Política de Privacidade

1. OBJETIVOS

 Esta política tem o objetivo de estabelecer orientações gerais relacionadas a privacidade e proteção de dados pessoais dentro do ambiente corporativo da QUALIS, uma vez que na execução de suas atividades realiza a coleta, uso, armazenamento e compartilhamento de dados pessoais e dados pessoais sensíveis que estão relacionados a pessoas naturais identificadas e/ou identificáveis (“Titular de Dados Pessoais”), com vistas a:
a)Estar em conformidade com as leis e regulamentações aplicáveis de proteção de dados pessoais e seguir as melhores práticas;
b)Proteger os direitos dos colaboradores, clientes, fornecedores e prestadores de serviços contra os riscos de violação de dados pessoais;
c)Ser transparente com relação aos procedimentos de tratamento de dados pessoais;
d)Promover a conscientização e cultura organizacional em toda a empresa em relação à proteção de dados pessoais e questões de privacidade.

2. APLICABILIDADE

 Esta política estabelece diretrizes e regras para garantir que seus colaboradores entendam e cumpram a legislação que versa sobre proteção de dados pessoais em todas as interações com os titulares, terceiros e agentes de tratamento externos à QUALIS. Para além dos conceitos definidos pelas normas que versam sobre privacidade e proteção de dados pessoais, as informações abarcadas pela presente política incluem todos os dados coletados, utilizados, armazenados ou transmitidos pela ou em nome da QUALIS, em qualquer tipo de mídia. Isso inclui dados pessoais registrados em papel, mantidos em sistemas ou dispositivos portáteis, bem como dados pessoais transmitidos oralmente.
 Esta política está relacionada com outras normas e procedimentos internos da QUALIS, quais sejam, Termo de Confidencialidade, Cartilha do Colaborador e Política de Segurança da Informação - PSI.
 Em caso de novas regulamentações pela Autoridade Nacional de Proteção de Dados acerca das disposições da LGPD, que venham a afetar a presente política, a mesma será alterada.
 Dúvidas sobre a aplicação desta política ou sugestões de alteração e melhoria podem ser encaminhadas para o e-mail contato@portalqualis.com.br.

3. CONCEITOS LEGAIS

 Para fins desta política aplicam-se os conceitos definidos no art. 5º da Lei Geral de Proteção de Dados – LGPD, os quais seguem:
Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável;
Dado Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio ou Eliminação: Suspensão temporária de tratamento dos dados ou exclusão dos dados armazenados.

4. PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

 Visando atender aos padrões de proteção de dados pessoais no âmbito corporativo e estar em conformidade com a legislação e regulamentações aplicáveis, a QUALIS atua norteada pelos seguintes princípios:

FINALIDADE: O tratamento de dados pessoais será realizado unicamente com propósito legítimo, específico, explícito e informado ao titular de dados pessoais;
ADEQUAÇÃO: A forma de tratamento de dados pessoais será adequada as finalidades informadas ao titular;
NECESSIDADE: O tratamento de dados pessoais realizado será limitado ao mínimo necessário para a realização de suas finalidades;
LIVRE ACESSO: É garantido aos titulares de dados pessoais a consulta facilitada e gratuita sobre a quantidade, qualidade, forma e duração do tratamento de dados realizado;
QUALIDADE DOS DADOS: Serão adotadas medidas razoáveis para assegurar a exatidão, clareza, relevância e atualização dos dados pessoais;
TRANSPARÊNCIA: É garantido ao titular de dados pessoas a obtenção de informações claras, precisas sobre tratamento realizado e os agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
SEGURANÇA E PREVENÇÃO: É garantida a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou ilegais e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; o tratamento também deve garantir a devida confidencialidade; dentre as medidas técnicas mais comuns, podem ser descritas:

  • Anonimização significa que os dados pessoais são tornados anônimos de tal forma que não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível.
  • Pseudoanonimização é um processo pelo qual os dados pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa.

RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS:  Haverá registro de todas as atividades de tratamento de dados pessoais, com a descrição dos propósitos e finalidades do tratamento, indicação de compartilhamento, período de retenção e incidente e violação de dados pessoais.

5. BASES LEGAIS – TRATAMENTO DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS

 Todas as operações de tratamento de dados pessoais e dados pessoais sensíveis serão fundamentadas em uma base legal que legitime a sua realização, as quais estão previstas nos artigos 7º e 11º da Lei Geral de Proteção de Dados. Deverá constar, ainda, a finalidade e designação dos responsáveis pelo tratamento.
A QUALIS assume como compromisso institucional a realização de avaliação periódica das finalidades de suas operações de tratamento, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais, e o legítimo interesse da empresa.

6. PADRÕES DE SEGURANÇA

 A QUALIS está empenhada e comprometida com a implementação e manutenção de padrões de segurança da informação e proteção de dados pessoais com o objetivo de garantir o direito fundamental do indivíduo à autodeterminação da informação.
 Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta política no desenvolvimento de suas atividades, comprometendo-se a auxiliar a empresa a cumprir suas obrigações na implementação de sua estratégia de privacidade e proteção de dados pessoais.

6.1 Diretrizes

1) Proteção de Dados na Fase de Coleta

Toda coleta de dados gera um registro de operação através de meios físicos ou lógicos, conforme cada processo específico.
A definição de atuação como Controlador ou Operador da QUALIS será realizada através da análise do documento de mapeamento dos processos internos que tratam dados pessoais e dados pessoais sensíveis.
A QUALIS manterá registro das atividades de tratamento de dados pessoais, com a definição das finalidades e correlacionando-as, no caso de controlador dos dados pessoais, com a base legal mais indicada para o tratamento realizado.
Quando a coleta envolver dados pessoais sensíveis a QUALIS deverá indicar esta informação no registro das atividades de tratamento.
Nenhuma coleta de dados pessoais e dados pessoais sensíveis poderá ser tratada pela QUALIS sem que esteja devidamente mapeada e registrada, com a indicação de sua finalidade e enquadrada na base legal indicada.
Todo o tratamento que envolver a coleta de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse e ser coletado consentimento específico e em destaque concedido por, pelo menos, um dos pais ou responsável legal.

2) Proteção de Dados na Fase de Armazenamento

Todo armazenamento de dados pessoais irá gerar registro de operação, através de meios físicos ou lógicos conforme cada processo específico.
Os ambientes de armazenamento são suportados pelo controle de criptografia, devendo estar devidamente documentados.
Os armazenamentos físico e lógico de dados pessoais sensíveis deverá possuir controles de segurança extras, podendo conter 01 (um) ou mais fatores de autenticação, conforme a criticidade do sistema, ativo de tecnologia e/ou informação a ser acessada.
A QUALIS tem como padrão manter todos os seus bancos de dados criptografados.
As extrações de dados anonimizados a partir de bases de dados pessoais ou dados pessoais sensíveis deverão estar devidamente registrados.
A análise dos riscos de privacidade e proteção de dados pessoais deve considerar a análise das bases de dados anonimizados (impossibilidade de reversão).

3) Proteção de Dados na Fase de Acesso

Todo acesso a dados pessoais irá gerar registro de operação, através de meios físicos ou lógicos, conforme cada processo específico.
O acesso a dados pessoais será suportado por controles de autenticação e controles de acesso, devidamente definidos na política de segurança da informação.
Em havendo acesso a dados pessoais suportados pelo controle de criptografia (canal seguro), estará devidamente registrado.
Opções de exportação de dados pessoais em sistemas de informação, como por exemplo exportação de planilhas e arquivos, possuirá logs específicos. O acesso físico e lógico a dados pessoais sensíveis irá gerar logs de acesso específicos.
Quando a base legal mais indicada para o tratamento realizado for o legítimo interesse, a definição deverá ser analisada e aprovada pelo Comitê de Segurança da Informação e Privacidade em ATA formal. A ATA de reunião do Comitê deverá constar a justificativa para base legal definida. A ATA deverá descrever as categorias de dados pessoais autorizadas para enquadramento da base legal do legítimo interesse.

