POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DA ENGEMED
Data da última atualização: 13/02/2023
1.INTRODUÇÃO E ESCOPO
A ENGEMED está comprometida a resguardar os dados pessoais a que precisa ter acesso no curso de seus negócios.
Esta Política de Proteção de Dados Pessoais da ENGEMED (“Política”) esclarece como a ENGEMED trata dados pessoais em suas atividades.
Referências feitas aqui a dados pessoais incluem dados pessoais sensíveis.
Dados pessoais são dados que identifiquem ou possam identificar pessoas com quem a ENGEMED lida em suas atividades.
Titulares de dados pessoais: São os empregados, prestadores de serviços (ainda que temporários), administradores, membros de conselho, acionistas, tanto da ENGEMED como de seus clientes, fornecedores, parceiros e prestadores de serviços, que estarão envolvidos diretamente pela ENGEMED em suas atividades. Essas pessoas são referidas como “Beneficiários da Política”.
Quem deve cumprir a Política: A Política deve ser cumprida pelos empregados, prestadores de serviços (ainda que temporários), credenciados, parceiros comerciais, diretores, membros do conselho de administração e acionistas da ENGEMED (“Destinatários da Política”).
A ENGEMED compromete-se a observar a aplicação integral da LGPD no desempenho de suas atividades, seja como controladora dos dados pessoais das pessoas relacionadas aos Destinatários da Política, seja como operadora dos dados pessoais das pessoas relacionadas aos Beneficiários da Política.
Nas situações em que a ENGEMED for a co-controladora dos dados pessoais de titulares vinculados aos seus clientes, caberá à ENGEMED a decisão sobre armazenamento, compartilhamento e outros tratamentos de dados pessoais para atender leis e regulamentos notadamente relativos à saúde e/ou segurança ocupacional.
2.PRINCÍPIOS
Ao tratar dados pessoais, a ENGEMED pauta-se pelos seguintes princípios:
– Finalidade e Legitimação: a ENGEMED tratará os dados pessoais em conformidade com as bases legais da LGPD.
Importante ressaltar que, quando agir como operadora de dados pessoais de titulares vinculados aos clientes da ENGEMED, os clientes (que são os controladores), são os responsáveis pela adequada base legal para o tratamento dos dados pessoais dos respectivos titulares, pela finalidade e todas as instruções sobre o tratamento.
– Adequação, Necessidade e Não Discriminação: a ENGEMED buscará coletar somente os dados pessoais necessários à prestação de suas atividades, realizando o tratamento conforme as finalidades legítimas e específicas a que se destinam, sem utilizá-los para fins discriminatórios, ilícitos ou abusivos.
– Livre Acesso, Qualidade dos Dados, Transparência: a ENGEMED atenderá as solicitações dos titulares nos termos da LGPD e conforme contratos com seus clientes.
Importante ressaltar que, quando agir como operadora de dados pessoais de titulares vinculados aos clientes da ENGEMED, os titulares devem efetuar suas solicitações quanto a seus dados pessoais diretamente ao cliente da ENGEMED (controlador) a que estiver vinculado; não à ENGEMED.
– Segurança e Integridade de Dados Pessoais: a ENGEMED realizará o tratamento dos dados pessoais com medidas técnicas e organizacionais aptas à sua proteção e conservação.
–Prevenção, Responsabilização e Prestação de Contas: a ENGEMED promoverá medidas técnicas e organizacionais aptas à proteção e conservação dos dados pessoais e cumprimento das normas aplicáveis.
3.INFORMAÇÕES SOBRE O TRATAMENTO DE DADOS PESSOAIS
Como a ENGEMED coleta Dados Pessoais, que tipos de Dados Pessoais a ENGEMED trata, para qual finalidade e sob qual base Legal?
Como controladora dos dados pessoais:
A ENGEMED coleta dados pessoais em suas contratações de empregados, prestadores de serviços (ainda que temporários), credenciados e parceiros comerciais. Também como controladora, a ENGEMED coleta dados de diretores, membros do conselho de administração e acionistas, em seus documentos societários, contratuais e formulários para atendimento a finalidades legais e regulatórias. A coleta se dá por solicitação ao titular dos dados pessoais necessários para a ENGEMED conduzir suas atividades.
