A ENERGIÉ SERVIÇOS E GESTÃO NUTRICIONAL EIRELI (“ENERGIÉ NUTRIÇÃO”), pessoa jurídica de direito privado inscrita no CNPJ sob o nº 18.883.888/0001-13 e com endereço postal à Rua Prof. Álvaro Jorge, nº 1009, apt. 52, Curitiba (PR), CEP 80320-040, é uma empresa especializada em atividades profissionais da nutrição. As atividades da ENERGIÉ NUTRIÇÃO envolvem um fluxo considerável de dados pessoais durante o seu relacionamento com colaboradores de clientes corporativos e clientes pessoas físicas. Para a ENERGIÉ NUTRIÇÃO, é muito importante que os seus clientes saibam quando, como, por que e para que os seus dados pessoais são tratados, em estrita conformidade com a Lei nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD). É por essa razão que a ENERGIÉ NUTRIÇÃO elaborou a presente política de privacidade.
Para uma melhor compreensão da presente política de privacidade, é importante esclarecer alguns conceitos básicos relacionados à proteção de dados pessoais:
Controlador: ENERGIÉ SERVIÇOS E GESTÃO NUTRICIONAL EIRELI
CNPJ: 18.883.888/0001-13
Endereço: Rua Prof. Álvaro Jorge, nº 1009, apt. 52, Curitiba (PR), CEP 80320-040
Telefone: +55 41 99236 1370
E-mail: [email protected]
Website do Grupo ENERGIÉ: https://energienutricao.com.br/
Encarregado: Michele Kampf Dierka
E-mail: [email protected]
Se houver qualquer dúvida relativa ao tratamento de dados pessoais realizado pela ENERGIÉ NUTRIÇÃO e/ou se o titular dos dados quiser exercer seus direitos previstos na LGPD, inclusive revogar qualquer consentimento que tenha sido fornecido anteriormente, deve-se entrar em contato com o encarregado por meio dos canais de comunicação indicados acima.
Segundo a legislação brasileira, o tratamento de dados pessoais é permitido apenas se estiver enquadrado em alguma das bases legais previstas na LGPD, dentre as quais o consentimento do titular (art. 7º, I), o cumprimento de obrigação legal ou regulatória (art. 7º, II para dados não sensíveis e art. 11, II, b) para dados pessoais sensíveis), a proteção da vida ou da incolumidade física do titular (art. 7º, VII) e atendimento de interesses legítimos do controlador (art. 7º, IX).
A LGPD também estabelece que as atividades de tratamento devem observar a boa-fé e princípios como finalidade, adequação, necessidade, não discriminação, transparência e segurança (art. 6º). Em resumo, para que possa coletar e processar os dados pessoais, uma empresa deve deixar bem claro (i) qual a finalidade do tratamento desses dados, (ii) se o tratamento desses dados é adequado e necessário para atingir a finalidade prevista, (iii) não utilizar esses dados para fins discriminatórios ilícitos ou abusivos, (iv) tratar esses dados com segurança, evitando acessos não autorizados por terceiros, e (vi) prestar esclarecimentos sempre que requisitado pelo titular dos dados pessoais ou pelas autoridades competentes.
Em linhas gerais, para prestar serviços de atendimento nutricional, a ENERGIÉ NUTRIÇÃO realiza o tratamento de alguns dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas. A ENERGIÉ NUTRIÇÃO coleta e recebe dados pessoais apenas e tão-somente à medida que o tratamento desses dados se mostra adequado e necessário para atingir finalidades legítimas. A tabela abaixo indica a base legal e a finalidade das principais atividades de tratamento de dados realizadas pela ENERGIÉ NUTRIÇÃO quanto a colaboradores de clientes corporativos e clientes pessoas físicas:
Titular do dado | Tipo de dado | Finalidade do trat. | Base legal |
Colaboradores de clientes corporativos e clientes pessoas físicas | Dados de contato (e-mail e telefone particular) | Realização de atendimento nutricional | Art. 7º, V |
Dados de identificação (nome completo, data de nascimento, número do CPF, sexo e número da matrícula na empresa) | Art. 7º, V | ||
Dados sobre saúde (dados antropométricos, histórico de saúde, rotina alimentar e rotina de exercícios físicos) | Art. 11, II, b) (*) |
* O art. 3º, IV, da Resolução nº 594/2019 do Conselho Federal de Nutricionistas considera como informações necessárias para registro em prontuário, pelo nutricionista, aquelas relacionadas à identificação do paciente, à anamnese alimentar e nutricional, à avaliação do estado nutricional, entre outras, de modo que, ao coletar esses dados, o profissional nutricionista cumpre com obrigação regulatória.
