Política de Privacidade e Proteção de Dados Pessoais

1. OBJETIVO

O Seconci-SP Gestão Própria e Gestão Delegada que neste documento chamaremos somente de Seconci-SP, visando estabelecer as diretrizes gerais para o tratamento de dados pessoais, descreve abaixo a Política de Privacidade e Proteção de Dados Pessoais:

Estabelecer as diretrizes e responsabilidades do Seconci-SP que assegurem e reforcem o compromisso com o cumprimento das legislações de proteção de dados pessoais aplicáveis;
Descrever as regras a serem seguidas na condução das atividades e operações de tratamento de dados pessoais realizadas pelo Seconci-SP, que garantam a sua conformidade com as legislações de proteção de dados pessoais aplicáveis e em especial, com a Lei Geral de Proteção de Dados (LGPD).

2. ABRANGÊNCIA

2.1 Documentos

A presente Política deve ser observada em conjunto com as obrigações previstas nos documentos abaixo relacionados, que versam sobre informações em geral, e a complementam quando aplicável:

Contratos de trabalho dos funcionários do Seconci-SP e outros documentos comparáveis, que dispõem sobre obrigações de confidencialidade em relação às informações mantidas pelo Seconci-SP;
Políticas e Normas que compõem a NPC-0027 Política de Segurança da Informação do Seconci-SP, bem como termos e condições de uso, que tratem sobre confidencialidade, integridade e disponibilidade das informações do Seconci-SP;
Todas as normas internas a respeito da proteção de dados pessoais que vierem a ser elaboradas e atualizadas, de tempos em tempos.

2.2 Definições

Agente de Tratamento de Dados Pessoais

O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade de tratamento.
O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este estimada.

Titular dos dados

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Encarregado ou Data Protection Officer (DPO)

Pessoa Física ou Jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a ANPD. Será responsável pela implementação das adequações à LGPD e condução das atividades relacionadas à proteção de dados pessoais no Seconci-SP e Unidades de Gestão Delegadas.

Fornecedores

Terceiros contratados ou subcontratados, pessoa física ou jurídica, prestadores de serviços que executam tratamento de dados por solicitação do controlador.

Dados Pessoais

Dado relacionado a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para a formação do perfil comportamental de determinada pessoa natural.

Dados Pessoais Sensíveis

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, salários quando vinculado a pessoa natural.

Anonimização

Utilização de meios técnicos, razoáveis e disponíveis no momento do Tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para fins da LGPD.

Cookies

São pequenos arquivos de texto que podem ou não ser adicionados no navegador do dispositivo. Estes arquivos armazenam e reconhecem dados que garantem o correto funcionamento dos Sites e Aplicativos e nos ajudam a identificar suas preferências e melhoras suas experiências.

Autoridade Nacional de Proteção de Dados (ANPD)

Órgão da Administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018 – LGPD, em todo território nacional. A ANPD foi instituída pela LGPD como órgão da administração pública federal com autonomia técnica, integrante da Presidência da República, definido a sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

Lei Geral de Proteção de Dados (LGPD)

Lei nº 13.709, de 14 de agosto de 2018 que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção à pessoa humana com o desenvolvimento tecnológico e econômico.

3. DESCRIÇÃO

3.1 Tipo de dados pessoais e motivos

A presente Política estabelece as diretrizes do Seconci-SP para resguardo e uso de dados pessoais que venham ser tratados em suas atividades, tendo como referência a LGPD, além de outras normas nacionais e internacionais relativas à privacidade e proteção de dados pessoais.

O Seconci-SP coleta e utiliza os Dados Pessoais fornecidos pelos seus clientes em um contexto de negócios e para a prestação de seus serviços de Saúde.

