Estabelecer os princípios de Privacidade e Proteção de Dados pessoais/privados e informações sensíveis dos ativos de informações adotados pela Associação Brasileira de Estomaterapia: estomias, feridas e incontinências (SOBEST®) inerentes ao disposto na Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (LGPD).
A SOBEST® por meio de seus representantes, colaboradores ou fornecedores, deve realizar operações de tratamento de dados pessoais e está comprometida em assegurar que tais operações, estejam alinhadas às melhores práticas de mercado e atendam às exigências legais.
O cumprimento das exigências da Lei supracitada é aplicável a todos os membros diretores, assessores, funcionários, estagiários, associados e prestadores de serviços relevantes para a SOBEST® independentemente de cargos e funções.
A sigla LGPD está sendo adotada para designar a Lei Geral de Proteção de Dados.
A Lei nº 13.709, sancionada em 14 de agosto de 2.018, no Art. 1º “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. ”
Expressões utilizadas na Gestão de Privacidade e Proteção de Dados:
Arquivamento: cópia de dados de um dispositivo de armazenamento a outro para que possa ser recuperado em caso de auditoria ou consulta de dados históricos.
Backup: salvaguarda de informações realizada por meio de reprodução e/ou espelhamento de uma base de arquivos com a finalidade de recuperação em caso de incidente ou necessidade de restauração, ou ainda, constituição de infraestrutura de acionamento imediato em caso de incidente ou necessidade justificada.
Criptografia: mecanismo de segurança que visa proteger as informações permitindo o acesso exclusivo do receptor.
Dados pessoais: é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, imagem e demais documentos válidos no território nacional.
Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Disponibilidade: garantia de que as informações e os Recursos de Tecnologia da Informação e Comunicação (TIC) estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: pessoa natural ou jurídica designada pela SOBEST®® responsável pela proteção de dados privados e pessoais.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, ao titular.
Dado anonimizado: dado relativo ao titular que não permite a identificação dos mesmos, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Evento: Uma ocorrência que pode ser observada em uma rede ou sistema. Eventos incluem, mas não se limitam a um usuário conectando em um compartilhamento de arquivos, um servidor recebendo uma requisição de uma página web ou um usuário encaminhando um e-mail.
Incidente: evento adverso em uma rede, e/ou sistema, ou a ameaça de ocorrência de tal evento. É uma violação ou ameaça iminente de violação de uma política de segurança ou boas práticas, que tenha causado prejuízo ou tentativa de causar.
Incidente de segurança da informação: ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à Política de Segurança da Informação ou documentos complementares, falha de controles ou situação previamente desconhecida relevantes à segurança da informação.
Informação: é o conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.
Recursos de TIC – Recursos de Tecnologia da Informação e Comunicação: Hardware, software, serviços de conexão e comunicação ou de infraestrutura física necessários para criação, registro, armazenamento, manuseio, transporte, compartilhamento e descarte de informações.
Restauração ou Restore: processo de recuperação dos dados salvaguardados e sua colocação em produção.
Risco: combinação dos impactos advindos da ocorrência de um evento indesejado relacionado à segurança da informação e da probabilidade de sua ocorrência.
Segurança da Informação: é a preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação. Visa proteger a informação dos diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios, maximizar o retorno dos investimentos e de novas oportunidades de transação.
Tentativa de Burla: esforços para não desrespeitar ou tentar violar as diretrizes estabelecidas nos normativos da SOBEST®.
A SOBEST® trabalha com o devido cuidado, mantendo a segurança, confidencialidade e privacidade das informações de associados e clientes que são acessadas por seus funcionários e colaboradores internos.
Os mesmos princípios são aplicados também aos parceiros comerciais, fornecedores de serviços de tecnologia e demais prestadores de serviços em geral.
As informações coletadas são usadas internamente e exclusivamente para os fins especificados que motivaram sua obtenção não devendo ser utilizadas para fins pessoais ou diferentes do seu propósito.
Os dados privados, pessoais e ou sensíveis do titular:
Observação: Quando solicitado pelo titular e/ou quando necessário, os dados devem ser atualizados. Todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais imprecisos, sejam apagados e/ou retificados no tempo hábil.
