ESPECIALIDADES E LINHAS DE PRODUTO

1. Considerações Iniciais

A Política de Conformidade (Compliance) desta Empresa tem entre seus objetivos assegurar que as atividades sejam conduzidas em conformidade com as normas aplicáveis. Nesse sentido, de acordo com o art. 38, caput, da Lei 13.709, de 14 de agosto de 2018, ou Lei Geral de Proteção de Dados Pessoais (LGPD), a qualquer momento, a Autoridade de Proteção de Dados Pessoais (ANPD) pode determinar que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis.

Surgiu, assim, a necessidade de se confeccionar este documento.

A Empresa realiza diariamente o tratamento1 de dados pessoais que se relacionam a pessoa natural identificada ou identificável (art. 5º, I, LGPD). Existem também os dados pessoais sensíveis, que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (art. 5º, II, LGPD).

Considerando os fundamentos2 da proteção de dados pessoais (art. 2º e incisos, LGPD), a boa-fé e os demais princípios3 a serem observados nas atividades de tratamento de dados pessoais (art. 6º e incisos, LGPD), a Empresa dispõe de diferentes sistemas de controles internos, que variam de acordo com a natureza do dado pessoal, para mitigar eventuais riscos de falha na proteção de dados pessoais. Entretanto, apesar do elevado grau de maturidade da gestão de riscos, não se pode garantir a eliminação total dos riscos que, em caso de materialização, causariam impacto à privacidade dos dados pessoais existentes em base interna.

Nesta seção são descritos os processos de tratamento de dados pessoais, digitais ou físicos, que podem gerar riscos às liberdades civis e aos direitos fundamentais, envolvendo a especificação de natureza4, escopo5, contexto6 e finalidade7 do tratamento.

DEFINIÇÕES

1 “tratamento”: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X, LGPD). 

2 “fundamentos”: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. 

3 “princípios”: Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

4 “natureza”: Representa como a Empresa pretende tratar ou trata os dados pessoais. 

5 “escopo”: Diz respeito à abrangência do tratamento de dados. 

6 “contexto”: Destaca um cenário mais amplo, incluindo fatores internos e externos que podem afetar as expectativas do titular dos dados pessoais ou o impacto sobre o tratamento dos dados. 

7 “finalidade”: É a razão ou motivo pelo qual se deseja tratar os dados pessoais, justifica o tratamento e fornece os elementos para informar o titular dos dados.

2. Descrição do tratamento

A Política de Segurança da Informação interna visa evitar que os riscos aos quais estão sujeitos os ativos de informação comprometam as atividades e o cumprimento da missão empresarial.

Os ativos de informação compreendem os meios de armazenamento, transmissão e processamento da informação; os equipamentos necessários a isso; os sistemas utilizados para tal e os locais onde se encontram esses meios.

No que se refere especificamente às informações de caráter pessoal, os sistemas de controle interno implantados variam de acordo com o tipo de suporte (físico ou digital), bem como com a natureza da informação.

2.1. Dados digitais

2.1.1. Natureza do tratamento
São adotadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. O acesso às bases de dados é controlado por grupos de rede e acesso limitado a determinados perfis de usuários.
Como medida administrativa adotada é solicitada a assinatura de acordos de responsabilidade para acesso a sistemas por requisição formal ou por e-mail, para guarda de documentos físicos ou digitais.

