Esta política apresenta as diretrizes para proteção nos processos de tratamento de dados que incluem coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais de nossos clientes, colaboradores e terceiros. Esta Política de Privacidade e Proteção de Dados é da empresa HISMED HIGIENE, SEGURANÇA E MEDICINA DO TRABALHO LTDA., com sede à Rua Governador Jorge Lacerda, nº 242, na cidade de Jaraguá do Sul, no Estado de Santa Catarina, inscrita no CNPJ sob o n° 03.724.605/0001-13, inscrição municipal n° 23.219-0. A HISMED se compromete e toma todos os cuidados necessários para atender a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados). A sua privacidade é importante para nós. É política da HISMED é respeitar a sua privacidade em relação a qualquer informação sua que possamos coletar em nossa empresa e em nossos sistemas. Solicitamos informações pessoais apenas quando realmente precisamos delas para te fornecer a prestação de serviço. Fazemos por meios justos e legais, com o seu conhecimento, utilizando bases legais e de consentimentos quando necessário. Também informamos por que estamos coletando e como será usado. 1. QUEM SOMOS HISMED HIGIENE, SEGURANÇA E MEDICINA DO TRABALHO LTDA., doravante chamada de HISMED. Somos uma empresa que presta serviços para área de saúde ocupacional no controle e gestão dos riscos ocupacionais com ações de mitigação e/ou eliminação dos riscos de acidentes e doenças ocupacionais. Estamos localizadas na Rua Governador Jorge Lacerda, nº 242, na cidade de Jaraguá do Sul, no Estado de Santa Catarina. Para notificação e comunicação relacionada aos processamentos de informações e de dados pessoais enviar e-mail para recep2@hismed.com.br.
2. OBJETIVOS Esta Política estabelece as orientações gerais para a proteção de dados pessoais dentro do ambiente corporativo da HISMED, uma vez que na execução de suas operações de coleta, manuseio e armazenamento de informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“Dados Pessoais”), com vistas a: • estar em conformidade com as leis e regulamentações aplicáveis de proteção de Dados Pessoais e seguir as melhores práticas; • proteger os direitos dos integrantes, clientes, fornecedores e parceiros contra os riscos de violações de Dados Pessoais; • ser transparente com relação aos procedimentos da empresa no Tratamento de Dados Pessoais; • promover a conscientização em toda a empresa em relação à proteção de Dados Pessoais e questões de privacidade; e • atender nossa política de segurança da informação interna com todas as pessoas naturais e jurídicas. Apenas retemos as informações coletadas pelo tempo necessário, alguns conforme por força da lei e outros para fornecer o serviço solicitado. Quando armazenamos dados, protegemos dentro de meios comercialmente aceitáveis para evitar perdas e/ou roubos, bem como acesso, divulgação, compartilhamento, cópia, uso ou modificação não autorizados. Não compartilhamos informações de identificação pessoal publicamente, exceto quando exigido por lei. Coletamos informações como dados pessoais, dados sensíveis, documentos pessoais, exames médicos, atestados médicos, atestados de saúde ocupacional e informações confidenciais. Todas as informações coletadas estão mapeadas e possuem um ciclo de vida determinado e com políticas de descarte, exclusão e eliminação. 3. ABRANGÊNCIA Esta Política é aplicável à HISMED, contratada como CONTROLADORA de seus clientes, e a todos os Integrantes que tenham acesso a quaisquer Dados Pessoais detidos pela HISMED. A HISMED respeita à Lei e às normas prescritas na LGPD (Lei Geral de Proteção aos Dados – 13.709/2018).
