Política de Privacidade e Proteção de Dados Pessoais

A Apae Curitiba está há 60 anos atendendo Pessoas com Deficiência Intelectual ou múltipla e suas famílias. Isso se deve a união da sociedade como um todo, que por meio de suas doações de diversas formas, proporcionam que atendimentos de excelência e qualidade possam ser oferecidos a milhares de pessoas.

Em atendimento à Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), a Apae Curitiba implementa a sua Política de Privacidade e Proteção de Dados Pessoais, viabilizando o cumprimento das exigências legais e reforçando seu compromisso de responsabilidade social perante a comunidade.

Neste documento são expostas as diretrizes definidas pela Política de Privacidade e Proteção dos Dados Pessoais, o que envolve diferentes etapas referentes ao tratamento de dados pessoais de pacientes, familiares, colaboradores, médicos, profissionais de saúde, voluntários, alunos, estudantes, residentes, estagiários, profissionais terceirizados, visitantes, doadores e todos aqueles que porventura tenham seus dados tratados por ocasião das atividades da Apae Curitiba. As etapas de tratamento de dados serão expostas no item 8 (Ciclo de Vida dos Dados Pessoais/Etapas de Tratamento de Dados).

1. GLOSSÁRIO

• Agentes de tratamento: controlador e operador de dados pessoais.
• Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
• Controlador: pessoa física ou jurídica, de direito público ou privado, responsável pela tomada de decisão sobre o tratamento de dados pessoais.
• Dados anonimizados: quaisquer dados pessoais cuja identificação do seu titular seja inviável se considerados os meios técnicos razoáveis e disponíveis.
• Dados pessoais: qualquer informação ou conjunto de informações que permita a identificação de uma pessoa.
• Dados pessoais cadastrais: trata-se de subdivisão adotada nesta Política de Proteção de Dados do Apae Curitiba, a fim de classificar os dados pessoais conforme o seu nível de exposição. Compreende-se por dados pessoais cadastrais aqueles necessários para identificação da pessoa e são considerados como dados de menor exposição. Exemplifica-se: nome, RG, CPF, data de nascimento, nome dos pais ou responsáveis legais.
• Dados pessoais suplementares: também se originam da preocupação do Apae Curitiba com a efetiva proteção dos dados pessoais. Apesar de não haver exigência legal específica nesse sentido, trata-se de cuidado complementar adotado pela instituição, que considera tais dados necessários à execução das atividades prestadas, no entanto esses podem sofrer limitações de acesso interno em razão de seu maior potencial de danos acaso sofram exposições indevidas. São exemplos de dados pessoais suplementares: dados bancários, renda familiar, perfil socioeconômico, endereço residencial ou profissional, telefone, e-mail, entre outros.
• Dados pessoais sensíveis: segundo a LGPD, essa categoria exige mais cuidados. Concentra os dados sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa.
• Encarregado/DPO: é a pessoa indicada pelo controlador (Apae Curitiba) que é responsável pela comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É de responsabilidade do encarregado/DPO: receber comunicações e reclamações dos titulares, devendo responder e adotar as providências adequadas; receber as comunicações da ANPD, adotando as providências necessárias dentro da instituição e conforme as diretivas sobre as medidas necessárias ao cumprimento da LGPD; executar tarefas determinadas pela instituição, que é a controladora de dados pessoais, além daquelas estabelecidas em normas complementares pela ANPD.
• Finalidade: é o objetivo ou o propósito que a instituição deseja alcançar e que justifica os respectivos tratamentos de dados pessoais dentro do seu legítimo interesse. Segundo a literatura mais moderna sobre proteção de dados pessoais, autoriza-se o tratamento do dado pessoal dentro do contexto da sua coleta, compreendendo-se, a partir disso, a extensão sobre o uso legítimo do dado pessoal tratado pela instituição.
• LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).
• Operador: é todo aquele que realiza o tratamento de dados pessoais em nome do controlador.
• Termo de consentimento: documento assinado pelos titulares ou responsáveis legais que expressam a sua livre manifestação e aceite sobre o tratamento de seus dados pessoais para uma finalidade determinada, ou então para consecução de atividades desempenhadas pela instituição que pressuponham o tratamento de dados pessoais. Nem todos os tratamentos de dados relacionados ao tratamento de saúde necessitam de prévio termo de consentimento: para a proteção da vida ou da integridade física do titular ou de terceiros e para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária não é necessária a assinatura de termo de consentimento.
• Titular do dado pessoal: pessoa a quem o dado pessoal pertence.
• Tratamento de dados pessoais: é toda operação realizada com dados pessoais, que pode referir-se a diferentes processos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados.

