Política de Privacidade

POLÍTICA INSTITUCIONAL DE PRIVACIDADE E PROTEÇÃO DE DADOS

1. Objetivo

Essa Política de Privacidade tem como objetivo principal formalizar e disseminar as regras do Programa de Privacidade e de Proteção de Dados Pessoais implementado pela Pleno Saúde.

Esse documento evidencia o comprometimento da Pleno Saúde com relação à observância das obrigações relacionadas à proteção de dados pessoais dispostas na LGPD e com relação à adoção das melhores práticas de mercado, nacionais e internacionais.

Permite atender aos objetivos de Proteção de Dados e Proteção de Privacidade através da comunicação de regras e controles claros sobre o Programa de Privacidade de Proteção de Dados Pessoais, a serem observados por seus colaboradores e parceiros.

2. Abrangência/Responsabilidades

Essa Política aplica-se a todos colaboradores, estende-se a todos os grupos e empresas que se relacionem, em algum momento, com a Pleno Saúde, e têm acesso a qualquer informação, sistema, software, plataforma, aplicativo, computador, rede de computadores, telecomunicação, mensagem ou serviço de informações pertencentes à Pleno Saúde, em todas as divisões, subsidiárias, filiais e parcerias onde as leis e regulamentações do governo não se sobreponham a essas políticas e procedimentos.

3. Diretrizes da Política

3.1) Responsabilidade pelo programa de privacidade

Cada Colaborador da Pleno Saúde tem seu papel fundamental para a condução do Programa de Privacidade e Proteção de Dados. Dessa forma, descrevemos abaixo mais detalhes para cada papel-chave na estrutura da organização.

3.1.1) DPO Encarregado

As Atividades do DPO – Encarregado consistem em:

I. Aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências, sendo o ponto de contato dos Titulares na empresa no que diz respeito ao tratamento dos seus Dados Pessoais;

II. Receber comunicações da ANPD e adotar providências, sendo o ponto de contato e cooperando com a autoridade;

III. Orientar os colaboradores e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV. Executar as atribuições determinadas pela empresa, em especial:

Gerenciar o Programa de Privacidade de Proteção de Dados Pessoais, conforme entendimento prévio com o Comitê de Privacidade e a alta Direção, requisitando aos gestores a adoção de medidas que julgar necessárias;

Produzir diretivas locais de proteção de dados e privacidade, regras e padrões a serem observados pelos colaboradores;

Aconselhar a administração sobre a alocação de responsabilidades internamente para apoiar a conformidade contínua com a LGPD, especialmente com relação à atribuição de responsabilidades de segurança da informação;

Desenvolver e promover programas de conscientização de proteção de dados e privacidade;

Garantir que todos os gestores estejam completamente cientes de suas próprias responsabilidades relacionadas à proteção de dados e privacidade;

Monitorar periodicamente o nível de maturidade e conformidade das ações de proteção de dados e privacidade de sistemas e processos internos, emitindo avisos após estas revisões. Analisar criticamente, em intervalos periódicos, o progresso dos planos de melhoria resultantes em conjunto com os gestores envolvidos;

Analisar criticamente os incidentes de segurança e privacidade mais significativos e gerenciar e/ou acompanhar as ações relacionadas à solução destes incidentes. Qualquer incidente de segurança e privacidade deve resultar em uma análise realizada sob a autoridade do DPO – Encarregado;

Acompanhar o sistema de ações corretivas e preventivas do Programa de Privacidade de Proteção de Dados Pessoais;

Efetuar a gestão dos riscos sobre os Tratamentos de dados pessoais e providenciar sempre que necessário o relatório de impacto à proteção de dados pessoais com a devida apuração dos riscos envolvidos. Submeter os riscos à apreciação do Comitê de Privacidade;

Alertar a Alta Direção, conforme apropriado, acerca de quaisquer questões que sejam potenciais fatores de riscos para a proteção adequada de dados pessoais dentro da empresa.

3.1.2) Comitê de privacidade

Grupo multidisciplinar composto por profissionais das áreas de Operação, Administrativo/Financeiro, Suprimentos, Comercial, RH, Jurídico, Ouvidoria, Tecnologia da Informação, com objetivo de apoiar o DPO – encarregado na gestão do Programa de Privacidade e de Proteção de Dados Pessoais e deliberar sobre assuntos relacionados, tendo como principais responsabilidades:

Assessorar o DPO – Encarregado, realizando todas as diligências que forem por ele solicitadas e mantendo-o informado acerca de suas atividades ordinárias;

Avaliar e aprovar as diretivas locais de proteção de dados e privacidade, regras e padrões a serem observados pelos colaboradores, conforme proposta do DPO – Encarregado;

Sugerir e acompanhar a implantação normativa, inclusive de boas práticas e de governança;