Abaixo uma tabela com informações sobre os Dados Pessoais processados e finalidades:

Tipo de Dado Pessoal	Motivos
Informações Pessoais: Nome CPF RG Endereço Data de Nascimento E-Mail Informações Pessoais Sensíveis: Exames Clínicos Exames Laboratoriais Exames de Imagem Prontuários Eletrônicos Dependentes Menores de Idade	O Seconci-SP coleta e processa informações, referentes às pessoas que emprega ou necessárias para a condução de suas atividades.
Informações sobre serviços de saúde prestados	O Seconci-SP coleta e processa informações.
Informações sobre uso de Sistemas: O uso de sistemas de TI e dispositivos eletrônicos usados pelos prestadores de serviços, fornecedores, clientes dentre outros.	O Seconci-SP processa essas informações apoiadas pela segurança de seus sistemas e dos dados que armazena. Uma descrição mais detalhada pode ser encontrada na NPC-0027 Política de Segurança da Informação.

Tipo de Dado Pessoal

Motivos

Informações Pessoais:

Nome
CPF
RG
Endereço
Data de Nascimento
E-Mail

Informações Pessoais Sensíveis:

Exames Clínicos
Exames Laboratoriais
Exames de Imagem
Prontuários Eletrônicos
Dependentes Menores de Idade

O Seconci-SP coleta e processa informações, referentes às pessoas que emprega ou necessárias para a condução de suas atividades.

Informações sobre serviços de saúde prestados

O Seconci-SP coleta e processa informações.

Informações sobre uso de Sistemas:

O uso de sistemas de TI e dispositivos eletrônicos usados pelos prestadores de serviços, fornecedores, clientes dentre outros.

O Seconci-SP processa essas informações apoiadas pela segurança de seus sistemas e dos dados que armazena. Uma descrição mais detalhada pode ser encontrada na NPC-0027 Política de Segurança da Informação.

3.2 Destinatários

A presente Política se aplica aos:

Associados e Conselheiros do Seconci-SP;
Funcionários do Seconci-SP e Unidades de Gestão Próprias e Delegadas;
Terceiros, sejam eles pessoas físicas ou jurídicas que atuam para ou em nome do Seconci-SP em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pelo Seconci-SP e Unidades de Gestão Delegadas;
Agentes de tratamento de dados pessoais externos ao Seconci-SP que de qualquer forma se relacionem com o Seconci-SP;
Titulares de dados pessoais, cujos dados são tratados pelo Seconci-SP ou Unidades de Gestão Delegadas.

O cumprimento da LGPD é obrigatório a todos os destinatários acima indicados, na medida em que se relacionam com o Seconci-SP e Unidades de Gestão Delegadas. Todas as operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pelo Seconci-SP estão sujeitas a tais normativas.

3.3 Normativas

A presente Política estabelece as diretrizes e regras para garantir que seus destinatários entendam e cumpram as legislações que versam sobre proteção de dados pessoais em todas as interações com atuais e futuros titulares de dados pessoais, terceiros e agentes de tratamento de dados no âmbito de suas atividades.

Para além dos conceitos definidos pelas normas que versam sobre privacidade proteção de dados pessoais, as informações abarcadas pela presente Política incluem todos os dados detidos, usados ou transmitidos pelo ou em nome do Seconci-SP, em qualquer tipo de mídia. Isso inclui dados pessoais registrados em papel, mantidos em sistemas de computador ou dispositivos portáteis, bem como dados pessoais transmitidos oralmente.

3.4 Princípios de Privacidade e Proteção de Dados Pessoais

O Seconci-SP cumprirá os seguintes princípios de proteção de dados pessoais quando do tratamento de dados pessoais:

Finalidade: O Seconci-SP realizará tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoas, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: O Seconci-SP realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
Necessidade: O tratamento de dados pessoais realizado pelo Seconci-SP será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
Livre Acesso: o Seconci-SP garantirá aos titulares de dados pessoais a consulta aos dados tratados, a forma e a duração do tratamento, bem como sobre a integridade de seus dados, através de uma solicitação através do e-mail: privacidade@seconci-sp.org.br;
Qualidade dos dados: O Seconci-SP garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: o Seconci-SP garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais;
Segurança: O Seconci-SP utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alterações, comunicação ou difusão;
Prevenção: O Seconci-SP adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: o Seconci-SP garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: o Seconci-SP demonstrará a adoção de medidas eficazes, capazes e possíveis de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas;

3.5 Bases Legais para Tratamento de Dados Pessoais

Todas as operações de tratamento de dados pessoais no âmbito das atividades conduzidas pelo Seconci-SP terão uma base legal que legitime a sua realização conforme a Lei Geral de Proteção de Dados (LGPD), com estipulação da finalidade e designação dos responsáveis pelo tratamento, como por exemplo, para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde.

