POLÍTICA DE PRIVACIDADE

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

CENTRAL DE DIAGNÓSTICO RIBEIRÃO PRETO LTDA. – CEDIRP, sociedade empresária limitada cujo ato constitutivo se encontra registrado junto à JUCESP sob NIRE 3522377637, aprovado na sessão de 26 de dezembro de 2009,
cadastrada no CNPJ sob nº 49.235.740/0001-04, sediada na cidade de Ribeirão Preto,
Estado de São Paulo, à Avenida Nove de Julho nº 1656 – Jardim América, CEP
14020-170, representada na forma prevista em seu estatuto social, doravante
denominada simplesmente “CEDIRP”, e considerando as disposições existentes na
Lei federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, na
Lei federal nº 12.965, de 23 de abril de 2014 – Marco Civil da Internet, no Decreto
8.771, de 11 de maio de 2016, INSTITUI a POLÍTICA DE PRIVACIDADE E
PROTEÇÃO DE DADOS PESSOAIS da CEDIRP, nos seguintes termos:

Seção I
Introdução
Art. 1º. A presente Política de Privacidade e Proteção de Dados Pessoais materializa
a preocupação e o respeito da CEDIRP em relação à proteção de dados pessoais de
seus colaboradores, prestadores de serviço, clientes, fornecedores e parceiros em
geral, em estrita observância à legislação específica (Lei federal nº 13.709 de 14 de
agosto de 2018 – Lei Geral de Proteção de Dados Pessoais, “LGPD”) e com a
legislação correlata, especialmente a Lei federal nº 12.965 de 23 de abril de 2014
(“Lei do Marco Civil da Internet”).
§1º. Esta Política visa a alinhar os procedimentos adotados pela CEDIRP e seus
colaboradores, prestadores de serviço, fornecedores e parceiros em geral para
buscando garantir as melhores práticas de respeito e segurança de dados pessoais.
§2º. Esta Política será administrada pelo DPO (“Data Protection Officer”) contratado
para esta finalidade específica, e cujas ações deverão ser pautadas pelas regras ora
instituídas, pelas normas legais e regulamentos normativos expedidos pelas
autoridades públicas competentes em seus diversos níveis, especialmente a ANPD
(“Autoridade Nacional de Proteção de Dados”), criada pelo Decreto federal nº
10.474, de 26 de agosto de 2020).

Seção II
Do Escopo
Art.2º. Esta Política regula a proteção de dados pessoais nas atividades da CEDIRP
e nas diversas interações com seus clientes, parceiros, prestadores de serviço e
Página 2 de 9
colaboradores. Suas disposições regulam o relacionamento da CEDIRP com os
usuários de seus serviços (clientes) e com as demais pessoas que direta ou
indiretamente participem desses serviços ou a eles busquem acesso e ou informações.
§1º. As disposições desta Política se referem a dados pessoais contidos em qualquer
suporte físico, seja eletrônico ou não.
§2º. Os dados pessoais coletados e tratados nos sítios eletrônicos da CEDIRP são
objeto de variante específica desta Política de Privacidade e Proteção de Dados
Pessoais, subordinada a esta última.

Seção III
Do objetivo
Art. 3º. O objetivo desta Política é de definir e divulgar as regras de tratamento de
dados pessoais pela CEDIRP, em consonância com a legislação aplicável e com os
regulamentos e orientações das autoridades públicas competentes em seus diversos
níveis, especialmente da ANPD (Autoridade Nacional de Proteção de Dados). Esta
Política provê diretrizes para a atuação do DPO (Data Protection Officer).

Seção IV
Das Referências Legais e Normativas
Art. 4º O tratamento de dados pessoais pela CEDIRP é regido pela Lei Federal nº
13.709, de 14.08.18 (Lei Geral de Proteção de Dados Pessoais, “LGPD”) e pela
legislação pertinente, assim como por normas técnicas geralmente aceitas (como a
NBR ABNT ISO/IEC), por política públicas (por exemplo, as de dados abertos e de
inclusão digital) e por boas práticas de governança de dados (“Compliance”) e de
segurança da informação.

Seção V
Página 3 de 9
Dos Termos e Definições
Art. 5º. Os termos, expressões e definições utilizados nesta Política serão aqueles
conceituados na LGPD e ou em legislação substituta ou complementar.

Seção VI
Dos Princípios
Art. 6º. A aplicação desta Política será pautada pelo dever de boa-fé e pela
observância dos princípios previstos no art. 6º da LGPD, a saber: finalidade,
adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança,
prevenção, não discriminação, responsabilização e prestação de informações.

Seção VII
Do Tratamento de Dados Pessoais
Art. 7º. O tratamento de dados pessoais pela CEDIRP é realizado para o atendimento
de suas atividades, ou seja, para que possa prestar seus serviços de forma completa,
eficiente, segura e com observância das normas técnicas exigidas pela radiologia e
pelos órgãos de classe que regulamentam suas atividades.
Art. 8º. Para tanto, a CEDIRP poderá, no estrito limite de suas atividades, tratar dados
pessoais com dispensa de obtenção de consentimento pelos respectivos titulares.
Eventuais atividades que transcendam o escopo das suas atividades estarão sujeitas
à obtenção de consentimento dos interessados.
§1º. A dispensa mencionada no “caput”, acima, não será aplicada na hipótese de
dados pessoais sensíveis, assim definidos no artigo 5º, II, da Lei federal nº Lei federal
nº 13.709, de 14 de agosto de 2018 (“LGPD”).
Página 4 de 9
§2º. Para os dados pessoais sensíveis será definido e adotado procedimentos
específicos visando garantir efetividade às disposições legais, notadamente da
“LGPD”.
Art. 9º. A CEDIRP mantém contratos com terceiros para o fornecimento de produtos
ou a prestação de serviços necessários a suas atividades, os quais poderão, conforme
o caso, importar em disciplina própria de proteção de dados pessoais, a qual deverá
estar disponível e ser consultada pelos interessados.
Art. 10 Os dados pessoais tratados pela CEDIRP são:
I. Protegidos por procedimentos internos, com trilhas de auditoria para
registrar autorizações, utilização, impactos e violações;
II. Mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo
retificado ou eliminado o dado pessoal mediante informação ou
constatação de impropriedade respectiva ou face a solicitação de remoção,
devendo a neutralização ou descarte do dado observar as condições e
períodos da tabela de prazos de retenção de dados;
III. Compartilhados somente para o exercício das suas atividades ou para
atendimento de ordem ou requisição de autoridade pública; e
IV. Revistos em periodicidade mínima anual, sendo de imediato eliminados
aqueles que já não forem necessários, por terem cumprido sua finalidade
ou por ter se encerrado o seu prazo de retenção.
Art. 11. A informação sobre o tratamento de dados pessoais sensíveis ou referentes
a crianças ou adolescentes estará disponível em linguagem clara e simples, com
concisão, transparência, inteligibilidade e acessibilidade, na forma da lei e de acordo
com as regras do regime de tramitação sob sigilo.
Art. 12. A responsabilidade da CEDIRP pelo tratamento de dados pessoais estará
circunscrita ao dever de se ater ao exercício de suas atividades e de empregar boas
práticas de governança e de segurança (“compliance”).

Seção VIII
Dos Direitos do Titular
Página 5 de 9
Art. 13. A CEDIRP zela para que o titular do dado pessoal possa usufruir dos direitos
assegurados pelos artigos 18 e 19 da “LGPD”, aos quais a presente Política se
reporta, por remissão.

Seção IX
Da Transferência Internacional de Dados
Art. 14. A CEDIRP está sujeita ao dever de atender e ou colaborar com atividades
de cooperação internacional em investigação no uso indevido e ou manipulação de
dados pessoais, nos estritos limites do que determinar a legislação brasileira a esse
respeito.
Parágrafo único. Exceto no contexto indicado no “caput”, a CEDIRP não procederá
a transferências internacionais de dados pessoais, inclusive para fins de convênios e
ou parcerias com empresas ou instituições de ensino, exceto se prévia e formalmente
autorizado mediante consentimento inequívoco pelo titular respectivo ou
anonimização do dado pessoal para fins exclusivamente estatísticos.

Seção X
Dos Agentes de Tratamento de Dados Pessoais
Art. 15.A CEDIRP é a controladora dos dados pessoais por ela tratados, e, portanto,
zela pela segurança e integridade dos mesmos.
Art. 16. A CEDIRP pode, a qualquer tempo, requisitar informações acerca dos dados
pessoais confiados a seus fornecedores, parceiros, prestadores de serviço e clientes,
particularmente no caso de serviços de Tecnologia da Informação e Comunicação
(TIC). Os provedores de tais serviços serão considerados operadores e deverão aderir
a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os
quais se incluirão, mas não se limitarão aos seguintes:
I. Assinar contrato ou termo de compromisso com cláusulas específicas
sobre proteção de dados pessoais requeridas pela CEDIRP;
Página 6 de 9
II. Apresentar evidências e garantias suficientes de que aplica adequado
conjunto de medidas técnicas e administrativas de segurança, para a
proteção dos dados pessoais, segundo a legislação, os instrumentos
contratuais e de compromissos;
III. Manter os registros de tratamento de dados pessoais que realizar, com
condições de rastreabilidade e de prova eletrônica a qualquer tempo;
IV. Seguir fielmente as diretrizes e instruções acordadas com a CEDIRP;
V. Facultar acesso a dados pessoais somente para o pessoal autorizado que
tenha estrita necessidade respectiva e que tenha assumido compromisso
formal de preservar a confidencialidade e segurança de tais dados, devendo
tal compromisso estar disponível em caráter permanente para exibição à
CEDIRP, mediante solicitação;
VI. Permitir a realização de auditorias independentes e disponibilizar toda a
informação necessária para demonstrar o cumprimento das obrigações
estabelecidas;
VII. Auxiliar, em toda providência que estiver ao seu alcance, no atendimento
pela CEDIRP de obrigações perante titulares de dados pessoais,
autoridades competentes ou quaisquer outros legítimos interessados;
VIII. Comunicar formalmente e de imediato à CEDIRP a ocorrência de qualquer
risco, ameaça ou incidente de segurança que possa acarretar
comprometimento ou dano potencial ou efetivo a titular de dados pessoais,
evitando atrasos por conta de verificações ou inspeções;
IX. Descartar de forma irrecuperável, ou devolver para a CEDIRP, todos os
dados pessoais e as cópias existentes, após a satisfação da finalidade
respectiva ou o encerramento do tratamento por decurso de prazo ou por
extinção de vínculo legal ou contratual.
Art. 17. O meio eletrônico de contato com o DPO – dpo.juridico@cedirp.com.br –
deverá ser informado e divulgado para receber solicitações, reclamações, esclarecer
dúvidas e quaisquer outras atividades relacionadas à proteção de dados pessoais, o
qual deverá estar informado nos sítios eletrônicos e em materiais de divulgação desta
Política.
Art. 18. O DPO deverá contar com apoio efetivo da Diretoria da CEDIRP para o
adequado desempenho de suas funções, podendo agir com a independência
necessária para atingir seu desiderato e cumprir com suas responsabilidades legais e
contratuais.
Art. 19. A CEDIRP poderá padronizar modelos de comunicação interna e externa
(por meio físico e ou eletrônico), formulários (físicos e ou eletrônicos) de uso e ou
Página 7 de 9
requisição de dados pessoais para utilização pelos seus colaboradores, fornecedores,
prestadores de serviços e clientes, bem como para melhor atendimento de
solicitações ou dúvidas de titulares de dados pessoais, e demais procedimentos
organizacionais.