Fiscalizar as atividades de Tratamento de dados pessoais;

Garantir a comunicação adequada do Programa de Privacidade e de Proteção de Dados Pessoais a todos os colaboradores e Terceiros envolvidos no Tratamento de dados pessoais;

Avaliar e definir todas as ações relacionados a riscos existentes nos processos de Tratamento de dados pessoais e exigir/solicitar a elaboração de relatórios de impacto à proteção de dados pessoais, se necessário;

Fiscalizar e tomar decisões relacionadas às atividades de Tratamentos que possam envolver risco ou dano ao Titular ou à Pleno Saúde;

Deliberar sobre medidas disciplinares, sanções e penalidades, quando aplicável;

Auxiliar no processo de gestão de incidente da Pleno Saúde no que tange à tomada de decisões, à avaliação de impacto e às lições aprendidas;

Propor ações voltadas ao aperfeiçoamento contínuo do Programa de Proteção de Dados Pessoais, das salvaguardas e medidas de prevenção de riscos.

3.1.3) Colaboradores

Conhecer e seguir todas as políticas e procedimentos pertencentes ao Programa de Privacidade e de Proteção de Dados Pessoais;
Estar cientes dos métodos, processos e parâmetros aplicados na Pleno Saúde para proteção de dados e privacidade;
Conhecer e aplicar a LGPD;
Todos os colaboradores têm a responsabilidade de zelar pela privacidade e proteção dos ativos e Dados Pessoais a que tiverem acesso;

Fiscalizar o cumprimento da presente Política por parte de Terceiros que tenham acesso aos dados pessoais tratados pela Pleno Saúde;
Recomendar melhorias no Programa de Privacidade e de Proteção de Dados Pessoais para melhoria;
Identificar qualquer incidente de segurança e reportá-lo ao seu gestor ou a área de TI da Pleno Saúde.

3.1.4) Gestores

Garantir a disseminação do conhecimento sobre proteção de dados e privacidade sob sua responsabilidade, para seus comandados e à Empresa, incentivando a participação em treinamentos internos ou externos;
Comunicar ao DPO – Encarregado sempre que houver alguma alteração nos processos de sua responsabilidade, para manter atualizado o Mapeamento de Dados Pessoais;
Implantar e monitorar a eficácia de procedimentos, instruções de trabalho e documentos quanto a proteção de dados pessoais e privacidade;
Planejar a adoção de procedimentos do Programa de Privacidade e de Proteção de Dados Pessoais e monitorar sua eficácia;
Garantir a contínua eficácia dos controles implantados de proteção de dados e privacidade, para satisfazer os requisitos do Programa de Privacidade e de Proteção de Dados Pessoais.

3.1.5) Direção Executiva

Garantir o atendimento dos requisitos, das políticas e dos objetivos do Programa de Privacidade e de Proteção de Dados Pessoais;
Designar o DPO – Encarregado;
Aprovar as iniciativas para a melhoria contínua do sistema;
Prover recursos para a gestão, operação e monitoramento adequado das atividades do Programa de Privacidade de Proteção de Dados Pessoais;
Suportar perante toda a organização as iniciativas das Áreas críticas envolvidas no tratamento de dados pessoais;
Garantir a contínua manutenção dessa Política e desdobramento dos respectivos objetivos;
Garantir a contínua análise e realimentação dos resultados de gestão de riscos ao Programa de Privacidade de Proteção de Dados Pessoais;
Faz parte do comprometimento da Alta Direção, a destinação de orçamento para a aquisição de recursos para a melhoria do sistema de Governança de Dados Pessoais e alcance dos objetivos do Programa de Privacidade e de Proteção de Dados Pessoais.

3.2) Descrição da Política

A Pleno Saúde busca orientar seus colaboradores bem como seus fornecedores, terceiros e clientes sobre o correto tratamento de dados pessoais focando na proteção dessas informações e na privacidade de seus titulares. O titular do dado pessoal é o foco dessas orientações, sempre respeitando seus direitos baseados nas regulamentações vigentes a aplicáveis.

O Programa de Privacidade e de Proteção de Dados Pessoais orienta a todos sobre o correto comportamento voltado para os requisitos legais apresentados na LGPD, bem como as melhores práticas nacionais e internacionais, sempre considerando a limitações legais e as estratégias de negócios da empresa.

Todos os processos da Pleno Saúde, sejam estes manuais ou automáticos, que envolvam o tratamento de dados pessoais em qualquer base de dados, sejam eles dados novos ou já existentes, devem estar aderentes a esta Política, inclusive aqueles processos que envolvam a contratação de fornecedores e terceiros.

Para o cumprimento dos objetivos do Programa de Privacidade e de Proteção de Dados Pessoais, estratégias e tempos acordados, seguem abaixo premissas a serem consideradas nas operações de Tratamento de Dados Pessoais.

