A Saventic Healh (“Saventic”), proprietária da Saventic Care, buscando aprimorar os seus processos internos, prezando pela máxima proteção das informações daqueles que se relacionam com a organização e visando a fundamental necessidade de adequação à Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n.º 13.709/2018), apresenta a presente Política de Privacidade.
1.1 Esta política de proteção de dados pessoais é um documento que descreve o método de processamento de dados pessoais e as obrigações da Saventic, atuando como controladora de dados pessoais processados em conexão com suas atividades estatutárias.
1.2 Esta política é atualizada continuamente, pelo menos uma vez por ano.
1.3 Glossário - Para exata compreensão e interpretação das informações contidas na presente política, serão adotadas as seguintes definições, de acordo com a LGPD:
● Dados pessoais: informações sobre uma pessoa natural identificada ou identificável (art. 5º, I, da LGPD); uma pessoa natural identificável é uma pessoa que pode ser identificada, direta ou indiretamente, em particular com base em um identificador como nome, número de identificação, dados de localização, um identificador on-line ou um ou mais fatores específicos para determinar os fatores físicos, fisiológicos, genéticos, mentais, econômicos, culturais ou sociais a identidade da pessoa natural.
● Dado pessoal sensível: dados que podem, eventualmente, acarretar algum tipo de discriminação ao seu titular. São dados sensíveis, de acordo com a LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II, da LGPD).
● Dados pessoais de saúde: dados pessoais sobre a saúde física ou mental de uma pessoa física, incluindo o uso de serviços de saúde; incluem, também, informações sobre uma determinada pessoa natural coletadas durante seu registro para serviços de saúde ou durante a prestação de desses serviços como um número, símbolo ou indicação atribuído a um indivíduo com o objetivo de lhe identificar para fins de saúde.
● Tratamento de dados pessoais: toda operação realizada com dados pessoais, inclusive por meios automatizados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X, da LGPD);
● Agentes de tratamento: são o controlador e o operador dos dados pessoais;
● Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais incluindo os propósitos e meios de processamento (art. 5, VI, da LGPD);
● Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII, da LGPD);
● Encarregado pelo tratamento de dados (DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos 2 dados e a Autoridade Nacional de Proteção de Dados (arts. 5º, VIII, e 41º, da LGPD)
● Incidente de Segurança: uma violação de segurança que leva à acessos não autorizados, bem como situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46º, da LGPD).
● Destinatário: pessoa física ou jurídica, autoridade pública, agência ou outro órgão ao qual os dados pessoais são divulgados, sejam ou não terceiros; as autoridades públicas que podem receber dados pessoais no âmbito de um procedimento específico de acordo com a Lei da União ou do Estado-Membro não são beneficiárias;
● LGPD: Lei Geral de Proteção de Dados do Brasil (Lei 13.709/18), a qual dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
● ANPD: Autoridade Nacional de Proteção de Dados do Brasil, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
2.1 Em atenção ao art. Art. 6º da LGPD, a Saventic, enquanto controladora de seus dados pessoais, os processará em conformidade aos seguintes princípios: • Princípios da Finalidade, Adequação e Necessidade (Minimização): seus dados pessoais só serão tratados propósitos específicos e legítimos que sejam compatíveis com o contexto do Tratamento. O Tratamento será limitado ao mínimo necessário para a finalidade específica;
• Princípio da Qualidade: garantimos aos titulares a exatidão, clareza, relevância e atualização dos seus dados pessoais, de acordo com as necessidades e finalidades do Tratamento;
• Princípios da Transparência e Livre Acesso: garantimos aos titulares um direito amplo de informação, incluindo: como seus dados são tratados, por quem, para quais finalidades, por qual período, de que forma, dentre outras informações relevantes acerca do tratamento.;
• Princípios da Segurança e Prevenção: adotamos e implementamos medidas técnicas e administrativas adequadas para proteger os dados pessoais de acessos não autorizados, perda, destruição, alteração, ou divulgação indevida, bem como prevenimos quaisquer incidentes que possam causar danos aos titulares;
• Princípio da não discriminação: o tratamento de dados pessoais no ambito de nossa empresa não poderá ser realizado para fins discriminatórios, ilícitos ou abusivos;
• Princípio da responsabilização e prestação de contas: os agentes de tratamento, e, portanto, nossa empresa, enquanto controladora, deve demonstrar a adoção de medidas técnicas e administrativas eficazes, que comprovem a observância e cumprimento das normas da Lei Brasileira, inclusive de boas práticas de privacidade, bem como manter registros das operações de tratamento realizadas.