2. ESCOPO

O presente documento tem por escopo estabelecer a Política de Privacidade e Proteção de Dados Pessoais, com as diretrizes adotadas pelo Apae Curitiba no que diz respeito ao tratamento de dados pessoais.

As presentes diretivas decorrem da revisão de operações e da consolidação de fluxos de tratamento de dados para as atividades pertinentes ao Apae Curitiba. Em conformidade com os regramentos atualmente existentes são consolidados fluxos que prezam pela privacidade, proteção e segurança de dados pessoais, o que engloba, respectivamente, o respeito à autodeterminação informativa, o uso adequado dentro do contexto e da finalidade institucional, como também a minimização de riscos e a pronta verificação em caso de incidentes de segurança da informação.

3. DESTINATÁRIOS

Todos os colaboradores, médicos, profissionais de saúde, profissionais terceirizados (pessoas físicas e jurídicas), estudantes, residentes, estagiários, entre outros, que, em qualquer situação, atuem para ou em nome do Apae Curitiba em atividades que envolvam o tratamento de dados pessoais; rede de voluntários e doadores; e titulares de dados pessoais, juntamente com seus representantes legais, familiares e visitantes.

4. OBJETIVOS

A presente Política de Privacidade e Proteção de Dados Pessoais tem como objetivos:

• Estabelecer diretrizes e responsabilidades que assegurem e reforcem o compromisso do Apae Curitiba com o cumprimento da legislação de proteção de dados pessoais no âmbito de sua atividade;
• Descrever os princípios e as regras sobre os fluxos adequados ao tratamento de dados pessoais de pacientes, acompanhantes, visitantes, colaboradores, voluntários, profissionais terceirizados, doadores e demais pessoas que eventualmente tenham seus dados tratados institucionalmente à luz da LGPD;
• Reafirmar os princípios e regras relacionados à presente Política de Privacidade e Proteção de Dados Pessoais como norma institucional, a ser obrigatoriamente seguida pelos destinatários desta política, garantindo-se a conformidade das práticas do Apae Curitiba às normas de privacidade e proteção de dados pessoais;
• Orientar a realização de avaliação e atualização periódicas de todos os documentos que envolvam o tratamento de dados pessoais no Apae Curitiba com a finalidade de manter o tratamento de dados realizado pelos setores em perfeita consonância com as regras e melhores práticas pertinentes à matéria.

Quando aplicável, a presente política deverá ser lida em conjunto com as obrigações previstas nos seguintes documentos que versam sobre dados em geral:

• Contratos de trabalho dos colaboradores e outros documentos comparáveis;
• Políticas e normas de procedimentos de segurança da informação, termos e condições de uso que tratem sobre confidencialidade, integridade e disponibilidade das informações da instituição;
• Todas as normas internas a respeito da proteção de dados pessoais que vierem a ser elaboradas e atualizadas;
  • termos/cláusulas de consentimento.

5. PREMISSAS PARA O TRATAMENTO DE DADOS PESSOAIS E DE DADOS PESSOAIS SENSÍVEIS

O tratamento de dados pessoais no Apae Curitiba é realizado em conformidade ao contexto da sua coleta, que pode ocorrer: a) a partir do atendimento à saúde do paciente e da sua relação com acompanhantes, familiares e toda a rede de colaboradores e prestadores de serviços; b) a partir de protocolos de pesquisa da qual a pessoa seja participante; c) a partir de vínculo contratual no que se refere à prestação de atividades educacionais; d) a partir do cadastro em alguma ação de doação; e) a partir do início de ação de voluntariado; f) a partir de cadastro no site ou de alguma ação da qual tenha participado e que tenha consentido com o fornecimento de dados pessoais.

A prestação de serviços oferecida pela instituição atrai não apenas o consentimento do usuário dentro das hipóteses legais, mas também caracteriza o seu legítimo interesse para tratá-lo adequadamente, sempre observando a atual legislação de proteção de dados pessoais, em conformidade aos princípios que regem a matéria e com os requisitos de
segurança da informação.

O Apae Curitiba também se compromete a promover a realização periódica de avaliações de seus procedimentos internos, observando-se a finalidade de cada etapa de tratamento de dados, com o intuito de salvaguardar o minucioso cumprimento das normas de integridade relacionadas à instituição.

Além disso, o compromisso com a presente Política de Privacidade e Proteção de Dados decorre da ciência do Apae Curitiba de que, pela própria natureza da atividade Apae Curitiba de alta complexidade por ele desempenhada, que também o elevou como uma instituição de ensino e de pesquisa de excelência, muitos dos dados coletados e retidos são – nos termos do art. 5º, inciso II, da LGPD – dados pessoais sensíveis.

Essa classe de dados pessoais se diferencia de outras categorias de dados, assim classificados como cadastrais ou suplementares, em virtude de representarem riscos mais altos de exposição, inclusive de eventuais vieses discriminatórios, que possam comprometer a autodeterminação informativa do seu titular.

Ademais, conforme disposto no art. 14 da LGPD, o tratamento de dados pessoais de crianças e adolescentes demanda cuidados específicos, notadamente quanto às hipóteses e critérios que abrangem a responsabilidade de pelo menos um dos pais ou dos responsáveis legais, como também a exigência de manter a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos que compreendem a Política de Privacidade e Proteção de Dados Pessoais da instituição.

Dessa forma, o tratamento de dados pessoais será realizado sob as seguintes condições:

• Mediante termo de consentimento do titular de dados ou de seu responsável legal, a depender da situação definida nas regras setoriais.
• Para o cumprimento de obrigação legal ou regulatória.
• Para a realização de estudos por órgãos de pesquisa que contenham dados pessoais identificados ou identificáveis quando assim autorizado.
• Para a tutela da saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária, que sejam de atribuição da instituição.
• Para atender aos interesses legítimos do Apae Curitiba ou de terceiros.

Destaca-se, ainda, que existem hipóteses que não dependem, em nenhuma circunstância, da manifestação de interesse, consentimento ou autorização da parte atingida. São elas:

• Por cumprimento de obrigação legal.
• No caso de exercício regular do direito em processo judicial ou extrajudicial.
• Para a proteção da vida ou da incolumidade física do titular de dados pessoais em casos de emergência.
• Para a realização de pesquisas e estudos médico-científicos anonimizados, que são condicionados a hipóteses específicas de estatística e critérios de autorização em conformidade com as competências especificamente definidas pela alta direção.

Ressalva-se que, segundo o artigo 14 da Lei nº 13.709/2018, o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse.

Para tanto, os pais ou responsáveis legais devem ser informados, no momento da assinatura dos documentos de autorização dos procedimentos/prestação de serviço, sobre o consentimento que também estão dando para o tratamento de dados pessoais decorrentes de tais documentos.

Quando se tratar de adolescente (maior de 12 anos), sempre que possível, ele também deve estar ciente e ser orientado sobre o tratamento de dados pessoais realizado pela instituição.

Quando não houver possibilidade de consentimento, notadamente em casos de emergência, deve-se buscar suprir a ausência de documentos que respaldem o atendimento tão logo seja viável o contato com os pais ou responsável legal, como também com o titular do dado, de forma lúcida e consciente.

Por fim, o Apae Curitiba assegura o registro e a integridade de todos os atos de tratamento de dados, a fim de oferecer aos titulares e aos seus respectivos  representantes devidamente legitimados o acesso facilitado aos dados pessoais coletados e retidos, conforme o princípio do livre acesso.