4. REFERÊNCIAS Lei Geral de Proteção de Dados (“LGPD”) no Brasil Conformidade • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades; • Gerenciar o Data Protection Officers (“DPOs”) da HISMED e estabelecer os correspondentes orçamentos para execução das suas atividades, responsabilizando-se pelo gerenciamento deles; • Aprovar as Documentações Orientadoras de Proteção de Dados Pessoais que estejam na sua competência, alinhados com esta Política; • Gerenciar as preocupações relacionadas à implementação das iniciativas de privacidade. • Decidir sobre as medidas técnicas a serem aplicadas para eventos alto risco, assim como as medidas disciplinares; Data Protection Officer (DPO) • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades; • Participar e orientar sob a ótica de privacidade os projetos que envolvam Tratamento de Dados Pessoais a fim de validar a aderência aos requisitos da legislação e da regulamentação aplicáveis, além de garantir privacidade como um padrão e a incorporação no desenho das medidas de segurança necessárias; 5. POLÍTICA Princípios de Proteção de Dados Pessoais Usamos sistemas de gestão que possuem todos os protocolos de segurança da informação, políticas de backups e controles de acessos de pessoas não autorizadas de maneira física e lógica. Em caso de consentimentos, você é livre para recusar a nossa solicitação de informações pessoais, entendendo que talvez não possamos fornecer alguns dos serviços desejados. Se você tiver alguma dúvida sobre como lidamos com dados e informações pessoais, entre em contacto conosco. Legalidade, Transparência e Não Discriminação
A HISMED trata os Dados Pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis. A empresa trata Dados Pessoais no propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo que é usado a base legal de proteção à vida, execução de contrato, a partir do contrato de trabalho dos empregadores e funcionários, tutela da saúde, sendo que cada base legal é usada dependendo da plataforma utilizada, como saúde ocupacional, certo que os Titulares de Dados podem solicitar os dados para terem consentimento de seu uso. A HISMED deve coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, para que a comprovação de Consentimento possa ser fornecida quando necessário. Da mesma forma, o Titular de Dados deve ter a possibilidade de retirar o seu consentimento a qualquer momento com a mesma facilidade que foi fornecido. Em algumas circunstâncias a HISMED também pode ser obrigada a tratar Dados Pessoais Sensíveis, envolvendo, mas não limitado a: • dados sobre orientação sexual; • dados sobre condenações ou ofensas criminais; • dados que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas; e • dados referentes à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. O Tratamento de Dados Pessoais Sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos do que os empregados aos demais Dados Pessoais: • quando for necessário para o cumprimento de obrigação legal ou regulatória; • quando for necessário para o exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais; • quando for necessário para o cumprimento de obrigações e o exercício de direitos em matéria de emprego, previdência social e proteção social; • para proteção à vida ou à incolumidade física do Titular do Dado incluindo dados médicos com fins preventivos, ocupacional;
• para fins de promoção ou manutenção de igualdade de oportunidades entre pessoas de origem racial ou étnica diferente, • quando o Titular dos Dados tiver dado o seu Consentimento explícito, de acordo com a legislação e regulamentação aplicáveis; e • quando o Tratamento for relativo a condenações penais e infrações ou a medidas de proteção relacionadas será efetuado sob o controle da autoridade pública ou quando o Tratamento for autorizado pela legislação da União ou de um Estado-Membro que preveja as salvaguardas adequadas para os direitos e liberdades dos Titulares de Dados Pessoais. Limitação e Adequação da Finalidade O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os Dados Pessoais foram coletados. Princípio da Necessidade (Minimização dos Dados) A HISMED somente pode tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico, que é a prestação de serviços, este é o princípio da minimização de dados. O compartilhamento de Dados Pessoais com outra área ou outra empresa deve considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado. Não compartilhamos dados pessoais sem autorização prévia e por escrita de nossos clientes. Qualquer tipo de compartilhamento ou venda de dados não faz parte do Core Business da HISMED. Exatidão (Qualidade dos Dados) A HISMED deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao Titular do Dado Pessoal a possibilidade de se requerer a exclusão ou correção de dados imprecisos ou desatualizados. Retenção e Limitação do Armazenamento de Dados A HISMED deve ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para