3.3) Princípios da Proteção de Dados Pessoais

As atividades de tratamento de dados pessoais deverão se basear na boa-fé e, também, nos princípios dispostos na LGPD. Portanto, o tratamento de dados pessoais realizado pela Pleno Saúde se orientará pelos princípios descritos na tabela abaixo, a fim de demonstrar, de forma clara e transparente, a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de privacidade e de proteção de dados pessoais.

Princípio Detalhes
Finalidade	É a garantia para os titulares de dados pessoais de que as informações tratadas seguem os propósitos legítimos, específicos, explícitos e informados ao titular da informação. A Empresa deve sempre tratar as informações com o propósito definido antes da coleta da informação. Tratamentos secundários relacionados aos dados pessoais coletados para um propósito específico poderão ocorrer sempre que existir uma base legal que comprove e registre a legalidade do tratamento da informação pessoal.
Adequação	Assegura ao titular da informação pessoal tratada pela Pleno Saúde que os dados coletados e tratados têm compatibilidade com o contexto das atividades desenvolvidas pela empresa e informadas ao titular. Portanto, a Pleno Saúde assegura que os dados pessoais tratados no contexto das suas atividades estarão relacionados com os propósitos específicos informados ao titular da informação.
Necessidade	Complementa os princípios da finalidade e da adequação e, portanto, a Pleno Saúde também garante ao titular que os dados pessoais coletados e tratados pela empresa, além de ter um propósito específico e compatível com as finalidades do tratamento, serão sempre limitados ao mínimo necessário para o desenvolvimento das atividades. Logo, os dados coletados pela empresa não serão excessivos, mas sim proporcionais às finalidades e compatíveis com o desenvolvimento das atividades de tratamento de dados pessoais. Dados pessoais que não são mais necessários, após a expiração de períodos legais ou de processos de negócio, deverão ser excluídos. A Pleno Saúde, entretanto, poderá manter os dados pessoais tratados – ainda que não mais necessários para as atividades desenvolvidas pela empresa, caso os dados sejam anonimizados.
Livre Acesso	É assegurado ao titular dos dados pessoais um procedimento gratuito e fácil sobre as informações dos tratamentos de dados pessoais realizados pela empresa acerca de seus dados pessoais. As informações sobre o tratamento, disponibilizadas pela Pleno Saúde, deverão dispor sobre: A finalidade específica; A forma e duração; A identificação do controlador; O contato do controlador; O uso compartilhado de informações e a respectiva finalidade; As responsabilidades de cada parte que realiza o tratamento de dados pessoais; Os direitos do titular.

Qualidade dos Dados	As atividades de tratamento devem se estruturar por dados pessoais por exatidão e clareza nas informações. Portanto, a atualização de dados é fundamental para que a finalidade do tratamento se cumpra. É garantido ao Titular dos Dados os meios adequados para corrigir e atualizar suas informações pessoais, assegurando que os dados pessoais tratados sejam relevantes e necessários à persecução das atividades da organização e da finalidade previamente acordada.
Transparência	A Pleno Saúde garante ao Titular dos Dados informações claras e precisas sobre os tratamentos de dados pessoais realizados e, além disso, confere a observância dos respectivos aos agentes de tratamento com os quais se relaciona.
Segurança	Os dados pessoais tratados pela Pleno Saúde estão estruturados por meio de um Sistema de Gerenciamento de Segurança da Informação e Privacidade. A empresa entende que as boas práticas de segurança da informação e privacidade devem estar sempre alinhadas às boas práticas de mercado; por isso, a Pleno Saúde aplica políticas e procedimentos que buscam minimizar ou eliminar risco ou vulnerabilidade que possa, de alguma forma, comprometer a confidencialidade, integridade e disponibilidade dos dados pessoais.

Prevenção

As práticas operacionais da empresa garantem a adoção de medidas que visam prevenir e proteger as informações pessoais de eventuais danos que possam vir a ocorrer, em virtude do tratamento a eles conferido. Portanto, o Sistema de Gestão de Segurança da Informação e Privacidade da Pleno Saúde, voltado para minimizar os riscos dos ativos de informação, tem por outro objetivo também a prevenção. A gestão dos riscos está em constante evolução, sendo um processo cíclico e dinâmico que requer participação de todos, inclusive daqueles que tratam dados pessoais.

Não Discriminação

A Pleno Saúde entende que é fundamental para as suas atividades o tratamento de informações pessoais, sejam elas de seus colaboradores, clientes ou parceiros. Nesse sentido, a empresa realizará o tratamento de dados pessoais com respeito à dignidade da pessoa humana, desprovido de cunho discriminatório ou ilícito. Dessa forma, a Pleno Saúde entende a importância de respeitar os direitos humanos, a dignidade e o exercício da cidadania de todas as pessoas naturais.

