PL 037 - Política de Privacidade e Proteção de Dados Interna

1. OBJETIVOS

Formalizar as diretrizes para controles de segurança da informação e mitigação de riscos que possam gerar incidentes no âmbito de tratamento dos dados pessoais, bem como informar às partes envolvidas a forma em que é realizado o tratamento dos dados pessoais na Unimed Goiânia, conforme regramentos da Lei Geral de Proteção de Dados (Lei 13.709/2018).

2. ÁREA DE APLICAÇÃO

Em todas as áreas da Unimed Goiânia, incluindo suas unidades de negócio (Recursos e Serviços Próprios), prestadores, rede credenciada e a Corretora.

3. DOCUMENTOS DE REFERÊNCIA

ABNT NBR ISO/IEC 27001:2013 - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos;
ABNT NBR ISO/IEC 27002:2013 - Técnicas de segurança - Código de prática para controles de segurança da informação;
Lei nº 13.709 14/08/2018 - Lei Geral de Proteção de Dados (LGPD);
PL 019 - Segurança da Informação.

4. CONCEITOS

Incidentes de Segurança da Informação: Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Os incidentes serão tratados como 'itens em não-conformidade' pela Unimed Goiânia e sanções administrativas/legais poderão ser aplicadas. Exemplos de incidentes: vírus no computador, acesso não autorizado aos recursos computacionais, ataques virtuais, vazamento de informação, ações que visam burlar regras de proteção e/ou as diretrizes estabelecidas na PSI.
Informação: Conjunto de dados ou dados que tem significado em algum contexto para o receptor, no caso a informação é considerada um ativo estratégico para a Unimed Goiânia e deve ser utilizada com responsabilidade e confidencialidade. A informação pode estar em formato impresso, digital ou ser falada.
Segurança da Informação: É a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios.
Dado Pessoal: Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Em outras palavras, qualquer informação, independente de formato (físico ou eletrônico), que possa permitir a identificação de uma pessoa natural, ou que, identificada a pessoa, possa ser associada a ela, revelando característica a seu respeito.
Dado Pessoal Sensível: Qualquer dado pessoal que verse sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado Anonimizado: Um dado será considerado anonimizado quando, através de um processo de anonimização, forem utilizados meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, ou seja, o titular não pode mais ser identificado. Isso significa que, quando uma determinada informação a respeito de alguém for tratada de maneira que torna virtualmente impossível a identificação daquela pessoa, por meios razoáveis, o dado será considerado anonimizado.
Titular de Dados: É a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento. Ou seja, você que lê esta Política e possui dados tratados ela Unimed Goiânia é um titular de dados pessoais.
Controlador: É a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. É o controlador que detém o poder decisório sobre os dados tratados, incluindo a indicação de sua necessidade, finalidades, bases legais atribuídas, o período de retenção e a forma de descarte. Em algumas situações a Unimed Goiânia será controladora dos dados pessoais por ela tratados.
Controlador Conjunto: São pessoais naturais ou jurídicas, de direito público ou privado, que são capazes de determinar os elementos essenciais do tratamento. Essa decisão é tomada de maneira coletiva, mas não há a necessidade de que cada controlador determine todos os elementos envolvidos em uma operação de tratamento para que a controladoria conjunta se estabeleça. Ou seja, é a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD. Em algumas situações a Unimed Goiânia poderá figurar em controladoria conjunta junto a outro controlador.
Operador: É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador apenas trata os dados conforme as determinações do controlador, desde que não violem dispositivos da LGPD ou de outras legislações, de modo que cabe a ele seguir estritamente os escopos de tratamento definidos pelo controlador e oferecer segurança aos dados tratados. Em algumas situações a Unimed Goiânia será operadora dos dados pessoais por ela tratados.
Suboperador: é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.
Encarregado: O Encarregado, também chamado de DPO (Data Protection Officer) em razão da nomenclatura europeia, é a pessoa (pode ser física ou jurídica) indicada pelo agente de tratamento (controlador ou operador) para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É ao Encarregado que você deve direcionar toda e qualquer dúvida ou requisição que tenha acerca dos seus dados pessoais.
Consentimento: É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Apesar de ser a mais popular das bases legais de tratamento de dados pessoais, o consentimento não é a única delas, sendo certo, inclusive, que sequer pode ser indicada em alguns casos, como naqueles em que o tratamento ocorre por força de lei. Seu consentimento será coletado em todas as operações identificadas que exigem o uso desta base legal.
Opt-out: Termo utilizado para definir o direito de oposição do titular dos dados quanto a realização do tratamento pela Unimed Goiânia nas modalidades do interesse legítimo e do consentimento, sendo este último conhecido como o direito de revogar o consentimento.
Tratamento: Basicamente toda operação realizada com dados pessoais é uma hipótese de tratamento. A LGPD especifica algumas (apesar de não ser um rol taxativo), como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Lei Geral de Proteção de dados Pessoais (Lei nº 13.709/2018) - LGPD: É uma lei que entrou em vigor no ano de 2020, que vem para disciplinar a legalidade e a segurança no tratamento dos dados pessoais, sejam eles ordinários ou sensíveis, que veio para trazer maior legalidade nas operações de dados pessoais protegendo os dados online e offline. Ela é uma norma espelhada na General Data Protection Regulation (GDPR), que é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais.

