Contract
1. OBJETIVOS
A Política de Privacidade (“Política”) do A.C.Camargo Cancer Center (doravante denominada “A.C Camargo” ou “Instituição”) visa a estabelecer (i) as diretrizes gerais para o Tratamento de Dados Pessoais realizado no contexto de sua operação, observadas as disposições da Lei Geral de Proteção de Dados, e (ii) os compromissos institucionais com a garantia da privacidade e da proteção dos Dados Pessoais de todos os Titulares de Dados com quem a Instituição se relaciona.
2. APLICAÇÃO
Esta Política se aplica a todas as pessoas naturais com quem a Instituição se relaciona e cujos dados a Instituição trata ou pode tratar – inclusive, mas não se limitando a, pacientes e seus responsáveis legais e acompanhantes, cola- boradores da Instituição, integrantes de seu corpo clínico e multiprofissional, alunos, pesquisadores, voluntários, for- necedores, prestadores de serviços, parceiros comerciais e quaisquer terceiros ou partes relacionadas.
Aplica-se, ainda, a todos os processos organizacionais e atividades realizadas pela Instituição, dentro ou fora de am- bientes digitais.
3. ABRANGÊNCIA
Esta Política abrange todas as unidades organizacionais da Instituição.
4. DOCUMENTOS RELACIONADOS
4.1. ACC-POL-0001: Código de Conduta.
4.2. ACC-POL-0007: Política de Segurança da Informação.
5. GLOSSÁRIO
5.1. Agentes de Tratamento: o Controlador e o Operador.
5.2. Anonimização: Técnica ou conjunto de técnicas utilizadas para fazer com que Dados Pessoais tratados pela Instituição percam a possibilidade de associação, direta ou indireta, a um indivíduo específico.
5.3. Autoridade Nacional (ou ANPD): Autoridade Nacional de Proteção de Dados, órgão da administração públi- ca responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território brasileiro.
5.4. Banco de Dados: conjunto estruturado de dados, em meio físico ou eletrônico, estabelecido em um ou em vários locais.
5.5. Canal de Privacidade: canal de comunicação, coordenado pelo Encarregado, cuja finalidade é receber, apu- rar e processar as solicitações de exercício de direitos por parte de Titulares de Dados, bem como esclarecer quaisquer dúvidas, denúncias de suposta violação às práticas de privacidade por Profissionais do X.X.Xxxxxxx. O Canal de Privacidade está disponibilizado dentro do Portal de Privacidade da Instituição.
5.6. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referen- tes ao Tratamento de Dados Pessoais a ela confiados pelos Titulares de Dados Pessoais.
5.7. Dado Pessoal: refere-se a qualquer tipo de informação e dado, obtido por meios digitais ou não, capaz de identificar ou tornar identificáveis pessoas físicas, incluindo dados que possam ser combinados com outras in- formações para identificar um indivíduo e/ou que se relacionem com a identidade, características ou compor- tamento de um indivíduo ou influenciem na maneira como esse indivíduo é tratado ou avaliado, incluindo nú- meros identificativos, dados locacionais e/ou identificadores eletrônicos. O termo “Dados Pessoais” também in- clui Dados Pessoais Sensíveis.
5.8. Xxxx Xxxxxxx Xxxxxxxx: Xxxx Xxxxxxx sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, ou qualquer informação ou conjunto de informações que sirvam para ge- rar inferências sobre Dados Pessoais Sensíveis.
5.9. Dado Anonimizado: dado que, por ter sido Tratado com técnicas de Anonimização, impossibilita a identifica- ção do Titular do referido dado. Os Dados Anonimizados não serão considerados Dados Pessoais para os fins da Lei Geral de Proteção de Dados, salvo quando o processo de Anonimização se tratar, na realidade, de uma Pseudonimização.
5.10. Encarregado: pessoa indicada pelo Controlador e/ou pelo Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados Pessoais e a Autoridade Nacional.
5.11. Lei Geral de Proteção de Dados (ou “LGPD”): Lei nº 13.709/18, que dispõe sobre o tratamento de Dados Pessoais em território brasileiro.
5.12. Legislação de Proteção de Dados: Lei Geral de Proteção de Dados, Lei nº 12.965/2014 (Marco Civil da In- ternet), Decreto nº 8.771/2016 e qualquer outra legislação, atual ou futura, que regulamente alguma atividade de Tratamento de Dados Pessoais pela Instituição.
5.13. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pesso- ais em nome do Controlador.