O Seconci-SP assume como compromisso a avaliação periódica das finalidades de suas operações de tratamento, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais, e o legítimo interesse do Seconci-SP.

A realização de operações de tratamento de dados pessoais pelo Seconci-SP somente poderá ser realizada nas seguintes hipóteses:

Mediante o fornecimento de consentimento pelo titular de dados pessoais;
Para cumprimento de obrigação legal ou regulatória;
Para realização de estudos por órgão de pesquisa;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular de dados pessoais;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Quando necessário para atender aos interesses legítimos do Seconci-SP ou de Terceiros;

3.6 Bases Legais para Tratamento de Dados Pessoais Sensíveis

O Seconci-SP reconhece que o tratamento de dados pessoais sensíveis representa riscos mais altos ao titular de dados pessoais e por esta razão assume o compromisso de resguardo e cuidados especiais frente ao tratamento de dados pessoais sensíveis.

Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, mas também estarão sujeitos às disposições próprias estabelecidas no CAP. II, Seção III, da LGPD e outras normas específicas.

A realização de operações de tratamento de dados pessoais sensíveis pelo Seconci-SP somente poderá ser realizada:

Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:
1. O cumprimento de obrigação legal ou regulatório pelo Seconci-SP;
2. A realização de estudos quando o Seconci-SP estiver na posição de Órgão de pesquisa, garantida, sempre que possível a anonimização dos dados pessoais sensíveis;
3. O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
4. Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
5. Tutela de saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
6. Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

3.7 Utilização de Cookies

A Seconci-SP pode coletar dados através dos cookies para diferentes finalidades relacionadas às funcionalidades de nosso Site. Confira a seguir os tipos que utilizamos:

Funcionamento: para garantir o correto acesso e funcionamento das aplicações;
Segurança: para auxiliar no monitoramento e detecção de atividades não autorizadas, na prevenção à fraude e na proteção das informações dos Usuários, suas, do Seconci-SP e de terceiros;
Pesquisa, análise e desempenho: para verificar, medir e analisar a audiência, o desempenho, a utilização das aplicações pelos Usuários;

A desativação dos cookies, pode ser feita através das configurações do seu navegador e nas configurações do sistema operacional do seu dispositivo, com exceção dos cookies de funcionamento que, se desativados, não permitirão o uso dos Sites e Aplicativos. Apenas lembramos que se determinados cookies forem desabilitados, os Sites ou Aplicativos ou alguns de seus recursos ou funcionalidades poderão não funcionar corretamente.

Segue os cookies utilizados:

Nome	Função
YSC	Coletar estatísticos sobre a interação do usuário com os vídeos do Youtube
CLID	Rastrear a eficácia das campanhas veiculadas por meio do Microsoft Advertising
_GID	Usado para distinguir usuários e atribuir um ID único a cada visitante. Ele é usado pelo Google Analytics
_GAT	Usado para controlar a taxa de solicitações ao servidor do Google Analytics.
_GA	Rastrear informações sobre o comportamento dos usuários, como o número de visitas, o tempo gasto no site, as páginas visitadas.
_CLCK	Usado para rastrear informações como preferências de navegação.