Detalhamos, a seguir, os dos titulares de dados envolvidos em nossas operações, quais dados coletamos e as respectivas bases legais para tratamento destes dados perante a LGPD.
O Controlador processa dados pessoais de:
A) Pessoas naturais que utilizam a assistência do Controlador para apoiá-las no processo de diagnóstico de doenças raras e ultrarraras;
● Dados pessoais coletados: nome completo e informações de contato, incluindo número de telefone, endereço de e-mail, endereço residencial, RG, idade e gênero;
● Base legal: Consentimento voluntário e informado do titular, nos termos do art. 7º, I, da LGPD;
● Dados pessoais sensíveis coletados: dados relativos ao estado de saúde, incluindo histórico de diagnósticos e tratamentos, bem como dados genéticos essenciais à prestação assistencial para o diagnóstico de doenças raras ou ultrararas.
● Base legal: Consentimento voluntário e informado do titular, nos termos do art. 11, I, da LGPD;
B) Trabalhadores e pessoas empregadas nos termos de contratos de direito civil;
● Dados pessoais coletados: dados cujo processamento é exigido em decorrência de obrigação legal trabalhista, assim como os essenciais para identificação da parte para elaboração e execução contratual;
● Base legal: Cumprimento de obrigação legal, nos termos do art. 7º, II, da LGPD; e execução de contrato, conforme art. 7º, V, da LGPD.
C) Candidatos ao emprego (vagas em processo seletivo);
● Dados pessoais coletados: dados pessoais coletados na fase de recrutamento cedidos pelo candidato, sobretudo dados de identificação e contato. Eventuais dados sensíveis fornecidos em currículo configuram-se mera liberalidade do candidato;
● Base legal: Consentimento voluntário e informado do titular, nos termos do art. 7º, I, da LGPD.
D) Empreiteiros (pessoas físicas) e representantes de empreiteiros (pessoas físicas, atuando em nome de contrapartes que são entidades coletivas);
● Dados pessoais coletados: dados pessoais da parte contratante, sobretudo dados identificativos e de contato; no caso de representantes, coletados os dados identificativos e de contato essenciais ao desempenho contratual e para comprovação da capacidade de representação da entidade coletiva pela pessoa natural.
● Base legal: Execução de contrato, nos termos do art. 7º, I, da LGPD, e Legítimo interesse, nos nos termos do art. 7º, IX, da LGPD, repectivamente;
E) Pessoas diagnosticadas com doença rara ou ultrarrara que concordem com a publicização de suas informações relativas à saúde e histórico médico, com fins conscientizatórios acerca de doenças raras e ultrarraras.
● Dados pessoais coletados: nome completo, informações de contato, incluindo número de telefone, endereço de e-mail e endereço residencial, RG, idade e gênero;
● Base legal: Consentimento voluntário e informado do titular, nos termos do art. 7º, I, da LGPD;
● Dados pessoais sensíveis coletados: dados relativos ao estado de saúde, incluindo histórico de diagnósticos e tratamentos, bem como dados genéticos essenciais à prestação assistencial para diagnóstico de doenças raras ou ultrararas.
● Base legal: Consentimento voluntário e informado do titular, nos termos do art. 11, I, da LGPD;
3.1 Os dados pessoais que não sejam de natureza sensível, conforme definição da LGPD, podem ser processados pelo controlador, também, para fins de: marketing, promoção de serviços, contato acerca de dados pessoais, inclusive com o propósito de oferecer participação individual em projetos implementados pelo Controlador. Tais finalidades se baseiam no Legítimo Interesse legalmente justificado do controlador, nos termos expressos pelo art. 7º, IX, da LGPD, ou no Consentimento voluntário do titular, de acordo com o art. 7º, I, da LGPD.
3.2 Todos os consentimentos para o processamento dos dados referidos acima são expressos voluntariamente. Seu não fornecimento, entretanto, impede o uso de serviços oferecidos pelo Controlador.
3.3 Os consentimentos são, em princípio, dados por escrito. No caso de fornecimento de dados pessoais pelos titulares de forma online, através de nosso site [www.saventiccare.com.br], o consentimento é fornecido pelo preenchimento de formulário interativo.