Responsabilidade e Prestação de Contas

(Accountability)

A Pleno Saúde tem como compromisso o desenvolvimento e a criação de evidências documentais e organizacionais para que se comprove a adoção de medidas eficazes e capazes de demonstrar a observância e o cumprimento das normas de proteção de dados pessoais. O processo de prestação de contas é contínuo e a empresa sempre buscará evidenciar legalidade da atividade que se relaciona com o tratamento de dados pessoais, mitigando riscos e adotando medidas eficazes e capazes de cumprir com a norma de proteção de dados pessoais.

3.4) Classificação como Agente de Tratamento

A Pleno Saúde, no âmbito dos tratamentos de dados pessoais que realiza, a depender da situação, poderá ser considerada como Controladora ou Operadora de Dados Pessoais.

Portanto, somente será considerada como Controladora quando tomar decisões referentes às atividades de tratamento, com poder de decisão sobre as finalidades e os elementos essenciais do tratamento. Isto é, quando a empresa coletar dados pessoais dos titulares e identificar as finalidades, os propósitos e os meios para o tratamento de tais dados pessoais, neste caso a empresa será considerada controladora. Nesse sentido, a Pleno Saúde é controladora dos dados pessoais de seus colaboradores.

Por outro lado, a Pleno Saúde poderá ser considerada como Operadora de dados pessoais quando seguir instruções de uma outra parte sobre as atividades de tratamento de dados pessoais ou quando receber dados pessoais de outro agente que a coletou e determinou as finalidades do tratamento. É o que ocorre quando a Pleno Saúde realiza tratamento de dados pessoais de pacientes. As operadoras de planos de saúde clientes da Pleno Saúde, na qualidade
de Controladoras, compartilham os dados pessoais dos pacientes, seus clientes, e conferem à Pleno Saúde instruções acerca do tratamento a ser conferido a tais dados pessoais.

3.4.1) Atividades do Controlador

Determinar as finalidades e tomar decisões referentes ao Tratamento de Dados Pessoais;
Indicar DPO – Encarregado;
Obter o consentimento válido, quando este for a base legal para o Tratamento de Dados Pessoais, por escrito ou por outro meio que demonstre a manifestação de vontade do Titular;
Fornecer informações relativas ao Tratamento e informar ao Titular dos Dados sobre alteração em relação à finalidade, forma e duração do Tratamento, identificação do Controlador ou sobre o uso compartilhado dos Dados Pessoais;
Realizar o Legitimate Interest Assessment para garantir, de forma transparente, que o Tratamento de Dados Pessoais é realizado com base nas disposições legais;
Fornecer orientações ao Operador com relação ao Tratamento e proteção dos Dados Pessoais compartilhados, e verificar a observância de suas próprias instruções e das normas de proteção de dados;
Garantir o direito dos Titulares dos Dados;
Comprovar perante o Titular o cumprimento das normas legais pertinentes à proteção de dados quando estes forem transferidos para terceiros;
Comunicar, em prazo razoável, à ANPD e ao Titular dos Dados a ocorrência de incidente de segurança que possa lhe acarretar risco ou dano relevante.

3.4.2) Atividades do Operador

Realizar o Tratamento segundo instruções fornecidas pelo Controlador;
Comunicar ao Controlador, em prazo razoável, sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

3.4.3) Atividades comuns ao Controlador e ao Operador

Manter registro das operações de Tratamento e das atividades que envolvem Dados Pessoais;
Adotar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito.

3.5) Responsabilidade dos Agentes de Tratamento

O Controlador ou o Operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

O Operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular respondem solidariamente.

Os agentes de tratamento só não serão responsabilizados quando provarem:

I. Que realizaram o tratamento de dados pessoais que lhes é atribuído;

II. Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III. Que o dano é decorrente de culpa exclusiva do titular ou de terceiros.

Dessa forma, todos os contratos em que haja tratamento de dados pessoais devem dispor, de forma clara e específica, acerca o rol de obrigações de cada parte, indicando as práticas a serem executadas de forma a garantir o correto tratamento de dados pessoais e a segurança das informações, e estabelecer os limites e responsabilidades a serem observados. Os colaboradores da Pleno Saúde devem prestar especial atenção aos contratos celebrados com seus clientes, em geral contratos de adesão, e documentar os procedimentos adotados de forma a gerar evidências de sua governança de dados pessoais.

3.6) Direito dos Titulares dos Dados Pessoais

A Pleno Saúde tem como valor garantir ao titular de dados pessoais a preservação dos seus direitos, elencados na LGPD.

