POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

CENTRAL DE DIAGNÓSTICO RIBEIRÃO PRETO LTDA. – CEDIRP, sociedade empresária limitada cujo ato constitutivo se encontra registrado junto à JUCESP sob NIRE 3522377637, aprovado na sessão de 26 de dezembro de 2009, cadastrada no CNPJ sob no 49.235.740/0001-04, sediada na cidade de Ribeirão Preto, Estado de São Paulo, à Avenida Nove de Julho no 1656 – Jardim América, CEP 14020-170, representada na forma prevista em seu estatuto social, doravante denominada simplesmente “CEDIRP”, e considerando as disposições existentes na Lei federal no 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, na Lei federal no 12.965, de 23 de abril de 2014 – Marco Civil da Internet, no Decreto 8.771, de 11 de maio de 2016, e após aprovação unânime dos seus sócios, conforme Ata da Reunião de Sócios realizada em 08 de julho de 2021, INSTITUI a POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS da CEDIRP, nos seguintes termos:

Seção I

Introdução

Art. 1º. A presente Política de Privacidade e Proteção de Dados Pessoais materializa a preocupação e o respeito da CEDIRP em relação à proteção de dados pessoais de seus colaboradores, prestadores de serviço, clientes, fornecedores e parceiros em geral, em estrita observância à legislação específica (Lei federal no 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, “LGPD”) e com a legislação correlata, especialmente a Lei federal no 12.965 de 23 de abril de 2014 (“Lei do Marco Civil da Internet”).

§1º. Esta Política visa a alinhar os procedimentos adotados pela CEDIRP e seus colaboradores, prjustifyestadores de serviço, fornecedores e parceiros em geral para buscando garantir as melhores práticas de respeito e segurança de dados pessoais.

§2º. Esta Política será administrada pelo DPO (“Data Protection Officer”) contratado para esta finalidade específica, e cujas ações deverão ser pautadas pelas regras ora instituídas, pelas normas legais e regulamentos normativos expedidos pelas autoridades públicas competentes em seus diversos níveis, especialmente a ANPD (“Autoridade Nacional de Proteção de Dados”), criada pelo Decreto federal no 10.474, de 26 de agosto de 2020).

Seção II

Do Escopo

Art.2o. Esta Política regula a proteção de dados pessoais nas atividades da CEDIRP e nas diversas interações com seus clientes, parceiros, prestadores de serviço e colaboradores. Suas disposições regulam o relacionamento da CEDIRP com os usuários de seus serviços (clientes) e com as demais pessoas que direta ou indiretamente participem desses serviços ou a eles busquem acesso e ou informações.

§1º. As disposições desta Política se referem a dados pessoais contidos em qualquer suporte físico, seja eletrônico ou não.

§2º. Os dados pessoais coletados e tratados nos sítios eletrônicos da CEDIRP são objeto de variante específica desta Política de Privacidade e Proteção de Dados Pessoais, subordinada a esta última.

Seção III

Do objetivo

Art. 3º. O objetivo desta Política é de definir e divulgar as regras de tratamento de dados pessoais pela CEDIRP, em consonância com a legislação aplicável e com os regulamentos e orientações das autoridades públicas competentes em seus diversos níveis, especialmente da ANPD (Autoridade Nacional de Proteção de Dados). Esta Política provê diretrizes para a atuação do DPO (Data Protection Officer).

Seção IV

Das Referências Legais e Normativas

Art. 4º O tratamento de dados pessoais pela CEDIRP é regido pela Lei Federal no 13.709, de 14.08.18 (Lei Geral de Proteção de Dados Pessoais, “LGPD”) e pela legislação pertinente, assim como por normas técnicas geralmente aceitas (como a NBR ABNT ISO/IEC), por política públicas (por exemplo, as de dados abertos e de inclusão digital) e por boas práticas de governança de dados (“Compliance”) e de segurança da informação.

Seção V

Dos Termos e Definições

Art. 5º. Os termos, expressões e definições utilizados nesta Política serão aqueles conceituados na LGPD e ou em legislação substituta ou complementar.

Seção VI

Dos Princípios

Art. 6º. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6o da LGPD, a saber: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de informações.

Seção VII

Do Tratamento de Dados Pessoais

Art. 7º. O tratamento de dados pessoais pela CEDIRP é realizado para o atendimento de suas atividades, ou seja, para que possa prestar seus serviços de forma completa, eficiente, segura e com observância das normas técnicas exigidas pela radiologia e pelos órgãos de classe que regulamentam suas atividades.

Art. 8o. Para tanto, a CEDIRP poderá, no estrito limite de suas atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares. Eventuais atividades que transcendam o escopo das suas atividades estarão sujeitas à obtenção de consentimento dos interessados.

§1º. A dispensa mencionada no “caput”, acima, não será aplicada na hipótese de dados pessoais sensíveis, assim definidos no artigo 5o, II, da Lei federal no Lei federal no 13.709, de 14 de agosto de 2018 (“LGPD”).

§2º. Para os dados pessoais sensíveis será definido e adotado procedimentos específicos visando garantir efetividade às disposições legais, notadamente da “LGPD”.

Art. 9º. A CEDIRP mantém contratos com terceiros para o fornecimento de produtos ou a prestação de serviços necessários a suas atividades, os quais poderão, conforme o caso, importar em disciplina própria de proteção de dados pessoais, a qual deverá estar disponível e ser consultada pelos interessados.

Art. 10 Os dados pessoais tratados pela CEDIRP são:

I. Protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II. Mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção, devendo a neutralização ou descarte do dado observar as condições e períodos da tabela de prazos de retenção de dados;
III. Compartilhados somente para o exercício das suas atividades ou para atendimento de ordem ou requisição de autoridade pública; e
IV. Revistos em periodicidade mínima anual, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

Art. 11. A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei e de acordo com as regras do regime de tramitação sob sigilo.

Art. 12. A responsabilidade da CEDIRP pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de suas atividades e de empregar boas práticas de governança e de segurança (“compliance”).

Seção VIII

Dos Direitos do Titular

Art. 13. A CEDIRP zela para que o titular do dado pessoal possa usufruir dos direitos assegurados pelos artigos 18 e 19 da “LGPD”, aos quais a presente Política se reporta, por remissão.

Seção IX

Da Transferência Internacional de Dados

Art. 14. A CEDIRP está sujeita ao dever de atender e ou colaborar com atividades de cooperação internacional em investigação no uso indevido e ou manipulação de dados pessoais, nos estritos limites do que determinar a legislação brasileira a esse respeito.

Parágrafo único. Exceto no contexto indicado no “caput”, a CEDIRP não procederá a transferências internacionais de dados pessoais, inclusive para fins de convênios e ou parcerias com empresas ou instituições de ensino, exceto se prévia e formalmente autorizado mediante consentimento inequívoco pelo titular respectivo ou anonimização do dado pessoal para fins exclusivamente estatísticos.

Seção X

Dos Agentes de Tratamento de Dados Pessoais

Art. 15. A CEDIRP é a controladora dos dados pessoais por ela tratados, e, portanto, zela pela segurança e integridade dos mesmos.

Art. 16. A CEDIRP pode, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados a seus fornecedores, parceiros, prestadores de serviço e clientes, particularmente no caso de serviços de Tecnologia da Informação e Comunicação (TIC). Os provedores de tais serviços serão considerados operadores e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:

I. Assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais requeridas pela CEDIRP;
II. Apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança, para a proteção dos dados pessoais, segundo a legislação, os instrumentos contratuais e de compromissos;
III. Manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV. Seguir fielmente as diretrizes e instruções acordadas com a CEDIRP;
V. Facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição à CEDIRP, mediante solicitação;
VI. Permitir a realização de auditorias independentes e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII. Auxiliar, em toda providência que estiver ao seu alcance, no atendimento pela CEDIRP de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII. Comunicar formalmente e de imediato à CEDIRP a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais,
evitando atrasos por conta de verificações ou inspeções;
IX. Descartar de forma irrecuperável, ou devolver para a CEDIRP, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por
extinção de vínculo legal ou contratual.

Art. 17. O meio eletrônico de contato com o DPO – dpo@cedirp.com.br (DPO/Encarregada: Carla Fernanda Chrysostomo Botelho) - deverá ser informado e divulgado para receber solicitações, reclamações, esclarecer dúvidas e quaisquer outras atividades relacionadas à proteção de dados pessoais, o qual deverá estar informado nos sítios eletrônicos e em materiais de divulgação desta Política.

Com base no Art. 18 da Lei Federal nº 13.709/2018, para encaminhar um Pedido de Acesso aos dados pessoais, de modo online, é necessário clicar e preencher o Formulário eletrônico de pedido de acesso a dados pessoais.

Art. 18. O DPO deverá contar com apoio efetivo da Diretoria da CEDIRP para o adequado desempenho de suas funções, podendo agir com a independência necessária para atingir seu desiderato e cumprir com suas responsabilidades legais e contratuais.

Art. 19. A CEDIRP poderá padronizar modelos de comunicação interna e externa (por meio físico e ou eletrônico), formulários (físicos e ou eletrônicos) de uso e ou requisição de dados pessoais para utilização pelos seus colaboradores, fornecedores, prestadores de serviços e clientes, bem como para melhor atendimento de solicitações ou dúvidas de titulares de dados pessoais, e demais procedimentos organizacionais.

Seção XI

Da Segurança e Boas Práticas

Art. 20. A CEDIRP dispõe de uma Política Interna de Segurança da Informação (PISI), consistente de um conjunto de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito, sendo ela parte desta Política de Privacidade e Proteção de Dados Pessoais.
Parágrafo único. Embora a CEDIRP recorra à organização interna e à assessoria externa que seguem padrões e critérios geralmente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou de violação da proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos cibernéticos.

Art. 21. A CEDIRP adota boas práticas e governança capazes de inspirar comportamentos adequados e de mitigar os riscos de comprometimento de dados pessoais.
Parágrafo único. As boas práticas adotadas de proteção de dados pessoais e a governança implantada deverão ser objeto de campanhas informativas na esfera interna e de treinamento de seus colaboradores e ou prestadores de serviço diretos, visando a disseminar cultura protetiva, com conscientização e sensibilização dos interessados sob os riscos, responsabilidades e consequências sobre o acesso e uso de dados pessoais.

Art. 22. O DPO deverá manter a Diretoria da CEDIRP a par de aspectos e fatos significativos e de interesse para conhecimento, anuência e ou demais providências que sejam de sua competência legal e ou societária.

Art. 23. A Política de Privacidade e Proteção de Dados Pessoais deve ser revista em intervalos planejados não superiores a 12 (doze) meses, a partir da data de sua publicação, ou ante a ocorrência de algumas das seguintes condições:

I. Edição ou alteração de leis e/ou regulamentos relevantes;
II. Alteração de diretrizes estratégicas pela CEDIRP;
III. Expiração da data de validade do documento, se aplicável;
IV. Mudanças significativas de tecnologia na organização e ou gestão e dados
pela CEDIRP, como, por exemplo, sistemas que envolvam o uso e armazenamento de dados pessoais;

V. Análises de risco em Relatório de Impacto de Proteção de Dados Pessoais
que indique a necessidade de modificação no documento para readequação da organização visando a prevenir ou mitigar riscos relevantes.

Art. 24. O processo de análise para determinar a adequação, suficiência e eficácia dos documentos da Política de Proteção de Dados Pessoais deve ser formalizado com o registro de diagnósticos e sugestões e das aprovações respectivas.

Art. 25. Independentemente da revisão ou atualização desta Política de Privacidade e Proteção de Dados Pessoais, deverá ser elaborado no mínimo anualmente um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação, nos termos do que é definido em lei e nos normativos expedidos pelas autoridades públicas competentes.

Seção XII

Da Fiscalização

Art. 26. O DPO, deverá definir, ad referendum da Diretoria da CEDIRP, os procedimentos e mecanismos de fiscalização do cumprimento desta Política pelos seus colaboradores internos e prestadores de serviços.

Art. 27. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração das responsabilidades internas e externas previstas neste normativo e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.

Ribeirão Preto (SP), 08 de julho de 2021.

CENTRAL DE DIAGNÓSTICO RIBEIRÃO PRETO LTDA. – CEDIRP
CNPJ no 49.235.740/0001-04
Dr. Gustavo Novelino Simão
Dr. Marcelo Novelino Simão