6. PRINCÍPIOS DE PRIVACIDADE E DE PROTEÇÃO DE DADOS PESSOAIS

O Apae Curitiba adota os seguintes princípios (art. 6º, LGPD) para a formulação da presente Política de Privacidade e Proteção de Dados Pessoais:

• Finalidade: o Apae Curitiba realizará a coleta e o tratamento de dados pessoais apenas com propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais e seu representante legal, comprometendo-se a tratá-los de modo adequado às referidas finalidades sem desvirtuá-las.
• Adequação: o tratamento de dados pessoais será adequado às finalidades apresentadas ao titular de dados, de acordo com as necessidades detectadas ao longo e no contexto da prestação de serviços de responsabilidade da instituição.
• Necessidade: os dados pessoais serão estipulados de acordo com o mínimo necessário à prestação de serviço Apae Curitibaar, de ensino ou de pesquisa, bem como para execução de doações, de forma adequada e favorável para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
• Livre acesso: o Apae Curitiba compromete-se a proporcionar consulta facilitada e gratuita ao titular de dados pessoais ou responsável legal, para que se obtenha acesso às informações retidas pela instituição, bem como seja esclarecido sobre a forma de tratamento de dados definida em sua Política de Privacidade e Proteção de Dados Pessoais.
• Qualidade dos dados: o Apae Curitiba garante o tratamento de dados com exatidão, clareza, precisão e atualidade, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento, sendo passível de retificação ou complementação, a critério do titular do dado pessoal, em qualquer tempo, mediante solicitação fundamentada.
• Transparência: o Apae Curitiba garante aos titulares de dados pessoais e aos seus representantes legais a precisão, a clareza e a facilidade de acesso ao que diz respeito aos dados tratados e à respectiva Política de Privacidade e Proteção de Dados Pessoais.
• Segurança: o Apae Curitiba adotará regras de conduta aptas a prevenir e, se necessário, identificar e responsabilizar, com prontidão, qualquer hipótese que ameace a Política de Privacidade e Proteção de Dados Pessoais, na qualidade de incidente de segurança, o que inclui a proteção de acessos excessivos ou não autorizados, como também de eventos acidentais ou de ilícitos de destruição, perda, alteração indevida, comunicação ou difusão não autorizada de dados pessoais sob responsabilidade da instituição.
• Prevenção: o Apae Curitiba adotará regras de conduta em prol do tratamento de dados pessoais com o objetivo de assegurar a privacidade, proteção e segurança de dados pessoais, o que engloba, respectivamente, as práticas preventivas em prol da não vulneração à autodeterminação informativa, ao uso adequado dentro do contexto e da finalidade institucional, como também a minimização de riscos e protocolos de incidentes de segurança.
• Não discriminação: o Apae Curitiba adotará regras de conduta para o tratamento de dados pessoais voltados à garantia de não utilização dos dados pessoais retidos para fins discriminatórios e/ou abusivos.
• Responsabilização: o Apae Curitiba compromete-se a garantir a adoção de medidas eficientes e capazes que sejam adequadas às respectivas normas reguladoras e à Política de Privacidade e Proteção de Dados Pessoais, a fim de rastrear, identificar e corrigir, com prontidão, eventuais descumprimentos das regras institucionais.
• Prestação de contas: o Apae Curitiba, sempre que possível, adota práticas por meio de rotinas operacionais com critérios de rastreabilidade e de monitoramento passo a passo do dado, mediante técnicas denominadas de privacy by design e privacy by default, aptas à prestação de contas e condições de responsabilização na hipótese de desvio do dado tratado no âmbito da instituição.

7. DIREITOS DOS TITULARES DE DADOS PESSOAIS

Reforçando o compromisso de transparência e respeito para com seus pacientes, familiares, colaboradores, médicos, profissionais de saúde, voluntários, alunos, estudantes, residentes, estagiários, profissionais terceirizados, visitantes, doadores e todos aqueles que porventura tenham seus dados tratados por ocasião da atividade do Apae Curitiba, e em observância ao princípio do livre acesso (art. 9º, LGPD), assegura-se o respeito aos seguintes direitos dos titulares de dados pessoais:

• Direito à verificação de existência de tratamento de dados pessoais: o titular de dados pessoais ou seu representante legal pode buscar, no Apae Curitiba, a confirmação da existência ou não de tratamento de dados pessoais do titular. O pedido é condicionado à análise e à resposta do encarregado/DPO em prazo hábil.
• Direito de livre acesso: o titular de dados pessoais ou seu representante legal tem o direito de requerer cópia dos dados pessoais coletados e mantidos pelo Apae Curitiba, bem como informações relativas ao tratamento desses dados, ressalvadas hipóteses condicionadas à autorização judicial ou com dúvida sobre a legitimidade da parte requerente.
• Direito de correção e atualização: o titular de dados pessoais ou seu representante legal pode requerer ao Apae Curitiba eventual alteração/correção de dados pessoais incompletos, incorretos, desatualizados ou inexatos, de forma fundamentada, que será analisada e respondida pela instituição em prazo hábil.
• Direito de eliminação: o titular de dados pessoais ou seu representante legal detém o direito à requisição de cessação de tratamento de dados e eliminação de seus dados pessoais pelo Apae Curitiba, desde que não ocorra a violação de nenhuma norma legal ou regulatória. A instituição se reserva ao direito de adotar unilateralmente o método de exclusão dos dados pessoais, garantindo-se a segurança do meio e a absoluta impossibilidade de recuperação das informações, nas hipóteses previstas nas respectivas regras setoriais.
• Direito à suspensão de tratamento ilícito de dados pessoais: em qualquer momento, o titular de dados pessoais ou seu representante legal poderá requisitar a anonimização, bloqueio ou eliminação que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com a LGPD, mediante apresentação de documento idôneo e segundo as orientações das regras de cada setor.
• Direito à oposição ao tratamento de dados pessoais: o titular dos dados ou o seu representante legal tem a possibilidade de apresentar ao Apae Curitiba oposição a determinado tratamento de dado pessoal, cujo pedido será apreciado e respondido de forma fundamentada, o que ocorrerá à luz da LGPD e dos princípios gerais de privacidade e de tratamento de dados pessoais.
• Direito à portabilidade dos dados: o Apae Curitiba garante a disponibilização dos dados pessoais retidos para outros fornecedores de produtos ou serviços somente quando se tratar de informação exigida por força de lei, contrato ou a requerimento do titular ou de seu representante legal, desde que garantida a privacidade, o segredo comercial e industrial da instituição, como também o melhor interesse da criança ou do adolescente.
• Direito à revogação do consentimento: ao titular de dados pessoais e ao seu representante legal é garantido o direito de revogação do consentimento. Contudo, ressalva-se que todos os atos correspondentes ao tratamento de dados realizados anteriormente à revogação não serão atingidos por ela. As consequências relativas ao prosseguimento da revogação do consentimento serão informadas ao requerente. A revogação do consentimento também se enquadra nas regras do melhor interesse da criança e do adolescente.

8. CICLO DE VIDA DOS DADOS PESSOAIS/ETAPA DE TRATAMENTO DE DADOS

Considerando as atividades e serviços prestados no âmbito Apae Curitiba, considera-se que o fluxo das informações pessoais dentro da instituição percorre o seguinte percurso: coleta, retenção, tratamento, compartilhamento, transferência internacional de dados e, por fim, eliminação.

8.1. COLETA DE DADOS PESSOAIS

O Apae Curitiba declara que são coletados apenas os dados necessários para a prestação de seus serviços e para manter a excelência de seu atendimento, mostrando-se adequado às normas legais vigentes no que se refere à proteção de dados pessoais. Os dados pessoais podem ser fornecidos por meio de formulário eletrônico ou mediante prestação direta de informações na própria sede física do Apae Curitiba.

8.2. RETENÇÃO DOS DADOS PESSOAIS

A retenção dos dados pessoais é realizada mediante o uso de documentos físicos, sistemas informatizados e em rede interna de computadores. Os computadores e servidores da instituição contêm antivírus e firewalls, os quais são atualizados periodicamente, com o objetivo de fortalecer a proteção e segurança dos dispositivos que armazenam e acessam informações pessoais.

O acesso aos dados retidos é efetuado de forma limitada e controlada, o que previne consideravelmente eventuais incidentes de segurança envolvendo informações pessoais.

8.3. TRATAMENTO DE DADOS PESSOAIS

O Apae Curitiba assegura a gestão dos dados de maneira integrada por todos os profissionais que contribuem com o atendimento aos clientes, a depender da necessidade destes e segundo as melhores práticas em proteção de dados pessoais.

Nesse sentido, a instituição coletará dados de natureza cadastral, suplementar e sensível, nos termos desta Política de Privacidade e Proteção de Dados Pessoais.

8.4. COMPARTILHAMENTO DOS DADOS PESSOAIS

Os dados pessoais coletados e tratados poderão ser compartilhados entre os setores do Apae Curitiba, sempre conforme a finalidade da sua coleta e restringindo-se aos profissionais que deles necessitem, a fim de proporcionar, direta ou indiretamente, a prestação de serviços integrados de saúde.