O titular de dados pessoais poderá requerer, expressamente e sem custo, os seguintes direitos:

Confirmação da existência do tratamento – Confirmar se a Pleno Saúde trata ou não seus Dados Pessoais;

Acesso aos Dados Pessoais – Uma vez confirmado o Tratamento, o Titular pode solicitar acesso aos Dados Pessoais e receber cópia de todos coletados e armazenados;

Correção dos Dados Pessoais incompletos, inexatos ou desatualizados – Respeitando as limitações por exigência legal, os Dados poderão ser corrigidos;

Anonimização, bloqueio ou eliminação dos Dados Pessoais desnecessários, excessivos ou tradados ilicitamente.

Anonimização – Descaracterização da informação de forma que garanta a não identificação do Titular, quando viável;

Bloqueio – Solicitar o bloqueio da Empresa aos Dados Pessoais tratados desde que não haja limitação legal;

Eliminação dos Dados Pessoais desnecessários ou tratados ilicitamente – Quando existirem Dados Pessoais desnecessários à finalidade original do Tratamento ou tratados de forma ilícita (obtidos sem a autorização ou conhecimento do respectivo titular), ele pode solicitar sua eliminação desde que não haja limitação legal;

Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto – Ainda depende de regulamentação da ANPD acerca de como executar a portabilidade;

Eliminação dos Dados Pessoais tratados com o consentimento do Titular – desde que não haja limitação legal;

Informação das entidades com as quais o Controlador compartilhou seus Dados Pessoais – Ser informado quando existir o compartilhamento dos Dados Pessoais com terceiros;

Não Consentimento – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

Revogação do consentimento – O Titular dos Dados Pessoais pode informar a qualquer momento o não consentimento anteriormente conferido ao Tratamento.

3.7) Atendimento ao Direitos dos Titulares dos Dados

O DPO – Encarregado será responsável pelo atendimento que se referem aos direitos assegurados na LGPD e nesta Política. Sendo assim, os titulares devem comunicar ao DPO – encarregado por escrito, suas dúvidas ou solicitações.

Essa comunicação pode ser feita ao e-mail privacidade@plenosaude.com.br

3.8) Tipos de Dados Pessoais

De acordo com os requisitos da LGPD, todo dado pessoal deve ser tratado de forma adequada à finalidade para o qual foi coletado, dessa forma, se faz necessário que todos os colaboradores saibam identificar os dados pessoais e determinar sua classificação e importância para os negócios da empresa. Segue abaixo uma explicação sobre os tipos de dados relacionados na LGPD:

Tipo de dados	Definição
PESSOAL	Informação relacionada a pessoa natural identificada ou identificável.
PESSOAL SENSÍVEL	Informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

De uma maneira geral, a Pleno Saúde realiza tratamento de dados sensíveis, os quais representam a maioria dos tratamentos de sua operação de negócios. Dessa forma, os colaboradores, fornecedores e terceiros, observando os princípios da finalidade, adequação e necessidade, devem adotar as práticas mais restritivas com relação ao tratamento dos dados pessoais e dados pessoais sensíveis dos pacientes, utilizando-os apenas para a finalidade para o qual foi coletado, de forma adequada ao contexto das atividades da Pleno Saúde, e limitados ao mínimo necessário para o desenvolvimento destas atividades.

É expressamente vedado acesso não autorizado e o compartilhamento dos dados pessoais e dados pessoais sensíveis dos pacientes sem autorização expressa do gestor ou da direção executiva, ouvido o DPO – encarregado.

Além dessas duas categorias de dados pessoais, a LGPD confere um tratamento especial aos dados de crianças e adolescentes, assim considerados os dados pessoais e dados sensíveis relacionados à crianças de até doze anos de idade incompletos, e adolescente entre doze e dezoito anos de idade, conforme Art. 2° da Lei nº 8.069, de 13 de julho de 1990.

Em nossos processos de departamento pessoal, tratamos dados pessoais e dados pessoais sensíveis de nossos colaboradores, e eventualmente tratamos informações de crianças e adolescentes. Os dados coletados para tal fim devem se limitar tão somente àqueles necessários para a finalidade de fornecer aos colaboradores, seus filhos e familiares elegíveis benefícios de seguro saúde. Para efetuar a coleta de informações relacionadas à criança e adolescente, sempre devemos obter a autorização formal de pelo menos um dos pais ou responsável legal através do consentimento informado e documentado. Esses dados podem eventualmente ser compartilhados com empresas terceiras para atender às finalidades descritas.

Adicionalmente a Pleno Saúde pode compartilhar dados pessoais de seus colaboradores, de colaboradores de fornecedores e de terceiros que prestam serviços a clientes, em razão de contratos celebrados com a empresa.

Fora dessas finalidades estes dados pessoais não devem ser tratados em nossa empresa.

Caso exista a necessidade de tratamento desses dados pessoais para uma nova finalidade, a empresa deve ser consultada e aprovada pelo DPO – encarregado, que providenciará sua descrição nessa política.