4) Proteção de Dados na Fase de Compartilhamento

Todo compartilhamento de dados pessoais irá gerar registro de operação, através de meios físicos ou lógicos conforme cada processo específico.
A QUALIS indicará no registro das operações de tratamento todos os compartilhamentos de dados pessoais e dados pessoais sensíveis e o nome dos terceiros responsáveis. A QUALIS irá garantir que todos os terceiros que participem do tratamento de dados pessoais estejam em conformidade com a LGPD e tenham condições mínimas de segurança técnica e organizacional dos dados pessoais.

5) Proteção de Dados na Fase de Eliminação

Todos os dados pessoais tratados pela QUALIS seguem um processo de eliminação após 3 meses de seu recebimento, finalizando o ciclo de vida dos dados pessoais sensíveis dos pacientes.
Toda eliminação de dados pessoais irá gerar registro de operação e, caso a eliminação gere dados anonimizados, tal situação também deve ser registrada.
O registro das atividades de tratamento conterá uma definição de todos os prazos de retenção e eliminação dos dados pessoais e dados pessoais sensíveis, seguindo os prazos dispostos nas legislações aplicáveis para cada caso.

6.2 Direitos dos Titulares de Dados Pessoais

Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, intimidade e privacidade, nos termos da LGPD.
A QUALIS, na realização de suas atividades de tratamento de dados pessoais, está comprometida no atendimento dos direitos dos titulares de dados pessoais, os quais são previstos no art. 18, da LGPD, e abaixo transcritos:

Direito à transparência: a QUALIS publicará informações claras, precisas e de fácil acesso aos titulares sobre a realização do tratamento dos seus dados pessoais e dados pessoais sensíveis (QUALIS como Controladora de dados pessoais);
Direito de confirmação de existência de tratamento: a QUALIS irá confirmar, quando solicitado pelo titular, a existência de tratamento de seus dados pessoais;
Direito de acesso: a QUALIS disponibilizará uma cópia de todos os dados pessoais e dados pessoais sensíveis tratados;
Direito de correção: a QUALIS irá corrigir os dados pessoais que estiverem imprecisos, incorretos ou incompletos;
Direito de eliminação: a QUALIS irá excluir os dados pessoais de seus bancos de dados, SALVO se houver um motivo legítimo para a sua manutenção, como: obrigação legal de retenção de dados pessoais; *Na hipótese de eliminação, a QUALIS se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados.
Direito a oposição de tratamento de dados pessoais: por solicitação do titular a QUALIS irá anonimizar, bloquear ou eliminar dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.
Direito à portabilidade dos dados: por requisição do titular a QUALIS irá disponibilizar a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial da empresa, bem como os limites técnicos de sua infraestrutura.
Direito à revogação de consentimento: o titular tem direito de revogar o consentimento fornecido para realização do tratamento de seus dados pessoais. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços. Sendo este o caso, o titular de dados pessoais será informado.

Procedimento
A comunicação dos titulares de dados pessoais com a QUALIS será realizada através do e-mail contato@portalqualis.com.br, o qual é administrado pelo Encarregado de Dados.
O atendimento dos requerimentos deverá observar o prazo de 15 (quinze) dias, contados da data de sua solicitação e respondidos por meio eletrônico, seguro e idôneo para esse fim.
Quando realizado tratamento de dados por terceiros, em nome da QUALIS, está irá informar e requerer o procedimento necessário (correção, eliminação, anonimização ou bloqueio dos dados), para que o terceiro também realize procedimento requerido, garantindo que o dado pessoal receba o tratamento efetivo. Esta previsão não se aplica nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

