Política de Privacidade
O Por quê desta Política?
A coleta e o tratamento de dados pessoais são necessários para desenvolver soluções que criam valor aos pacientes. A UCB se compromete a garantir a proteção dos dados pessoais sob os seus cuidados, bem como a respeitar os direitos das pessoas físicas cujos dados pessoais estão sendo coletados ou processados por, ou em nome, da empresa.
Ademais, a UCB tem a intenção de cumprir com todas as leis e regulamentações de proteção de dados aplicáveis nos países nos quais a UCB faz negócios, e em especial com a legislação brasileira: a Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018), a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), e demais normas setoriais ou gerais sobre o tema.
Principais Princípios
Esta Política sobre a Proteção de Dados Pessoais (“Política”) estabelece os princípios gerais para proteção de dados pessoais a serem aplicados em toda a empresa sempre que funcionários da UCB ou terceiros agindo em nome da UCB processarem dados pessoais. Estes incluem, entre outros, os seguintes princípios:
· Os colaboradores deverão considerar o princípio “Privacy by Design” ou Privacidade Customizada (conforme detalhes a seguir) para evitar qualquer prejuízo a um titular de dados, sempre que se envolverem em atividades nas quais forem necessário o tratamento de dados pessoais, incluindo a avaliação e mitigação de riscos relativos à proteção de dados.
· Transferências internacionais de dados pessoais só podem ocorrer após os requisitos mínimos de proteção de dados estarem implementados nos países envolvidos.
· Os direitos dos titulares dos dados devem ser respeitados.
· Princípio da Legalidade: O artigo 7, II da LGPD estabelece que o tratamento de dados para cumprimento de obrigação legal ou regulatória é uma regra de legalidade ampla que busca preservar o interesse público. Em outras palavras, esta hipótese de tratamento de dados se concretiza por força de lei anterior ou para garantir a ordem e segurança social. Dessa forma, mesmo após o encerramento do vínculo negocial que originou o tratamento, é permitido armazenar dados pessoais em função do cumprimento de obrigações do ordenamento jurídico como um todo.
Escopo
Esta Política estabelece as regras e princípios de proteção de dados a serem aplicados à todos os dados pessoais processados/tratados por, ou em nome da UCB Brasil, em qualquer formato, seja eletrônico ou em papel, independentemente da localização e forma de armazenamento geográfico (por exemplo, nuvem) com o objetivo de proteger os direitos fundamentais de liberdade e privacidade da pessoa natural.
O âmbito de aplicação desta Política é delimitado em consonância com os artigos 1º e 3º da LGPD[1]
Espera-se que todos os colaboradores e as demais partes interessadas da UCB operem de acordo com esta Política e tomem as ações necessárias para garantir que seus parceiros comerciais também estejam em conformidade.
É importante reconhecer que dados pessoais podem se originar de pacientes e cuidadores, profissionais da saúde, funcionários e fornecedores, ou qualquer outro titular de dados pessoais; e esta Política se aplica a cada um destes grupos sem distinção.
Exigências da Política:
1. Princípios de Processamento de Dados Pessoais: “Privacy by Design”.
Cada um dos princípios a seguir, que formam o conceito de “Privacy by Design”, devem ser observados e aplicados em quaisquer atividades de processamento de dados pessoais realizadas por, ou em nome da UCB.
Assumir uma abordagem de “Privacy by Design” é uma ferramenta essencial para minimizar riscos de privacidade e construir confiança. Significa planejar projetos, processos, produtos ou sistemas com os aspectos da proteção da privacidade em mente desde o início.
A. O Processamento Deve Ser Legítimo
Dados pessoais podem ser coletados, processados ou transferidos pela UCB somente se houver uma base legal (ou “justificativa legal”) que permita a atividade de processamento.
“Categorias especiais” de dados pessoais (por exemplo, dados de saúde, dados genéticos) possuem bases legais mais limitadas que outros tipos de dados pessoais.
B. O Processamento Deve Ser Justo (Princípio da Finalidade)
O processamento de dados pessoais não deve ter qualquer objetivo diverso ou não justificado aos titulares de dados interessado, ou seja, o tratamento deve ocorrer a partir da definição de uma finalidade[2] legítima e específica que esteja explícita e informada ao titular (es).
O processamento de dados pessoais não deve causar “prejuízos” (financeiros, de reputação etc.) ao titular dos dados.
C. O Processamento Deve Ser Transparente (Princípio da Transparência)
Antes do processamento dos dados, qualquer titular de dados cujos dados pessoais foram coletados direta ou indiretamente deve ser informado sobre seu processamento.
A “Privacy Notice” (Notificação de Privacidade) deve informar os titulares sobre quais dados são coletados direta ou indiretamente e para qual a finalidade, bem como dos direitos dos titulares.
D. O Processamento Deve Ser Minimizado (Princípios da Adequação e da Necessidade)
Quaisquer dados pessoais processados pela UCB serão adequados, relevantes e limitados ao que for necessário para alcançar o(s) objetivo(s) para o(s) qual/quais forem processados, isto é, um tratamento compatível com a finalidade, o que inclui a coleta dos dados minimamente necessários para o tratamento.
A norma “mínima necessária” significa coletar e processar somente os dados pessoais necessários para a atividade atual.
Sempre que possível, os dados pessoais serão recebidos de forma anonimizada. A LGPD prevê a anonimização (art. 5º, III) e pseudonimização dos dados (art. 13) como um mecanismo de mitigação dos riscos do tratamento de dados.
Ao remover identificadores sempre que possível, a UCB protege ainda mais a privacidade dos titulares de dados, tornando mais difícil identificar um indivíduo.
E. O Processamento Posterior Deve Ser Limitado (Princípios da Adequação e Finalidade)
Dados pessoais serão processados somente para objetivos específicos, explícitos e legítimos (por exemplo, conforme descrito no Aviso de Privacidade ou no formulário de consentimento fornecido aos titulares de dados antes do processamento) e não serão processados posteriormente de maneira incompatível com o(s) objetivo(s) inicial/iniciais.
Se a UCB desejar tratar dados pessoais para um novo objetivo (ou seja, além do objetivo original), o processamento somente poderá ter início após a confirmação de que este novo tratamento esteja em consonância com os princípios da Adequação e da Finalidade, ou seja, (i) que o titular dos dados tenha sido devidamente informado, e, se necessário, um consentimento atualizado tenha sido fornecido e, (ii) as demais obrigações legais tenham sido cumpridas.
F. O Dados Pessoais Devem Ser Seguros e Precisos (Princípios da Segurança, Prevenção e Qualidade)
Dados pessoais serão processados de maneira que garanta segurança apropriada, incluindo proteção contra processamento não autorizado ou ilegal e contra danos, destruição ou perda acidental utilizando medidas técnicas e de organização apropriadas.
Adicionalmente, dados pessoais serão precisos e mantidos atualizados durante todo o seu ciclo de vida (ou seja, da coleta à destruição/deleção dos dados).
G. As Regras de Retenção de Dados Pessoais Devem Ser Seguidas
Dados pessoais não serão mantidos por mais tempo do que for necessário para cumprir com os objetivos legítimos para os quais os dados foram coletados, e em conformidade com as políticas de retenção de dados da UCB.
Sempre que os dados pessoais não forem mais necessários para o cumprimento do seu objetivo, serão ser anonimizados ou destruídos. A destruição dos dados pessoais deve ser realizada, conforme políticas locais incluindo qualquer cópia de segurança dos dados, de acordo com as diretrizes de destruição/deleção internas de TI da UCB.
H. Princípio do Livre Acesso aos Dados
Pelo princípio do Live acesso, é garantido aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
I. Princípio da Não Discriminação
Pelo princípio da não discriminação, nenhum tratamento será realizado para fins discriminatórios ilícitos ou abusivos.
J. Princípio da Prestação de Contas
Pelo princípio da responsabilização e prestação de contas, em todo tratamento de dados deve ser demonstrada a conformidade com a legislação aplicável através de evidências de Compliance.
2. Transferências e Divulgações de Dados Pessoais
As leis relativas à Proteção de Dados Pessoais, incluindo a LGPD geralmente impõem restrições sobre a transferência internacional de dados pessoais, tanto para países terceiros quanto para organizações internacionais. Essas restrições estão em vigor para garantir que o nível de proteção conferido ao titular de dados seja respeitado.
Assim, a UCB pode transferir dados pessoais para cada uma dessas partes somente se o nível de proteção de dados pessoais for garantido. Esta garantia deve estar em vigor antes da transferência internacional de dados pessoais, e deve continuar enquanto o recebedor puder acessar os dados pessoais.
A. Transferências entre Afiliadas da UCB
Transferências de dados pessoais entre Afiliadas da UCB são permitidas mediante as Regras Corporativas Vinculativas (“BCRs” - Binding Corporate Rules) da UCB. Se uma entidade da UCB estiver agindo como controladora e outra entidade da UCB estiver agindo como sua processadora, e sua(s) atividade(s) de processamento forem sujeitas a ou estiverem dentro do escopo das legislações aplicáveis, então essas entidades devem celebrar um contrato de processamento de dados de acordo com as exigências legais.
Regras corporativas vinculativas (“BCRs” - Binding Corporate Rules) são como um código de conduta de proteção de dados. Elas permitem que empresas multinacionais (como a UCB) transfiram dados pessoais internacionalmente dentro do mesmo grupo corporativo para países que não forneçam um nível adequado de proteção.
B. Transferências para, ou entre, Processadores de Dados (externos) da UCB
Sempre que a UCB envolver os serviços de um processador de dados (externo), a UCB tem a obrigação de assegurar que estes processadores de dados “forneçam as garantias apropriadas para implementar medidas técnicas e de organização de maneira que o processamento ocorra com respeito à proteção dos direitos do titular dos dados. Dessa forma, a UCB deve realizar uma análise dos riscos de proteção de dados, bem como impor obrigações de segurança e privacidade de dados pessoais razoáveis e apropriadas sobre o processador de dados por meio de contrato por escrito.
O uso compartilhado de dados pessoais inclui prestadores de serviços, trabalhadores terceirizados, parceiros de negócio e fornecedores da UCB.
Da mesma forma, a UCB deve garantir que qualquer (sub)processador localizado fora do Brasil, para o qual dados pessoais são transferidos por, ou em nome da UCB, cumpra com as regras de transferência internacional aplicáveis.
C. Transferências para Órgãos Regulatórios
Dados pessoais podem ser divulgados para uma autoridade, agência ou outro órgão público (incluindo órgãos regulatórios de medicamentos) se exigido, conforme as leis aplicáveis.
D. Transferências para, ou entre Controladores Conjuntos
Nos casos em que a UCB atue como Controlador Conjunto, ou seja quando houver transferências de dados de “Controlador para Controlador” o tratamento dos dados pessoais deve respeitar a lei nacional de cada Controlador, incluindo, sem limitações, os princípios de “Privacy by Design” descritos nesta política.
Os dados pessoais trocados entre controladores devem se restringir àqueles estritamente necessários para o exercício das atividades, e ambas as partes devem trabalhar em conjunto com transparência.
Controladores são definidos pela LGPD como “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art 5º, VI)”.
Os controladores conjuntos devem (geralmente por meio de um contrato por escrito) dividir entre si as responsabilidades de conformidade com a proteção de dados.
3. Direitos do Titular dos Dados
A legislação vigente confere aos titulares de dados pessoais alguns direitos sobre o seu processamento. Geralmente, esses direitos incluem:
1. Confirmação de existência de tratamento;
2. Acesso aos dados;
3. Correção de dados incompletos, inexatos ou desatualizados;
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade a Lei;
5. Portabilidade dos dados;
6. Eliminação dos dados pessoais tratados com o consentimento do titular;
7. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
9. Revogação do consentimento.
Por fim, o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
4. Aplicação
Todos os funcionários e demais partes interessadas da UCB devem conhecer, respeitar e aplicar esta política ao processar dados pessoais em nome da UCB.
A UCB se compromete a fornecer as orientações e assistência necessárias para apoiar a todos no cumprimento de suas obrigações e no exercício de seus direitos conforme esta Política.
Qualquer violação, ainda que potencial, desta política deverá ser relatada imediatamente para: dataprivacy.brazil@ucb.com
Principais Definições:
Dados Pessoais - também conhecidos como “Informações Pessoais” | Toda e qualquer informação relativa a uma pessoa natural identificada ou identificável. Uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores da personalidade especificados através da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural. |
Categorias Especiais de Dados Pessoais (também conhecidas como “Dados Sensíveis”) | Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. |
Categorias Especiais de Dados Pessoais (Dado(s) de Criança(s) | significa todo e qualquer Dado Pessoal ou Dado Sensível de pessoa natural de até doze anos de idade. |
Tratamento | Toda operação realizada com Dados Pessoais, incluindo, mas não se limitando a coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, atualização, comunicação, transferência compartilhamento e extração de Dados Pessoais |
Terceiros | São todos os prestadores de serviços, trabalhadores terceirizados, parceiros de negócio e fornecedores da Companhia. |
Compartilhamento | Para os fins da presente Política, significa toda comunicação, difusão, transferência (inclusive internacional) de Dados Pessoais ou Tratamento compartilhado de bancos de Dados Pessoais, com autorização específica para uma ou mais modalidades de Tratamento. |
Titular de Dados | Pessoa física a quem se referem os dados pessoais. |
Incidente de Violação de Dados Pessoais | Qualquer evento adverso, confirmado ou sob suspeita, relacionado à potencial quebra da confidencialidade, integridade e disponibilidade dos Dados Pessoais sob responsabilidade da Companhia. |
[1] Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
[2] Art. 6º, I, LGPD: “finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.