4.1 Nos termos dos arts. 46 e 47, da LGPD, a Saventic declara que aplica as necessárias medidas técnicas e organizacionais para garantir o adequado nível de segurança aos dados pessoais processados, considerando o estado do conhecimento técnico, custo de implementação, natureza, escopo, contexto e propósito tratamento, assim como os potenciais riscos e violações aos direitos ou liberdades dos titulares. Em particular, o controlador utiliza para este fim:
A) Pseudônimos e criptografia de dados;
B) Anonimização de dados pessoais confidenciais para o trabalho tangente à criação e treinamento de seu Algoritmo;
C) Medidas para garantir a confidencialidade, integridade e disponibilidade dos dados em seus sistemas e serviços de processamento;
D) Medidas para garantir a pronta restauração da disponibilidade dos dados pessoais em caso de incidentes de segurança;
E) Testes regulares para medir e avaliar a eficácia das medidas acima elencadas.
4.2 O controlador mantém a documentação descrevendo o método de processamento de dados pessoais e como protegê-los, sobretudo na forma de políticas, procedimentos, diretrizes e formulários.
4.3 O controlador permite apenas que pessoas devidamente autorizadas processem dados pessoais em seu nome, ocasião em que se firma uma declaração relativa à preservação dos dados e à manutenção de sua segurança e confidencialidade. A autorização modelo para processar dados pessoais segue anexa à presente política.
4.4 O controlador manterá um registro das pessoas autorizadas a tratar os dados pessoais, na forma de registro dos documentos oriundos do modelo em anexo.
4.5 O controlador implementa a proteção de privacidade desde a fase de concepção de planejamento de novos projetos, investimentos e mudanças nos processos que envolvam dados pessoais (Privacy by Design).
4.6 O controlador deve empreender treinamentos regulares com os colaboradores que tenham acesso aos dados pessoais tratados para comunicação de procedimentos, melhora de conhecimento e aumento do fator humano no campo da segurança da informação com foco em dados pessoais.
5.1 O controlador, enquanto processador em larga escala de dados sensíveis, conforme definições da LGPD, nomeia um Encarregado pelo tratamento de dados (DPO), nos termos no art. 41 , da LGPD, sendo este Sebastian Dziedzic (sebastian.dziedzic@saventic.com).
5.2 O Encarregado foi nomeado com base em suas qualificações profissionais, bem como conhecimento e experiência adquiridos, os quais estão devidamente documentados.
5.3 O controlador deve criar condições adequadas para que o Encarregado possa realizar seus deveres, em particular para: a. Seu envolvimento imediato em todas as questões relativas à proteção dados pessoais; b. Fornecer os recursos necessários para o desempenho de suas tarefas e a manutenção de sua perícia; c. Garantir autonomia no desempenho de suas funções, garantindo uma estrutura organizacional adequada para que ele se reporte apenas à alta gestão.
5.4 As tarefas do Encarregado incluem:
A) Conscientização entre os colaboradores que tratam dados pessoais e entidades que processam dados sob as ordens do controlador através de treinamentos regulares e comunicação informativa acerca das obrigações que estes possuem ao tratar dados.
B) Elaborar e atualizar políticas e normativas internas tangentes à privacidade, proteção de dados e segurança da informação;
C) Monitorar o cumprimento, pelo controlador, das disposições da LGPD e outras leis/regulamentos relativos à proteção de dados aplicáveis, assim como de políticas e normativas internas acerca do tema;
D) Realização de auditorias sobre questões relacionadas ao processamento de dados pessoais;
E) Auxílio ao controlador na avaliação de impacto à proteção de dados e monitoramento da implementação de medidas concernentes aos efeitos identificados;
F) Cooperação e comunicação com a Autoridade Nacional de Proteção de Dados do Brasil (ANPD);
G) Atuar como ponto de contato com os titulares de dados em matéria relacionados ao processamento de dados pessoais, sobretudo para resposta às solicitações de exercício dos direitos expressos no art.18, da LGPD, incluindo a prestação de esclarecimentos e adoção de providências.
6.1 O controlador pode utilizar serviços de entidades externas para apoiar suas atividades, em particular na entrega e/ou manutenção de infraestrutura de Tecnologia da Informação (T.I.), incluindo ferramentas de suporte para manutenção de registros médicos em forma eletrônica segura.
6.2 O controlador utiliza apenas os serviços de prestadores de serviços que fornecem garantias adequadas de segurança e de conformidade do processamento de dados pessoais de acordo com as disposições da LGPD e outras normas/regulamentos aplicáveis sobre a matéria.