Para todos os ativos de informação que contenham dados pessoais/privados e informações sensíveis, sejam eles em meio magnético, ótico ou papel, deverão observar os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Para tanto, devem ser observados os seguintes cuidados:
São titulares dos dados pessoais pela política LGPD: diretores, assessores, funcionários, estagiários, associados e prestadores de serviços relevantes para a SOBEST® independentemente de cargos e funções com vínculo direto ou indireto com SOBEST® para adquirir ou fornecer algum benefício.
Os dados pessoais gerados pela SOBEST® são coletados a partir da submissão voluntária pelo associado ou clientes ou automaticamente por meio de registros eletrônicos que atendam aos princípios da finalidade, necessidade, adequação, transparência e não discriminação nos termos das leis e regulamentações que regem a privacidade e a proteção de dados pessoais.
A SOBEST® não coleta informações pessoais de indivíduos com idade inferior a 18 anos. Indivíduos abaixo da idade aplicável podem usar os serviços da SOBEST® apenas por meio da conta de um dos pais ou responsável legal e com a participação deles.
A base de dados da SOBEST® é de sua propriedade e responsabilidade, sendo que seu uso, acesso ou compartilhamento, quando necessários, devem ser realizados dentro dos limites e propósitos dos negócios da SOBEST® descritos nesta Política de Privacidade.
Para fins de auditoria, segurança, controle de fraudes e outros crimes, preservação de dados pessoais enquanto durar sua finalidade de uso ou obrigação legal, regulatória ou judicial que justifique sua retenção. Ao término da finalidade de uso e do prazo de retenção obrigatório previsto em lei, os dados poderão ser eliminados com uso de métodos de descarte seguro ou anonimizados para utilização com fins estatísticos, caso seja solicitado pelo USUÁRIO.
A SOBEST® poderá compartilhar os dados com provedores de serviços ou parceiros que auxiliam no gerenciamento ou dão suporte às suas operações. Os dados poderão ser compartilhados com provedores de serviços ou parceiros objetivando auxiliar no gerenciamento ou suporte das operações da associação em nome da própria associação, tais como prestadores de serviços de hospedagem e armazenamento de dados, meios de pagamento, personalização de conteúdo, atividades relacionadas a eventos, publicidade e marketing, incluindo publicidade digital e personalizada e serviços de tecnologia.
A SOBEST® deve garantir um relatório de impacto, contendo os processos e procedimentos de tratamento de dados pessoais que possam gerar riscos à liberdade civil e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Os processos e procedimentos de proteção dos dados devem estar documentados e disseminados às áreas responsáveis.
Existindo o compartilhamento de informações privadas, pessoais e/ou sensíveis com terceiros, os contratos devem ser revisados visando a garantia da sua conformidade com a LGPD.
Para garantir que seu processamento de dados seja legal, justo e transparente, a SOBEST® deve manter a rastreabilidade dos dados privados e controla-los durante todo o seu ciclo de vida de utilização, por meio de sistemas de controle e registro de dados privados.
Esse sistema de registro e controle de dados privados deverá ser revisado anualmente.
Os titulares dos dados possuem o direito de acessar os seus dados pessoais/privados e quaisquer pedidos feitos devem ser tratados em tempo hábil às necessidades do titular.
Os dados pessoais do titular serão conservados pelo período máximo exigido para cumprir com as obrigações legais e regulamentares aplicáveis, ou por período relacionado com os requisitos operacionais da associação, ou seja, depende do propósito e da natureza do tratamento dos dados.
Quando atividades e/ou campanhas de comunicação, utilizando dados dos titulares forem enviadas com base em seu consentimento, a opção de revogação do seu consentimento deve estar claramente disponível e os sistemas devem estar em pleno funcionamento garantindo que a mesma seja refletida com precisão nos sistemas de dados da SOBEST®.
A SOBEST® deve garantir que os dados pessoais sejam adequados, coerentes, relevantes e limitados às suas necessidades para os devidos fins aos quais são processados.
A SOBEST® deve estabelecer uma política de arquivamento para cada área na qual os dados pessoais são processados e revisar o processo anualmente, garantindo que os dados privados/pessoais sejam mantidos por não mais do que tempo necessário aos fins específicos, explícitos e legítimos.
