Contract
G
1. OBJETIVO
Esta Política consolida os princípios e práticas de proteção e governança de dados pessoais adotados pela CompesaPrev – Fundação Compesa de Previdência e Assistência – em observância aos preceitos da Lei nº 13.709, de 14 de agosto de 2019 – Lei Geral de Proteção de Dados Pessoais (LGPD), em adição às disposições contratuais e práticas relativas ao sigilo e à confidencialidade.
Esta Política é aplicável e deve ser observada por todos aqueles que atuem em nome da entidade nas atividades e funções que envolvam dados pessoais sob controle da entidade.
2. INTRODUÇÃO
A LGPD regula o tratamento de dados pessoais, nos meios digitais ou físicos, realizado por pessoas naturais ou jurídicas, de direito público ou privado, visando proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.
Em aderência à LGPD, a presente Política dispõe sobre os preceitos básicos da lei e os procedimentos que deverão ser observados em todas as atividades que envolvam a coleta, o acesso ou o tratamento de dados pessoais de participantes, assistidos, beneficiários, colaboradores, diretores, conselheiros, prepostos da entidade, bem como de quaisquer outras pessoas físicas cujos dados se tornem acessíveis em razão das atividades realizadas.
3. DIRETRIZES
Esta Política busca garantir a proteção dos dados pessoais acessíveis no âmbito das operações da entidade, assegurando que sejam sempre tratados em observância aos princípios da boa-fé, finalidade, adequação e necessidade, bem como livre acesso, segurança, prevenção e não discriminação, de modo a preservar a transparência ao titular dos dados sobre o tratamento de seus dados pessoais, conforme as melhores práticas de governança e mitigação de riscos.
G
4. DEFINIÇÕES
Para efeitos desta Política, são considerados os seguintes termos e seus respectivos significados:
4.1. Dado pessoal: informação de qualquer natureza que, isolada ou associada a outras, identifique ou que possa identificar uma pessoa natural, independentemente do suporte (incluindo som e imagem);
4.2. Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
4.3. Dado pseudonimizado: informação sobre um titular de dados que somente o identifica quando associada à informação adicional relativa ao titular, mantida separadamente pelo controlador em ambiente controlado e seguro;
4.4. Titular dos dados pessoais: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento, inclusive participantes, assistidos, beneficiários, colaboradores, conselheiros, diretores, fornecedores – quando pessoas físicas - e demais prepostos da entidade;
4.5. Tratamento de dados pessoais: operação realizada com dados pessoais, que abarca a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais;
4.6. Agentes de tratamento de dados: controlador, pessoa natural ou jurídica, de direito público ou privado, a quem compete a tomada de decisões referentes ao tratamento de dados pessoais, e o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome ou a pedido do controlador;
G
4.7. Encarregado (ou Data Protection Officer - DPO): pessoa indicada pelo controlador ou operador encarregado para atuar como canal de comunicação com titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD);
4.8. Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
5. PRINCÍPIOS
Todo e qualquer tratamento de dados pessoais no âmbito da entidade ou mediante solicitação desta, deverá ser realizado de acordo com as regras e procedimentos estipulados em normas relativas à proteção de dados pessoais, e pautadas na boa- fé, lealdade, respeito e transparência ao tratamento dos dados pessoais, e nos seguintes princípios:
5.1. Finalidade: os dados pessoais coletados e processados são utilizados para realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma incompatível com tais objetivos;
5.2. Adequação: os dados pessoais são tratados em compatibilidade com as finalidades informadas ao seu titular ou pertinentes ao contrato por ele firmado com a entidade, no contexto do tratamento realizado;
5.3. Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais indispensáveis à realização das finalidades objetivadas, observada a sua pertinência e proporcionalidade;
5.4. Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita sobre os seus dados pessoais tratados, bem como sobre a forma e a duração do seu tratamento;
5.5. Qualidade dos dados: os dados pessoais tratados devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento;
G
5.6. Transparência: é assegurado ao titular de dados pessoais o acesso a informações precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de tratamento;
5.7. Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
5.8. Prevenção: são aplicáveis para tratamento de dados pessoais todas as medidas técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou riscos em virtude das atividades de tratamento de dados pessoais;
5.9. Não discriminação: é vedada a realização de tratamento de dados pessoais para qualquer forma de discriminação ilícita ou abusiva;
5.10. Responsabilização e prestação de contas: para garantia de proteção de dados pessoais, poderá haver demonstração das medidas e providência preventivas adotadas pela entidade.