A Pleno Saúde orienta seus colaboradores a tratar os dados pessoais mínimos necessários para a prestação de serviços de qualidade e eficiência a nossos clientes, sem deixar de considerar os direitos e liberdades dos Titulares.

3.9) Tipos de Dados Pessoais

A Pleno Saúde mantém uma lista de registro sobre todos os tipos de Dados Pessoais tratados pela Empresa, contendo as seguintes informações:

Área de Empresa – Área onde é executado o Tratamento;

Processo – Nome do processo da área;

Subprocesso – Processo secundário ao Processo;

Descrição do Processo – Descrever com detalhes o processo e subprocesso;

Tipo de Dado – Identificar se é Dado Pessoal ou Sensível, e, ainda, se é pertinente à criança ou adolescente;

Categoria de Dados Pessoais – Descrição dos tipos de dados, p. ex.: nome, CPF, endereço;

Finalidade do Tratamento – Por qual motivo é feito o tratamento;

Ações de Tratamento – Descrever a ação praticadas, p. ex.: coleta, armazenamento etc.;

Meio – Identificar se o dado é digital, físico ou híbrido;

Estado do Dado Pessoal– p. ex. anonimizado, criptografado, arquivo em texto claro, sem criptografia, indefinido ou não aplicável.

Sistemas envolvidos – Descrever os sistemas utilizados no Tratamento;

Infraestrutura– Identificar o local de armazenamento físico e digital dos Dados Pessoais;

Pessoa responsável pelo processo – Identificação do responsável pelo processo;

Compartilhamento com áreas ou pessoas internas – Identificação das pessoas ou área com as quais os dados são compartilhados;

Compartilhamento externo (outro Controlador) – Identificar a entidade externa com a qual são compartilhados os Dados Pessoais;

Agente de Tratamento – Identificar se o Tratamento é realizado pelo Controlador ou Operador;

Base Legal – Informar a base legal usada para o Tratamento;

Detalhe da Base Legal – Motivar a escolha da base legal;

Categoria do Titular – Qual tipo de Titular no processo, p. ex. Colaborador, cliente etc.;

Período de Retenção – Informar o período recomendado para a retenção dos dados pessoais;

Justificativa da Retenção – O porquê do período de retenção;

Recomendações – Qualquer recomendação focando a melhoria ou eliminação de qualquer risco identificado sobre o Tratamento.

Esse documento deverá ser mantido atualizado, com todos os tratamentos de dados pessoais, bem como, deve refletir qualquer alteração nos processos internos que tratam dados pessoais da empresa, na busca de garantir o atendimento aos requisitos legais da LGPD.

É responsabilidade de todos na empresa adequar esse mapa aos processos atualizados sobre cada tratamento executado, visando o fornecimento de uma gestão completa com todos os riscos atribuídos a esses tratamentos.

3.10) Treinamentos

A Pleno Saúde determina que todos os colaboradores sejam periodicamente treinados e capacitados para conhecer o programa de privacidade e de proteção de dados pessoais, alinhados as boas práticas de segurança da informação e privacidade.

Faz-se necessário que todos tenham conhecimento sobre as regras e controles definidos e aplicados para garantir a privacidade e proteção de dados pessoais, mas especificamente, e no mínimo, sobre:

Conceitos gerais de privacidade e proteção de dados;
A apresentação desta Política e de materiais de estudo prático sobre os princípios da LGPD;
Conceitos específicos de Privacidade e Proteção de Dados, aplicados às atividades de cada área.

O Processo de integração de novos colaboradores deve garantir que eles recebam o treinamento necessário sobre os itens acima descritos para exercer suas funções na empresa.

Os colaboradores devem se comprometer a participar dos treinamentos, workshops, encontros e capacitações propostos pela empresa, para a ampliação da cultura de proteção de dados pessoais na empresa;

Os colaboradores cujas funções exigem o tratamento regular a dados pessoais, bem como, os responsáveis pela implementação desta política, têm o dever de participar de treinamentos adicionais para ajudá-los a entender suas obrigações e responsabilidades.

3.11) Privacy By Design e Privacy By Default

Todos os sistemas da Pleno Saúde devem ter como premissa a privacidade como requisito obrigatório; dessa forma, todo o processo de aquisição dos sistemas e produtos deve determinar e adotar controles e medidas para prevenir a ocorrência de danos aos titulares dos dados pessoais e deve estar focado na proteção dos dados pessoais e nos tratamentos que lhe são conferidos.

É mandatório que todos os projetos de novos sistemas e produtos na sua concepção até o momento de sua entrega, considerem e assegurem a privacidade e proteção dos dados pessoais.