5.14. Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direi- to privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no Brasil, que in- clua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de cará- ter histórico, científico, tecnológico ou estatístico.
5.15. Portal de Privacidade: página eletrônica no site corporativo da Instituição, onde serão disponibilizadas a Política de Privacidade da Instituição e demais informações institucionais sobre o Tratamento de Dados Pesso- ais e mecanismos para exercício de direitos dos Titulares de Dados (como, por exemplo, o Canal de Privacida- de). O Portal de Privacidade pode ser acessado no endereço eletrônico xxx.xxxxxxxxx.xxx.xx/xxxxxxxxxxx.
5.16. Profissional(is) do X.X.Xxxxxxx: refere-se aos conselheiros, diretores, empregados, estagiários, aprendi- zes, integrantes de seu corpo clínico e multiprofissional, residentes, alunos, pesquisadores internos e externos, voluntários e prestadores de serviços em geral, indiferente do regime jurídico a que estejam submetidos.
5.17. Pseudonimização (e termos relacionados como “Pseudonimizar” e “Pseudonimizado”): todo e qualquer meio e processo técnico aplicado no Tratamento de Dados Pessoais que resulte na não-identificação do Titular do re- ferido Xxxx Xxxxxxx, mas que, por meio de esforços razoáveis ou mediante a utilização de meios próprios defi- nidos pelo Controlador, possa reverter tal processo de não-identificação, permitindo, assim, que o Titular seja
identificado ou identificável.
5.18. Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documentação do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e quaisquer mecanismos para a razoável mitigação do risco identificado nos processos de Tratamento.
5.19. Titular de Dados: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
5.20. Tratamento (e termos relacionados como “Tratar”, “Tratados”): toda e qualquer operação realizada com Da- dos Pessoais, incluindo a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, conforme dispõe a Lei Geral de Proteção de Da- dos.
6. DESCRIÇÃO
INTRODUÇÃO
O X.X.Xxxxxxx Cancer Center, por ser uma entidade de saúde, sempre teve a preocupação de manter sob sigilo os Dados Pessoais, especialmente os de saúde. Esta Política visa a reforçar ainda mais este compromisso institucional, em linha com as diretrizes regulatórias do setor e a Legislação de Proteção de Dados.
Como um centro dedicado ao diagnóstico, tratamento, ensino e pesquisa do câncer, para que sua missão possa ser cumprida, é natural que diversos tipos de Dados Pessoais sejam coletados, analisados e usados em suas diferentes frentes de atuação, sendo que dados de saúde, considerados Dados Sensíveis pela Legislação de Proteção de Dados, estão no centro de tudo o que faz a Instituição.
O compromisso da Instituição é poder sempre tratar seus pacientes e otimizar e melhorar a experiência daqueles com quem se relaciona, com qualidade, eficiência e segurança.
Cumprimento das leis e da Política
Adicionalmente ao cumprimento das diretrizes desta Política, é obrigação de todos os Profissionais do A.C.Camargo o conhecimento e cumprimento integral das leis (em sentido amplo) para desempenho de suas atividades profissionais e para o funcionamento da Instituição.
As categorias profissionais que têm as suas atividades regulamentadas também estão sujeitas aos códigos de ética disciplinares de seus respectivos conselhos e órgãos, principalmente no que concerne ao sigilo profissional na medici- na.
DIRETRIZES GERAIS DO GERENCIAMENTO DE IMPACTOS À PROTEÇÃO DE DADOS PESSOAIS
As diretrizes descritas nesta Política norteiam todas as atividades desenvolvidas na Instituição e estão de acordo com as prioridades estabelecidas em uma agenda institucional de privacidade, que incluem aspectos de implementação de uma governança de privacidade; o gerenciamento das políticas e das práticas de privacidade; a gestão do registro das operações, seu processamento e dados mapeados; verificação constante de impactos à proteção dos Dados Pessoais, observando-se a qualidade, a segurança e a eficiência no uso dos Dados Pessoais em todos os seus serviços, aplicati- vos, sistemas e processos, com foco em medidas técnicas e ferramentas administrativas que visam à proteção e sal-
vaguarda dos dados dos Titulares de Dados, transparência quanto ao uso dos dados e aplicação dos direitos reserva- dos aos Titulares de Dados, tudo para evitar e mitigar ao máximo riscos e danos a todos que se relacionam com a Instituição.
Princípios do Tratamento
(i) Finalidade: Os Dados Pessoais Tratados pela Instituição serão utilizados apenas para propósitos legíti- mos, específicos, explícitos e sem a possibilidade de Tratamento posterior de forma incompatível com es- sas finalidades.