Seção XI
Da Segurança e Boas Práticas
Art. 20. A CEDIRP dispõe de uma Política Interna de Segurança da Informação
(PISI), consistente de um conjunto de medidas técnicas e administrativas de
segurança para a proteção de dados pessoais contra acessos não autorizados e
situações acidentais ou incidentes culposos ou dolosos de destruição, perda,
adulteração, compartilhamento indevido ou qualquer forma de tratamento
inadequado ou ilícito, sendo ela parte desta Política de Privacidade e Proteção de
Dados Pessoais.
Parágrafo único. Embora a CEDIRP recorra à organização interna e à assessoria
externa que seguem padrões e critérios geralmente aceitos, tal precaução não implica
em garantia contra a possibilidade de incidentes de segurança ou de violação da
proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos
cibernéticos.
Art. 21. A CEDIRP adota boas práticas e governança capazes de inspirar
comportamentos adequados e de mitigar os riscos de comprometimento de dados
pessoais.
Parágrafo único. As boas práticas adotadas de proteção de dados pessoais e a
governança implantada deverão ser objeto de campanhas informativas na esfera
interna e de treinamento de seus colaboradores e ou prestadores de serviço diretos,
visando a disseminar cultura protetiva, com conscientização e sensibilização dos
interessados sob os riscos, responsabilidades e consequências sobre o acesso e uso
de dados pessoais.
Página 8 de 9
Art. 22. O DPO deverá manter a Diretoria da CEDIRP a par de aspectos e fatos
significativos e de interesse para conhecimento, anuência e ou demais providências
que sejam de sua competência legal e ou societária.
Art. 23. A Política de Privacidade e Proteção de Dados Pessoais deve ser revista em
intervalos planejados não superiores a 12 (doze) meses, a partir da data de sua
publicação, ou ante a ocorrência de algumas das seguintes condições:
I. Edição ou alteração de leis e/ou regulamentos relevantes;
II. Alteração de diretrizes estratégicas pela CEDIRP;
III. Expiração da data de validade do documento, se aplicável;
IV. Mudanças significativas de tecnologia na organização e ou gestão e dados
pela CEDIRP, como, por exemplo, sistemas que envolvam o uso e
armazenamento de dados pessoais;
V. Análises de risco em Relatório de Impacto de Proteção de Dados Pessoais
que indique a necessidade de modificação no documento para readequação
da organização visando a prevenir ou mitigar riscos relevantes.
Art. 24. O processo de análise para determinar a adequação, suficiência e eficácia
dos documentos da Política de Proteção de Dados Pessoais deve ser formalizado com
o registro de diagnósticos e sugestões e das aprovações respectivas.
Art. 25. Independentemente da revisão ou atualização desta Política de Privacidade
e Proteção de Dados Pessoais, deverá ser elaborado no mínimo anualmente um
Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades
e respectivos Planos de Ação, nos termos do que é definido em lei e nos normativos
expedidos pelas autoridades públicas competentes.

Seção XII
Da Fiscalização
Art. 26. O DPO, deverá definir, ad referendum da Diretoria da CEDIRP, os
procedimentos e mecanismos de fiscalização do cumprimento desta Política pelos
seus colaboradores internos e prestadores de serviços.
Página 9 de 9
Art. 27. A inobservância da presente Política de Proteção de Dados Pessoais
acarretará a apuração das responsabilidades internas e externas previstas neste
normativo e na legislação em vigor, podendo haver responsabilização penal, civil e
administrativa.

Ribeirão Preto, ds.
CENTRAL DE DIAGNÓSTICO RIBEIRÃO PRETO LTDA. – CEDIRP
CNPJ nº 49.235.740/0001-04