A seguir, a Pleno Saúde informa os princípios relacionados a Privacy by Design que deverão ser considerados:

Proativo, e não reativo e não corretivo – Deve antecipar e prevenir situações que comprometam a privacidade antes que ela aconteça e nunca depois do ocorrido;

Privacidade como padrão – Todas as iniciativas devem utilizar o nível mais alto de proteção à privacidade como princípio padrão;

Privacidade incorporada ao design – Deve ser incorporado na arquitetura de sistemas de TI, práticas de negócio e produtos e serviços, fazendo parte dos projetos como disciplina a ser avaliada e aprovados por todos;

Funcionalidade total – Garantia da privacidade dos Dados Pessoais, sem comprometer as funcionalidades ou objetivos do produto ou serviço;

Segurança de ponta a ponta – Proteção durante todo o ciclo de vida dos Dados Pessoais;

Visibilidade e transparência – Garantia de transparência nos Tratamentos de Dados Pessoais, com geração de avisos adequados à finalidade dos Tratamentos;

Respeito pela privacidade do usuário – Foco nos interesses dos Titulares, visando a garantia da privacidade dos Titulares e a proteção de seus Dados Pessoais.

Estas práticas envolvem, mas não se limitam, as seguintes medidas:

Realizar uma Análise de Impacto de Privacidade, sempre que necessário;

Assegurar as práticas de Segurança da Informação, em especial em escopos que incluam dados pessoais;

Empreender os melhores esforços para adequar seus processos para proteção de Dados Pessoais;

Alertar sobre situações de riscos em produtos e serviços que possam propiciar incidentes de violação de Dados Pessoais;

Considerar adoção de indicadores, métricas e demais recursos para monitoramento;

Implementar registros de processamento de Dados Pessoais, como trilhas de auditoria, em especial para os casos de: inclusão, alteração e exclusão destes Dados Pessoais, para fins de fiscalização ou apuração de responsabilidades em investigações sobre violação de Dados Pessoais;

Adotar práticas de desenvolvimento seguro e análises de vulnerabilidades, quando se tratar de sistemas e demais soluções tecnológicas.

3.12) Retenção e Descarte

A LGPD determina a exclusão dos Dados Pessoais nas seguintes hipóteses:

Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
Fim do período determinado para o Tratamento dos dados;
Solicitação do Titular, inclusive no exercício de seu direito de revogação do consentimento; ou
Determinação da ANPD, quando houver violação ao disposto na LGPD.

Dessa forma, todos os responsáveis pelos processos que envolvam tratamentos de dados pessoais devem mantê-los armazenados pelo menor período possível necessário, em observância ao princípio da necessidade, e somente pelo período necessário ao tratamento de acordo com suas finalidades estipuladas.

A Pleno Saúde por meio do mapa de dados, item 3.9 Mapeamento de Dados Pessoais deste documento, apresenta para cada processo e subprocesso as recomendações acerca do período legal durante o qual os dados pessoais devem ser mantidos, conforme descrito no campo “Período de retenção”. Cada gestor de área da empresa deverá verificar os prazos de retenção dos dados pessoais sob sua gestão e informar ao DPO – encarregado se está de acordo ou se precisa manter os dados pessoais por prazo adicional, justificando tal necessidade. O DPO – Encarregado deverá se manifestar pela validação, ou não, do prazo de retenção adicional, podendo para tanto consultar o jurídico.

Quando do vencimento do período de retenção, a recomendação da empresa é que seja efetuado o descarte, sendo certo que haverá situações de exceção, por exemplo, devido a legislações especificas a serem validadas no decorrer do processo. Como regra, entretanto, uma vez alcançado o prazo máximo de retenção, o gestor da área deve eliminar os dados pessoais, podendo contar com o apoio do DPO – Encarregado e de TI para tanto.

3.13) Incidentes de Privacidade

Todo ou qualquer evento que possa estar em desacordo com os pontos apresentados nesta Política pode ser considerado incidente de privacidade. Esses incidentes podem causar danos aos titulares dos dados pessoais ou violação da privacidade.

Todas as ações necessárias para a condução do tratamento desses incidentes estão descritas de forma organizada no documento “Procedimento de Tratamento de Incidentes de Privacidade e Segurança da Informação”, com indicações das ações necessárias para minimizar os impactos e danos desses incidentes.

De qualquer forma, qualquer falha identificada por nossos colaboradores, devem ser imediatamente comunicadas ao DPO – Encarregado por meio do e-mail privacidade@plenosaude.com.br relatando a ocorrência com o máximo possível de informações, permitindo que o plano seja ativado e os responsáveis pelo tratamento do incidente sejam acionados imediatamente e ações de comunicação sejam feitas de acordo com as definições do plano.

3.14) Fornecedores

Para garantir boas práticas na gestão da privacidade e proteção de dados, os fornecedores também necessitam executar todos os requisitos apresentados nesta Política.