3.8 Direitos dos Titulares de Dados Pessoais

O Seconci-SP, no contexto das suas atividades de tratamento de dados pessoais, reforça o seu compromisso de respeito aos direitos dos titulares de dados pessoais quais sejam:

Direito à confirmação da existência do tratamento: o titular de dados pessoais pode questionar, junto o Seconci-SP, se há a realização de operações de tratamento relativos a dados pessoais seus;
Direito de acesso: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados;
Direito de correção: o titular de dados pessoais pode requisitar a correção de dados pessoais que sejam incompletos, inexatos ou desatualizados;
Direito de eliminação: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pelo Seconci-SP, salvo se houver um motivo legal para a sua manutenção, como eventual obrigação legal de retenção de dados ou estudo por órgão de pesquisa. Na hipótese de eliminação, o Seconci-SP se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados;
Direito de solicitar a suspensão de tratamento ilícito de dados pessoais: a qualquer momento, o titular de dados pessoais poderá requisitar do Seconci-SP a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Direito de Oposição a um tratamento de dados pessoais: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar ao Seconci-SP uma oposição, que será analisada a partir dos critérios presentes na LGPD;
Direito a portabilidade de dados: o titular de dados pessoais poderá requisitar ao Seconci-SP que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo do Seconci-SP, bem como os limites técnicos de sua infraestrutura;
Direito de revogação do consentimento: o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços. Sendo este o caso, o titular de dados pessoais será informado.

O Seconci-SP reitera o seu compromisso com os direitos dos titulares de dados pessoais à transparência e à informação adequada, destacando o fornecimento de:

Informação das entidades públicas e privadas com as quais o Seconci-SP realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

O Seconci-SP eventualmente poderá solicitar informações adicionais e específicas do titular para auxiliar na confirmação de sua identidade e garantir o seu direito de acessar os seus dados pessoais(ou de exercer os seus outros direitos).

3.9 Deveres para uso de Dados Pessoais

Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de seus trabalhos e atividades no Seconci-SP, comprometendo-se a auxiliar o Seconci-SP a cumprir suas obrigações na implementação de sua estratégia de privacidade e proteção de dados pessoais.

Deveres específicos dos titulares de dados pessoais

Incumbe aos titulares de dados pessoais (devidamente identificado) comunicar ao Seconci-SP sobre quaisquer modificações em seus dados pessoais na sua relação com o Seconci-SP (ex: mudança de endereço). Caso seja necessário o Seconci-SP, poderá solicitar informações adicionais para identificação do titular, visando garantir os direitos e deveres dos titulares.

Deveres específicos dos operadores do Seconci-SP

O compartilhamento de dados pessoais de titulares de dados pessoais entre as unidades do Seconci-SP é permitido, desde que respeitada a sua finalidade e base legal, observado o princípio da necessidade, ficando o tratamento de dados pessoais sempre adstrito ao desenvolvimento de atividades autorizadas pelo Seconci-SP.

Deveres dos agentes de tratamento de dados pessoais do Seconci-SP e terceiros

Não disponibilizar nem garantir acesso aos dados pessoais mantidos pelo Seconci-SP para quaisquer pessoas não autorizadas ou competentes de acordo com as normas do Seconci-SP.
Obter a autorização necessária para o tratamento de dados e ter os documentos necessários que demonstrem a designação de sua competência para a realização da operação de tratamento de dados lícita, nos termos normativos do Seconci-SP.
Cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação publicadas pelo Seconci-SP (e.g. NPC-0027 Política de Segurança da Informação, Norma de Tratamento de Incidente em Segurança da Informação, Políticas de senhas, dentre outras).

Deveres de todos os destinatários desta política:

Todos os destinatários desta Política têm o dever de contatar o Encarregado de dados do Seconci-SP, quando da suspeita ou da ocorrência efetiva das seguintes ações:

Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
Tratamento de dados pessoais sem a autorização por parte do Seconci-SP no escopo das atividades que desenvolve;
Operação de tratamento de dados pessoais que seja realizada em desconformidade com a NPC-0027 Política de Segurança da Informação do Seconci-SP;
Eliminação ou destruição não autorizada pelo Seconci-SP de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações do Seconci-SP ou por ele utilizadas;
Qualquer outra violação desta Política ou de qualquer um dos princípios da proteção de dados dispostos nos itens acima.

3.10 Relação com Terceiros

A LGPD estabelece que a responsabilidade no caso de danos patrimoniais, morais, individuais ou coletivos derivados de violações à legislação de proteção de dados pessoais é solidária, i.e., todos os agentes da cadeia envolvendo o tratamento de dados pessoais podem ser responsabilizados pelos eventuais causados.

Nesse sentido, a possibilidade de o Seconci-SP ser responsabilizado pelas ações de terceiros implica a necessidade de empregar os melhores esforços para verificar, avaliar e garantir que tais terceiros cumpram com as legislações de proteção de dados aplicáveis.

Dessa forma, todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis.
Todos os terceiros devem assinar o Termo de Aceite desta NPC-0027 Política de Segurança da Informação.

3.11 Conformidade com a Lei Geral de Proteção de Dados

Visa garantir o compromisso do Seconci-SP em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados com as seguintes ações:

Produção e disseminação de informações, independente do formato, que descrevam as responsabilidades individuais dos destinatários desta Política no âmbito da privacidade e proteção de dados pessoais;
Fornecimento de treinamentos, orientações e aconselhamentos para os empregados do Seconci-SP e terceiros, incluindo, mas não se limitando a cursos online, workshops, reuniões internas, conversas regulares, palestras, dentre outras iniciativas; comungando conteúdos disponibilizados no formato digital e presencial;
Incorporação de preocupações e cuidados no tratamento de dados pessoais em todas as etapas de suas atividades, incluindo, mas não se limitando a rotinas administrativas, atividades de pesquisa, prestação de serviços, dentre outras;
Identificação a aprofundamento da avaliação dos riscos que podem comprometer o alcance dos objetivos do Seconci-SP na área de privacidade e proteção de dados pessoais; definir, criar e implementar planos de ação e políticas para mitigar os riscos identificados; além de manter uma avaliação contínua dos cenários com vistas a avaliar se as medidas implementadas não requerem novas diretrizes e atitudes.

A partir da entrada em vigor da LGPD, o Encarregado do Seconci-SP, terá como responsabilidades:

Conduzir a Conformidade à LGPD no Seconci-SP, zelando pela sua fiscalização;
Monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis, de acordo com as políticas do Seconci-SP;
Orientar dos destinatários desta Política quanto ao regime de privacidade e proteção de dados pessoais do Seconci-SP;
Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas do Seconci-SP;
Organizar treinamentos sobre proteção de dados pessoais no Seconci-SP;
Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para a ANPD;
Responder às solicitações e reclamações de titulares de dados pessoais cujos dados tenham sido objeto de tratamento pelo Seconci-SP;
Auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo proteção de dados;
Elaborar o relatório de impacto à privacidade e proteção de dados, pareceres técnicos e revisão de documentos no que se refere à proteção de dados;
Treinamento em Segurança de Informações é mandatório para todos os colaboradores;
Assegurar que os colaboradores estejam conscientes da importância da prática da boa segurança nas atividades diárias, e solicitar/providenciar educação e treinamento adequados e apropriados às suas responsabilidades, incluindo aspectos relevantes da legislação, regulamentos, direitos autorais e contratos;

Desenvolver e implementar, em conjunto com a área de Segurança da Informação, programas de capacitação e conscientização dos usuários sobre o uso adequado dos recursos disponibilizados pela empresa e sobre Segurança da Informação;
Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio do Seconci-SP.

3.12 Transferências Internacionais

O Seconci-SP utiliza de serviços de backup em nuvem. Todos estes serviços devem seguir as seguintes regras:

Que somente as transferências Internacionais para backup, necessárias para garantir a continuidade das operações, são aceitas pelo Seconci-SP;
Os fornecedores de backup em nuvem contratados pelo Seconci-SP deverão garantir a conformidade com a LGPD e outros regulamentos aplicáveis, por meio de certificações ou cláusulas contratuais;
Todos os dados transferidos para o serviço de backup na nuvem são criptografados em trânsito e em repouso, utilizando protocolos de segurança robustos;
O Seconci-SP deve ter o registro dos servidores de backup na nuvem utilizados, incluindo informações sobre localizações dos servidores e certificações de conformidade;
O Seconci-SP exige que o provedor realize auditorias regulares para verificar a continuidade da conformidade com os requisitos legais e de segurança;
Qualquer incidente relacionado aos serviços de backup na nuvem será tratado conforme Norma de Tratamento de Incidente em Segurança da Informação, incluindo notificação aos titulares de dados e autoridades, quando aplicável.