2.1.2. Tratamento dos dados
Existem diversas formas de tratamento dos dados pessoais na Empresa, considerando a definição da LGPD:

  • Coletados/Enviados: Os dados são coletados principalmente por meio de sistemas de informação e por captação de informações de outras empresas, seja por força de regulação, seja por obrigações contratuais. Os dados são recebidos, em geral, via contato telefônico ou email.
  • Retidos/Armazenados: Os dados são mantidos das seguintes formas:
    – Em banco de dados corporativo, em infraestrutura dedicada, restrita e monitorada por câmeras de segurança;
    – Arquivos (p. ex.: planilhas Excel, documentos Word).
  • Usados: Os dados são usados em processos de diversas formas. Pode-se citar a utilização do ERP para tratar entrada de pedidos de compra de fornecedores ou faturamento de venda a clientes.
  • Eliminados: Os dados podem ser eliminados por meio de ações em sistemas de informação, comandos SQL nos bancos de dados (no caso da base de dados) e exclusão de arquivos. No caso de base de dados, o administrador o realiza mediante solicitação direta de responsáveis por setores internos. Para exclusão de arquivos, é delegado aos colaboradores em seus respectivos a tratativa quando encerrada a finalidade de utilização dos dados para liberação de espaço.

 

2.1.3. Fonte dos dados

As formas de coleta de dados na empresa são:

  • Clientes e fornecedores: meio telefônico ou eletronicamente via email.
  • Colaboradores internos: meio telefônico ou presencial, eletronicamente ou em papel.

 

2.1.4. Compartilhamento dos dados

O compartilhamento de dados apenas ocorre internamente para funções exclusivamente operacionais essenciais relacionadas à rotina comercial padrão que abrange, resumidamente, processos de compra, logística de distribuição, faturamento e processamento financeiro, estando os colaboradores cientes da importância dos dados envolvidos sendo manipulados em seus respectivos setores operacionais.

 

2.1.5. Medidas de segurança

As medidas de segurança adotadas têm validade para qualquer tipo de informação, sendo:

  • Transferência de Arquivos: Para a transferência de arquivos eletrônicos internamente, devem ser utilizadas:
    – Pastas compartilhadas localizadas em servidor de arquivos;
    – Meio telefônico
    Para a transferência de arquivos eletrônicos de/para destinatários externos, podem ser utilizados:
    – Anexos de e-mail, caso não haja necessidade de garantia de entrega. Se a informação for sensível, o anexo deve estar criptografado, com a senha do arquivo sendo transmitida por outro meio, como telefone.
    Mídias removíveis (pendrive, CD, DVD ou HD externo) podem ser utilizadas para a transferência de arquivos corporativos mediante justificativa e com a anuência da chefia imediata, em especial em caso de impossibilidade de uso dos meios tecnológicos descritos acima. Nesse caso, é obrigatória a aplicação de criptografia para proteção da informação sempre que viável tecnologicamente. Não são considerados meios adequados para a transferência de arquivos eletrônicos: pastas compartilhadas em estações de trabalho (desktops e notebooks), e-mail particular e serviços de terceiros na Internet (ex.: Dropbox, Google Drive e Onedrive).
  • Servidores de arquivos: Os servidores de arquivos possuem áreas de armazenamento reservadas para cada setor. A chefia de cada setor é responsável por solicitar permissão ao administrador do servidor para conceder permissão de acesso às pastas e arquivos, observados os princípios da necessidade de conhecer e do privilégio mínimo.
  • Impressão de documentos: Não deverão ser impressos arquivos eletrônicos corporativos fora das dependências da Empresa.
  • Descarte de informações O descarte de informações corporativas gravadas em qualquer mídia deverá ser feito de maneira a impedir a sua recuperação.
  • Monitoramento: Para fins de trilhas de auditoria, é executado para acessos, criação e a última alteração de registros.
    É de responsabilidade de cada setor assegurar o uso correto e eficiente da área de armazenamento reservada a ela, verificando periodicamente se:
    – Apenas arquivos necessários aos processos de trabalho da unidade estão armazenados;
    – Não existem arquivos que infrinjam direitos autorais ou que apresentem outros riscos jurídicos, como músicas, filmes e livros que não tenham sido adquiridos pela empresa.

 

2.1.6. Fluxo de dados
Possui característica essencialmente linear, onde os dados pertinentes coletados se limitam a funções de cadastro para cumprimento de rotina padrão comercial de produto acabado, que se estendem do processo de compra, venda, processamento financeiro e contábil.