5. SIGLAS

LGPD - Lei Geral de Proteção de Dados;
GDPR - General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados);
PSI - Política de Segurança da Informação;
DPO - Data Protection Officer (Encarregado pelo Tratamento dos Dados Pessoais;
ANPD - Autoridade Nacional de Proteção de Dados.

6. POLÍTICA

As diretrizes para a proteção de dados pessoais são o objetivo principal dessa política, sendo aplicável a todo o conjunto de dados pessoais que estejam sob controle da Unimed Goiânia, independentemente do modo como se realizou sua coleta. Isso deve envolver todo o ciclo de vida dos dados, desde a coleta, uso, processamento, divulgação e monitoramento dos dados. Somente é possível obter a privacidade dos dados pessoais se houver a proteção desses dados.

Essa política é estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação, nos requisitos legais internos e externos e em alinhamento com a Política de Segurança da Informação da Unimed Goiânia, sendo que deverá ser comunicada a todas as pessoas envolvidas no processamento de informação de dados pessoais.

6.1. DO TRATAMENTO DOS DADOS

As atividades de tratamento de dados pessoais conduzidas pela Unimed Goiânia deverão sempre observar a boa-fé e os princípios constantes do art. 6º da LGPD, quais sejam, a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização e prestação de contas.

6.1.1. BASES LEGAIS

A Unimed Goiânia não possui nenhuma operação de tratamento de dados pessoais que não possua respaldo nas bases legais elencadas nos artigos 7º e/ou 11º da Lei Geral de Proteção de Dados Pessoais, reafirmando a licitude de todas as suas operações mapeadas.

Nesse sentido, quando a Unimed Goiânia figurar na posição de controladora, ou controladoria conjunta, de dados pessoais, os dados poderão ser tratados de acordo com uma das hipóteses listadas abaixo:

Mediante coleta do consentimento expresso e inequívoco do titular dos dados, ocasião em que será informado previamente a respeito da finalidade e demais informações do tratamento, exceto para aqueles dados tornados manifestamente públicos pelo titular, como no caso do canal de denúncias da Unimed Goiânia;
Para o cumprimento de obrigação legal ou regulatória por parte da Unimed Goiânia, ou seja, nos casos em que algum ato normativo estabeleça a obrigatoriedade do tratamento, como por exemplo a legislação fiscal e/ou trabalhista e, ainda, o armazenamento interno e externo (empresas terceirizadas de gestão de documentos), de acordo com a periodicidade documental, respeitando os prazos previstos em lei;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular dos dados seja parte e a pedido do titular, a exemplo de certos tratamentos realizados em decorrência do contrato de trabalho, no caso de colaboradores da Unimed Goiânia, ou em caso de um fornecedor atuando para a Cooperativa;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para proteção da vida ou da incolumidade física do titular, ou de terceiros, como por exemplo, nos casos de gravação de imagens por câmeras de segurança instaladas nas dependências da Unimed Goiânia;
Para a tutela da saúde, exclusivamente, em procedimentos realizados por profissionais de saúde e serviços de saúde, como nos casos de Recursos e Serviços Próprios;
Quando verificado pela Unimed Goiânia que é necessário para atender aos seus interesses legítimos ou de terceiros, que podem ser para apoio e promoção de suas atividades ou para prestação de serviços que beneficiem o titular de dados, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular, que exijam a proteção dos dados pessoais. Como no caso, para cooperados, da participação de pontuação premiada ou do colaborador na entrevista de desligamento realizado pela equipe de Recursos Humanos. Ressalte-se que, nesses casos, é fornecido a opção do titular exercer a sua oposição, hipótese em que será suspenso e/ou interrompido o tratamento, a depender da escolha do titular. Basta que manifeste o opt-out por meio de qualquer comunicação enviada, ou a qualquer momento, diretamente com o Encarregado (DPO) da Unimed Goiânia, mediante requisição diretamente nos canais de comunicação.

Por fim, também há situações mapeadas em que a Unimed Goiânia se encontra na posição de Operadora de dados pessoais. Nesse caso, a forma como os dados pessoais devem ser tratados será definida pelo Controlador de seus dados. No entanto, a Unimed Goiânia esclarece de antemão que, como a privacidade e a proteção dos dados pessoais são prioridade número um na Cooperativa, a Unimed Goiânia comunica a todos os controladores de dados pessoais dos quais ela é Operadora que se reserva no direito de descumprir expressamente toda e qualquer orientação fornecida pelos controladores que sejam manifestamente ilegais e/ou contrárias a qualquer dispositivo da LGPD.

6.1.2. CANAIS DE COLETA

A Unimed Goiânia é uma cooperativa de trabalho médico, e, por isso, o tratamento de dados pessoais não é o core business da Unimed Goiânia. Sendo assim, a coleta dos dados pode se dar pelas seguintes fontes:

Através da empresa que o titular trabalha: na grande maioria das vezes os dados pessoais serão fornecidos pela empresa para a qual o titular trabalha, para que possa ser executado os serviços combinados em contratos. Neste caso, são adotadas medidas para exigir o cumprimento das regras de privacidade e proteção de dados pessoais e a Unimed Goiânia solicita que sejam compartilhados apenas os dados pessoais estritamente necessários para a consecução da finalidade pretendida e, de preferência, que sejam repassados os dados em formato anonimizado;
Mediante o fornecimento pelo titular: os dados podem ser fornecidos pelo próprio titular à Unimed Goiânia em duas situações distintas, quais sejam:
1. Consentimento expresso e inequívoco coletado previamente, em que se pode citar a realização de pesquisa de clima interno, que é de preenchimento voluntário;
2. Executar um contrato ou procedimentos preliminares a um contrato do qual o titular seja parte e a pedido do mesmo: neste caso o próprio contrato de trabalho ou de cooperado existente entre o titular e a Cooperativa.
Mediante o fornecimento pelos pais ou responsáveis legais: todos os dados de incapazes (total ou relativamente), bem como de crianças e adolescentes somente serão tratados pela Unimed Goiânia após o fornecimento do consentimento de seus pais ou responsáveis legais, autorizando o tratamento, como por exemplo, no caso do pedido de colaboradores de inclusão de um filho menor de idade como dependente de um determinado benefício oferecido ou a contratação de um jovem aprendiz.

Em todos os casos aqui descritos, o titular tem direito de saber o tipo de tratamento ao qual o seu dado é submetido, a sua duração, as finalidades a que se destina, em quais casos são compartilhados ou mesmo se algum tipo de decisão automatizada é realizada sobre eles, desde que, claro, respeitados o direito da Unimed Goiânia de não revelar o seu segredo comercial ou industrial, conforme previsto no tópico 6.3 desta política.

6.2. COMPARTILHAMENTO COM TERCEIROS

Como já destacado ao longo deste documento, a Unimed Goiânia se preocupa bastante com a privacidade e a proteção dos dados por ela tratados e somente os compartilha com terceiros, caso seja necessário e para cumprir com finalidades pré-determinadas.

Além disso, a Unimed Goiânia não possui nenhuma atividade econômica integrante de seu core business que envolva o compartilhamento de dados pessoais com empresas terceiras. Por essa razão, os dados poderão ser compartilhados com terceiros apenas quando for:

Absolutamente necessário para viabilizar a consecução das atividades do titular, no caso de colaborador e cooperado, ou a empresa que o titular representa, no caso de ser um prestador terceiro;
Importante para agregar segurança aos dados tratados e garantir a sua confidencialidade, integridade e disponibilidade, por exemplo, quando os dados são armazenados em nuvem hospedada em servidor externo ao da Unimed Goiânia;
Interessante ao desempenho de funções administrativas da Cooperativa, como a medição de desempenho dos colaboradores, pesquisa de satisfação de clientes e de clima organizacional dos funcionários, desenvolvimento dos produtos e serviços da Unimed Goiânia e atendimento aos clientes, adotando, sempre que cabível, a anonimização dos dados em forma estatística; e
Decorrente de ordem judicial, obrigação legal ou por força de autoridade administrativa competente para tanto.

Nas hipóteses acima em que o compartilhamento decorre de opção da Unimed Goiânia, a Cooperativa possui documentados todos os contratos com seus parceiros, que são rigorosamente elaborados no que tange às questões de proteção de dados pessoais, estando todos de acordo e alinhados com a presente política. Além disso, os critérios de segurança de informação são elevados e sempre atualizados, visando evitar qualquer tipo de defasagem que possa causar dano ao titular ou aos dados pessoais.

6.3. DIREITO DOS TITULARES

A Lei Geral de Proteção de Dados Pessoais apresenta, em seus artigos 9º, 18º e 20º os direitos do titular de dados pessoais que podem ser requeridos da Unimed Goiânia mediante requisição diretamente em seus canais de comunicação.

De acordo com o art. 9º da LGPD, o titular tem direito ao acesso facilitado das informações sobre o tratamento de seus dados, o que é atendido através desta Política e de outros meios disponíveis para tanto, que são os seguintes:

A finalidade do tratamento dos dados;
A sua forma e duração, desde que respeitados os segredos comercial e industrial da Cooperativa, ou seja, caso uma solicitação seja passível de violar os segredos comercial e industrial, a Unimed Goiânia se reserva no direito de não atender, conforme permitido pela LGPD;
A identificação e as informações de contato do controlador dos dados, disponíveis nos canais de comunicação da Cooperativa;
Informações acerca de eventuais compartilhamentos dos dados tratados;
As responsabilidades dos agentes de tratamento envolvidos; e
Todos os direitos do titular listados no art. 18º da LGPD, que são os seguintes:
1. Confirmação da existência de tratamento: o titular dos dados tem o direito de receber da Unimed Goiânia a confirmação de que seus dados pessoais são tratados. Podendo, ainda, a Unimed Goiânia indicar se há outro controlador realizando o tratamento dos dados pessoais, para que o titular possa saber da finalidade, bem como o contato deste terceiro para maiores esclarecimentos;
2. Acesso aos dados: Uma vez confirmada a existência do tratamento, o titular tem o direito de ter acesso aos seus dados tratados pela Unimed Goiânia e, após esse acesso, também poderá exercer outros direitos aqui descritos;
3. Correção de dados: De igual forma, é dever da Unimed Goiânia garantir que os dados estejam sempre corretos em seus bancos de dados, em atendimento ao princípio da qualidade dos dados, principalmente ante a condição do titular de colaborador, prestador ou cooperado em suas dependências. Assim, se o titular verificar algum erro nos dados tratados pela Unimed Goiânia, ou caso algum deles necessite de atualização, deverá solicitar a correção à Unimed Goiânia;
4. Anonimização, bloqueio ou eliminação de dados: Quando os dados forem tratados de maneira desnecessária, excessiva ou em desconformidade com a LGPD, o titular poderá solicitar que eles sejam eliminados, bloqueados ou anonimizados. Essa solicitação será avaliada pelo Encarregado (DPO) da Unimed Goiânia junto à equipe de Privacidade e será reportado ao titular a pertinência ou não da solicitação, sendo tal devolutiva devidamente fundamentada;
5. Portabilidade: O titular tem o direito de solicitar a portabilidade dos seus dados, a qualquer momento, a outro prestador de bens ou serviços, em formato que permita a sua leitura e utilização, atentando-se a eventual regulamentação da Autoridade Nacional sobre a modalidade (que no momento da elaboração da presente versão da Política de Privacidade, inexiste), e preservados os segredos industrial e comercial da Unimed Goiânia;
6. Revogação do consentimento e eliminação dos dados: Após a coleta do consentimento para tratamento de dados pessoais pela Unimed Goiânia, o titular tem o direito de revogá-lo a qualquer momento, mediante manifestação expressa nesse sentido, de maneira gratuita e facilitada. Cumpre ressaltar que, nesse caso, os tratamentos serão interrompidos e, caso seja de interesse do titular, seus dados serão eliminados. Também é dever da Unimed Goiânia alertar o titular que armazenamentos realizados com fundamento em outra base legal, que será prontamente avisado ao titular, ou no caso de dados anonimizados, não serão passíveis da eliminação aqui prevista;
7. Informações sobre compartilhamentos de dados pessoais: O titular também tem o direito de obter da Unimed Goiânia informação de quais entidades públicas ou privadas os seus dados pessoais são compartilhados pela Cooperativa, sempre observados os segredos comercial e industrial; e
8. Possibilidade de não fornecer consentimento e consequências do não fornecimento do consentimento: Por fim, o titular tem direito de saber exatamente quais serão as consequências da negativa da concessão de consentimento a qualquer operação nele pautada, caso ele seja solicitado pela Unimed Goiânia.

Além dos direitos listados acima, o titular, também pode requerer a revisão de decisões automatizadas tomadas sobre seus dados pessoais unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Para este fim, são consideradas "decisões automatizadas" aquelas tomadas por meio de processo que automatiza a filtragem de dados através de critérios pré-estabelecidos, geralmente por uso de algoritmos.

Ademais, sempre que solicitado, a Unimed Goiânia fornecerá informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a tomada dessas decisões automatizadas, mas como já informado, observados os segredos comercial e industrial.

Se, por algum motivo, a Unimed Goiânia não puder adotar imediata providência para atender às solicitações do titular acerca dos direitos listados no art. 18º da LGPD, enviará uma resposta o quanto antes comunicando o motivo, que poderá ser um dos seguintes:

A Unimed Goiânia não é agente de tratamento dos dados, hipótese em que indicará, caso esteja em seu poder, o agente correto;
Existe alguma razão de fato ou de direito que impede a adoção imediata da providência solicitada, a qual, caso possível, será informada na resposta.

Por fim, para que se possa atender às requisições feitas pelo titular, e para garantir a segurança dos dados, é possível que a Unimed Goiânia solicite algumas informações para ter certeza da identidade do titular e confirme a autenticidade da solicitação.

6.4. DA SEGURANÇA DOS DADOS

Conforme a PL 019 - Segurança da Informação da Unimed Goiânia, a Cooperativa busca a garantia da proteção de dados pessoais, através dos recursos de Segurança da Informação, estabelecendo regras para o cuidado na coleta, uso, tratamento e para a proteção de informações pessoais tratados pela Cooperativa, principalmente na ocorrência de qualquer tipo de incidente que envolva dados pessoais, nos seguintes critérios:

As informações privadas dos colaboradores e demais partes interessadas devem ser protegidas contra acesso, alteração e divulgação não autorizada;
As informações deverão ser classificadas no seu nível de acesso e tratadas de acordo com o procedimento de classificação e tratamento da informação. Portanto, o tratamento das informações e dados pessoais dos colaboradores e terceiros deve estar alinhado com as diretrizes de classificação e tratamento da informação;
Os colaboradores responsáveis pelos ativos de informação que suportam os dados privados das pessoas devem assinar o FORM 856 E – Termo de Responsabilidade e Ciência da Política de Privacidade e Proteção de Dados – Colaboradores e ter conhecimento da Política de Segurança da informação (PL 019), como também do Código de Conduta e Ética;
Devem ser realizadas análises críticas dos direitos de acesso dos usuários, principalmente com relação as contas com perfil administrativo, visando controle adequado dos acessos lógicos. Sendo que os direitos e restrições de acesso às informações e dados pessoais devem estar de acordo com os papéis/perfis específicos e necessidades dos usuários, e a solicitação, aprovação e concessão desses acessos deverá observar a legislação pertinente e a obrigação contratual relativa à proteção de acesso a dados ou serviços, em especial a privacidade dos dados pessoais;
É importante que todos os colaboradores, fornecedores e cooperados sigam as diretrizes elencadas na Política de Segurança da informação (PL 019).

Por fim, sempre que algum processo de tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais, a Unimed Goiânia elaborará um Relatório de Impacto, com base em processo de avaliação sistemática de impactos e riscos à privacidade, que conterá a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise da Unimed Goiânia com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados, observados os segredos comercial e industrial.

6.4.1. GARANTIAS E COMUNICAÇÃO SOB ASPECTO DE SEGURANÇA

Além de prezar pela privacidade, a Unimed Goiânia também se preocupa bastante com a segurança da informação que transita em seu ambiente.

Nesse sentido, utiliza soluções e medidas técnicas reconhecidas pelo mercado para garantir o tripé da segurança da informação: a integridade, confidencialidade e disponibilidade dos dados tratados.

A Cooperativa possui procedimentos de segurança física, eletrônica e gerencial com o intuito de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de alteração não autorizada, destruição, perda, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

No que tange ao armazenamento de informações, todos os dados pessoais tratados pela Unimed Goiânia podem estar localizados em dois ambientes distintos, a depender do tipo e da sensibilidade da informação:

Em um CPD (Centro de Processamento de Dados) com controle de acesso por meio de biometria, cujo objetivo é ser a conectividade do escritório em que os colaboradores trabalham;
Em nuvens de alto padrão de segurança, com provedores de confiança e amplamente certificados nos frameworks internacionais do mais elevado padrão de rigor e recursos para realizar a classificação da informação com base na confidencialidade, a gestão de acesso, como controles privilegiados de acesso de usuários, criptografia e registros em log, gerenciamento de chaves, mascaramento de dados, monitoramento de atividades e auditoria contínua, dentre outros. Além disso, os fornecedores também adotam várias medidas para prevenir violações de privacidade, mas, caso venham a acontecer, são seguidos procedimentos eficazes de detecção, resposta e correção ao incidente de forma mais rápida possível, alinhados com o rigor do padrão de segurança Unimed Goiânia.

Com essas e outras medidas, a Unimed Goiânia visa mitigar ao máximo os riscos de incidentes de segurança que possam acometer aos dados por ela tratados e, mesmo na improvável hipótese de algo assim ocorrer, a Cooperativa tem o compromisso de identificar, detectar, proteger e responder incidentes com máxima eficiência, informando, sempre que necessário, a sua ocorrência, caso possa representar risco à privacidade do titular.

A Gestão de Incidentes de Segurança da Informação se aplica a todos os colaboradores e terceiros que lidam direta ou indiretamente com os ativos de informação e das informações dos clientes sob custódia da Unimed Goiânia, no caso da ocorrência de quaisquer tipos de incidentes a Cooperativa tem procedimentos próprios para identificação do problema e definição de ações para resolução do mesmo.