(ii) Adequação: Os Dados Pessoais serão Tratados de forma compatível com as finalidades informadas ao Titular de Dados, de acordo com o contexto do Tratamento.
(iii) Necessidade: O Tratamento de Dados Pessoais será limitado ao mínimo necessário para a realização das finalidades institucionais, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de Dados Pessoais.
(iv) Livre acesso: Será garantido aos Titulares de Dados o direito de consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integridade de seus Dados Pessoais.
(v) Qualidade dos Dados Pessoais: Será garantido aos Titulares de Dados a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento.
(vi) Transparência: Será garantido aos Titulares de Dados a prestação de informações claras, precisas e acessíveis sobre a realização do Tratamento de seus Dados Pessoais, bem como sobre os respectivos Agentes de Tratamento.
(vii) Segurança: A Instituição utilizará de medidas técnicas e administrativas aptas a proteger os Dados Pes- soais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
(viii) Prevenção: A Instituição adotará medidas para prevenir a ocorrência de danos em virtude do Trata- mento de Dados Pessoais.
(ix) Não discriminação: A Instituição compromete-se a não Tratar, e proibir demais Agentes de Tratamen- to de Tratarem, Dados Pessoais para fins discriminatórios, ilícitos ou abusivos.
(x) Responsabilização: A Instituição assegurará, na medida razoável, a adoção, pelos Agentes de Trata- mento, de medidas que garantam a observância da Legislação de Proteção de Dados, inclusive demons- trando a eficácia dessas medidas.
Do Tratamento de Dados Pessoais
A Instituição, visando o desenvolvimento contínuo de suas atividades inerentes à prestação de serviços de saúde de seus pacientes, alinhado com o desenvolvimento tecnológico e de inovação para um atendimento de maior qualidade e tratamentos eficazes, poderá realizar Tratamento de Dados Pessoais, de modo geral, em todas as suas atividades e para os fins dos seus serviços desde o momento em que se estabelece uma relação jurídica entre a Instituição e o Titular dos Dados, sempre nos limites e na forma do que exige a Legislação de Proteção de Dados, esta Política, a
regulamentação específica do setor e demais normativos correlatos.
Considerando os princípios e fundamentos definidos pela Lei Geral de Proteção de Dados, o Tratamento de Dados Pessoais será realizado pela Instituição apenas quando observada uma das seguintes hipóteses:
(i) Consentimento: quando o Titular de Dados ou seu responsável legal consentir com o Tratamento dos Dados Pessoais, de forma específica e destacada, para finalidades determinadas;
(ii) Cumprimento de obrigação legal: quando necessitar Tratar Dados Pessoais ou Dados Sensíveis em virtude de uma obrigação legal ou regulatória, casos esses em que a Legislação de Proteção de Dados dispensa a necessidade de consentimento do Titular de Dados;
(iii) Execução de políticas públicas e estudos por Órgão de Pesquisa: hipóteses de Tratamento de Dados Pessoais admitidas pela legislação independentemente do consentimento do Titular de Dado, para fins de pesquisas ou para atender a interesse da administração pública – em qualquer caso, sempre ob- servando os princípios da Lei Geral de Proteção de Dados;
(iv) Execução de contratos e diligências pré-contratuais: quando o Tratamento for necessário para as- segurar o cumprimento da execução contratual ou de diligências pré-contratuais;
(v) Exercício regular de direito: quando o Tratamento for necessário para um exercício regular de direi- tos em contrato, processo judicial, administrativo ou arbitral;
(vi) Proteção da vida do Titular de Dados ou de terceiros: quando Tratamento for indispensável para a proteção da vida ou da incolumidade física, a Legislação de Proteção de Dados permite que possa ser re- alizado sem o consentimento do Titular de Dados;
(vii) Tutela da saúde: quando o Tratamento do Dado Pessoal for realizado com a finalidade de promover procedimento por profissionais técnicos da área da saúde ou por entidades sanitárias, um interesse pú- blico relevante que deve ser justificado;
(viii) Interesses legítimos: em algumas situações, em caráter de exceção, a Instituição poderá valer-se do interesse legítimo para Tratar Dados Pessoais do Titular de Dados, no exercício regular de seus direitos ou prestação de serviços que o beneficiem, sempre nos limites da Legislação de Proteção de Dados.