6. DO TRATAMENTO DE DADOS PESSOAIS
Todo e qualquer tratamento de dados realizado no âmbito da entidade, ou a pedido desta, deve ter por preceito mínimo a observância aos princípios indicados nesta Política, mesmo nos casos em que o tratamento seja baseado em consentimento fornecido pelo titular, para execução de contrato ou procedimentos preliminares ao contrato, cumprimento de obrigação legal ou regulatória, para exercício regular do direito em processo judicial, administrativo ou arbitral, ou em razão do legítimo interesse da entidade.
Na ocorrência de tratamento com base em legítimo interesse, são requisitos indispensáveis:
(i) a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais;
(ii) utilização dos dados pessoais estritamente necessários para o atendimento à finalidade pretendida;
G
(iii) adoção das medidas para garantir, ao titular, a transparência do referido tratamento de dados.
7. DA COLETA DE DADOS PESSOAIS
A coleta de dados pessoais deve ser destinada a atender propósitos específicos e legítimos, observada limitação aos dados pessoais mínimos necessários para atendimento às respectivas finalidades, de modo a assegurar que:
• o titular dos dados pessoais seja informado em contrato, telefone, e-mail, mensagem, pessoalmente ou outro, de maneira clara e específica sobre como seus dados serão tratados e para quais finalidades;
• o tratamento é adequado ao contexto em que os dados pessoais foram coletados; e
• a indispensabilidade dos dados pessoais coletados para atingir aquela finalidade pretendida.
8. FINALIDADE DO TRATAMENTO DOS DADOS PESSOAIS
A CompesaPrev, enquanto entidade fechada de previdência complementar, tem por objetivo proporcionar benefícios previdenciários e assistenciais à saúde à seus participantes, assistidos e beneficiários. Para o desenvolvimento de suas atividades, a entidade realiza o tratamento de dados pessoais e dados pessoais sensíveis para a satisfação das finalidades abaixo descritas.
- Participantes, assistidos, beneficiários e potenciais participantes
Os dados pessoais de participantes, assistidos, beneficiários e potenciais participantes (empregados da patrocinadora aos quais a entidade é obrigada legalmente a oferecer plano de benefícios previdenciários e assistenciais), tais como nome, data de nascimento, sexo, filiação, estado civil, endereço, situação profissional e relativos ao vínculo empregatício, são tratados com o objetivo de possibilitar o cumprimento do regulamento dos planos de benefícios e exigências legais.
Especificamente, os dados pessoais são tratados para:
(i) adesão a planos de benefícios de caráter previdenciário e assistencial e sua gestão;
(ii) inclusão de beneficiários nos planos contratados;
(iii) cálculo de joia atuarial e estudos de xxxxx;
G
(iv) contato telefônico, postal ou por e-mail com os participantes, assistidos ou beneficiários para comunicação e atendimento;
(v) análise de elegibilidade para benefícios, institutos e direitos previstos nos regulamentos dos planos;
(vi) pagamento de benefícios previdenciários, portabilidade ou resgate, bem como reembolsos e pagamentos inerentes ao plano assistencial;
(vii) cumprimento de obrigações legais ou regulatórias;
(viii) contratação empréstimos a participantes e assistidos, quando aplicável, e sua gestão;
(ix) eleição, posse e exercício de cargos dos dirigentes e conselheiros da entidade;
(x) auditoria, controles internos e de riscos;
(xi) defesa judicial ou administrativa;
(xii) adesão ao plano assistencial (inclusive odontológico) e sua operação;
(xiii) outras atividades contratadas junto à entidade.