atender as finalidades pretendidas Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança). A HISMED deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade. Responsabilização e Prestação de Contas A HISMED é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a: 1. Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos conforme descritos na Seção 4 deste Documento. Registro de Dados Pessoais, incluindo: os registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a empresa deve retê-los; e o registro de incidentes de Dados Pessoais e violações de Dados Pessoais; 2. Garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis; 3. Garantia de que a empresa, quando requerido, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados ou DPO; e 4. Garantia de que a Companhia esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita. PADRÕES DE SEGURANÇA Importância da Proteção de Dados Pessoais A HISMED está comprometida com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação. Garantir a Segurança dos Dados Pessoais
A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não repúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais. Obrigação do Sigilo de Dados Pessoais Todos os Integrantes com acesso a Dados Pessoais estão obrigados aos deveres de confidencialidade dos Dados Pessoais mediante a anuência no Código de Conduta e Termos de Uso da HISMED, quando do ingresso na empresa e periodicamente quando necessário. Privacidade de Dados Pessoais por Concepção e por Padrão Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a empresa deve adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos. Direitos dos Titulares de Dados Pessoais A HISMED está comprometida com os direitos dos Titulares de Dados Pessoais, os quais incluem: • a informação, quando os Dados Pessoais são fornecidos, sobre como seus Dados Pessoais serão tratados; • a informação sobre o Tratamento de seus Dados Pessoais e o acesso aos Dados Pessoais que a EMPRESA detenha sobre eles; • a correção de seus Dados Pessoais se estiverem imprecisos, incorretos ou incompletos; • a exclusão, bloqueio e/ou anonimização de seus Dados Pessoais em determinadas circunstâncias (“direito de ser esquecido”). Isso pode incluir, mas não se limita a, circunstâncias em que não é mais necessário que a HISMED e seus clientes, atuando como operador e controlador sucessivamente, retenha seus Dados Pessoais para os propósitos para os quais foram coletados; • a restrição do Tratamento de seus Dados Pessoais em determinadas circunstâncias; • opor-se ao Tratamento, se o Tratamento for baseado em legítimo interesse; • a retirar o Consentimento a qualquer momento, se o Tratamento dos Dados Pessoais se basear no Consentimento do indivíduo para um propósito específico;
• a portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa em determinadas circunstâncias; • a revisão das decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais; e • a apresentação de queixa à HISMED ou à Autoridade de Proteção de Dados aplicável, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado. Prestadores de Serviços Terceirizados Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções da HISMED estão sujeitos às obrigações impostas aos Processadores de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis. A empresa deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Processador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Processador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela empresa. Nos casos em que o prestador de serviços estiver localizado fora do país em que o Dado Pessoal foi coletado, as cláusulas contratuais padrão deve ser incluídas no contrato de proteção de Dados Pessoais como um Anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de Dados Pessoais sejam implementadas. Gerenciamento de Violação de Dados Todos os incidentes e potenciais violações de dados devem ser reportadas ao cliente da HISMED, que atende como CONTROLADOR dos dados pessoais. Todos os Integrantes devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva.
Violações de Dados incluem, mas não se limitam a qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pela HISMED. Auditorias de Proteção de Dados A HISMED deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de Dados Pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis. Mais informações Esperemos que esteja esclarecido. Esta política é efetiva a partir de setembro/2023. O que diz a Lei Geral de Proteção de Dados Pessoais? Saiba do que se trata e o que muda nas empresas com sua aplicação A Lei nº 13 709/18, referente à Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020 e trouxe inúmeras mudanças as organizações brasileiras. Todas as empresas, sejam elas públicas ou privadas, que coletam, tratam, comercializam ou trabalham com dados pessoais precisam agora ficar atentos a privacidade e segurança das informações de seus usuários e clientes incluindo os dados recebidos por meios digitais. A nova legislação obriga as empresas a se adequarem as normas brasileiras de proteção desse tipo de dado por entender que as informações fazem parte dos dados vitais de muitas empresas e para seu bom funcionamento. Afinal, o que diz a Lei Geral de Proteção de Dados Pessoais? De acordo com informações do Ministério da Defesa, a Lei LGPD dispõe do tratamento de dados pessoais de pessoas físicas ou jurídicas coletados por meios físicos ou digitais com o objetivo de protegê-los com base nos direitos fundamentais de liberdade e privacidade. Dados pessoais são definidos como todas as informações referentes a pessoa natural identificada ou identificável. Toda pessoa tem a titularidade de seus dados assegurada e precisa ser preservada segundo a Lei. Quando o tratamento de dados é permitido?