6.3 O controlador deve empreender diligências de análise (auditoria) previamente à escolha da uma entidade como operadora de dados, bem como realizar sua verificação periódica posterior regularmente, de acordo com o procedimento adotado pelo controlador, sempre de forma documentada.0
6.4 Toda atividade de operação deverá ser lastreada em contrato específico ou outro instrumento legal que defina as obrigações e responsabilidades dos agentes de tratamento. O contrato modelo para tal relação constitui um anexo a esta Política.
6.5 O controlador não transferirá dados pessoais para países fora do Brasil. Não realizará transferência internacional de dados para localidades fora do Brasil.
7.1 A equipe do controlador se obriga a:
A) familiarizar-se e aplicar as disposições da lei no campo da proteção de dados pessoais, incluindo a LGPD;
B) proteger os dados pessoais tratados contra acessos não autorizados, modificação ou destruição injustificada;
C) destruir de forma segura todos os documentos (em papel e formulário eletrônico) que contenham dados pessoais após encerramento de sua finalidade e eventuais prazos de retenção;
D) usar recursos e equipamentos de T.I. de forma consistente com seus propósitos e de forma segura, alterar periodicamente senhas, manter a confidencialidade de logins e senhas e não deixar equipamentos sem vigilância;
E) informar imediatamente os superiores sobre irregularidades identificadas que possam afetar a segurança dos dados pessoais tratados;
F) armazenar a documentação contendo dados pessoais apenas em locais (físicos ou eletrônicos) destinados para este fim, com acesso limitado para terceiros, sobretudo documentos que incluam dados sensíveis (ex. prontuários médicos);
G) os funcionários serão responsáveis pelo correto desempenho de suas funções e devem ser devidamente informados pelo controlador acerca das possíveis sanções internas, civis e penais resultantes de irregularidades a este respeito.
8.1 O controlador processa dados pessoais com respeito aos direitos dos titulares de dados 8 expressos no art. 18, da LGPD.
8.2 O controlador deve manter um registro das solicitações para exercício de direitos feitas pelos titulares de dados.
8.3 Previamente ao atendimento das solicitações de direitos dos titulares de dados, o controlador realizará uma verificação da identidade do solicitante, ou de seu respectivo representante legal, a fim de determinar se a solicitação tem origem em uma pessoa autorizada (vide item 12).
8.4 O controlador fornecerá recursos técnicos e humanos adequados para possibilitar o exercício confiável dos direitos do titular de dados. As solicitações enviadas serão processadas imediatamente pelo controlador e devidamente respondidas no prazo de até 15 dias. Em caso de eventual incapacidade de executar a solicitação dentro do prazo acima mencionado, em decorrência da complexidade da requisição, o controlador contactará o titular para informar acerca de qualquer prorrogação desse prazo, os motivos que a ensejaram e a data prevista de de resposta à solicitação. Direito à informação
8.5 Os titulares de dados possuem um amplo direito à informação acerca dos aspectos envolvendo o tratamento de dados pelo controlador, incluindo a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; bem como a possibilidade de não fornecer consentimento e sobre as consequências da negativa nos casos em que esta seja a base legal que alicerce o tratamento (art. 18, VII e VIII, da LGPD);
8.6 Documentalmente, os titulares são informados acerca do método de processamento de seus dados pessoais e seus direitos na forma do Aviso de Privacidade e da Política de Privacidade, aos quais poderão ter acesso para leitura integral a qualquer tempo.
8.7 O Aviso de Privacidade é emitido anteriormente à aprovação ao processamento de dados pessoais.
8.8 O Aviso e Política de Privacidade serão redigidos em linguagem simples, de forma transparente, contendo todas as informações relevantes das atividades de processamento. Direito de acesso aos dados
8.9 A pedido do titular de dados, o controlador deverá fornecer as informações necessárias acerca de quais dados pessoais estão sendo processados pela organização. Após o 9º requerimento, o controlador fornecerá a cópia dos dados pessoais gratuitamente.
8.10 O controlador fornecerá a resposta aos requerimentos através de meio eletrônico ou de forma impressa, a critério do titular, conforme artigo 19, §2º. Direito à retificação
8.11 O titular de dados pode requerer a correção de seus dados pessoais por parte do controlador, quando tratar-se de informações incompletas, incorretas ou desatualizadas (art. 18, III, da LGPD); Direito à revogação do consentimento
8.12 Nos casos em que seja a base legal para o tratamento, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, ratificados, porém, os tratamentos realizados ainda sob amparo do consentimento anteriormente manifestado, enquanto não houver requerimento de eliminação por parte do titular(art. 8º, § 5º, da LGPD). Direito de exclusão, bloqueio e portabilidade de dados
8.13 O controlador deve apagar, sem atraso indevido, os dados pessoais do titular de dados mediante solicitação, desde que decorrido o prazo legal mínimo relacionado à guarda necessária da informação.