Adicionalmente, dados pessoais sensíveis poderão ser tratados para cumprimento de obrigações legais ou regulatórias.
- Beneficiários (Titulares e dependentes)
Os dados pessoais dos beneficiários, tais como nome, CPF, RG, data de nascimento, sexo, filiação, estado civil, endereço, situação profissional, número do cartão nacional de saúde e dados pessoais sensíveis relativos à saúde, são tratados com o objetivo de possibilitar a cobertura da assistência à saúde contratada e o cumprimento de exigências legais e regulatórias.
Especificamente, os dados pessoais dos beneficiários são tratados para:
(i) adesão a planos de saúde e sua gestão;
(ii) inclusão de beneficiários nos planos contratados;
(iii) contato telefônico, postal ou por e-mail com beneficiários e seus dependentes para comunicação institucional e atendimentos a demandas específicas;
(i) autorização de procedimentos;
(ii) efetivação de reembolsos solicitados;
(iii) análise de pedidos de procedimentos alternativos;
(iv) cumprimento de obrigações legais ou regulatórias;
(v) outras atividades contratadas junto à entidade.
Os dados pessoais sensíveis dos beneficiários são tratados para:
G
(i) gestão dos planos de saúde;
(ii) atendimento a demandas específicas direcionadas pelos beneficiários ou a pedido destes;
(iii) autorização de procedimentos;
(iv) análise de pedidos de home care;
(v) gestão de compras e pedidos específicos de OPME;
(vi) efetivação de reembolsos solicitados;
(vii) cumprimento de obrigações legais ou regulatórias.
- Colaboradores, dirigentes, prepostos e fornecedores
Para o cumprimento das obrigações contratuais e legais, há tratamento de dados pessoais de colaboradores da entidade, ainda que cedidos da Patrocinadora, dirigentes, prepostos e fornecedores, que atuam em atividades da entidade. Poderão ser tratados dados pessoais sensíveis destes para atendimento a legislações e contratos.
O tratamento de dados pessoais nestes casos estará diretamente relacionado à seleção e contratação para exercer atividades junto à entidade, bem como para cumprimento de normas legais e regulatórias e a disponibilização de benefícios aos seus colaboradores.
9. FUNDAMENTOS LEGAIS DO TRATAMENTO DE DADOS PESSOAIS
No cumprimento das finalidades de gestão dos planos previdenciários e de assistência à saúde, a entidade realiza o tratamento de dados pessoais quando houver o consentimento do titular, ou quando necessário para a execução de contrato ou procedimentos que o antecedam, também realiza tratamento de dados pessoais para o cumprimento de obrigações legais ou de supervisão pela PREVIC (Superintendência Nacional de Previdência Complementar) e ANS (Agência Nacional da Saúde), para a defesa em processos judiciais, administrativos ou arbitrais e para atendimento aos legítimos interesses da entidade ou com fundamento em diversa base legítima aplicável ao tratamento de dados, devidamente disciplinada pela LGPD e em observância aos preceitos e regras de proteção de dados pessoais.
Nos casos em que o tratamento de dados pessoais é feito em atendimento ao legítimo interesse da entidade, são observados estritamente os requisitos e as disposições prescritas na legislação aplicável.
G
Assim, nas situações concretas em que o tratamento se basear em legítimo interesse, a entidade assegura:
(i) a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais;
(ii) que a utilização dos dados pessoais estritamente necessários para o atendimento à finalidade pretendida;
(iii) adoção das medidas para garantir, ao titular, a transparência do referido tratamento de dados.
Para o tratamento de dados pessoais de crianças e adolescentes, a entidade adota os cuidados específicos prescritos pela LGPD, de modo que seja preservado o melhor interesse do menor, e que o consentimento, contratação e autorização sejam realizados diretamente pelos pais ou responsáveis legais.