Pode haver coleta e tratamento também de dados pessoais sensíveis dos colaboradores da ENGEMED para cumprimento de contrato, obrigações legais, regulatórias, mas não apenas pela área de recursos humanos e departamento de pessoal.
Os dados pessoais coletados são os necessários para a atividade então em questão (contratação de funcionários, cotações de serviços e produtos, cadastramento de profissionais) englobando dados tais como, mas não apenas:
nome, sobrenome, telefone, endereço, e-mail, identidade, CPF, gênero, data de nascimento e outros. Outros dados pessoais podem ser coletados, como indicado na política do website [ver política de privacidade do uso do website em nossa home page].
Como operadora dos dados pessoais:
A ENGEMED coleta diversos dados pessoais de titulares vinculados a seus clientes. Os clientes da ENGEMED são outras empresas, que a contratam para cumprir atividades relacionadas à saúde ocupacional, gestão ambulatorial e segurança do trabalho dos empregados, diretores e membros de conselhos (“Atividades de Medicina, Saúde e Segurança do Trabalho”). Essas atividades são reguladas por leis e normas públicas. Os dados pessoais são coletados junto aos clientes da ENGEMED ou diretamente junto ao titular, sempre com base em contrato firmado entre a ENGEMED e o cliente; e atendendo ao que é necessário para cumprir as atividades da ENGEMED e a legislação pertinente.
Para atender à legislação relativa às Atividades de Medicina, Saúde e Segurança do Trabalho, a ENGEMED precisa coletar e tratar não só dados pessoais (tais como, mas não apenas: nome, sobrenome, identidade, CPF, data de nascimento, gênero, e-mail, endereço, telefone), mas também dados pessoais sensíveis; notadamente, dados de saúde, dados genéticos ou biométricos.
Os clientes da ENGEMED são os controladores desses dados pessoais, incluindo dados pessoais sensíveis. Se houver determinação do cliente, a ENGEMED poderá compartilhar dados pessoais com terceiros indicados pelos clientes, como, por exemplo, recrutadores.
Em todos os casos em que a ENGEMED é operadora, o cliente da ENGEMED, controlador, é o responsável pela legitimidade da coleta, do tratamento e do compartilhamento dos dados pessoais, incluindo dados pessoais sensíveis.
Importante: Ao fornecer, diretamente, dados pessoais e dados pessoais sensíveis à ENGEMED e aos credenciados da ENGEMED, o titular vinculado aos clientes da ENGEMED declara-se ciente de que: o tratamento dos Dados Pessoais é feito para fins de cumprimento de normas regulamentares; a ENGEMED subcontrata terceiros e delega atividades, sendo os dados pessoais tratados e compartilhados também por esses terceiros; o serviço da ENGEMED não será realizado caso o titular se recuse ao tratamento dos dados pessoais e que a ENGEMED informará o seu cliente de qualquer recusa nesse sentido, sem que caiba à ENGEMED nenhuma responsabilidade por consequências daí resultantes.
Nas hipóteses em que o fornecimento de dados pessoais e dados pessoais sensíveis não for feito diretamente à ENGEMED pelo titular, mas por intermédio do cliente da ENGEMED, o cliente é orientado pela ENGEMED a informar de forma clara os seus titulares acerca das disposições acima e tudo o mais indicado nesta Política.
Nas situações em que a ENGEMED for co-controladora dos dados pessoais de titulares vinculados aos clientes, a ENGEMED tratará os dados pessoais necessários conforme leis e regulamentos notadamente relativos a saúde e/ou
segurança ocupacional, nas formas estabelecidas nessa legislação e na LGPD. A base legal para o tratamento, nessa hipótese, é o cumprimento de obrigações e regulatórias, pela ENGEMED.