Nenhum serviço oferecido à Pleno Saúde pode ser iniciado sem que os contratos sejam assinados, devendo estes conter as cláusulas de proteção de dados e privacidade, estabelecendo deveres e obrigações envolvendo a temática de privacidade e segurança dos dados, e atestando o compromisso dos terceiros com a LGPD e demais leis aplicáveis.

Os contratos que envolvam tratamento de dados pessoais deverão ser revisados e submetidos à aprovação do jurídico e do DPO – encarregado antes de serem firmados com terceiros.

No processo de avaliação dos fornecedores é recomendado que sejam apresentadas evidências sobre quais ações foram tomadas pelos fornecedores para se adequarem aos requisitos exigidos pela LGPD.

Deve existir um processo de validação contínua dos Fornecedores que irão operar Dados Pessoais em nome da Pleno Saúde, para garantir que todos os requisitos de proteção de dados e privacidade descritos nesta Política estejam adequados aos serviços ou produtos contratados.

3.15) Segurança da Informação e Monitoramento

Tendo em vista o compromisso da Pleno Saúde em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades, a empresa realiza monitoramento de suas instalações e recursos corporativos, assim entendidos as contas de e- mails, o acesso à internet, à sistemas, softwares, aplicativos, equipamentos, entre outros recursos disponibilizados para que o colaborador possa desempenhar suas funções.

O e-mail corporativo é sua ferramenta de trabalho e, portanto, poderá ser rastreado, monitorado, gravado e/ou inspecionado, com objetivo de evitar riscos decorrentes de ataques externos e do mau uso da ferramenta.

Os colaboradores deverão utilizar os recursos de acesso à internet apenas para assuntos corporativos, sendo vedada a utilização para fins particulares, inclusive o acesso às redes sociais.

Para preservar esses recursos, a Pleno Saúde se reserva o direito de controlar e monitorar seus conteúdos e formas de utilização.

3.16) Sanções

O Colaborador que tomar conhecimento do descumprimento de alguma das regras desta política tem o dever de informar tal infração ao DPO – encarregado ou a seu superior direto.

Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.

3.17) Atualização da Política

Tendo em vista o compromisso da Pleno Saúde em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades, a empresa realiza monitoramento de suas instalações e recursos corporativos, assim entendidos as contas de e- mails, o acesso à internet, à sistemas, softwares, aplicativos, equipamentos, entre outros recursos disponibilizados para que o colaborador possa desempenhar suas funções.

4. Exceções

A solicitação de exceções à essa Política será avaliada pelo DPO – Encarregado e serão reportadas por escrito à Alta Direção da Pleno Saúde, onde serão avaliadas conforme as justificativas de negócio fornecidas pelo solicitante e definido o tratamento adequado.

5. Definição/Terminologia

Termo

Descrição

Anonimização

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a pessoa natural.

ANPD

Autoridade Nacional de Proteção de Dados, órgão da administração pública federal, responsável por fiscalizar o cumprimento da LGPD.

Colaborador

Empregado, contratado, terceirizado, trabalhador temporário, e aqueles contratados por outros para executar trabalhos nas instalações da Pleno Saúde.

Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dado Pessoal

Informação relacionada a pessoa natural identificada ou identificável.

Dado Pessoal Sensível

Sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando

vinculado a uma pessoa natural.

Empresa

Pleno Saúde.

DPO –

Encarregado

Data Protection Officer (DPO) – Encarregado de Dados Pessoais – Pessoa

indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os Titulares de dados pessoais e a ANPD, responsável por

orientar os colaboradores, funcionários, fornecedores e os contratados sobre as práticas a serem tomadas em relação à proteção de dados

pessoais.

DPO – Encarregado

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Fornecedor

Pessoa ou empresa terceira contratada para exercer atividades para a Empresa.

Informação

É todo e qualquer conteúdo ou dados que tenha valor para a Empresa ou seus clientes. Ela pode ser de uso restrito ou exposta de forma pública para consultas ou manuseio.

LGPD

Lei Geral de Proteção de Dados Pessoais, nº 13.709, de 14 de agosto de 2018. Dispõe sobre o tratamento de dados pessoais com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

Privacidade

É o direito à inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas.

Risco

Qualquer evento que possa causar danos a um processo ou tratamento, onde a probabilidade de uma ameaça seja explorada por uma

vulnerabilidade, resultando impacto para operações da Empresa.

Terceiros

Pessoa externa a organização com foco na prestação de algum tipo de serviço.

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,

transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação,

comunicação, transferência, difusão ou extração.

6. Referências

As referências utilizadas para elaboração da Política de Privacidade são as seguintes:

Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);
Norma ABNT NBR ISO/IEC 27701:2019-Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes;
Norma ABNT NBR/ISO/IEC29100 DE 03/2020 0 Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade.