Esta Política de Privacidade e Proteção de Dados Pessoais (Política) foi criada para reafirmar o compromisso da QIMED ENGENHARIA HOSPITALAR LTDA (QIMED ENGENHARIA HOSPITALAR), com sede em SCIA Quadra 15, Conjunto 02, Lote 16, Zona Industrial, Guará, CEP 71250-010, Brasília/DF, CNPJ: 11.303.967/0001-69, com a proteção dos dados pessoais de colaboradores e terceiros.
Esta Política é válida para todos os colaboradores da QIMED ENGENHARIA HOSPITALAR, conforme abrangência definida no Código de Conduta Profissional (Código de Conduta).
Vigência
Prazo indeterminado, até sua revisão e aprovação pelo Conselho de Administração.
Prazo de Revisão
Será revisada a cada 2 (dois) anos de vigência da Política ou quando houver alteração na legislação que regulamenta a matéria.
Introdução
A legislação de proteção de dados pessoais é um instrumento necessário para garantir maior segurança jurídica e respeitabilidade aos direitos humanos fundamentais. A conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) tem sido um fator decisivo na aplicação das melhores práticas em processos internos da QIMED ENGENHARIA HOSPITALAR.
Objetivo
O objetivo desta Política é orientar os colaboradores e a Diretoria da QIMED ENGENHARIA HOSPITALAR sobre a proteção de dados pessoais.
Conceitos básicos e definições
Dado pessoal: É qualquer informação relacionada a uma pessoa natural identificada ouidentificável.
Dado pessoal sensível: qualquer dado pessoal que contenha informação sobre:
- Saúde;
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
- Genética ou biometria;
- Vida sexual.
Titular dos dados: É a pessoa natural (física) a quem se referem os dados.
Tratamento: qualquer operação com os dados pessoais, incluindo armazenamento.
Consentimento: manifestação livre e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade específica.
Controlador: É a pessoa física ou jurídica, de direito público ou privado, que administra e toma decisões sobre o tratamento de dados pessoais.
Operador: É a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador. São operadores: os prestadores de serviço e demais parceiros que participam do tratamento de dados pessoais dentro da empresa.
Encarregado: É a pessoa indicada pelo controlador para ser responsável pela comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Relatório de Impacto à Proteção de Dados Pessoais: É o documento que contém a descrição dos processos de tratamento de dados pessoais, e as competentes avaliações de risco às liberdades civis e aos direitos fundamentais, com as necessárias medidas de mitigação de risco.
Princípios da LGPD
As atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios abaixo descritos.
Adequação: O tratamento dos dados tem que ser compatível com a finalidade informada ao titular.
Necessidade: O tratamento deve ser limitado ao mínimo necessário para atingir a finalidade proposta.
Livre acesso: Os titulares têm o direito de acessar a qualquer tempo as informações referentes ao tratamento que seus dados recebem.
Qualidade dos dados: O tratamento dos dados deve mantê-los exatos, claros, relevantes e atualizados, sem discrepâncias ou distorções.
Transparência: O tratamento dos dados deve ser explicado aos titulares de maneira transparente e acessível, observado o segredo comercial e industrial necessário.
Segurança: Todos os dados pessoais devem ser protegidos pelo controlador, para que não sejam perdidos, alterados, destruídos ou acessados indevidamente.
Prevenção: O controlador deve tomar todas as medidas para prevenir danos provenientes do tratamento de dados pessoais.
Não discriminação: O tratamento de dados pessoais não deve ser realizado com finalidades discriminatórias, ilícitas ou abusivas.
Responsabilização e prestação de contas: A demonstração, aos titulares, das medidas utilizadas deve garantir conformidade com a Lei Geral de Proteção de Dados Pessoais.
Quadro Resumo
Para melhor ilustrar a forma como a QIMED ENGENHARIA HOSPITALAR realiza o tratamento de dados pessoais, segue um quadro resumo da Política de Privacidade e Proteção de Dados Pessoais:
| Agente de tratamento | QIMED ENGENHARIA HOSPITALAR |
| Papel no tratamento | Predominantemente controladora. |
| Natureza dos dados tratados | Dados pessoais fornecidos pelo titular e/ou coletados pelo controlador. |
| Finalidade como controladora | Relativamente aos funcionários, os dados pessoais são tratados para fins de execução de contrato e para cumprimento de obrigação legal ou regulatória. Algumas atividades de tratamento demandam consentimento do titular de dados pessoais. Relativamente aos fornecedores, parceiros e terceiros, os dados pessoais são tratados para fins de execução de contrato e para cumprimento de obrigação legal. |
| Compartilhamento | Operadores e fornecedores de serviços essenciais para as atividades. |
| Proteção de Dados | Medidas de segurança, técnicas e administrativas adequadas. |
| Seus direitos | Confirmação da existência de tratamento, acesso, correção, etc. |
| Contato | dpo@qimed.com.br |
Tratamento de Dados Pessoais
O tratamento dos dados pessoais deve seguir os princípios definidos nesta Política, devendo ser estritamente voltado às finalidades às quais a coleta dos dados se destina, respeitando os princípios e os critérios de segurança da informação.
Responsabilidade Compartilhada
A responsabilidade pelo correto tratamento dos dados pessoais dentro da QIMED ENGENHARIA HOSPITALAR é compartilhada com todos aqueles que atuam como controladores e operadores, sendo fundamental a cooperação de todos para que a QIMED ENGENHARIA HOSPITALAR esteja sempre em conformidade com a lei, oferecendo segurança a todos os titulares de dados pessoais sob seu controle. Nos termos dos art. 42 e seguintes da LGPD, o operador de dados responderá como se também fosse controlador dos dados em questão. O mesmo estará sujeito à responsabilidade cível, administrativa e criminal sobre o tratamento inadequado dos dados pessoais.
Critérios de Coleta de Dados Pessoais
Para a contratação de funcionários, as informações referentes à pessoa física somente devem ser coletadas em virtude da necessidade, para o exercício do contrato ou para o cumprimento de obrigação legal ou regulatória. Para a execução contratual junto e cumprimento de obrigação legal, poderão ser coletados alguns dados sensíveis, merecendo uma proteção especial e mais rigorosa. Nas hipóteses cabíveis, o consentimento para o tratamento dos dados pessoais deverá ser obtido em conformidade com a Lei Geral de Proteção de Dados.
Critérios de Armazenamento dos Dados Pessoais
Para o armazenamento, a QIMED ENGENHARIA HOSPITALAR deve seguir as seguintes diretrizes:
- Em armazenamento físico, os dados devem ficar em local protegido por tranca, fora do alcance de outras pessoas que não as expressamente autorizadas a acessá-los.
- Em armazenamento em computadores locais, os dados devem ser gravados em pasta protegida por criptografia e restrição de acesso por senha pessoal. As cópias de dados pessoais somente devem ser feitas em caso de necessidade, para cumprimento da finalidade proposta ao tratamento.
- Se armazenamento em nuvem, os dados devem ser gravados em pasta protegida por criptografia. As cópias de dados pessoais somente devem ser feitas em caso de necessidade, para cumprimento da finalidade proposta ao tratamento.
Critérios de Compartilhamento Interno de Dados Pessoais
Os dados pessoais somente serão compartilhados com pessoas cuja função dentro da QIMED ENGENHARIA HOSPITALAR exija o acesso. Documentações relacionadas à esfera de Recursos Humanos, Administração, Contabilidade e Finanças, deverão ser compartilhadas dentro da empresa apenas com os responsáveis pelo tratamento dessas informações.
Critérios de Compartilhamento Externo de Dados Pessoais
O compartilhamento de dados pessoais com pessoas ou entidades externas deve ser restrito ao mínimo necessário para a execução dos contratos e prestações de serviços entre a QIMED ENGENHARIA HOSPITALAR e seus clientes, parceiros e fornecedores. É vedado o compartilhamento externo de dados pessoais de colaboradores, parceiros, fornecedores e terceiros, por meio telefônico, digital ou por escrito,sem a prévia ciência destes.
A ciência ao titular deve ser dada sempre que os dados pessoais forem compartilhados em um novo contexto, não previsto no consentimento vigente.
Critérios de Eliminação dos Dados Pessoais
Quando atingida a finalidade do tratamento dos dados pessoais, e eles não mais precisarem ser armazenados para satisfazer exigências legais, estes deverão ser devidamente eliminados, física e digitalmente.O ciclo de vida destas informações deve ser registrado em documentos de controles
internos.
Prestação de Informações e Transparência
O Controlador e/ou Operadores de dados pessoais deverão prover todas as informações requeridas pelos titulares acerca do tratamento de seus dados pessoais. A finalidade do tratamento deve ser sempre evidenciada e transparente.
Encarregado da Proteção de Dados Pessoais
O DPO – Data Protection Officer, denominado Encarregado, será a pessoa responsável, nos termos da LGPD, pela comunicação entre os titulares e a Autoridade Nacional de Proteção de Dados (ANDP). São atribuições do Encarregado: verificar os riscos existentes; apontar as medidas corretivas; e avaliar, periodicamente, a segurança de dados pessoais dentro da empresa,
devendo também realizar eventuais comunicações necessárias com os titulares ou com o Poder Público. As necessidades de novos mapeamentos de processos e adequações à proteção de dados pessoais devem ser levadas ao Encarregado para as orientações pertinentes.
RIPD – Relatório de Impacto à Proteção de Dados Pessoais
O DPO – Data Protection Officer, denominado Encarregado, deverá manter relatórios de avaliação de riscos e impactos à proteção de dados pessoais.
O Relatório de Impacto à Proteção de Dados Pessoais deve contemplar as medidas necessárias à segurança da informação. Estas medidas devem ser estruturadas, implementadas e avaliadas.
Publicação da Política Interna de Proteção de Dados
O desenvolvedor responsável pela manutenção do site da QIMED ENGENHARIA HOSPITALAR, deverá implementar uma página adicional contemplando o tema descrito neste documento.
A Política deverá contemplar estas informações na íntegra.
Sanções
No caso de não cumprimento das normas estabelecidas nesta Política, o funcionário ou colaborador poderá sofrer as seguintes penalidades:
– Advertência verbal
O colaborador será comunicado verbalmente que está infringindo as normas da Política Interna de Proteção de Dados Pessoais da QIMED ENGENHARIA HOSPITALAR e será recomendado uma nova leitura e ciência desta norma.
– Advertência formal
A primeira notificação será enviada ao colaborador informando o descumprimento da norma, com a indicação precisa da violação cometida. A segunda notificação será encaminhada e analisadas as possibilidades de suspensão ou desligamento, conforme estabelecido no Código de Conduta, no respectivo contrato individual e/ou na legislação.
Contato
A QIMED ENGENHARIA HOSPITALAR conta com canais de comunicação por meio dos quais os colaboradores e demais terceiros interessados podem denunciar, de forma anônima ou identificada, práticas irregulares eventualmente ocorridas. Em caso de dúvidas sobre esta Política ou solicitações de direitos, os titulares de dados deverão entrar em contato diretamente com nosso Encarregado, por meio do e-mail dpo@qimed.com.br