Decisões automatizadas sobre dados pessoais correspondem à tomada de decisões através de meios tecnológicos e sem intervenção humana. A inteligência artificial vem ganhando espaço no processamento de dados pessoais, com inúmeras empresas utilizando esse recurso para realizar classificações e definir perfis (“profiling”). De acordo com o art. 20 da LGPD, o titular dos dados tem o direito de solicitar a revisão de decisões automatizadas, inclusive aquelas destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, e o controlador deverá fornecer informações claras e adequadas a respeito dos critérios e procedimentos utilizados para as decisões automatizadas, sempre que for solicitado. A ENERGIÉ NUTRIÇÃO não utiliza processos de decisão automatizada e não emprega qualquer tecnologia para realizar a definição de perfis (“profiling”).
A ENERGIÉ NUTRIÇÃO não compartilha com terceiros dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas. Apenas alguns dados anonimizados, que não estão sujeitos à aplicação da LGPD, são compartilhados com terceiros. Os destinatários incluem os próprios clientes corporativos, que recebem informações estatísticas e epidemiológicas consolidadas para análise dos resultados do programa nutricional, bem como para eventual adoção de medidas preventivas, visando a melhora da qualidade de vida de seus funcionários. Ainda que não estejam sujeitos à aplicação da LGPD, todos os destinatários de dados anonimizados compartilhados pela ENERGIÉ NUTRIÇÃO necessariamente aderem à presente política de privacidade e oferecem os padrões mínimos de segurança e proteção de dados pessoais exigidos pela LGPD.
A LGPD permite a transferência internacional de dados pessoais somente se o destinatário estiver localizado em país que proporcione grau de proteção de dados pessoais adequado ao exigido no Brasil (art. 33, I). Caso contrário, o controlador deverá oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, seja por meio de cláusulas contratuais (art. 33, II), seja mediante obtenção de consentimento específico e destacado do titular dos dados (art. 33, VIII).[8] A ENERGIÉ NUTRIÇÃO não realiza transferência internacional de dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas.
O controlador deve eliminar os dados pessoais sob sua custódia assim que cumprida a finalidade de tratamento (art. 16, caput), podendo armazenar os dados pessoais por período maior apenas para cumprimento de obrigação legal ou regulatória (art. 16, I). A tabela abaixo indica os períodos de retenção aplicados pela ENERGIÉ NUTRIÇÃO para cada tipo de dado pessoal tratado:
Titular | Tipo de dado | Período de retenção | Base legal |
Colaboradores de clientes corporativos e clientes pessoas físicas | Dados de contato | 20 (vinte) anos após o último atendimento | Resolução CFN nº 594/2019, art. 4º, § 1º (*) |
Dados de identificação | |||
Dados sobre saúde |
* A Resolução CFN nº 594/2019 estabelece que a guarda do prontuário do paciente é de responsabilidade do nutricionista (art. 3º, V), e, especificamente quanto aos prontuários eletrônicos, deve-se armazená-los por tempo indeterminado, podendo ser eliminados 20 (vinte) anos após o último registro, “mantendo o meio de armazenamento atualizado de acordo com as novas tecnologias” (art. 3º, VI, b).
A LGPD estabelece que os controladores têm o dever de adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais sob sua custódia de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46, caput). Adicionalmente, os dados pessoais tratados durante o atendimento nutricional são protegidos por sigilo, podendo ser divulgados, de acordo com o art. 3º, IV, da Resolução CFN nº 594/2019, “somente nas hipóteses de autorização do próprio paciente ou do responsável legal, ou ainda em razão de decisão judicial, de acordo com o que rege o Código de Ética do Nutricionista”.
A Autoridade Nacional de Proteção de Dados ainda não estabeleceu os padrões técnicos mínimos para a aplicação do disposto no art. 46 da LGPD. Embora não seja possível garantir proteção absoluta contra todas as ameaças existentes no ambiente virtual, a ENERGIÉ NUTRIÇÃO adota as melhores políticas, mecanismos e procedimentos de segurança cibernética existentes no mercado para proteger os dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas., incluindo controle rigoroso de acesso, criptografia com certificação SSL e registros de eventos (logs) para todo acesso e/ou modificação de arquivos. A ENERGIÉ NUTRIÇÃO também firmou termos de responsabilidade, realizou treinamentos e se compromete a manter sua equipe atualizada sobre as melhores práticas de segurança da informação para proteção de dados pessoais.
______________
[1] LGPD, art. 5º, I.
[2] LGPD, art. 5º, II.
[3] LGPD, art. 5º, X.
[4] LGPD, art. 5º, XII.
[5] LGPD, art. 5º, VI.
[6] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. Brasília, DF: ANPD, mai. 2021, p. 5-6.
[7] LGPD, art. 5º, VIII.
[8] O art. 35 da LGPD estipula que a ANPD definirá o conteúdo de cláusulas padrão, certificados, selos e códigos de conduta sobre a transferência internacional de dados pessoais. Os procedimentos relacionados a esse artigo ainda não foram regulamentados, conforme comunicado publicado no sítio eletrônico da própria ANPD: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/transferencia-internacional-de-dados. Acessado em 7 dez. 2021.