  • Compra: Coleta de dados exclusivamente necessários ao registro de obrigações de pagamento/tributação até o encerramento destas obrigações.
  • Venda: Coleta de dados exclusivamente necessários à cobrança até o encerramento destas obrigações.
  • Financeiro: utilização exclusiva para referência a documentos/dados de compra ou venda já existente em base interna e execução de rotinas pertinentes.
  • Contábil: utilização exclusiva para referência a documentos/dados de compra ou venda já existente em base interna para tratamento de obrigações pertinentes.

2.2. Dados físicos

A Empresa possui processos complexos referentes à execução de procedimentos cirúrgicos que envolvem volume físico (papel) considerável. Estes documentos são necessários ao seu funcionamento e cumprimento de sua missão. No entanto, esses documentos envolvendo dados pessoais sensíveis são transitórios e destruídos após digitalização e armazenamento em servidor interno apenas pelo prazo legal obrigatório. Todas as operações relativas a documentos físicos que carregam estes dados pessoais, são executadas exclusivamente internamente às instalações da Empresa.

2.3. Escopo do tratamento

2.3.1. Tipos de dados

O escopo representa a abrangência do tratamento de dados. As seções seguintes mostram detalhes sobre a extensão do escopo para os dados digitais. Com relação aos dados contidos em documentos físicos, conforme visto anteriormente, recebem o mesmo tratamento dos digitais, pois, como dito anteriormente, são digitalizados assim que processados.
De uma forma resumida, para Pessoas Físicas ou Pessoas Jurídicas, para clientes, fornecedores e colaboradores, contemplam as seguintes informações cadastrais obrigatórias e exclusivamente para tratamentos contratuais obrigatórios: número do CPF/CNPJ, número da IE; número da identidade, número e série da CTPS, nome completo/razão social; data de nascimento; endereço completo; telefone; código e descrição da natureza da ocupação principal; código e descrição da ocupação principal; data de inscrição; informações salariais e bancárias.
Esses dados são armazenados em um banco de dados central e operacionalizados via ERP, em instalações próprias.

2.3.2. Volume de dados
Em sua área de atuação, a base de dados possui aproximadamente 10100 registros, sendo recebidos diariamente, de 2 a 8 novos registros.

2.3.3. Frequência de tratamento dos dados
Sensível ao comportamento de mercado (comércio).

2.3.4. Retenção dos dados
Os dados são retidos por toda a extensão do prazo contratual, até encerramento de obrigações financeiras e contábeis ou até o vencimento de prazos legais obrigatórios pertinentes à área de atuação desta Empresa.

2.3.5. Titulares afetados pelo tratamento de dados
Qualquer pessoa física ou jurídica, cliente, fornecedor ou colaborador/funcionário, pode ser afetada pelo tratamento de dados nesta Empresa.

2.4. Contexto do tratamento

Esta Empresa trata os dados pessoais de acordo com os propósitos legítimos e específicos de modo compatível com a sua finalidade, cujo caráter é de interesse de todas as partes, e objetiva executar as competências legais ou cumprir as atribuições legais de sua área de atuação.

2.4.1. Tratamento de dados que envolvem crianças e adolescentes
Apenas informações relacionadas à identificação como paciente, sendo o nome completo, são tratados por esta Empresa.

2.5. Finalidade do tratamento
A finalidade do tratamento dos dados pela Empresa relaciona-se ao estrito cumprimento de obrigação legal ou regulatória.

3. Necessidade e proporcionalidade

O tratamento de dados é limitado ao mínimo necessário para a realização das finalidades informadas ao titular. Quando necessário, tem abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. O tratamento é feito apenas quando é indispensável e com propósito de cumprimento de obrigações legais e contratuais. Com o objetivo de assegurar que o operador realize o tratamento de dados pessoais conforme a LGPD e respeite os critérios estabelecidos pela empresa, todo colaborador é informado sobre esta obrigatoriedade e os parâmetros regulatórios.