6.3 Da Relação com Terceiros

 A LGPD estabelece que a responsabilidade no caso de danos patrimoniais, morais, individuais ou coletivos derivados de violação à legislação de proteção de dados pessoais é solidária, de modo que todos os agentes da cadeia envolvendo o tratamento de dados pessoais podem ser responsabilizados pelos eventuais danos causados.
 Nesse sentido, a possibilidade de a QUALIS ser responsabilizada pelas ações de terceiros implica na necessidade de empregar os melhores esforços para verificar, avaliar e garantir que tais terceiros cumpram com a legislação de proteção de dados aplicável.
 Assim, todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso dos terceiros com a legislação de proteção de dados pessoais aplicável, bem como cláusula de confidencialidade em relação as informações e dados pessoais compartilhados.
 Todos os terceiros devem assinar o termo de aceitação desta política, da política de segurança da informação e do plano de resposta a incidentes de segurança, submetendo as atividades contratadas no âmbito da relação com a QUALIS também a essas normativas.

6.4 Transferência Internacional de Dados Pessoais


 Nas hipóteses em que a QUALIS for autorizada a realizar tratamento de dados pessoais independentemente do consentimento do titular de dados, poderá transferir os dados pessoais para outros países desde que, alternativamente:

  1. O país seja classificado como tendo um nível adequado de proteção de dados atribuído pela ANPD ou a transferência seja autorizada pela ANPD;
  2. Enquanto não houver lista de países de nível adequado divulgada pela ANPD, o país seja classificado pela Comissão Europeia, por meio de uma decisão de adequação, como país de nível adequado aos critérios da GDPR;
  3. O agente de tratamento de dados pessoais internacional ofereça à QUALIS pelo menos uma das salvaguardas abaixo:
    1. Códigos de Conduta regularmente emitidos ou binding corporate rules ('BCRs') aprovados pela Comissão Europeia;
    2. Cláusulas Contratuais Padrão emitidas pela ANPD ou pela Comissão Europeia;
    3. Selos e Certificados de conformidade ou adequação à proteção de dados pessoais concedidos por entidades reconhecidas pela ANPD ou pela Comissão Europeia.
  4. Obtenha consentimento explícito e destacado dos titulares de dados pessoais para realização de operações de transferência internacional de dados pessoais, com informação prévia sobre o caráter internacional da operação e destacando que o país não tem nível adequado de proteção de dados reconhecido ou que não há salvaguardas da conformidade do agente de tratamento, conforme o caso.

 Nas hipóteses em que a QUALIS é autorizada a tratar dados pessoais com base no consentimento, poderá transferir dados pessoais para outros países desde que obtenha consentimento explícito e destacado dos titulares de dados pessoais para realização de operações de transferência internacional de dados pessoais, com informação prévia sobre o caráter internacional da operação.
 Caso o país não tenha nível adequado de proteção de dados reconhecido ou não haja salvaguardas da conformidade do agente de tratamento, tais informações deverão ser prestadas ao titular de dados pessoais previamente, a fim de que consinta com os riscos da operação.
 A QUALIS se compromete a informar os titulares de dados pessoais em seu Portal sobre a ocorrência de operações de transferência internacional de dados pessoais, designando o conjunto de dados encaminhados, a finalidade do envio e o seu destino.

6.5 Comunicação de Incidente de Violação de Dados Pessoais


 Todos os incidentes e potenciais violações de dados pessoais devem ser reportadas ao Encarregado. Todos os destinatários desta política devem estar cientes de sua responsabilidade pessoal de comunicar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de dados pessoais e dados pessoais sensíveis assim que as identificarem. No momento em que um incidente ou violação efetiva forem identificados, é essencial que sejam formalizados e comunicados de forma tempestiva.
 Violações de dados incluem, mas não se limitam a qualquer perda, exclusão, roubo ou acesso não autorizado de dados pessoais controlados ou tratados pela QUALIS.