10. DA COLETA DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES
Na coleta de dados de crianças e adolescentes, inclusive beneficiários dos planos de benefícios e dependentes de colaboradores e diretores da entidade, deverão ser adotados procedimentos para certificar que a coleta de dados e o consentimento para o tratamento de dados é realizado diretamente pelos pais ou responsáveis legais.
Observada a legislação que rege as operações de previdência e de saúde e as informações necessárias para operacionalização do escopo dos contratos firmados com a entidade, dados pessoais de participantes e/ou beneficiários maiores de 17 (dezessete) anos não poderão ser disponibilizados a terceiros.
11. ACESSO AOS DADOS PESSOAIS
Os dados pessoais dos participantes, assistidos, beneficiários, funcionários e representantes legais são acessíveis pelos colaboradores da entidade que deles necessitem para a realização de suas atividades na gestão dos planos previdenciários e assistenciais operados pela entidade, bem como pelos colaboradores da patrocinadora, que atuem diretamente em suporte ou interface com a entidade para atividades relativas à inscrição no plano, efetivação de contribuições, pagamento de benefícios e institutos ou atividades relacionadas à realização do contrato de trabalho e representação institucional.
G
Há acesso aos dados de crianças e adolescentes, na qualidade de beneficiários dos participantes e/ou dependentes do plano de saúde, que são tratados para possibilitar a concessão de benefícios e para fins de cumprimento de obrigações legais e contratuais.
São também acessíveis dados sensíveis de saúde dos participantes, assistidos e colaboradores para cumprimento de obrigações legais, regulatórias ou contratuais que demandem informações desta natureza, e, em casos tais, serão tratadas para as finalidades e nos limites objetivos da norma ou contrato aplicável.
Terceiros poderão ser contratados para a prestação de determinados serviços especializados, que eventualmente poderão implicar no acesso a dados pessoais de participantes, assistidos, beneficiários e colaboradores. Nestes casos, a entidade adota todas as medidas contratuais e operacionais para que os fornecedores e parceiros recepcionem apenas os dados pessoais indispensáveis ao serviço ou atividade a ser realizada e que mantenham alto nível de governança e proteção de dados, além de sigilo e confidencialidade.
12. COMPARTILHAMENTO DE DADOS PESSOAIS
Poderá haver compartilhamento de dados pessoais com terceiros (fornecedores, patrocinadora e parceiros), nos casos em que sejam necessárias ou adequadas à luz da legislação aplicável, para assegurar interesses dos participantes e assistidos e beneficiários, cumprimento de obrigações legais ou ordens judiciais ou para atender solicitações e demandas de autoridades públicas.
Havendo o compartilhamento de dados pessoais, são adotadas todas as medidas razoáveis para a proteção dos dados pessoais, observadas as instruções impostas contratualmente, os preceitos da LGPD e a política de proteção de dados pessoais da entidade, a fim de que haja garantias suficientes de execução de medidas técnicas e operacionais adequadas para a segurança e proteção dos direitos dos titulares dos dados.
Especificamente para o compartilhamento de dados sensíveis relativos à saúde, não há o compartilhamento ou uso compartilhado destes dados com o objetivo de obtenção de vantagem econômica, mas apenas à prestação de serviços de saúde e de assistência à saúde dos beneficiários dos planos de saúde geridos pela entidade. Tais dados são também compartilhados para permitir a portabilidade de dados quando consentido pelo titular, a efetivação de transações financeiras e
G
administrativas resultantes do uso e da prestação dos serviços de saúde e assistência à saúde e quando devidamente autorizado pelo titular de dados.
O compartilhamento de dados pessoais da entidade é classificado em três níveis, de acordo com a categoria e a confidencialidade dos dados, bem como o enquadramento do tratamento realizado:
(i) compartilhamento amplo, quando se tratar de dados públicos ou tornados manifestamente públicos pelo titular, que não estão sujeitos a restrição de acesso e compartilhamento, resguardados os diretos do titular dos dados e os princípios estabelecidos nesta Política e na LGPD;
(ii) compartilhamento restrito, quando se tratar de dados pessoais coletados ou disponibilizados para o cumprimento de contrato e seus procedimentos preliminares ou para o cumprimento de obrigação legal ou regulatória;
(iii) compartilhamento específico, quando se tratar de compartilhamento de dados confidenciais, sigilosos, dados sensíveis e dados de crianças e adolescentes.