Uma vez a lei sendo obrigatória, todas as empresas devem agora se adaptar para garantir a segurança desses dados, assim como obter permissão do cliente ou usuário para tal. Políticas e planos de proteção de dados também precisam ser criados de modo a mostrar aos clientes sua competência e responsabilidade perante a segurança dos dados coletados. A LGPD diz que o tratamento de dados é permitido quando: 1. O usuário concorda explicitamente; 2. Envolve uma obrigação; 3. É necessário para o planejamento de alguma política pública; 4. Órgãos de pesquisas realizarem estudos; 5. Garanta a vida ou integridade da pessoa; 6. Possua questões relacionadas à saúde; 7. Execuções de contratos; 8. Processos Judiciais e Administrativos; 9. Proteção do crédito conforme o Código de Defesa do Consumidor. Quais os impactos no Brasil por conta da LGPD? É importante ter em mente que a LGPD impacta diversas esferas do país desde as pessoas no papel de cidadão, assim como em forma de empresa e inclusive governo. O principal impacto trazido pela lei é que ela se trata de uma regra para todos, o que traz um cenário jurídico válido em âmbito nacional. Um ponto importante também está a necessidade do consentimento das pessoas ou responsáveis pelos dados, sem contar que uma vez autorizado o uso, os agentes de tratamento de dados ficam com a responsabilidade de garantir a segurança dos mesmos e a base de dados precisará passar por uma gestão eficiente para evitar riscos e falhas. É importante ressaltar que o vazamento de dados deve ser avisado aos indivíduos afetados e as falhas graves de segurança podem gerar multas pesadas aos responsáveis pelo vazamento. Como adaptar a empresa a Lei de Proteção de Dados? Para se adequar a nova lei é importante que as empresas programem boas práticas de privacidade, assim como protocolos de comunicação tanto dentro como fora da instituição. Redesenhar a gestão organizacional com pontos importantes é essencial como a nomeação de um encarregado na proteção de dados, assim como a realização de auditorias completas. A elaboração de mapas de temporalidade, revisão das políticas de segurança e reelaboração de contratos podem contribuir para um cenário mais seguro também.
Ainda tem dúvidas converse com a nossa equipe especializada. Encarregado de Proteção de Dados / Data Protection Officer – DPO: O indivíduo designado como encarregado formal/oficial de proteção de dados, conforme previsto nas leis de proteção de dados, tais como GDPR e LGPD, para um determinado território. O DPO pode ser um integrante ou uma pessoa terceirizada. O DPO é o Sr. Almir Fagundes, e- mail recep2@hismed.com.br. Esta Política será regida, interpretada e executada de acordo com as Leis da República Federativa do Brasil, especialmente a Lei Federal nº 13.709/2018, independentemente das Leis de outros estados ou países, sendo competente o foro de Jaraguá do Sul/SC para dirimir qualquer dúvida decorrente deste documento. Essa política pode sofrer alterações a qualquer momento e recomendamos que você a consulte periodicamente para ter acesso à versão mais atualizada.
Jaraguá do Sul, 05 de setembro de 2023.
TODOS DIREITOS RESERVADOS (C) 2023 HISMED SAÚDE OCUPACIONAL CNPJ C.N.P.J: 03.724.605/0001-13
