornecer ao titular, sempre que necessário, explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;
    V. Limitar a coleta de dados pessoais estritamente ao que é permitido pela legislação vigente e com os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, onde possível, a coleta dos referidos Dados Pessoais;
    VI. Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;
    VII. Reter dados pessoais apenas pelo tempo necessário ao cumprimento dos propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;
    VIII. Bloquear o acesso a dados pessoais, e não realizar qualquer tratamento quando os propósitos declarados expirarem, mas reter os dados pessoais quando for exigido pela legislação vigente;
    IX. Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista base legal para manter dados desatualizados;
    X. Fornecer, aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes;
    XI. Notificar titulares, quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;
    XII. Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de garantia, que não exista qualquer restrição legal a esse acesso ou a revisão dos seus Dados Pessoais;
    XIII. Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, inclusive quando esses forem compartilhados com terceiros;
    XIV. Tratar integralmente violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;
    XV. Garantir que, na ocorrência de violação de dados, todas as partes interessadas sejam notificadas, conforme requisitos e prazos previstos na legislação vigente;
    XVI. Documentar e comunicar, conforme apropriado, todas as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
    XVII. Garantir a existência de um responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
    XVIII. Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para dados pessoais;
    XIX. Disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: empregados, terceiros contratados e, onde pertinente, beneficiários;
    XX. Garantir a educação contínua e conscientização de empregados, terceiros contratados e, onde pertinente, parceiros e beneficiários, sobre as práticas de proteção de dados pessoais adotadas pela Saúde BRB;
    XXI. Aprimorar, de forma contínua, a gestão de proteção de dados pessoais, por meio da definição e revisão sistemática de objetivos de privacidade e de proteção de Dados Pessoais em todos os níveis da organização;
    XXII. Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que sejam usados para fins discriminatórios, ilícitos ou abusivos;
    XXIII. Garantir a conformidade integral com leis e regulamentações de proteção de dados pessoais;
    XXIV. Tratar os dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural;
    XXV. Ter como objetivos a serem perseguidos para a segurança dos dados pessoais: a confidencialidade, a integridade e a disponibilidade, assim como a autenticidade, a   responsabilidade e o não repúdio;
    XXVI. Adotar medidas para garantir que as regras de privacidade e proteção de dados sejam cumpridas ao implementar processos, procedimentos ou sistemas que envolvam tratamento de dados pessoais, desde a fase de concepção até o lançamento/implantação de cada projeto.

4. DIREITOS DOS TITULARES DE DADOS PESSOAIS

A Saúde BRB está comprometida com os direitos dos titulares de dados pessoais, que incluem:

    I. Ser informado de como serão tratados os seus dados pessoais coletados e sob a guarda da Saúde BRB;
    II. Possibilitar o acesso aos seus dados pessoais sob a guarda da Saúde BRB;
    III. Corrigir os seus dados pessoais se estiverem imprecisos, incorretos ou incompletos;
    IV. Excluir, bloquear e/ou anonimizar seus dados pessoais em determinadas circunstâncias (“direito de ser esquecido”). Isso pode incluir, mas não se limita às circunstâncias em que não é mais necessário que a Saúde BRB retenha seus dados pessoais para os propósitos para os quais foram coletados;
    V. Restringir o tratamento de seus dados pessoais em determinadas circunstâncias;
    VI. Opor-se ao tratamento dos seus dados pessoais, caso seja baseado em legítimo interesse;
    VII. Revogar o consentimento a qualquer momento;
    VIII. Possibilitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa;
    IV. Revisar as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; e
    X. Apresentar queixa à Saúde BRB ou à Autoridade Nacional de Proteção de Dados, caso suspeite que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado.

5. ENCARREGADO DE DADOS

A Saúde BRB definiu a Gerente de Apoio Logístico e Finanças como responsável para atuar como canal de comunicação entre a Caixa de Assistência, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Essa função é desempenhada pela Sra. Lídia Oliveira do Nascimento Santos, que responde pelas seguintes atividades:

    I. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
    II. Receber comunicações da Autoridade Nacional e adotar providências.
    III. Orientar os empregados e os contratados da Entidade a respeito das práticas e serem tomadas em relação à proteção de dados pessoais.
    IV. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

6. CONTATO DO ENCARREGADO DE DADOS

O encarregado de dados pode ser contatado por meio do canal exclusivo instituído para acolher manifestações dos participantes, no Portal na internet, endereço eletrônico: www.saudebrb.com.br, ou por mensagem eletrônica dpo@saudebrb.com.br.