1 - Aplicabilidade e responsabilidade

Apresentamos a seguir a Política de Privacidade da Sociedade Beneficente Dezoito de Julho, inscrita no CNPJ sob o nº 16.608.812/0001-54, com sede na Av. Dezoito de Julho, 227, São José, Além Paraíba/MG (“Dezoito de Julho”), que é aplicável a todos os dados pessoais tratados por essa Entidade e suas filiais, na condição de operadora de planos de assistência à saúde.

Esta política é de observância obrigatória para todos os nossos colaboradores, diretores, fornecedores, prestadores de serviços e quaisquer outras entidades que se relacionem com a Dezoito de Julho e que venham a executar, em algum momento, atividades de tratamento de dados pessoais por conta deste relacionamento.

Se você é titular de algum dado pessoal tratado pela Dezoito de Julho, leia com bastante atenção todos os pontos aqui expostos. Apresentamos a seguir, de modo objetivo e transparente, na condição de controladora, quais dados pessoais nós tratamos, por quais razões, quais os fundamentos legais para fazê-lo, em que situações os compartilhamos e como procuramos protegê-los, a fim de oferecer a segurança e a privacidade necessárias ao bom uso de seus dados pessoais.

Qualquer dúvida com relação a essa política de privacidade, ou sobre os seus dados pessoais tratados pela Dezoito de Julho, ou ainda, caso deseje realizar alguma solicitação de informações relacionadas a eles, entre em contato conosco, através dos seguintes canais de comunicação:

Responsável pelos dados pessoais: Wallace Pereira Senra
E-mail: Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.
Telefone: 32 3462-2764
 

2 - Conceitos utilizados na LGPD

A Lei 13.709 – Lei Geral de Proteção de Dados Pessoais, também conhecida como LGPD, utiliza regularmente alguns conceitos, cujo entendimento é importante para melhor compreensão da aplicação da lei e dos seus direitos.

Assim, relacionamos a seguir, os principais conceitos que envolvem a proteção de dados pessoais:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado de proteção de dados: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

Agentes de tratamento: o controlador e o operador;

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Compartilhamento: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Autoridade nacional (ANPD): órgão responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais.


3 - Compromisso da Dezoito de Julho

Sempre no intuito de proteger os dados pessoais dos titulares de acessos indevidos, ou de uso irregular, a Dezoito de Julho adota boas práticas de segurança da informação, compostas por medidas técnicas e administrativas voltadas para a preservação da privacidade, da confidencialidade, da disponibilidade e da integridade dos dados.

Para tal, implantamos e mantemos um amplo Programa de Governança em Privacidade, aplicável a todos os dados pessoais sob nosso controle, que visa assegurar o cumprimento de nossas políticas e procedimentos voltados à proteção de dados pessoais, com avaliação contínua de riscos, plano de resposta a incidentes e monitoramento constante, estando totalmente alinhado com os princípios que regem as atividades de tratamento de dados pessoais expressos na LGPD, quais sejam:

Finalidade – Realizar o tratamento dos dados somente para os fins legítimos, específicos e informados ao titular.

Necessidade – Limitar o tratamento ao mínimo indispensável para a execução das finalidades.

Livre acesso – Garantir ao titular o acesso gratuito e prático sobre a forma e a duração do tratamento de todos os seus dados pessoais sob os cuidados da Dezoito de Julho.

Qualidade dos dados – Garantir aos titulares que seus dados armazenados estejam corretos e atualizados, de modo a cumprir adequadamente com as finalidades para as quais se destinam.

Transparência – Fornecer informações claras e precisas a respeito dos tratamentos realizados e dos controladores e operadores de dados, respeitados os segredos comerciais e industriais.

Segurança – Adotar as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda ou divulgação indevida dos mesmos, nos limites técnicos razoáveis e no âmbito de suas responsabilidades.

Prevenção – Adotar medidas preventivas a fim de diminuir a ocorrência de danos aos dados pessoais tratados;

Não discriminação – Recusar-se terminantemente a realizar tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos;

Responsabilização e prestação de contas – Demonstrar a adoção de medidas eficazes para a proteção de dados, a fim de comprovar a observância às leis de proteção de dados pessoais.