Como controladora, co-controladora e como operadora:
A coleta e compartilhamento dos dados pessoais pode se dar por interações das mais diversas maneiras, visando celeridade e segurança: por integrações dos sistemas da ENGEMED diretamente com os sistemas dos clientes da ENGEMED; por acesso em ambiente de nuvem compartilhado; por e-mail; por suporte físico (formulários e kits apresentados pelos credenciados da ENGEMED, com preenchimento pelos próprios titulares ou pelos profissionais que atenderem os titulares, com trânsito físico via correios ou sistemas de courrier, em malotes; por inserção, pelos credenciados da ENGEMED e seus profissionais nos sistemas e aplicativos da ENGEMED; por captura no website conforme política do website [ver política de privacidade do uso do website em nossa home page]; por telefone ou aplicativos para processamento de pedidos/ordem de serviços, formação de contratos, performance de atividades contratuais, atendimento a clientes, abordagens comerciais, de marketing e de recursos humanos, em processos seletivos.
A ENGEMED poderá tratar os dados pessoais de titulares para exercício regular de direitos em processos, proteção da vida ou incolumidade física do titular ou de terceiros, para atender legítimo interesse (respeitados direitos e liberdades individuais) ou, ainda, por intermédio de seus credenciados profissionais de saúde/serviços de saúde, para tutela da saúde.
3.1.Com quem a ENGEMED Compartilha os Dados Pessoais?
Como controladora dos dados pessoais:
A ENGEMED pode compartilhar dados pessoais com seus colaboradores, (incluindo diretores, membros do Conselho de Administração e acionistas), terceiros, prestadores de serviços, parceiros comerciais e colaboradores da ENGEMED (incluindo diretores, membros do Conselho de Administração e acionistas) que devem ter acesso e tratar os dados pessoais para o exercício de suas funções e atividades junto à ENGEMED, todos Destinatários da Política.
Os terceiros com quem a ENGEMED compartilha dados pessoais podem ser chamados de operadores. Isso ocorre, por exemplo, por compartilhamento de dados pessoais de seus funcionários com operadoras de plano de saúde, empresas de vale transporte, de vale refeição, etc., para fins dos pagamentos dos benefícios aos empregados.
A ENGEMED pode compartilhar dados pessoais com terceiros para fins operacionais, bem como para disponibilizar, aprimorar, proteger e personalizar os serviços; para enviar comunicações internas de marketing e outras comunicações relacionadas às suas atividades e para outros fins legítimos permitidos por lei.
A ENGEMED pode compartilhar dados pessoais para terceiros realizarem tratamentos com vistas a finalidades próprias, diferentes das descritas nesta política, como autoridades públicas ou entidades privadas. A ENGEMED informará ao titular este fato e pedirá o consentimento para realizar a transferência, a não ser que o tratamento não esteja autorizado por outra base legal.
Como operadora:
A ENGEMED pode compartilhar dados pessoais com seus colaboradores, (incluindo diretores, membros do Conselho de Administração e acionistas), terceiros, prestadores de serviços, parceiros comerciais, notadamente credenciados (subcontratados da ENGEMED e subcredenciados, subcontratados dos credenciados, que devem ter acesso e tratar os dados pessoais para o exercício de suas funções e atividades junto à ENGEMED, todos Destinatários da Política.
A ENGEMED pode também compartilhar dados pessoais seguindo instruções do controlador.
A ENGEMED não se responsabiliza pelos tratamentos feitos para finalidades particulares dos controladores alheias à execução de seus contratos com a ENGEMED. A descrição do tratamento feito por controladores poderá ser obtida diretamente de seus respectivos Encarregados de Dados Pessoais.
Como controladora e como operadora:
Alguns dos parceiros de infraestrutura de tecnologia da ENGEMED eventualmente nos prestarão serviços a partir de outros países. Sempre que nós armazenarmos seus dados pessoais com esses parceiros, configurando a transferência internacional de dados pessoais, a respectiva transferência será feita conforme a LGPD e as demais leis aplicáveis.
Pode haver, ainda, tratamento para compartilhamento com a administração pública em hipóteses previstas por leis ou regulamentos.