GOVERNANÇA DE PRIVACIDADE
A Instituição acredita que a boa governança de seu programa de privacidade é uma forma de reforçar ainda mais a segurança na privacidade e proteção dos Dados Pessoais por ela Tratados. Desta forma, empenha-se em implantar as melhores práticas de governança da privacidade, para minimizar os riscos e os impactos relacionados ao Tratamento de Dados Pessoais e para atuar em conformidade com as leis e regulamentos relevantes, além dos outros compromis- sos voluntariamente assumidos pela Instituição e que estejam em linha com as diretrizes e princípios gerais atinentes ao tema.
Gerenciamento da Política de Privacidade
Como uma das formas de comprometer-se com as melhores práticas em privacidade e proteção de dados, a Institui- ção formaliza suas diretrizes gerais de privacidade e proteção de dados da Instituição nesta Política e em Avisos de Proteção de Dados disponibilizados para os Titulares de Dados.
Normativos internos deverão ser desenvolvidos para implementar todas as diretrizes definidas nessa Política, inte- grando-as em todos os processos realizados pela Instituição, incluindo aqueles relacionados ao desenvolvimento de sistemas, novos processos de gestão e planos de resposta a incidentes e remediação de incidentes de Tratamento de Dados Pessoais.
A Política, os Avisos de Proteção de Dados e demais normativos relacionados deverão ser periodicamente atualizados para adequarem-se aos regulamentos externos e internos relevantes, mantendo a Instituição, na medida do possível, alinhada à agenda regulatória nacional sobre o tema.
A Instituição recomenda aos Titulares de Dados que esta Política seja consultada de tempos em tempos, para que todos tenham conhecimento sobre eventuais modificações.
Avisos de Proteção de Dados
Visando maior transparência, segurança, conveniência e clareza na relação com os Titulares de Dados quanto ao es- copo do Tratamento de Dados Pessoais e seus direitos nesse processo, a Instituição publicará Aviso de Práticas de Privacidade e Proteção de Dados (“Avisos de Proteção de Dados”) direcionados aos diversos grupos de Titulares de Dados com que se relaciona.
Os Avisos de Proteção de Dados serão disponibilizados no Portal de Privacidade da Instituição, no endereço eletrônico xxx.xxxxxxxxx.xxx.xx/xxxxxxxxxxx.
Transparência
O X.X.Xxxxxxx Cancer Center possui a transparência como um de seus valores e a considera um fator essencial para promover uma relação de confiança com o Titular de Dados, demonstrando como seus Dados Pessoais são Tratados, assegurando-lhe o exercício de seus direitos. Sendo assim, a Instituição compromete-se a prover orientações claras e objetivas, seja nesta Política, nos Avisos de Proteção de Dados, no Portal de Privacidade e em outros documentos e comunicados por ela emitidos.
Segurança
A Instituição desenvolve suas atividades com zelo e cuidado e adota, em todas as etapas de suas operações, medidas de segurança, técnicas e administrativas, adequadas e aptas a proteger os Dados Pessoais de acessos não autoriza- dos e de situações acidentais ou ilícitas, tais como destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou irregular, para que suas atividades tragam os menores impactos possíveis à proteção de dados, no presente e no futuro.
Para tanto, a Instituição está comprometida em revisar constantemente seus processos sistêmicos de segurança da informação, atualizando-se periodicamente quanto a medidas e ferramentas que possam, no estado atual da tecnolo- gia, proporcionar maior eficácia e proteção, evitando cada vez mais ocorrência de incidentes, principalmente aqueles inerentes ao mundo digital.
A Instituição reconhece a importância de atualização nos sistemas e soluções, assim como de critérios de compras e na seleção e gestão de seus fornecedores para garantir um padrão de qualidade alto. Para tanto, ao adquirir produtos e serviços, a Instituição buscará garantir (i) a aderência de seus fornecedores e contratados a esta Política, à Política de Segurança da Informação e toda a normatização interna da Instituição relacionada a Tecnologia e Segurança da Informação, e (ii) padrões de segurança adequados e atualizados. Esses compromissos serão garantidos, inclusive,
por meio de disposições contratualmente vinculantes, bem como, se necessário, por auditorias e inspeções específicas realizadas pela Instituição.