4 - Direitos dos titulares de dados pessoais

Todo titular de dados pessoais tratados pela Dezoito de Julho possui os seguintes direitos, previstos em lei (artigo 18 da LGPD):

  • Ter confirmada a existência de tratamento de dados de sua titularidade;
  • Acesso aos seus dados pessoais;
  • Correção dos dados incompletos, inexatos ou desatualizados;
  • Anonimização dos dados, bloqueio ou eliminação de dados desnecessários ou em desacordo com a lei;
  • Portabilidade dos dados, ressalvados os segredos de negócios;
  • Revogação do consentimento, mediante requisição expressa e consequente eliminação dos dados tratados através do consentimento do titular;
  • Obtenção de informações sobre o compartilhamento dos dados;
  • Reclamar sobre seus dados contra o controlador, perante a autoridade nacional de proteção de dados.

A Dezoito de Julho dispõe do endereço de e-mail: Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo., voltado para o atendimento dos titulares de dados pessoais, onde é possível elaborar uma requisição expressa sobre os seus dados, facilitando e agilizando o acesso às informações sobre eles.


5 - Dados pessoais tratados pela Dezoito de Julho

A Dezoito de Julho, em razão da própria natureza de sua atividade, realiza o tratamento de um volume considerável de dados pessoais, envolvendo colaboradores, beneficiários dos planos de saúde e seus dependentes, entre outros titulares.

Também é importante frisar, que significativa parte desses dados, são classificados na categoria de “dados sensíveis” e que exigem maior cuidado e atenção no seu tratamento.

Esses dados são coletados por nós através de diferentes maneiras, desde o primeiro contato manifestando interesse em contratar nossos planos ou atendimento em uma de nossas unidades, passando por dados clínicos obtidos durante a realização de procedimentos médicos e/ou hospitalares, exames, participação em programas e campanhas de medicina preventiva e de atenção à saúde, ou através de acessos realizados por meio de nosso site institucional e aplicativos.

Nós realizamos o tratamento de duas categorias distintas de dados pessoais:

Dados pessoais comuns – Dados cadastrais simples de pessoas físicas, como exemplo: Nome, CPF, RG, endereço, cidade, estado, CEP, telefone, e-mail, sexo, data de nascimento, estado civil, nomes dos pais, nomes dos dependentes, para as seguintes finalidades:

  • Cadastro dos colaboradores, terceiros prestadores de serviços;
  • Dados dos médicos para o Guia Médico;
  • Cadastro dos beneficiários dos planos de saúde;
  • Cadastro dos dependentes;
  • Controle das alterações, exclusões e portabilidade;
  • Emissão de boletos, faturas e notas fiscais;
  • Emissão da carteirinha do plano de saúde;
  • Controle de autorização de procedimentos e marcação de consultas, exames e cirurgias;
  • Atendimento e identificação do beneficiário nas unidades de saúde/prestadores;
  • Registro de dúvidas, reclamações e de sugestões;
  • Envio de comunicados, correspondências e notícias;
  • Atendimento da legislação e normas complementares (ANS);
  • Atendimento da legislação e normas tributárias e fiscais;
  • Cobranças, consultas aos órgãos de crédito e execuções de dívidas;
  • Controle do acesso aos sistemas e aplicativos disponibilizados;
  • Controle de cobrança e negativação de inadimplentes junto aos órgãos de proteção de crédito;
  • Oferta de novos serviços e/ou produtos;
  • Geração de usuários, login e senha para acesso a aplicativos/site;
  • Utilização em campanhas publicitárias em meios físicos/e/ou mídias sociais.

Dados pessoais sensíveis – É aquele que se refere à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, relacionados à saúde ou à vida sexual, dados genéticos ou biométricos relativos à pessoa natural. A depender da relação com o usuário, a Dezoito de Julho poderá tratar as seguintes categorias de dados pessoais sensíveis:

  • Dados referentes a origem racial ou étnica;
  • Convicção religiosa;
  • Dados relacionados à saúde ou à vida sexual;
  • Dados genéticos.

Auditoria concorrente de atendimentos ambulatoriais e hospitalares com o uso de ferramentas próprias para o cruzamento de dados e análise de desfechos clínicos, assistenciais e econômicos;

  • Requisição medicações, órteses e próteses;
  • Controle da participação em programas e projetos de medicina preventiva e de assistência à saúde;
  • Apuração valores e emitir demonstrativos de coparticipação;
  • Dispensação de dietas;
  • Geração declarações de comparecimento, receitas e atestados médicos;
  • Identificação doenças e/ou agravos;
  • Notificação a ANVISA sobre incidentes de saúde;
  • Regulação de vagas e liberação de leitos hospitalares;
  • Procedimentos de urgência e emergência, remoção e transporte de pacientes.

Também coletamos alguns dados pessoais e que podem incluir imagens de câmeras de segurança ou fotos, para fins de:

  • Controle de acesso e de segurança patrimonial;
  • Apuração de responsabilidade em casos de furtos/roubos;

Eventualmente ainda poderemos utilizar dados pessoais em casos de:

  • Remessa de arquivos eletrônicos, cumprimento de obrigações acessórias junto a entidades governamentais, como ANS, ANVISA, Vigilância Sanitária, Ministério da Saúde, Receita Federal, entre outras.
  • Cumprimento de ordens judiciais e de órgãos de fiscalização;
  • Uso em processos administrativos e/ou judiciais.


6 - Tratamento de dados de menores de idade

A lei estabelece que para a regularidade do tratamento de dados de menores de idade (menores de 18 anos), é necessário consentimento específico, dado, no mínimo, por um dos pais, ou pelo responsável legal do menor.

Atendendo a essa disposição, a Dezoito de Julho adota procedimentos próprios para a obtenção desse consentimento, sendo importante que o responsável conheça e concorde com todas as condições previstas nesta política de privacidade.


7 - Uso regular dos dados pessoais

Para que a utilização dos dados pessoais dos diferentes titulares seja considerada regular, as finalidades de uso de tais dados precisam enquadrar-se em alguma das razões legais estabelecidas na LGPD.

A Dezoito de Julho, como controladora de dados pessoais, observa rigorosamente o princípio da legalidade, somente fazendo uso de dados pessoais que se encontrem cobertos por alguma das seguintes bases legais:

  • Cumprimento de obrigações legais ou regulatórias, notoriamente aquelas relacionadas às obrigações fiscais, tributárias e setoriais, estabelecidas pela ANS e ANVISA;
  • Execução de contratos ou procedimentos preliminares, necessários para a prestação dos serviços inerentes às atividades da operadora de planos de saúde;
  • Tutela da saúde, quando o uso dos dados pessoais for essencial para a execução de procedimentos médicos/de enfermagem relacionados no Rol de Procedimentos da ANS;
  • Proteção da vida e da incolumidade física do titular ou de terceiros, em situações de urgência/emergência de atendimento;
  • Exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
  • Para atender aos interesses legítimos do controlador dos dados;
  • Para a proteção de crédito;

ou

  • Mediante o consentimento do titular ou de seu representante legal.


8 - Compartilhamento de dados pessoais

Para conhecimento dos titulares de dados pessoais, informamos a seguir as situações em que ocorre, por parte da Dezoito de Julho, compartilhamento de dados com terceiros, considerando sempre a necessidade, a transparência e a segurança de tais operações.

Enviamos dados pessoais e/ou sensíveis dos beneficiários dos planos de saúde, de acordo com a situação, para:

  • ANS, ANVISA, Receita Federal, Prefeitura Municipal de Além Paraíba/ Secretária de Saúde do Município e outros órgãos administrativos ou judiciais, para cumprimento de determinações legais ou judiciais, caso ocorram;
  • Empresas contratantes dos planos de saúde empresariais, para formalização e manutenção da contratação;
  • Empresas administradoras de benefícios e corretoras vinculadas a contratantes de planos de saúde empresarial, de maneira anonimizada para realização de estudos de análises gerais que possibilitem a manutenção da contratação e otimização dos recursos financeiros de seus beneficiários;
  • Empresas de auditoria externa, para conferência e certificação de conformidade;
  • Empresas de Auditoria Médica;
  • Rede prestadora, incluindo consultórios médicos, hospitais, laboratórios, clínicas de diagnóstico e outras entidades da área, para execução de consultas, procedimentos, exames e outras atividades necessárias à realização do objeto contratual firmado com o beneficiário;
  • Hospitais, quando necessária auditora in loco para defesa em ressarcimento ao SUS;
  • Serasa Experian, SPC e entidades congêneres, para avaliação e proteção do crédito;
  • Advogados e escritórios de advocacia, quando necessários pareceres / atuações jurisdicionais;
  • Agências de publicidade, para a realização de propaganda, campanhas publicitárias e realização de eventos.


9 - Medidas de proteção dos dados pessoais

A Dezoito de Julho instituiu e mantém um Programa de Governança em Privacidade, que além de procurar atender aos requisitos mínimos exigidos pela legislação, fundamenta a proteção dos dados pessoais em três pilares, que envolvem:

Tecnologia – Adotamos as melhores práticas de segurança da informação, visando proteger os dados pessoais que estão sob os nossos cuidados. Possuímos controles voltados ao uso de antivírus, antimalwares, detecção de tentativas de intrusão e outros instrumentos destinados à proteção das bases de dados. Também exigimos de nossos fornecedores de T.I. que ofereçam níveis de segurança adequados, através de um processo avaliativo de Due Diligences.

Processos – Possuímos políticas específicas para a segurança da informação e para a proteção de dados pessoais implementadas, que regulamentam a forma como os dados são tratados e armazenados na cooperativa e estabelecem as diretrizes de segurança necessárias e adequadas. Todos os processos que envolvem dados pessoais estão mapeados e possuímos procedimentos detalhados, voltados às melhores práticas no trato de dados pessoais. Realizamos periodicamente o gerenciamento de riscos, gerando ações para sua mitigação.

Pessoas – Acreditamos ser fundamental o estabelecimento de uma cultura de proteção de dados pessoais, integrando tecnologia, processos e pessoas. Para tal, possuímos um plano de comunicação voltado à disseminação de informações relacionadas à proteção de dados junto aos nossos colaboradores, promovemos eventos periódicos de capacitação interna e aplicamos regras rígidas com imposição de medidas disciplinares em caso de eventuais transgressões às nossas políticas de proteção de dados.

É importante ressaltar, que mesmo com todas essas medidas, ainda estamos sujeitos à ocorrência de incidentes com dados pessoais, sendo impossível oferecer uma garantia absoluta de proteção.

Assim, em observância aos princípios legais de responsabilidade e de transparência, a Dezoito de Julho se compromete a informar o titular de dados pessoais sobre qualquer incidente relacionado aos seus dados, tão logo tenha conhecimento, bem como a adotar as medidas de contingência recomendadas no nosso plano de resposta a incidentes, visando impedir e/ou minimizar eventuais problemas.


10 - Retenção dos dados pessoais

Para a boa execução de nossas atividades e correta prestação dos serviços, a Dezoito de Julho necessita realizar o tratamento de dados pessoais. Comprometemo-nos, porém, fundamentados no princípio da minimização, a procurar eliminar ou anonimizar, sempre que possível, os dados pessoais que deixarem de servir às finalidades para as quais foram coletados.

Em algumas situações, mesmo após o encerramento da relação contratual, teremos que manter os dados pessoais em nossas bases, conforme períodos estabelecidos pela legislação ou para constituição de provas em defesa dos nossos direitos, em processos administrativos, judiciais ou arbitrais.


11 - Atualizações

A política de privacidade está sujeita a alterações, em função de mudanças nos dados pessoais tratados, nos compartilhamentos efetuados ou para atendimento da legislação de proteção de dados e seus regulamentos.

Procederemos a atualização periódica desta política, com a devida publicidade sempre que necessário.


Atualizado em: 20/04/2022

SOCIEDADE BENEFICENTE DEZOITO DE JULHO