Em âmbito externo, as informações pessoais coletadas poderão ser compartilhadas com organizações e entidades que atuem conjuntamente à instituição, como laboratórios, empresas de armazenamento e segurança da informação, conselhos de classes, instituições médicas e de ensino, operadoras de planos de saúde e/ou odontológicas, órgãos públicos e outras, a depender da necessidade e sempre observando os critérios legais e regulamentares.

Em qualquer hipótese, será exigido que tais organizações se submetam aos termos dispostos na presente Política de Privacidade e Proteção de Dados Pessoais e/ou certificação de parâmetros internacionais de segurança da informação.

Ainda, os dados poderão ser transmitidos a terceiros, por força legal, dispensando-se a manifestação de interesse, anuência ou autorização, quais sejam: a) no caso do exercício regular do direito; b) no cumprimento de obrigações legais/ordens judiciais; ou c) para responder a solicitações de autoridades públicas ou governamentais.

8.5. TRANSFERÊNCIA INTERNACIONAL DE DADOS

O Apae Curitiba informa que a custódia das informações pessoais pode ser realizada em bancos de dados localizados fora do município, estado ou país, ressalvando, contudo, que assegura o mesmo nível de proteção firmado na presente Política de Privacidade e Proteção de Dados Pessoais.

Em todas as hipóteses de compartilhamento internacional, é assegurada a tomada de todas as medidas possíveis e necessárias para garantir transferência confiável e segura dos dados, a partir da presente Política de Privacidade e Proteção de Dados, além da legislação e das diretrizes vigentes relativas à proteção de dados pessoais, com adstrição à mesma finalidade da coleta e absoluto respeito ao titular.

8.6. ELIMINAÇÃO DE DADOS PESSOAIS

Os dados são conservados pelo período estritamente necessário para cada uma das finalidades descritas acima e/ou de acordo com prazos legais vigentes. Em caso de litígio pendente, os dados podem ser conservados até trânsito em julgado da decisão.

Especificamente em relação aos dados pessoais contidos nos prontuários médicos, o período legal de armazenamento é de 20 anos a partir do último registro, conforme disposto no art. 6º da Lei nº 13.787/2018, que também atende às exigências do artigo 10, inciso I, da Lei nº 8.069/1990 (Estatuto da Criança e do Adolescente).

Os demais dados pessoais poderão ser eliminados em prazo inferior, a ser padronizado pela instituição, a depender da necessidade e do setor responsável, sempre observado o melhor interesse da criança e do adolescente.

O processo de eliminação de dados armazenados em meio eletrônico ou físico garantirá a supressão completa do conjunto de dados, impossibilitando a conexão com outros fragmentos de informações que permitam a identificação do titular, e ainda a irrastreabilidade do titular dos dados por qualquer forma.

O titular de dados pessoais ou seu representante legal detém o direito à requisição de cessação de tratamento de dados e eliminação de seus dados pessoais pelo Apae Curitiba, desde que não ocorra a violação de nenhuma norma legal ou regulatória.

9. SITE INSTITUCIONAL

Para aprimorar a experiência nos sites das unidades do Apae Curitiba, alguns dados pessoais podem ser coletados. Isso pode ocorrer quando o usuário os submete por meio de um formulário eletrônico ou interage com ambientes e serviços institucionais, possibilitando receber informações ou contato das equipes, bem como fazer doação para um dos programas e projetos do Apae Curitiba.

A instituição poderá coletar dados pessoais, dependendo de como a relação se desenvolverá. São eles:

• Dados de identificação, como o nome, RG, CPF, gênero, entre outros;
• Informações que auxiliem contato, como endereço residencial, CEP, telefone fixo ou celular e e-mail;
• Informações financeiras, como número do cartão de crédito;
• Informações comportamentais, como perfil de engajamento, hábitos e motivações, entre outros;
• Atributos associados aos dispositivos eletrônicos, como provedor de acesso, sistema operacional, navegador (tipo, versão, opções habilitadas e plug), configurações de vídeo (tamanho/resolução e quantidade de cores), data e hora do acesso, páginas vistas, dados de geolocalização e cookies; e
• Informações disponíveis em bases públicas e on-line.