3.13 Segurança da Informação

As normas de segurança da informação e prevenção contra incidentes de dados pessoais estão contidas na Política de Segurança da Informação do Seconci-SP e nas normativas internas e documentos correlatos ao tema.

O Seconci-SP reforça o compromisso consubstanciado em sua Política de Segurança da Informação em empregar medidas técnicas e organizacionais adequadas no trato com dados pessoais, e envidar esforços para proteção dos dados pessoais dos titulares de dados pessoais contra acessos não autorizados, perda, destruição, compartilhamento não autorizado, entre outras hipóteses.

3.14 Gestão e Classificação da Informação

A informação é um importante ativo para a operação das atividades institucionais Seconci-SP. Tal como os ativos, a informação deve ser adequadamente manuseada e protegida. O compartilhamento de informações e dados é terminantemente proibido, salvo em casos onde a classificação da informação é pública ou quando uma necessidade de trabalho tiver sido identificada e tal compartilhamento seja necessário. Nesse caso, a atividade deve ter a aprovação prévia do gestor da área responsável.

Toda e qualquer informação, incluindo o proprietário da mesma, deve ser classificada num nível de restrição de acesso (grau ou nível de confidencialidade), conforme a importância para os negócios do Seconci-SP e conforme os padrões de classificação de ativos da informação descritos abaixo:

Informação Confidencial

Informações de caráter estratégico de negócios. A informação confidencial é restringida dentro da organização e protegida de acesso externo. Qualquer perda de confidencialidade poderá causar comprometimento das operações, e resultar em perdas financeiras, de competitividade, de imagem, risco de ações judiciais à empresa e a seus cooperados. Somente poderão ter acesso a essas informações os colaboradores elegíveis pelo Presidente e Diretores da < NOME DA INSTITUIÇÃO >. EX: Atas de reuniões dos diversos conselhos.

Informação Restrita

Informações de caráter restrito e circulação controlada. Divulgada de forma seletiva e mediante o conhecimento e a autorização expressa do proprietário da informação, este tipo de informação é de uso restrito a um grupo de pessoas, área específica, equipes de um projeto etc. Somente poderão ter acesso os gerentes, coordenadores ou colaboradores elegíveis para tomar conhecimento e uso dessas informações. EX: Informações de projetos, processos, decisões de comitês, de grupos de trabalho.

Informação Interna

Informações de conhecimento e circulação interna. A informação de uso interno é tratada como importante e mantida dentro do domínio Seconci-SP, divulgada de forma seletiva e mediante o conhecimento e a autorização expressa do proprietário da informação. Somente os colaboradores ou parceiros de negócio podem ter acesso à informação, desde que seja autorizado o acesso pelo proprietário da mesma ou pelo gestor da área. EX: Comunicados internos, procedimentos e política internas, Códigos de conduta e ética.

Informação Pública

Informações de circulação geral, de conhecimento público. Toda informação que não necessite de sigilo terá livre acesso e não causará qualquer prejuízo para os negócios caso seja divulgada fora do Seconci-SP. EX: Informações divulgadas no site do Seconci-SP.

3.15 Medidas de Segurança Técnicas e Administrativas

Medidas Técnicas

Controle de Acesso

O Seconci-SP defini de níveis de acesso baseados no princípio do menor privilégio, utiliza autenticação multifator (MFA) para acesso a sistemas críticos e possui registros e logs de acessos realizados por usuários.

Proteção de Infraestrutura

O Seconci-SP utiliza firewalls e sistemas de prevenção de intrusão (IPS/IDS). Monitora continuamente o acesso aos seus sites e redes para identificar e mitigar vulnerabilidades.