O compartilhamento de dados ocorrerá com base no disposto nos itens 12 a 15 desta Política, devendo, o receptor dos dados, garantir o adequado tratamento e segurança dos dados pessoais recepcionados.
O compartilhamento de dados pessoais com base do legítimo interesse do controlador enquadra-se em compartilhamento específico de dados, devendo, nestes casos, o tratamento e compartilhamento serem precedidos de comunicação prévia ao DPO, com observância aos preceitos contidos no item 6 desta Política.
13. DOS CUIDADOS NO COMPARTILHAMENTO DE DADOS PESSOAIS
As disposições gerais deste item são aplicáveis em qualquer hipótese de compartilhamento de dados pessoais pela entidade ou pelos fornecedores e parceiros, independentemente do enquadramento de categoria.
O compartilhamento de dados pessoais pela entidade deve ocorrer apenas quando houver consentimento do seu titular ou quando seja necessário à realização do tratamento previamente autorizado pelo titular, inclusive por decorrência de contratos firmados com a entidade.
Os contratos e convênios com terceiros, para os quais haja o compartilhamento de dados pessoais, devem conter cláusulas específicas dispondo sobre a observância à proteção e governança de dados pessoais e medidas de minimização de riscos.
G
14. DO COMPARTILHAMENTO DE DADOS SENSÍVEIS
Em razão da sua finalidade precípua enquanto entidade fechada de previdência complementar administradora de planos assistenciais de saúde, a entidade realiza o tratamento de dados pessoais sensíveis de saúde.
Para além dos casos em que há consentimento expresso pelo titular de dados, o tratamento de dados sensíveis ocorre apenas quando se tornar indispensável para cumprimento de obrigação legal, regulatória ou contratual, e em estrita observância às disposições da LGPD, de modo impedir tratamentos discriminatórios ou restritivos.
O compartilhamento de dados pessoais sensíveis é permitido nas seguintes hipóteses, com a devida observância às disposições do item 12:
(i) para possibilitar, ao seu beneficiário e seus dependentes, a prestação de serviços assistência à saúde, nos termos contratados;
(ii) portabilidade de dados quando solicitado pelo titular;
(iii) a realização de transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde e assistência à saúde;
(iv) quando devidamente autorizado pelo titular.
15. DA TRANSFERÊNCIA INTERNACIONAL
Nos casos em que se fizer necessária a realização de transferência internacional de dados pessoais, é cabível conferir previamente a existência, no país de destino, de norma ou dever de proteção de dados pessoais, em observância ao fiel cumprimento das disposições e requisitos estabelecidos nesta Política e na LGPD.
16. MEDIDAS TÉCNICAS, OPERACIONAIS E DE SEGURANÇA DE PROTEÇÃO DOS DADOS PESSOAIS
A entidade adota medidas técnicas, operacionais e contratuais necessárias para assegurar que o tratamento de dados pessoais seja efetuado em estrita conformidade com a legislação de proteção de dados aplicável, e medidas de segurança que buscam garantir a proteção aos dados pessoais que lhes são disponibilizados contra a difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como qualquer outra forma de tratamento irregular ou em desconformidade com a LGPD.
G
17. DEFINIÇÃO DE PERFIS
A entidade não trata dados pessoais de forma automatizada com a finalidade de criação e/ou definição de perfil comercial ou comportamental.
Eventualmente, a entidade realiza a classificação dos participantes, assistidos e beneficiários de acordo com a sua situação perante os planos ou em decorrência de contratos firmados pelo titular de dados com a entidade, com o objetivo realizar o encaminhamento de campanhas, informações e sugestões específicas em benefício ou para defesa de interesses do titular de dados.