8.14 Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em que outra base legal justifique sua manutenção na base de dados da organização (art. 18, VI, da LGPD);
8.15 A recusa em exercer o direito de exclusão dos dados deverá ser comunicada pelo Controlador, juntamente com a justificativa do motivo da recusa, incluindo as bases legais.
8.16 O titular poderá solicitar o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD (art.18, IV, da LGPD);
8.17 O titular dos dados poderá solicitar a portabilidade dos dados para outro prestador de serviços, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial (art. 18, V, da LGPD); 10 Direito de oposição
8.18 O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento (art. 11, II, da LGPD), em caso de descumprimento ao disposto na legislação de proteção de dados (art. 18, §2, da LGPD).
9.1 O Encarregado (DPO) fará uma análise formal da requisição do titular; caso a requisição não preencha os requisitos formais, será recusada a oportunidade em que o titular será chamado a complementar os dados e reenviar a requisição.
9.2 A análise formal pelo Encarregado pelo Tratamento de Dados Pessoais contemplará os seguintes requisitos:
● O nome completo do titular dos dados pessoais, telefone, endereço completo, e-mail ou outro canal para retornar a sua solicitação;
● Cópia (física ou digitalizada) de documento vigente para verificar a identidade do titular dos dados pessoais; caso a requisição seja feita pelo Representante Legal do titular, necessário documento comprobatório da responsabilidade do Representante Legal;
● Descrição ou razões sobre os direitos que se pretende exercer;
● Sempre que possível, informações que facilitem a localização dos Dados Pessoais.
10.1 O controlador aplica procedimentos para lidar com violações ou suspeitas de violações à proteção de dados pessoais.
10.2 Conforme orientações da Autoridade Nacional de Proteção de Dados (ANPD), o controlador manterá um registro de violações, assim como documentos de proteção de dados pessoais envolvendo todas as circunstâncias relacionadas às eventuais infrações. O registro modelo de infrações segue anexo a esta Política.
10.3 No caso de violações de dados pessoais que possam resultar em violação de direitos ou as liberdades do sujeito de dados, o controlador deverá relatar tal violação à ANPD em prazo razoável, em até 2 dias úteis após a ciência da violação.
10.4 Para cumprir o referido prazo de 2 dias úteis, o controlador estabelecerá com eventuais operadores Acordo de Processamento de Dados (DPA, em sua abreviatura em língua inglesa) ou outro instrumento que regule a matéria contendo disposições relevantes dentre as quais se inclua a obrigação de relatar quaisquer violações de proteção dados pessoais em até 24 horas a contar da ciência da violação, fornecendo também, nessa oportunidade, as informações do contexto em que a violação ocorreu.
10.5 Nos casos em que a violação resultar em um alto risco para direitos e liberdades dos titulares de dados o incidente, igualmente, deverá ser notificado aos titulares em prazo razoável, em linguagem clara e simples, descrevendo as circunstâncias da infração, os dados afetados, e as medidas tomadas para mitigação de seus efeitos negativos.
11.1 O controlador disponibilizará dados pessoais a terceiros com quem concluiu Acordos de Cooperação/Parceria e que são, nos termos do instrumento legal, controladores independentes de dados pessoais, os quais realizarão o tratamento de dados conjuntamente, visando finalidades diferentes e próprias determinadas com autonomia e independência.
12.1 A Saventic se reserva o direito de alterar esta política de privacidade a qualquer momento, sem prévio aviso. Ao realizarmos modificações materiais na presente Política, poderemos efetuar uma notificação adequada conforme as circunstâncias, apresentando uma comunicação visível em nossas plataformas ou enviando um e-mail, caso você esteja cadastrado. Desta forma, é essencial que você se certifique de ler qualquer comunicação atentamente, assim como acessar com regularidade este documento.
13.1 Caso você tenha quaisquer perguntas, comentários, sugestões ou solicitações tangentes a esta Política de Privacidade ou o uso e divulgação de informações pessoais, entre em contato conosco pelo e-mail : info@saventiccare.com.br, para que possamos lhe responder em tempo hábil.