Gestão de Vulnerabilidades

O Seconci-SP atualiza regularmente os sistemas, aplicativos e dispositivos. Executa anualmente testes de penetração e varreduras periódicas para detecção de falhas.

Backup e Recuperação

O Seconci-SP, realiza backups regulares e sua proteção por criptografia. Executa testes periódicos dos processos de recuperação de desastres.

Monitoramento e Detecção

O Seconci-SP está implantado em 2025 soluções de monitoramento de segurança (SIEM) para identificar atividades anômalas, alarmes e notificações em caso de acessos ou alterações não autorizadas.

Medidas Administrativas

Governança e Políticas Internas

O Seconci-SP possui uma política de segurança da informação e proteção de dados.

Treinamento de Colaboradores

O Seconci-SP iniciou em 2024 capacitações contínuas sobre LGPD e boas práticas de proteção de dados.

Acordos de Confidencialidade

O Seconci-SP possui Termo de Responsabilidade e Confidencialidade para funcionários e terceiros que tratam dados pessoais. Possui cláusulas contratuais específicas para parceiros e fornecedores.

Gestão de Incidentes

O Seconci-SP possui um Plano de resposta a incidentes de segurança. E um canal de comunicação via e-mail: privacidade@seconci-sp.org.br.

Auditorias e Revisões Periódicas

O Seconci-SP possui revisões periódicas das políticas e procedimentos de segurança.

Gerenciamento do Ciclo de Vida dos Dados

O Seconci-SP possui Normas de Segurança que definem processos para coleta, uso, armazenamento e descarte seguro de dados.

3.16 Treinamento

Os destinatários desta Política se comprometem a participar dos treinamentos, workshops, encontros e capacitações propostos pelo Seconci-SP para e ampliação da cultura de proteção de dados pessoais no Seconci-SP.

Os empregados do Seconci-SP cujas funções exigem o tratamento regular a dados pessoais, ou os responsáveis pela implementação desta Política se comprometem a participar de treinamentos adicionais para ajudá-los a entender seus deveres e como cumpri-los.

3.17 Monitoramento

Reitera-se que o Seconci-SP reconhece o seu compromisso em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados, comprometendo-se a manter a Conformidade com a LGPD atualizando com as normas e recomendações emitidas pela ANPD ou outras autoridades competentes.

O Seconci-SP assume o compromisso de revisitar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso permanente do Seconci-SP com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente pelos canais oficiais do Seconci-SP.

3.18 Atualização da Política de Privacidade e Proteção de Dados Pessoais

Sempre que o Seconci-SP entender necessário, a Política de Privacidade poderá sofrer alterações que serão publicadas em nosso site. Essas alterações serão válidas, eficazes e vinculantes após a nova versão ser divulgada em nosso site ou serem comunicadas de qualquer outra forma.

A Política de Privacidade e Proteção de Dados Pessoais é revisitada e atualizada anualmente, ou imediatamente nos casos críticos de alterações / correções dos processos de adequação a LGPD.

Esta Política e todas os outros documentos referentes a Segurança da Informação são gravadas na ferramenta Docnix, que tem como função o armazenamento, controle de versão e también o fluxo de aprovação.

Assim que a política ser aprovada e gravada no Docnix será publicada no site do Seconci-SP e será feito um comunicado aos titulares para que revisitem a Política. Este comunicado será feito através do site do Seconci-SP.

3.19 Contatos

No caso de dúvidas relacionadas com a privacidade, tratamento de dados pessoais e com os direitos que lhe são conferidos pela LGPD e, em especial referidos nesta Política, poderá acionar o Seconci-SP através do

e-mail: privacidade@seconci-sp.org.br.

4. REFERÊNCIAS

LGPD – Lei Geral de Proteção de Dados – 14 de Agosto de 2018
GDPR – General Data Protection Regulation – 25 de Maio de 2018
Lei 12.965 – Marco Civil da Internet – 23 de Abril de 2014
Lei 12.527 – Lei de Acesso a Informação – 18 de Novembro de 2011