6.6 Auditorias de Proteção de Dados Pessoais


 A QUALIS assume o compromisso de revisar periodicamente as iniciativas de privacidade, seus produtos, sistemas, medidas, processos, precauções e outras atividades, de modo a reforçar o compromisso permanente da empresa com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente pelos seus canais oficiais de comunicação.
 Adicionalmente, o Grupo de Trabalho em conjunto com o Encarregado, fará avaliações com a devida periodicidade e de acordo com os riscos existentes. Caso identificados riscos relevantes, a auditoria interna irá realizar revisão juntamente com o Comitê de Segurança da Informação e Privacidade.
 Destaca-se, ainda, que no prazo de 12 (doze) meses a QUALIS realizará auditorias junto a seus Operadores, para atestar o cumprimento do que foi estabelecido em contrato e se estão em conformidade com a legislação e regulamentação aplicáveis. As evidências de privacidade de Operadores serão analisadas pelo Comitê, com o auxílio do Encarregado, o qual fará a emissão de um parecer em relação à privacidade de cada Operador.

6.7 Treinamentos


 Os destinatários desta Política se comprometem a participar dos treinamentos, workshops e capacitações propostos pelo Encarregado para a ampliação da cultura de proteção de dados pessoais na empresa. Os colaboradores da QUALIS cujas funções exigem o tratamento regular a dados pessoais, ou os responsáveis pela implementação desta política se comprometem a participar de treinamentos adicionais para ajudá-los a entender seus deveres e como cumpri-los.

6.8 Medidas Disciplinares


 As medidas disciplinares a serem aplicadas em caso de responsabilidade por um incidente de segurança e proteção de dados serão discutidas e deliberadas pelo Comitê de Segurança da Informação e Privacidade. A aplicação de medidas disciplinares será de responsabilidade do Gestor/Superior imediato do colaborador, juntamente à dois membros do Comitê de Segurança da Informação e Privacidade.
 Em caso de se apurar a responsabilidade do colaborador na ocorrência de um incidente de segurança e violação de dados pessoais poderão ser aplicadas as seguintes medidas disciplinares:

  • Reforço de conscientização no tema de segurança e proteção de dados;
  • Advertência não registrada (verbal);
  • Advertência registrada ou escrita;
  • Suspensão de direito de acesso ou recurso;
  • Desligamento com ou sem justa causa;
  • Processos cíveis e\ou criminais;
  • Outras medidas disciplinares definidas pelo RH em conjunto com o Jurídico.

7 DEFINIÇÃO DO ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS


 A QUALIS, em reunião com seus sócios no dia 08/12/2020 nomeou o Sr. Tiago Andres Vaz como Encarregado de Proteção de Dados Pessoais, conforme se verifica na ata de reunião da diretoria.
 Fica definido nesta política que o Encarregado será parte integrante no Comitê de Segurança da Informação e Privacidade, tendo o apoio deste Comitê em suas funções e atividades relacionada a Privacidade e Proteção de Dados Pessoais dentro da QUALIS.
 O Encarregado terá como suas funções principais as relacionadas a seguir:

  1. Conduzir as atividades de conformidade da QUALIS à LGPD, zelando por sua fiscalização;
  2. Monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis;
  3. Orientar os destinatários desta política quanto ao regime de privacidade e proteção de dados pessoais da QUALIS;
  4. Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas da QUALIS;
  5. Organizar treinamentos sobre proteção de dados pessoais da QUALIS;
  6. Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes;
  7. Responder às solicitações e reclamações de titulares de dados pessoais cujos dados tenham sido objeto de tratamento da QUALIS;
  8. Auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo proteção de dados;
  9. Elaborar relatórios de impacto à privacidade e proteção de dados, pareceres técnicos e revisão de documentos no que se refere à proteção de dados.