A política de backup de dados privados/pessoais deve considerar quais dados devem ser mantidos, por quanto tempo e os motivos específicos, explícitos e legítimos de sua retenção e/ou armazenamento.
O acesso aos dados privados/pessoais deve estar limitado aos colaboradores autorizados e os sistemas, controles, normas e procedimentos de segurança de dados privados/pessoais devem estar em vigor evitando o compartilhamento não autorizado de informações;
Os dados privados/pessoais devem ser excluídos com segurança de modo que sejam irrecuperáveis;
Todos os colaboradores que farão uso dos dados pessoais dos titulares deverão assinar um termo de confiabilidade de dados.
Os colaboradores e usuários autorizados para o processamento de dados pessoais/privados da SOBEST® devem coletar evidências (ex. print da tela, foto) em casos de incidentes que sejam contrários à sua Política de Privacidade, à ética ou à legislação nacional vigente, além de informar o Departamento Administrativo e Jurídico sempre que necessário.
A quebra de sigilo de informações acarreta responsabilidade civil e o responsável poderá ser acionado conforme penalidades previstas na legislação brasileira.
A SOBEST® mantém o compromisso de manter as informações pessoais de seus associados/clientes, parceiros e fornecedores em sigilo e segurança, tanto aqueles coletados por meio de Fichas Cadastrais preenchidas à mão, quanto àquelas obtidas diretamente em seu site
As informações coletadas de associados/clientes, parceiros ou fornecedores serão acessadas somente por colaboradores autorizados, sendo proibidas e passíveis de punição a veiculação, a venda e divulgação a terceiros sem o prévio conhecimento e autorização dos interessados.
Os dados coletados e inseridos nos sistemas internos de informação são protegidos de acessos não autorizados ou invasões externas utilização de softwares de segurança e firewall, de forma a manter a integridade e sigilo das informações obtidas.
O acesso aos sistemas internos que contêm informações de associados/clientes, parceiros ou fornecedores será individualizado, realizado mediante login e senha pessoal e intransferível, evitando acessos não autorizados e/ou ações fraudulentas.
Os funcionários e colaboradores não devem divulgar, ceder ou emprestar respectivos logins e senhas a terceiros. As orientações sobre a composição de senhas estarão contidas em políticas especificas de segurança da informação.
Essa Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Em caso de dúvidas ou questões sobre esta Política Interna de Privacidade e Proteção de Dados praticados pela SOBEST®, encaminhar a demanda para o Encarregado de Tratamento de Dados pelo telefone (11) 98657-0080 ou pelo e-mail: [email protected]
Os incidentes de segurança da informação identificados devem ser encaminhados ao Conselho de Segurança e Proteção de Dados da SOBEST®, onde será apurada a responsabilidade dos envolvidos. Caso haja alguma infração este conselho deverá emitir um parecer circunstanciado à Diretoria e esta, se julgar procedente, encaminhará para a Assessoria Jurídica para aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente.
No caso de uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados privados/pessoais, a SOBEST® deverá providenciar imediatamente a avaliação do risco visando garantir os direitos a privacidade dos dados pessoais/privados dos titulares.
As violações ocorridas sobre os dados e informações poderão ser comunicadas à ANPD, pelo Conselho de Segurança e Proteção de Dados da SOBEST®, após autorização da Diretoria.
A Política Interna de Privacidade e Proteção de Dados da SOBEST® será aprovada pela sua Diretoria e devendo ser amplamente publicada entre eles, para o seu devido cumprimento.
A Política Interna de Privacidade e Proteção de Dados da SOBEST® se aplica também aos dados coletados pelas seções regionais.
A Política Interna de Privacidade e Proteção de Dados da SOBEST® será revisada pelo Conselho de Segurança e Proteção de Dados, anualmente ou quando houver mudanças significativas na legislação nacional, visando assegurar a sua contínua pertinência, adequação e eficácia da mesma.
São Paulo, 02 de Agosto de 2023.
Armazenamos dados temporariamente para melhorar a sua experiência de navegação. Ao utilizar nossos serviços, você concorda com tal monitoramento. Saiba mais acessando nossa Política de Privacidade.