Sigilo e Segurança na Pesquisa
A Instituição reconhece a importância de se garantir o sigilo, a segurança das informações e a proteção de dados de pacientes participantes em pesquisas, sendo obrigação ética e legal do pesquisador e dos profissionais de saúde en- volvidos proteger tais direitos. Assim, em relação a todo o processo e/ou projeto de pesquisa, todas as informações produzidas, recebidas, utilizadas, processadas, armazenadas, compartilhadas e descartadas devem seguir rigorosa- mente as regras previstas nos códigos de ética médica e/ou de outras categorias profissionais, em normas e diretrizes regulamentadoras da pesquisa envolvendo seres humanos, em âmbito nacional ou internacional, diretrizes do Comitê de Ética em Pesquisa com Seres Humanos (CEP) da Instituição, bem como das regras gerais eventualmente dispostas pela Comissão Nacional de Ética em Pesquisa (CONEP), independente da forma de utilização (como base, meio ou produto final do processo de pesquisa).
Em todos os projetos de pesquisa da Instituição, todo o preparo, a condução, a administração e orientação entre todos os pesquisadores e participantes envolvidos, deve-se garantir que (i) as informações sejam salvaguardadas de acordo com as diretrizes institucionais, desta Política, da Política de Segurança da Informação e outras diretrizes per- tinentes, bem como da legislação pertinente; (ii) todos os protocolos clínicos e experimentais do referido projeto de pesquisa estejam de acordo com os códigos de ética profissional aplicáveis, regras de compliance, legislação e regula- ção aplicadas ao setor, os procedimentos institucionais e demais normativos aplicáveis, bem como que observarão esta Política e a Legislação de Proteção de Dados quanto ao Tratamento de Dados Pessoais e Dados Sensíveis em todo o contexto da pesquisa.
Toda e qualquer divulgação de informações em publicações científicas com o objetivo de contribuir com a comunidade científica sobre o assunto pesquisado deverá observar padrões institucionais específicos e rígidos quanto à privacidade e proteção dos Dados Pessoais dos participantes, não podendo como, regra geral, associar a identidade ou qualquer Dado Pessoal que possibilite, direta ou indiretamente, a identificação de quaisquer participantes nas pesquisas. Assim, dados ou informações deverão ser publicados adotando-se processos de Anonimização, sem a possibilidade de identi- ficar o Titular dos Dados Pessoais, exceto nas hipóteses em que haja expressa autorização formal dos indivíduos.
Retenção de Dados Pessoais
A Instituição manterá e armazenará os Dados Pessoais somente pelo tempo que for necessário para cumprir com as finalidades para as quais foram coletados, bem como para fins de cumprimento de quaisquer obrigações legais, regu- latórias, contratuais, de prestação de contas ou requisição de autoridades competentes.
Prevenção e melhoria contínua
A Instituição está comprometida com a proteção aos Dados Pessoais e manutenção da privacidade por meio (i) da regular otimização dos processos internos e externos, (ii) da prevenção e mitigação de riscos, e (iii) da minimização dos impactos do Tratamento de Dados Pessoais de dados em suas atividades, processos e serviços prestados, bus- cando também influenciar toda a cadeia em que está inserida.
As ações de proteção de Dados Pessoais serão geridas e adequadas de forma contínua: na medida em que avaliar e promover avanços em sistemas ou processos, a Instituição buscará novas oportunidades de melhoria, técnicas de segurança mais otimizadas, redução de impacto das atividades e alinhamento crescente com as diretrizes regulató- rias.
Para atingir esse propósito, a Instituição promoverá a revisão periódica dos processos organizacionais e dos sistemas de gestão e processamento de dados e estimulará a eficiência neste desempenho, com a adoção de processos e prá- ticas internas que assegurem a minimização dos impactos, o gerenciamento dos usos e o Tratamento adequado dos dados identificados, visando à sua constante conformidade.
A Instituição monitorará sistematicamente suas atividades, incluindo aquelas relacionadas a novos projetos e proces- sos, para verificação de impacto à proteção de Dados Pessoais, inclusive Dados Sensíveis, para avaliar se as medidas de Tratamento e os mecanismos de controles internos definidos para cada processo promovem nível adequado de segurança, ou se requerem ações de ajustes. Esta avaliação deverá ponderar, entre outros aspectos, (i) a legalidade daquele Tratamento, determinando a base legal que justifica o Tratamento daquele Dado Pessoal; (ii) a categoria dos Dados Pessoais coletados, que vai determinar o nível de proteção correspondente; e (iii) o risco da atividade e as respectivas medidas técnicas e administrativas de controle e segurança que serão incorporadas ao processo ou ao sistema.