A ENGEMED pode compartilhar dados pessoais das seguintes formas:
- Com suas subsidiárias para fins de processamento de dados, como marketing, operações comerciais, segurança, funcionalidade de site ou solução ou armazenamento.
- Para fins de negociações de fusões, venda de ativos da ENGEMED, consolidação ou reestruturação, financiamento ou aquisição de todo ou parte de nosso negócio por ou para outra empresa.
- Em resposta a uma solicitação de informações por parte de uma autoridade ou um terceiro capaz, se acreditarmos que a divulgação está de acordo com alguma lei, regulamento ou processo legal aplicável.
- Com órgãos de segurança pública, autoridades governamentais ou outros terceiros desde que sejam indispensáveis ao cumprimento do devido processo legal, segundo a lei aplicável.
- De forma agregada e/ou anônima de modo que não poderá ser utilizada para identificar o titular.
- Caso o titular seja notificado e autorize o compartilhamento.
- Transferência internacional de dados pessoais, para entidades em países com no mínimo o mesmo grau de proteção que a LGPD.
Onde São Armazenados os Dados Pessoais?
Os dados pessoais são armazenados em infraestrutura de nuvem da ENGEMED em nossos operadores contratados.
A ENGEMED manterá os dados pessoais, seja como controladora, seja como operadora, pelo prazo permitido conforme leis aplicáveis, tendo em vista a necessidade de cumprimento de obrigação legal ou regulatória, de ou ordem de autoridade competente. A ENGEMED poderá manter os dados pessoais anonimizados.
Como a ENGEMED Protege os Dados Pessoais?
A ENGEMED mantém registro dos tratamentos efetuados, nos termos da lei e da Política de Segurança da Informação ENGEMED.
A ENGEMED mantém os dados pessoais sob seu tratamento seguros e protegidos contra tratamentos não autorizados ou ilegais e sua perda, destruição ou danificação. Tal segurança é feita por meio das medidas listadas na Política de
Segurança da Informação ENGEMED.
A ENGEMED possui planos de resposta a incidentes de segurança da informação com vistas a mitigar, remediar e/ou reportar quaisquer incidentes conforme determinado pelas normas aplicáveis.
A ENGEMED elabora o relatório de impacto de proteção de dados pessoais nas hipóteses em que o tratamento dos dados pessoais possa gerar riscos a liberdades civis e direitos fundamentais.
3.2.Quais são os Direitos do Titular dos Dados Pessoais?
Como controladora de dados pessoais:
A ENGEMED atenderá solicitações dos titulares sobre incorreções ou desatualizações, mediante contato do titular dirigido ao Encarregado no endereço relacionado no término desta Política.
Em certas situações, a ENGEMED deve cumprir imediatamente os requerimentos dos titulares para exercício dos direitos previstos na LGPD. Caso não seja possível à ENGEMED cumpri-los imediatamente, o titular será comunicado em resposta no prazo de 30 (trinta) dias, ou outro indicado pela Autoridade Nacional de Proteção de Dados.
Para a ENGEMED ter certeza de que o solicitante é o titular que pode fazer a solicitação, o requerimento deve vir acompanhado de prova de identidade e a ENGEMED pode também estabelecer outras ações para confirmações. Esta é uma medida de segurança para garantir que os dados pessoais não sejam divulgados inadvertidamente. A ENGEMED poderá também contatar o titular para obter mais informações em relação ao requerimento. Caso o requerimento seja particularmente complexo, a ENGEMED notificará o titular da necessidade de mais tempo e definir um novo prazo para resposta, além de mantê-lo atualizado sobre o andamento da solicitação.
Como operadora de dados pessoais:
A ENGEMED direcionará ao controlador as solicitações dos titulares sobre incorreções ou desatualizações, sendo atribuição do controlador responder o titular e instruir a ENGEMED sobre qualquer ação a ser tomada.
Os direitos dos titulares previstos no art. 18 da LGPD são:
- i) Confirmação da existência de tratamento: caso o titular tenha dúvidas sobre se a ENGEMED trata seus dados pessoais, pode solicitar confirmação sobre este fato. A ENGEMED, conforme a escolha que o titular fizer, poderá responder ao pedido de confirmação em formato simplificado imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a existência ou inexistência de registro, os critérios utilizados e a finalidade do tratamento, em até 30 (trinta) dias a contar do recebimento do requerimento.
- ii) Acessos aos dados: o titular poderá solicitar à ENGEMED acesso aos seus dados pessoais. Será apresentada uma lista das categorias de dados pessoais sob tratamento. Caso o tratamento tenha ocorrido com base em seu consentimento ou em contrato, o titular também poderá solicitar uma cópia completa de todos os dados pessoais em posse da ENGEMED, ressalvados segredos comerciais e industriais da ENGEMED e obrigações contratuais. A ENGEMED, conforme a escolha que o titular fizer, poderá responder ao pedido de acesso em formato simplificado imediatamente ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, em até 30 (trinta) dias a contar do recebimento de seu requerimento.
iii) Correção de dados pessoais incompletos, inexatos ou desatualizados: o titular poderá solicitar a retificação de seus dados pessoais nos registros da ENGEMED.
- iv) Anonimização, bloqueio ou eliminação: caso o titular verifique que alguns de seus dados pessoais são desnecessários, excessivos ou tratados em desconformidade com a lei, o titular poderá exercer esse direito. As leis aplicáveis podem permitir a manutenção do tratamento mesmo em caso de pedido de anonimização, bloqueio ou eliminação.
- v) Portabilidade: em alguns casos, o titular poderá solicitar que seus dados pessoais sejam transferidos a outro controlador. A ENGEMED se reserva o direito de não transferir dados referentes a seus segredos comerciais ou industriais e de preservá-los com a ENGEMED, se houver fundamento legal para tanto.
- vi) Informação sobre entidades com as quais a ENGEMED compartilha os seus dados pessoais: o titular pode solicitar tais informações.
vii) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: quando o consentimento for necessário para o tratamento, a ENGEMED sempre informará o titular sobre a possibilidade de não consentir e as consequências do não consentimento.
viii) Revogação do consentimento: sempre que o tratamento for feito com base no consentimento, o titular poderá retirar este consentimento a qualquer tempo, de modo que a ENGEMED não poderá mais tratar dados pessoais do titular a partir daquele momento, ressalvados os dados pessoais que já tiverem sido tratados ou a existência de outra base legal para que a ENGEMED faça o tratamento.
4.Auditoria e Monitoramento
A ENGEMED audita o cumprimento desta Política, e implementará ações corretivas para corrigir qualquer irregularidade.
Responsabilidades
Esta Política poderá ser atualizada e modificada de tempos em tempos e será revista sempre que necessário for, para refletir o avanço tecnológico, as alterações de legislação e as realidades do mercado. Esta Política não prevalece sobre disposições diversas em contratos, mas a ENGEMED buscará implementá-la em todos os seus contratos.
As responsabilidades da ENGEMED pelo tratamento descrito nesta Política de Proteção de Dados estão limitadas aos esforços de adoção de boas práticas, nos termos do art. 32 da LGPD.
Entre em contato com nosso Encarregado de Dados Pessoais (“DPO”), pelo endereço eletrônico abaixo, caso:
- tenha alguma dúvida ou entenda poder ter havido descumprimento desta Política; e/ou,
- suspeite de qualquer comprometimento de dados pessoais tratados pela ENGEMED, privacidade ou segurança.
Os Destinatários da Política estão instruídos a proceder desta forma também.
Dados para contato com o Encarregado de Dados Pessoais (“DPO”):
politicadeprivacidade@engemed.med.br.
- Lei Aplicável
Este documento é regido e deve ser interpretado de acordo com as leis da República Federativa do Brasil. Fica eleito o Foro da Comarca de São Paulo, São Paulo, como o competente para dirimir quaisquer questões porventura oriundas do presente documento, com expressa renúncia a qualquer outro, por mais privilegiado que seja.