Contudo, ainda que sejam utilizadas as melhores medidas de segurança existentes no mercado e a Cooperativa esteja em constante evolução e melhoria contínua nesse sentido, é importante esclarecer que não é possível garantir a total inviolabilidade dos dados tratados pela Unimed Goiânia, bem como de seus fornecedores. De toda forma, ainda que isso venha a acontecer, a Cooperativa possui um plano de remediação para que o dano potencial seja o menor possível ou, de preferência, inexistente.

6.4.2. CICLO DE VIDA DO DADO PESSOAL

Os dados tratados são armazenados, em regra, pelo prazo necessário ou permitido a depender do tratamento, conforme a base legal que o justifica. Sendo assim, é certo informar que os dados serão excluídos:

Mediante verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
Após o fim do período de tratamento informado ao titular;
Mediante solicitação de exclusão por parte do titular, caso a modalidade de tratamento comporte este tipo de pedido; ou
Por determinação da Autoridade Nacional (ANPD), quando houver violação ao disposto na LGPD.

No entanto, em alguns casos, os dados pessoais poderão ser retidos para garantia da segurança jurídica de todas as partes envolvidas, para cumprimento de obrigação legal ou regulatória pela Unimed Goiânia ou para seu uso exclusivo, nesse último caso, vedado o acesso por terceiros e desde que anonimizados previamente estes dados.

Além disso, a Unimed Goiânia declara que alguns de seus documentos, tanto físicos, quanto eletrônicos, são enviados à empresa especializada em guarda dos documentos e lá são arquivados de acordo com os parâmetros de controle de cada registro armazenado até a eliminação definitiva ou anonimização completa desses documentos, conforme PL 033 – Política de Gestão de Documentos da Unimed Goiânia.

Vale ressaltar que, enquanto os dados estiverem armazenados pela Unimed Goiânia, o titular poderá solicitar a confirmação deste armazenamento e até mesmo acesso aos dados ou a sua correção, desde que não tenham sido anonimizados previamente à consulta para uso exclusivo e interno da Cooperativa.

6.4.2.1. Término no tratamento dos dados pessoais.

Como explicitado no tópico acima, a utilização de cada base legal interferirá diretamente no ciclo de vida do armazenamento dos dados pessoais pela Unimed Goiânia. No entanto, conforme permitido pelo art. 16º da LGPD, os dados pessoais poderão ser mantidos na base da Cooperativa mesmo após o término do tratamento para:

Cumprimento de obrigação legal ou regulatória pela Unimed Goiânia;
Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
Uso exclusivo da Unimed Goiânia, após a completa anonimização dos dados e com a garantia de que terceiros não acessarão tais informações.

6.4.3. AMBIENTE DE TESTES

A Unimed Goiânia informa que, em ambientes de homologação e testes, sempre prezará pela utilização de dados anonimizados. Caso seja necessário o uso de dados pessoais nesses ambientes, devem ser avaliados e implementados controles de Segurança da Informação para proteger os dados, tanto no controle de acesso quanto na proteção das informações, buscando utilizar os dados estritamente necessários para os testes.

6.5. MONITORAMENTO E CONTROLE DA MANUTENÇÃO DA PRIVACIDADE DOS DADOS

Periodicamente serão realizadas auditorias de segurança da informação e proteção de dados para verificar a eficácia dos controles implementados de privacidade e proteção de dados para a aderência da LGPD.

6.6. ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)

É possível acionar o nosso Encarregado pelo Tratamento de Dados Pessoais (DPO) a qualquer momento através do e-mail: dpo@unimedgoiania.coop.br, para:

Sanar dúvidas;
Tratar de algum tema referente à privacidade e/ou proteção de dados pessoais;
Tratar da modificação de operações de tratamento de dados pessoais;
Tratar do surgimento de novas operações de tratamento de dados pessoais;
Por fim, reforçamos que caso sua dúvida seja para exercer os seus direitos como titular, solicitamos que sejam observadas as colocações previstas no tópico 6.3.

7. CONFIDENCIALIDADE

Classificação do documento conforme PL 019 – Segurança da Informação: RESTRITO.

8. HISTÓRICO DO DOCUMENTO

Revisão 00 - Emissão inicial do documento - Aprovado em: 04/01/2022