OBJETIVO GERAL

O objetivo deste documento é oferecer orientações de boas práticas à todos os colaboradores da empresa BOAS NOVAS GESTAO DE SAÚDE e seguir com as diretrizes referente ao tratamento de dados pessoais de pessoas físicas e dados de pessoas jurídicas, frente a Lei Geral de Proteção de Dados Nº 13.709 de 14 de agosto de 2018 e Lei 13.853 de 08 de Julho de 2019 (ementa).

De forma sucinta, além da empresa atender as necessidades de adequação recomendadas pela Lei, a correta adesão as diretrizes trazem um diferencial para a empresa demonstrando a preocupação na manutenção da conformidade com as políticas internas.

1.1. Objetivos específicos

● Orientar: gestores (alta gestão e lideranças) quanto às suas responsabilidades na condução ou manipulação dos dados pessoais pela sua equipe;

● Fomentar: a importância da mudança cultural em relação à proteção de dados pessoais; ● Incutir nos colaboradores: a autorresponsabilidade no quesito da proteção e tratamento de dados pessoais;

● Promover a conscientização contínua: acerca da importância da proteção de dados pessoais e segurança da informação.

● Evitar penalidades, não-conformidades, descumprimento da Lei LGPD: preservar a empresa de prejuízos na categoria de informação de dados pessoais e dados sensíveis que possam levar a eventuais discriminações sejam elas de origem racial ou étnica, opinião política, convicção religiosa, filiação a sindicato ou à organização de caráter religioso, relacionados à saúde ou à vida sexual, dados biométricos ou genéticos.

2. APLICAÇÃO

Este documento se aplica a todos que possuem qualquer contato com um dado pessoal, seja seu ou de outra pessoa, não importando se é pessoa física ou jurídica, de direito privado ou público

3. TERMOS E DEFINIÇÕES

ARQUIVAMENTO: ato ou efeito de manter registrado um dado em qualquer das fases do ciclo da informação, compreendendo os arquivos corrente, intermediário e permanente, ainda que tal informação já tenha perdido a validade ou esgotado a sua vigência.

ARMAZENAMENTO: ação ou resultado de manter ou conservar em repositório um dado. AVALIAÇÃO: ato de analisar o dado com o objetivo de produzir informação.

CLASSIFICAÇÃO: forma de ordenar os dados conforme algum critério estabelecido. COLETA: recolhimento de dados com finalidade específica.

CONTROLE: ação ou poder de regular, determinar ou monitorar as ações sobre o dado. ELIMINAÇÃO: ato ou efeito de excluir ou destruir dado do repositório.

EXTRAÇÃO: ato de copiar ou retirar dados do repositório em que se encontrava.

MODIFICAÇÃO: ato ou efeito de alteração do dado.

PRODUÇÃO: criação de bens e de serviços a partir do tratamento de dados.

REPRODUÇÃO: cópia de dado preexistente obtido por meio de qualquer processo. UTILIZAÇÃO: ato ou efeito do aproveitamento dos dados.

PROCESSAMENTO: ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado.

TITULAR DO DADO PESSOAL: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

TRATAMENTO: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

4. RESPONSÁBILIDADES

Toda e qualquer pessoa que se relaciona com as informações armazenadas e trafegadas dentro da empresa BOAS NOVAS GESTÃO DE SAÚDE, frente à dados de pessoas físicas e/ou jurídicas.

5. DESCRIÇÃO DAS ATIVIDADES

5.1. Coleta de dados pessoais

5.1.1. Coleta de dados pessoais com foco no operacional

Para que possamos contratar capital humano que envolve a operação empresarial seja suprida, em conformidade com a Lei Geral de Proteção de Dados (LGPD) implica em considerar aspectos específicos relacionados à privacidade e segurança dos dados pessoais dos candidatos e/ou funcionários.

Aqui estão alguns pontos importantes como exemplo a serem considerados:

Dados pessoais: refere-se as informações relacionadas a pessoa identificada ou identificável, como por exemplo: nome, e-mail, RG, CPF, endereço, telefone/celular/WhatsApp, data de nascimento, entre outros.

Dados pessoais sensíveis: são aqueles que possam levar a eventuais discriminações sejam elas de origem racial ou étnica, opinião política, convicção religiosa, filiação a sindicato ou à organização de caráter religioso, relacionados à saúde ou à vida sexual, dados biométricos ou genéticos, entre outros.

Estes profissionais desempenham diversas funções, dependendo das especialidades e do ambiente de trabalho, sendo eles:

● Administradores (alta gestão: CEO, gerências, assessorias),

● Representantes legais/sócios

● Empregados: colaboradores internos, terceirizados, estagiários

● Parceiros de negócios (Stakeholders)

● Fornecedores

● Clientes (contratos de prestação de serviços)

5.1.2. Coleta de dados pessoais com foco na assistência (prestação de serviço)

Para que possamos realizar nossos serviços assistenciais com qualidade e transparência, coletamos, recebemos, avaliamos e tratamos dados físicos ou jurídicos de profissionais da área da saúde, nos regimes físicos ou jurídicos, entre eles médicos, enfermeiros, técnicos de enfermagem ou outros, que atuam com a promoção, prevenção, diagnóstico, tratamento e reabilitação de pacientes.

Estes profissionais desempenham diversas funções, dependendo de sua especialidade e do ambiente de trabalho, incluindo algumas principais atividades

Médicos:

● Realização de exames físicos e diagnósticos.

● Prescrição de medicamentos e tratamentos.

● Realização de cirurgias e procedimentos médicos.

● Aconselhamento e orientação aos pacientes sobre saúde e cuidados pessoais.

● Gestão e coordenação de processos

Enfermeiros:

● Prestação de cuidados diretos aos pacientes, incluindo administração de medicamentos, curativos e procedimentos.

● Monitoramento dos sinais vitais dos pacientes.

● Coordenação do plano de cuidados em colaboração com outros profissionais de saúde. ● Educação e orientação aos pacientes e suas famílias sobre saúde e cuidados.

Técnicos em enfermagem:

● Assistência aos enfermeiros e médicos no cuidado direto aos pacientes.

● Realização de procedimentos básicos, como coleta de amostras, administração de medicamentos e auxílio em atividades de mobilidade.

● Auxílio na manutenção do ambiente limpo e organizado.

● Documentação de informações vitais sobre os pacientes.

Nota: a empresa BOAS NOVAS GESTÃO DE SAÚDE, através de cumprimentos legais, judiciais, regulatórios, administrativos ou arbitrários, para fins de interesses ou cumprimentos contratuais, poderá tratar os dados pessoais para execução das políticas públicas e privadas previstas em leis e regulamentos, estudos e participação em editais, processos licitatórios ou disponibilização publica para organismos fiscalizatórios.

5.1.3. Veículo de coleta de dados pessoais

Toda a entrada de informações pessoais e documentações enviadas com formatos digitais (fotos, arquivos digitalizados, arquivos PDF) são preenchidas e enviadas mediante fornecimento consentido do titular do documento, através de formulários digitais fornecidos, previamente confeccionados pelo Time de Tecnologia e Informação da empresa BOAS NOVAS GESTÃO DE SAÚDE através da plataforma GOOGLE FORMS ou MICROSOFT FORMS.

O acesso aos formulários se dá através de disponibilização dos LINKS de acesso, disponibilizados pela empresa, onde o usuário obtém acesso acessa através de navegador de internet.

5.1.3. Gerenciamento e tratamento dos dados

Todo dado pessoal deve possuir um ciclo de vida, não podendo ficar armazenado de forma indeterminada pela pessoa que possui o poder de decisão. O dado pessoal é coletado para atender a uma finalidade específica e pode, por exemplo, ser eliminado a pedido do titular dos mesmos ou ao término de seu tratamento, quando finalizar a relação contratual sendo ela dos caráteres físicos ou jurídicos.

Dessa forma, percebemos a configuração de um ciclo que se inicia com a coleta e que determina a “vida” (existência) do dado pessoal durante um período de tempo, de acordo com certos critérios de eliminação e legislações específicas.

No contexto da gestão de documentos, o ciclo de vida dos documentos de arquivo compreende três fases, onde cada uma delas, são realizados os procedimentos e opera produção

Utilização

destinação final (eliminação ou guarda permanente).

Em cada uma dessas fases, são realizados os procedimentos e operações de gestão de documentos. O diagrama a seguir sintetiza as fases do ciclo de vida do tratamento de dados pessoais:

marketing: AJUSTAR/SUBSTITUIR/ ADEQUAR AS IMAGENS COM BASE NOS PADROES MKT

5.1.3. Local de Armazenamento

Todos os dados podem estar armazenados em locais físicos, sistemas, nuvem, computadores, smarthphones corporativos, servidores e correio eletrônico, além de equipamentos corporativos individuais.

marketing: AJUSTAR/SUBSTITUIR/ ADEQUAR AS IMAGENS COM BASE NOS PADROES MKT

5.1.3. Porque realizar a proteção dos dados

Todos os dados estão relacionados com a dignidade humana de cada cidadão e possuem valor econômico, ou seja, existem grandes empresas que lucram com a comercialização dos seus dados pessoais. Por isso, esteja sempre atento! Questione sempre se é realmente necessário que você forneça os seus dados para o cadastro junto a uma loja em que você esta efetuando uma compra, por exemplo.

E se você optar por fornecer os seus dados, esteja consciente dos seus direitos enquanto titular dos seus dados, esteja consciente dos seus direitos enquanto titular dos dados pessoais.

5.1.4. Possíveis consequências de um vazamento de dados

Vazamento de dados é um incidente que expões de forma não autorizada, informações confidenciais ou protegidas e causa prejuízos financeiros e de imagem para empresas e pessoas.

5.1.5. Controle preventivo de vazamento ou incidente de dados

A empresa BOAS NOVAS GESTÃO DE SAÚDE adota, através de sua área de Tecnologia e Informação (TI) a segurança através iniciativas de proteção da rede através da ferramenta de segurança Microsoft Windows Defender desenvolvida para proteger o sistema operacional dos computadores contra malware, vírus, spyware e outras ameaças de segurança.

Aqui estão algumas informações importantes sobre o Windows Defender:

● Antivírus e Antimalware: atua como um antivírus e antimalware integrado ao Windows, fornecendo proteção em tempo real contra ameaças à segurança do computador.

● Proteção em tempo real: monitora constantemente o sistema em busca de atividades suspeitas e se detectar uma ameaça, notifica o usuário e toma medidas para neutralizá-la.

● Atualizações automáticas: O sistema é atualizado automaticamente por meio do Windows Update para garantir que esteja sempre atualizado com as definições mais recentes de vírus e malware, ajudando a manter o computador protegido contra as ameaças mais recentes.

● Integração com o Windows Security Center: O Windows Defender está integrado ao Windows Security Center, que fornece uma visão geral do status de segurança do computador e permite gerenciar as configurações de segurança, como firewall e proteção contra vírus e ameaças.

● Varredura programada: além da proteção em tempo real, o Windows Defender também permite que os usuários executem varreduras programadas para verificar o sistema em busca de ameaças de segurança.

● Compatibilidade: O Windows Defender é compatível com todas as versões recentes do Windows

Além de investimento em sistemas de segurança da informação, a BOAS NOVAS GESTÃO também tem realizado treinamentos e campanhas de conscientização no ambiente corporativo, pois de nada adianta ter os sistemas mais modernos se o ambiente corporativo, composto pelos empregados, não possuir a mentalidade de proteção da privacidade e dos dados pessoais. Por isso, entendemos que a prevenção é um trabalho conjunto e precisa que todos estejam engajados.

Portanto, todo colaborador possui a integral responsabilidade de prevenir as ocorrências de danos aos titulares ou a terceiros em virtude de tratamento de dados pessoais não realizando os tratamentos dos dados para fins discriminatórios, ilícitos ou abusivos (princípio da não discriminação), adotados através de termos e medidas de responsabilização e prestação de contas junto a empresa.

5.1.6. Práticas de prevenção de vazamento de dados

● Manter acesso operacional nas pastas da rede apenas os colaboradores pertencentes à sua área de competência. Exemplo: Time do Financeiro com acesso apenas à intranet do setor.

● Manter acesso estratégico nas pastas da rede apenas os colaboradores pertencentes às áreas estratégicas. Exemplo: Time da Alta Gestão e/ou Time da Qualidade com acesso à todas as pastas da empresa ou acesso parcial as pastas para fins de controle de informações e processos de auditoria interna e externa.

● Elimine os documentos físicos após o uso, como, por exemplo, cópias de documentos de clientes, fornecedor ou qualquer colaborador (CPF, RG, CNH, comprovante de residência, etc.) e descarte de rascunhos com dados pessoais. NOTA: na eliminação de documentos físicos, rasgar, picotar antes do descarte no lixo para que não haja extravasamento de dados já fora da empresa.

● Revisão e auditorias periódicas dos arquivos do PC e pastas nas redes para eliminar documentos que foram digitalizados dos clientes, fornecedor ou qualquer colaborador (CPF, RG, CNH, comprovante de residência, etc.);

● Nunca compartilhe arquivos que contenham dados pessoais para terceiros estranhos à atividade da BOAS NOVAS GESTÃO, sem autorização prévia;

● Sempre que um colaborador for remanejado para outra área ou unidade, lembre-se que os acessos de sistemas devem ser revisados e em casos de desligamento/quebra de contrato, lembre-se de eliminar todo e qualquer acesso a rede e correio eletrônico.

● Não mantenha contracheques/folhas de pagamento, documentos bancários, extratos de aplicativos do RH salvos em seu proprio PC, pois ao término da jornada de trabalho outro colaborador poderá ter acesso a sua máquina.

● Não utilize aplicativos de mensagens (Whatsapp, Whatsapp Business e Telegram) através de números corporativos ou pessoais para tramitação de arquivos, para isso temos a plataforma oficial DIGISAC (aplicativo oficial e rastreável de comunicação corporativa).

● Verifique se há dados armazenados de forma física em sua mesa, no seu ambiente de trabalho e em caso afirmativo, questione: preciso manter esses arquivos? Se positivo, estão armazenados de forma segura? Posso converte-los para arquivos digitais para que não haja perda ou extravio do mesmo? NOTA: Se negativo, elimine-os, descarte-os de forma correta.

● Time de Tecnologia e Inovação, inserir em seu cronograma do setor que de forma periodica, a realização de revisões das permissões de acesso dos usuários da empresa.

● Não deixar documentos que contenham dados pessoais nas máquinas de xerox/digitalizadora e nem em cima das mesas. NOTA: enviou para impressão, imediatamente retire.

● Não mantenha em seu computador lista de clientes, lista de empregados ou lista contendo nomes, endereços e CPF;

● Time de RH e colaboradores, não guardar atestados médicos ou ASO de algum colega no computador ou em meio físico. Se ainda válido, envie à área de saúde ou, se já passou do prazo, elimine-o; ● Cuidado com seu computador: SEMPRE ACESSE O PC COM SEU PROPRIO LOGIN, NUNCA COMO VISITANTE e mantenha os arquivos com dados na rede da BOAS NOVAS GESTÃO DE SAÚDE, assim você estará se protegendo e a nossa empresa também.

5.1.6. Práticas de segurança digital corporativa

7

Além das boas práticas explicadas no escopo de prevenção e vazamento de dados, o ambiente digital requer um cuidado ainda maior, pois possui uma natureza dinâmica e é alvo constante de crimes cibernéticos.

Dessa forma, é importante seguir as recomendações realizadas pela Alta gestão que preza pela segurança da informação, conforme as regras internas:

● Troca de senhas de forma regular e constante (senhas fortes, compostar por letras Maiúsculas, minusculas, caracteres especiais e números)

● Ative a autenticação de duas etapas em todas as plataformas que você usa que tenham essa função;

● Jamais forneça dados pessoais para quem liga, manda e-mail ou SMS solicitando-os; ● Desconfie de ligações, mesmo que o interlocutor tenha os dados da empresa, ou de uma pessoa física e outros dados pessoais e afirme falar em nome de uma empresa da qual você é cliente;

● Não abra e-mails corporativos duvidosos, desconfie de promoções enganosas, ofertas e brindes;

● Bloqueie câmeras e microfones do PC se eles não estiverem em uso;

● Tome cuidado com o que postar nas redes sociais, temos um escritório com paisagem Instagramável, que nos permite postagem de fotos e vídeos que possam conter alguma informação ou dado pessoal de algum processo interno, entre outros. (Usem e abusem do nosso @).

Em caso de dúvidas ou questionamentos frente a vazamento de dados disponibilizamos nossos canais corporativos:

SITE: https://boasnovasgestao.com/

INSTAGRAM: @boasnovasgestao

LINKEDIN: Boas Novas Gestão de Saúde

Linktree: https://linktr.ee/boasnovasgestaosaude

DPO – Data Protection Officer (Encarregados pela proteção de dados): Time da TI Contato: +55(19) 99731.4602

Email: ti@boasnovasgestao.com

6. REFERENCIAS NORMATIVAS

1. GOVERNO FEDERAL. Guias operacionais para adequação à LGPD. gov.br, 2021. Disponível em: . Acesso em: 31 ago. 2021. 2. GOVERNO FEDERAL. Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD). gov.br, 2020. Disponível em: . Acesso em: 31 ago. 2021.