Dados adicionais poderão ser coletados para validação de alguns procedimentos de contato, garantindo que os dados pessoais coletados sejam os estritamente necessários, precisos e completos para as finalidades descritas na sequência desta política.

Não é necessário qualquer dado pessoal adicional para que o Apae Curitiba retorne o contato, mas, caso o usuário forneça, estará consentindo com a coleta dessas  informações de forma livre e espontânea. Lembrando que o Apae Curitiba garante que os dados pessoais tratados são os mínimos necessários para atingir as finalidades propostas.

Somente ocorrerá coleta, tratamento ou processamento de dados de crianças e adolescentes encaminhados via site dentro das hipóteses legais e/ou quando houver consentimento de ao menos um dos pais ou do responsável legal.

Por fim, o Apae Curitiba não trata dados de organizações criminosas, que façam apologia a crimes ou regimes autocráticos, ou que promovam qualquer tipo de discriminação de um ser humano.

A instituição coleta cookies* (pequenos fragmentos de informações armazenados no computador) para verificar quem o usuário é. A pessoa pode confirmar o que são cookies e quais são utilizados pelo Apae Curitiba acessando diretamente a Política de Cookies.

Além do uso de cookies para rastreamento baseado em sessões para identificar indivíduos, vários outros mecanismos de rastreamento estão disponíveis. Isso inclui ferramentas baseadas em cache, para identificar instâncias do navegador e determinar os sites visitados anteriormente pelo uso de vários caches (cache da web, cache de DNS ou cache operacional).

Um identificador único também pode ser usado para monitorar a atividade no site. Esse identificador pode consistir em um ou mais valores que possam ser lidos pelo serviço da web quando o titular navegar no site.

Dessa forma, o titular pode ser rastreado em vários sites diferentes, pertencentes a entidades diferentes, o que não é diretamente possível com cookies, como rede e localização, o próprio dispositivo, instância do sistema operacional e versão do navegador.

O usuário pode bloquear a coleta desses dados utilizando a funcionalidade de navegação privada ou anônima disponível no seu navegador. É importante alertar que a utilização do modo privado ou anônimo pode não garantir o correto funcionamento do site.

Em caso de acesso ao site, o titular será rastreado por meio de uma ferramenta de UTM (Urchin Tracking Module). É um código que identifica o tráfego e encaminha esses dados de navegação para os colaboradores da instituição analisarem de onde chegam os acessos às plataformas institucionais – se por meio de leads em redes sociais ou direcionados por apoiadores ou parceiros.

Além disso, ao acessar campanhas e plataformas que disponibilizem meios de formalizar uma doação ao Apae Curitiba, o titular é redirecionado ao site doepequenoprincipe.org.br, no qual são utilizados pixels de rastreamento do acesso de cada titular aos respectivos links das campanhas, de forma a possibilitar a análise de conversões de alcance das campanhas.

10. ORIENTAÇÕES GERAIS

O Apae Curitiba assegura que os dados são armazenados em sistemas operacionais seguros e não acessíveis ao público. Ao mesmo tempo existe política interna de acesso que diferencia níveis de conhecimento de informações tratadas no âmbito institucional conforme a necessidade de uso.

Por maiores que sejam os esforços para proteger a privacidade e a segurança da informação, qualquer local ou sistema operacional está sujeito a algum risco de uso não autorizado de contas, falha de hardware ou de software, bem como outros fatores que comprometam a segurança. Consequentemente, o Apae Curitiba, como também seus parceiros, terceiros e provedores de serviço não garantem que as informações pessoais não possam sofrer invasões de “hackers” ou qualquer outra hipótese de malversação do dado.

Todavia, asseguram-se mecanismos de identificação, rastreabilidade e responsabilização em casos de incidentes de segurança. No mesmo sentido, caso o usuário identifique ou tome conhecimento de algo que ocasione suspeita ou comprometa a segurança dos dados pessoais, deve entrar em contato com o canal responsável e publicado no site institucional: [email protected].

A comunicação interna utilizada entre os gestores e colaboradores da instituição e usuários deve ocorrer pelos meios oficiais. Fomenta-se a utilização dos sistemas informatizados, e-mails corporativos e rede interna de computadores do Apae Curitiba, dentro de um ambiente de cultura digital e segura, restringindo-se outros contatos mediante uso de ferramentas pessoais para hipóteses restritas e emergenciais.