4. Riscos à Proteção de Dados Pessoais

Pelas características básicas cadastrais demandadas pela área de atuação da Empresa, não são tratados dados pessoais sensíveis fora das obrigatoriedades legais pertinentes ao contexto comercial.
Dentre os tipos de risco operacional e profundidade dos dados, não é considerado gerador de impacto sobre o titular de dados pessoais. Mesmo assim, devem ser categorizadas para melhor identificação.

4.1. Categorias de riscos

Em caráter referencial, possíveis falhas devem ser categorizadas, a seguir:

  • A. Acesso não autorizado: Acesso aos dados pessoais sem o prévio consentimento expresso, inequívoco e informado do titular, salvo exceções legais.
  • B. Modificação não autorizada: Modificação de dados pessoais sem a anuência do titular. Viola o princípio da segurança.
  • C. Perda Destruição ou extravio de dados pessoais: Viola os princípios da segurança e da prevenção.
  • D. Apropriação: Apropriação ou uso indébito de dados de pessoais. Possibilidades de fraude e vazamento intencional de dados. Viola os princípios da segurança e da prevenção.
  • E. Remoção não autorizada: Retirada de dados pessoais sem autorização do titular.
  • F. Coleção excessiva Extração de mais dados do que o necessário para a realização do trabalho, ou do que é previsto em Lei ou foi autorizado pelo usuário. Viola o princípio da necessidade.
  • G. Informação insuficiente sobre a finalidade do tratamento: A finalidade declarada para o uso das informações pessoais é insatisfatória, não é específica ou pode suscitar interpretações diversas.
  • H. Tratamento sem consentimento do titular dos dados pessoais: Tratamento dos dados pessoais sem a devida prévia permissão expressa, inequívoca e informada do titular, salvo exceções legais.
  • I. Compartilhar ou distribuir dados pessoais com terceiros sem o consentimento do titular dos dados pessoais: Compartilhamento dos dados pessoais com outras entidades privadas sem a devida permissão do titular.
  • J. Retenção prolongada de dados pessoais sem necessidade: Manter os dados pessoais do titular para além do necessário ou do que estava consentido/autorizado. Viola o princípio da necessidade.
  • K. Vinculação ou associação indevida, direta ou indireta, dos dados pessoais ao titular: Erro ao vincular dados do verdadeiro titular a outro. Viola o princípio da qualidade dos dados.
  • L. Falha ou erro de processamento: Processamento dos dados de forma imperfeita ou equivocada. Ex.: execução de script de banco de dados que atualiza dado pessoal com informação equivocada, ausência de validação dos dados de entrada etc. Viola o princípio da qualidade dos dados.

4.2. Identificação dos riscos

Apresentam-se a seguir exemplos iniciais não exaustivos de riscos identificados e mensurados, de acordo com a metodologia de gerenciamento de riscos operacionais à proteção de dados pessoais:

  •  vazamento intencional de dados pessoais;
  • alteração intencional de dados pessoais;
  • permissão indevida para acesso a dados pessoais;
  • furto de informações confidenciais;
  • divulgação não autorizada de dados pessoais contidos nos documentos e arquivos;
  • quebra não autorizada de sigilo bancário;
  • invasão para coleta de dados pessoais.

5. Considerações finais

Foram demonstrados, em linhas gerais, como os dados pessoais são coletados, tratados, usados, compartilhados, bem como as medidas adotadas para o tratamento dos riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares desses dados. Além disso, foram apresentadas informações que denotam o estágio atual de conformidade desta Empresa à LGPD. Este Relatório será revisto e atualizado anualmente ou sempre que for implementada qualquer tipo de mudança que afete o tratamento dos dados pessoais. Há a preocupação de avaliar continuamente os riscos de tratamento de dados pessoais que surgem em consequência do dinamismo das transformações nos cenários tecnológico, normativo e político.