A CompesaPrev não realiza o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
18. ELIMINAÇÃO DE DADOS PESSOAIS
O tratamento e armazenamento de dados pessoais somente estão autorizados pelo período necessário à realização das finalidades que motivaram a coleta e tratamento de tais dados, bem como para cumprimento de obrigações contratuais e legais, observada a sua indisponibilidade, quando do término do tratamento, em sistemas, redes ou pastas físicas da entidade.
Os dados pessoais e ou dados pessoais sensíveis tratados pela entidade devem ser mantidos enquanto existir relação jurídica com o respectivo titular, exceto nos casos em que, por observância a legislação ou regulamentação, seja necessária a conservação por prazo superior, findo o qual os dados pessoais serão eliminados.
A eliminação de documentos contendo dados pessoais deverá seguir o procedimento especificado na tabela de temporalidade da entidade.
19. DATA PROTECTION OFFICER – DPO (ENCARREGADO)
A entidade indica o DPO Pitter Xxxxxx Xxxxxxx xx Xxxxx como responsável pelo canal de comunicação entre a entidade, os titulares de dados pessoais (participantes, assistidos, beneficiários, dependentes, colaboradores, fornecedores, dirigentes e prepostos), partes interessadas e a ANPD, poderá prestar os esclarecimentos necessários sobre esta Política e sua aplicação, casos excepcionais e boas práticas a serem adotadas permanentemente por colaboradores, dirigentes, fornecedores e parceiros da entidade.
G
Toda e qualquer comunicação e solicitação relativa ao tratamento de dados pessoais podem ser encaminhadas pelos titulares diretamente ao DPO, que pode ser contatado pelo seguinte endereço eletrônico: xxx@xxxxxxxxxxx.xxx.xx
Eventuais incidentes de vazamentos ou riscos de exposição de dados pessoais tratados pela entidade deverão ser reportados ao DPO com a máxima brevidade possível.
20. DIREITOS DOS TITULARES E CANAL DE GERENCIAMENTO DE SOLICITAÇÕES
É assegurado o acesso facilitado e claro às informações sobre o tratamento de dados pessoais realizados pela entidade, sempre que solicitado pelo titular dos dados.
As solicitações relativas aos direitos de privacidade e proteção de dados dos titulares deverão ser efetuadas e encaminhadas ao canal de gerenciamento de solicitações, conduzido pelo DPO.
O titular dos dados pessoais tem o direito de solicitar à entidade, mediante pedido escrito direcionado ao DPO ou ao responsável pelo tratamento:
(i) a confirmação sobre a existência de tratamento e o acesso, nos termos e condições legalmente previstos, aos dados pessoais que lhes digam respeito e que sejam objeto de tratamento;
(ii) a correção ou atualização dos dados pessoais inexatos ou desatualizados;
(iii) a anonimização, bloqueio ou eliminação de dados, salvo quanto aos dados que sejam indispensáveis à execução das atividades pela entidade ou ao cumprimento de obrigações legais a que o responsável pelo tratamento esteja sujeito;
(iv) a oposição à utilização dos dados pessoais para fins que não sejam indispensáveis à gestão da entidade ou dos planos de benefícios administrados;
(v) a revogação do consentimento nos casos em que o tratamento estiver fundado apenas no consentimento e o tratamento dos dados não for indispensável ao cumprimento de obrigações contratuais, legais e regulatórias pela entidade;
(vi) a informação sobre as entidades públicas e privadas com a qual houve o compartilhamento de dados pessoais;
(vii) a portabilidade dos seus dados pessoais; e
G
(viii) a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
As solicitações de atualização, correção ou exclusão de seus dados coletados de acordo com esta Política deverão ser encaminhadas ao DPO. Todavia, os dados pessoais poderão ser mantidos para fins de cumprimento de obrigações legais, contratuais e regulatórias, para resguardar e exercer direitos da entidade e participantes ou assistidos, para manter as operações contratadas e para prevenção de atos ilícitos e em processos judiciais, administrativos e arbitrais.
21. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS
Nos casos em que o tratamento de dados oferecer riscos às liberdades civis e aos direitos fundamentais do titular, é cabível a elaboração de relatório de impacto à proteção de dados pessoais, contendo a descrição dos processos de tratamento de dados pessoais e as medidas, salvaguardas e mecanismos de mitigação de risco adotados.
22. PRIVACY BY DESIGN
A todo projeto ou operação desenvolvido pela ou sob demanda da entidade devem ser incorporados os conceitos e práticas de privacy by design (privacidade desde a concepção), para garantia da governança e proteção dos dados pessoais do usuário.
23. DO COMITÊ DE GOVERNANÇA DE DADOS PESSOAIS
O Comitê formado pela entidade é composto pelo Encarregado (DPO), pelo responsável pela área de controle de processos da entidade, pelo responsável pela Tecnologia da Informação da entidade, por um indicado pela Diretoria Executiva e por um indicado pelo Conselho Deliberativo.
O Comitê terá o papel de deliberar sobre as atividades de tratamento da entidade, auxiliar o Encarregado no desempenho de suas funções, e promover a conscientização interna sobre os procedimentos envolvendo dados pessoais e segurança da informação.
G
24. BOAS PRÁTICAS PARA GOVERNANÇA E PROTEÇÃO DE DADOS PESSOAIS
Além da observância aos preceitos e regras contidas nesta Política, deverão ser adotadas medidas de boas práticas que assegurem a proteção e a governança de dados pessoais, inclusive para que:
• as solicitações de áreas internas, fornecedores e parceiros sejam atendidos, sempre que possível, sem a identificação dos titulares de dados pessoais ou mediante pseudonimização;
• dados pessoais não sejam expostos em reuniões de comissões, comitês e grupos de trabalho;
• os dados pessoais sensíveis relativos à saúde dos beneficiários (titulares e dependentes) sejam acessíveis tão somente aos colaboradores que atuem em atividades que envolvam diretamente o tratamento de tais dados;
• titulares de dados pessoais não sejam identificados em reuniões dos Conselhos Deliberativo e Fiscal quando não for essencial à análise dos assuntos sob debate ou deliberação de tais órgãos de governança, mantida a pseudonimização;
• arquivos contendo dados pessoais não sejam impressos, exceto quando imprescindível para assinatura ou outra providência que não possa ser realizada sem que haja impressão dos dados pessoais – hipótese em que os papéis devem ser destruídos após o seu tratamento ou atingimento de finalidade, na forma prevista nesta Política;
• papéis, arquivos, dossiês e pastas físicos contendo dados pessoais sejam guardados com segurança e não sejam reutilizados, ainda que para rascunho;
• haja o registro das operações de tratamento de dados pessoais e dados pessoais sensíveis realizadas pelos operadores de dados pessoais (fornecedores) em seu nome;
• sejam utilizados mecanismos para assegurar que o contato telefônico está sendo realizado diretamente com o titular de dados ou seu representante legal e que os endereços eletrônicos utilizados para troca de informações não sejam e-mails de terceiros;
• sejam solicitados apenas os dados pessoais e documentos comprobatórios mínimos para a realização da operação em andamento, inclusive para fins de realização de novas adesões e prospecções;
• não haja a disponibilização de dados pessoais de maiores de 18 anos para terceiros, ainda que pais ou familiares.
G
25. APROVAÇÃO, ALTERAÇÕES E VIGÊNCIA
A presente versão desta Política foi aprovada pela Diretoria Executiva da entidade na 400ª REDIR, em 18/06/2020, atualizada pela última vez em 18/06/2020, e tem efeitos vigentes a partir do dia 01/07/2020, revogando-se as disposições em contrário.
Xxxxxx xx Xxxxxxxxxxx Xxxx | Xxxxxxx Xxxx xx Xxxxxxx | Xxxxxxxxx Xxxxxx xx Xxxxxx |
Diretora Administrativa-Financeira | Diretor de Benefícios | Diretor Presidente |