Portanto, a instituição desestimula o uso de aparelhos pessoais para fins profissionais e recomenda a constante revisão das rotinas dos setores, que devem ser condicionadas à revisão de políticas internas, a fim de minimizar riscos de mau uso ou que tragam fatores de vulnerabilidade para eventuais incidentes de segurança da informação.

Na hipótese de utilização do meio informal de comunicação, o que inclui aplicativos de mensagens, aparelhos pessoais de computador ou de telefone, observa-se que, assim que ele cumprir seu objeto e suprir a finalidade emergencial para a qual tenha sido utilizado, os dados compartilhados deverão ser direcionados para os setores pertinentes, quando necessário seu registro, e posteriormente eliminados de quaisquer outros meios não oficiais que tenham sido utilizados.

O Apae Curitiba veda terminantemente aos profissionais de saúde ou estudantes que possuam acesso aos pacientes e suas informações pessoais qualquer tipo de uso e compartilhamento indevido de dados pessoais.

Qualquer repasse de fotos, áudios e/ou documentos a respeito da condição de pacientes, que não guardem correlação com a estrita finalidade de tratamento Apae Curitibaar em caráter de urgência, será passível de investigação interna sob procedimento administrativo, a fim de que todas as medidas para responsabilização do agente e eventuais sanções sejam tomadas.

Especialmente no caso de estudantes, caso se verifique a conduta de compartilhamento indevido de dados de pacientes nos moldes acima descritos, desde logo se assegura que a instituição de ensino a que o aluno se filie será informada do procedimento administrativo interno e das sanções determinadas pelo Apae Curitiba, com o objetivo de proporcionar eventual responsabilização e sanção em âmbito acadêmico.

Em qualquer hipótese de compartilhamento indevido e/ou desvio de dados pessoais de pacientes e/ou responsáveis legais, afora as providências administrativas de natureza interna, não há prejuízo das medidas cíveis e penais cabíveis.

11. RECLAMAÇÕES, DÚVIDAS E INTERVENÇÕES POR INCIDENTE DE SEGURANÇA

Compete ao encarregado/DPO atuar proativamente para fomentar uma cultura de proteção de dados pessoais, revisar e propor alterações nas rotinas operacionais, verificar contratos e parceiros externos, receber sugestões e reclamações, responder a requerimentos e orientar em caso de dúvidas sobre aplicação da LGPD.

Diante de suspeita de incidente de segurança da informação, deve ser também prontamente comunicado o encarregado/DPO e o setor de Tecnologia da Informação para que avaliem os riscos de prejuízo e comuniquem o fato às autoridades, notadamente para a Autoridade Nacional de Proteção de Dados, em cumprimento à Lei nº 13.709/2018.

Ato contínuo, deve ser realizada a revisão crítica sobre o ocorrido com relatório de avaliação sobre possíveis mudanças operacionais para aperfeiçoamento da segurança da informação.

Em caso de dúvida ou solicitação de informações sobre dados pessoais, é preciso entrar em contato com a instituição pelo e-mail [email protected].

O encarregado/DPO, que é a pessoa responsável pela comunicação entre o Apae Curitiba, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), analisará as solicitações e responderá em tempo hábil.

Esclarece-se que a legislação franqueia ao titular de dados pessoais a possibilidade de apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD).

12. ATUALIZAÇÕES

Esta política poderá ser adequada em qualquer momento para atender a alterações legislativas, exigências de órgãos regulatórios ou necessidades operacionais, notificando-se o titular do dado pessoal ou representante legal sobre as modificações que impliquem alterações da Política de Privacidade e de Proteção de Dados Pessoais a seu respeito.

Qualquer cláusula ou condição desta política que, por qualquer razão, venha a ser reputada nula ou ineficaz por qualquer juízo ou tribunal não afetará a validade das demais disposições, as quais permanecerão plenamente válidas, gerando efeitos em sua integral extensão.

Qualquer discussão envolvendo a presente Política de Privacidade e de Proteção de Dados Pessoais será resolvida no foro central da comarca da região metropolitana de Curitiba/PR.