Treinamentos
Como medida adicional de prevenção e conscientização, a Instituição realizará treinamentos e palestras aos seus co- laboradores (aqui compreendidos seus dirigentes, empregados, corpo clínico, residentes, alunos, pesquisadores, vo- luntários, prestadores de serviços e parceiros comerciais), de forma a conscientizá-los sobre a importância do cum- primento desta Política, das normas e das boas práticas relativas à segurança da informação, privacidade e proteção dos dados pessoais, além de mantê-los atualizados constantemente com base em informações obtidas a partir do monitoramento contínuo e das avaliações periódicas.
Comunicação e exercício de direitos
Com o objetivo de promover as práticas de segurança da Informação e supervisionar o cumprimento desta Política, o X.X.Xxxxxxx disponibilizará um canal direto para a comunicação com os Titulares de Dados Pessoais, por meio do qual poderá exercer seus direitos, conforme previstos nesta Política e nos termos e condições definidos na Legislação de Proteção de Dados, na legislação de saúde e em demais normativos relevantes. Por meio deste canal, o Titular de Dados ou qualquer outra pessoa poderá também esclarecer dúvidas sobre o Programa de Privacidade do A.C.Camargo, comunicar incidentes de Tratamento de Dados ou fazer denúncias de suposta violação às práticas de privacidade por profissionais que atuam na Instituição ou em nome dela, e contribuir com sugestões para a melhoria das práticas e da governança de privacidade da Instituição
O Canal de Privacidade deverá estar disponível em tempo integral (24 horas por dia) no Portal de Privacidade da Ins- tituição, no endereço eletrônico xxx.xxxxxxxxx.xxx.xx/xxxxxxxxxxx.
RESPONSABILIDADES
Nos termos desta Política, são responsabilidades dos órgãos de Governança de Privacidade da Instituição:
(i) Conselho Curador: (A) aprovar esta Política e suas eventuais alterações; (B) definir a estratégia geral das práticas de privacidade e proteção de dados da Instituição e garantir seu alinhamento com as diretri- zes estratégicas estabelecidas para suas atividades; (C) supervisionar, por si e por seus comitês de as- sessoramento ou consultores especificamente contratados, a aderência das práticas e processos da Insti- tuição a esta Política e às diretrizes de governança do Programa de Privacidade da Instituição; e (D) ga- rantir a disponibilidade de recursos suficientes para o adequado funcionamento do sistema de gerencia- mento de Segurança da Informação e do Programa de Privacidade.
(ii) Diretoria Executiva: (A) aprovar o plano geral de implementação e as ações estratégicas e operacio- nais de Privacidade e as iniciativas que a integração em suas diferentes etapas; (B) garantir a implanta- ção de medidas técnicas de segurança da informação e de proteção de dados, de forma a atender a re- quisitos de sistemas padrões de boas práticas e de governança, alinhada aos termos dessa Política, da Política de Segurança da Informação, normatizações internas de segurança e tecnologia da informação e aos princípios gerais previstos na Legislação de Proteção de Dados; (C) assegurar a provisão orçamentá- ria de recursos suficientes para o adequado funcionamento do sistema de gerenciamento de Segurança da Informação e do Programa de Privacidade; (D) definir, coordenar e gerenciar as ações e processos de execução de todas as iniciativas contempladas nos planos institucionais voltados à Privacidade, garantin- do o alinhamento à Política e a consecução dos objetivos e metas estabelecidos; e (E) aprovar os Avisos de Proteção de Dados publicados pela Instituição.
(iii) Encarregado: (A) administrar e colocar em prática todas as ações planejadas para a proteção contínua da privacidade e proteção de dados de Titulares de Dados; (B) receber e gerenciar reclamações, comuni- cações e denúncias, feitas por Titulares de Dados Pessoais ou pela Autoridade Nacional, prestando escla- recimentos e adotando providências; e (C) orientar os Profissionais do A.C.Camargo e os parceiros da Instituição sobre as práticas a serem tomadas, de acordo com a Política e demais normas e regras com- plementares, emanadas pela própria Instituição ou pela Autoridade Nacional.
DISPOSIÇÕES GERAIS
Legislação e foro
Esta Política será regida, interpretada e executada de acordo com as Leis da República Federativa do Brasil, especial- mente a Lei Federal nº 13.709/2018, independentemente das Leis de outros estados ou Países, sendo competente o foro da comarca de São Paulo, Estado de São Paulo como o competente para dirimir qualquer dúvida decorrente des- te documento.
Atualizações
Esta Política poderá ser alterada a qualquer momento, com a publicação e, caso represente uma alteração substancial quanto à forma como os seus Dados Pessoais serão Tratados, o X.X.Xxxxxxx notificará os Titulares de Dados.