Colaboradores de clientes corporativos e clientes pessoas físicas
Versão 1.0 – Curitiba (PR), 4 de abril de 2022
A ENERGIÉ SERVIÇOS E GESTÃO NUTRICIONAL EIRELI (“ENERGIÉ NUTRIÇÃO”), pessoa jurídica de direito privado inscrita no CNPJ sob o nº 18.883.888/0001-13 e com endereço postal à Rua Prof. Álvaro Jorge, nº 1009, apt. 52, Curitiba (PR), CEP 80320-040, é uma empresa especializada em atividades profissionais da nutrição. As atividades da ENERGIÉ NUTRIÇÃO envolvem um fluxo considerável de dados pessoais durante o seu relacionamento com colaboradores de clientes corporativos e clientes pessoas físicas. Para a ENERGIÉ NUTRIÇÃO, é muito importante que os seus clientes saibam quando, como, por que e para que os seus dados pessoais são tratados, em estrita conformidade com a Lei nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD). É por essa razão que a ENERGIÉ NUTRIÇÃO elaborou a presente política de privacidade.
1. CONCEITOS BÁSICOS
Para uma melhor compreensão da presente política de privacidade, é importante esclarecer alguns conceitos básicos relacionados à proteção de dados pessoais:
- DADO PESSOAL = toda informação relativa a uma pessoa natural (ou seja, empresas não possuem dados pessoais) que seja identificada ou identificável (titular dos dados);[1] trata-se de toda informação por meio da qual se identifica diretamente uma pessoa (g., nome completo, número do CPF, endereço de e-mail etc.) ou informação que, de forma isolada, não é imediatamente associável a uma pessoa, mas que permite, mediante o cruzamento com outras informações, identificar a quem exatamente ela se refere.
- DADO PESSOAL SENSÍVEL = “dado pessoal sobre origem racial ou étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”,[2] e todo e qualquer dado pessoal que esteja sujeito a potencial utilização discriminatória.
- TRATAMENTO (de dados pessoais) = toda operação efetuada sobre dados pessoais,[3] por meios automatizados ou não, entre as quais se incluem coleta, recepção, classificação, utilização, acesso, processamento, arquivamento, armazenamento, eliminação, modificação e transferência de informações sobre pessoa natural identificada ou identificável.
- CONSENTIMENTO = manifestação livre, informada e inequívoca por meio da qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada.[4] O consentimento pode ser fornecido por escrito (g., assinatura em cláusula contratual destacada) ou por outros meios (e.g., ligação telefônica, mensagem de WhatsApp, e-mail etc.), desde que não seja uma autorização genérica, sem especificar a finalidade do tratamento dos dados.
- CONTROLADOR (de dados pessoais) = pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais;[5] no contexto de uma pessoa jurídica, a organização é o agente de tratamento, devendo ser considerada a partir de seu caráter institucional, ou seja, não são considerados controladores (autônomos ou conjuntos) ou operadores de dados pessoais os indivíduos subordinados, tais como os funcionários ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento;[6] será considerada como controladora a empresa ou a organização como um todo.
- ENCARREGADO = pessoa indicada pelo controlador dos dados pessoais para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.[7] O encarregado poderá ser contatado a respeito de qualquer assunto relativo à proteção dos dados pessoais tratados pelo controlador.
2. DADOS DO CONTROLADOR E DO ENCARREGADO
Controlador: ENERGIÉ SERVIÇOS E GESTÃO NUTRICIONAL EIRELI
CNPJ: 18.883.888/0001-13
Endereço: Rua Prof. Álvaro Jorge, nº 1009, apt. 52, Curitiba (PR), CEP 80320-040
Telefone: +55 41 99236 1370
E-mail: [email protected]
Website do Grupo ENERGIÉ: https://energienutricao.com.br/
Encarregado: Michele Kampf Dierka
E-mail: [email protected]
Se houver qualquer dúvida relativa ao tratamento de dados pessoais realizado pela ENERGIÉ NUTRIÇÃO e/ou se o titular dos dados quiser exercer seus direitos previstos na LGPD, inclusive revogar qualquer consentimento que tenha sido fornecido anteriormente, deve-se entrar em contato com o encarregado por meio dos canais de comunicação indicados acima.
3. BASE LEGAL PARA O TRATAMENTO DE DADOS PESSOAIS
Segundo a legislação brasileira, o tratamento de dados pessoais é permitido apenas se estiver enquadrado em alguma das bases legais previstas na LGPD, dentre as quais o consentimento do titular (art. 7º, I), o cumprimento de obrigação legal ou regulatória (art. 7º, II para dados não sensíveis e art. 11, II, b) para dados pessoais sensíveis), a proteção da vida ou da incolumidade física do titular (art. 7º, VII) e atendimento de interesses legítimos do controlador (art. 7º, IX).
A LGPD também estabelece que as atividades de tratamento devem observar a boa-fé e princípios como finalidade, adequação, necessidade, não discriminação, transparência e segurança (art. 6º). Em resumo, para que possa coletar e processar os dados pessoais, uma empresa deve deixar bem claro (i) qual a finalidade do tratamento desses dados, (ii) se o tratamento desses dados é adequado e necessário para atingir a finalidade prevista, (iii) não utilizar esses dados para fins discriminatórios ilícitos ou abusivos, (iv) tratar esses dados com segurança, evitando acessos não autorizados por terceiros, e (vi) prestar esclarecimentos sempre que requisitado pelo titular dos dados pessoais ou pelas autoridades competentes.
Em linhas gerais, para prestar serviços de atendimento nutricional, a ENERGIÉ NUTRIÇÃO realiza o tratamento de alguns dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas. A ENERGIÉ NUTRIÇÃO coleta e recebe dados pessoais apenas e tão-somente à medida que o tratamento desses dados se mostra adequado e necessário para atingir finalidades legítimas. A tabela abaixo indica a base legal e a finalidade das principais atividades de tratamento de dados realizadas pela ENERGIÉ NUTRIÇÃO quanto a colaboradores de clientes corporativos e clientes pessoas físicas:
| Titular do dado | Tipo de dado | Finalidade do trat. | Base legal |
| Colaboradores de clientes corporativos e clientes pessoas físicas | Dados de contato (e-mail e telefone particular) | Realização de atendimento nutricional | Art. 7º, V |
| Dados de identificação (nome completo, data de nascimento, número do CPF, sexo e número da matrícula na empresa) | Art. 7º, V | ||
| Dados sobre saúde (dados antropométricos, histórico de saúde, rotina alimentar e rotina de exercícios físicos) | Art. 11, II, b) (*) |
* O art. 3º, IV, da Resolução nº 594/2019 do Conselho Federal de Nutricionistas considera como informações necessárias para registro em prontuário, pelo nutricionista, aquelas relacionadas à identificação do paciente, à anamnese alimentar e nutricional, à avaliação do estado nutricional, entre outras, de modo que, ao coletar esses dados, o profissional nutricionista cumpre com obrigação regulatória.
4. DECISÕES AUTOMATIZADAS
Decisões automatizadas sobre dados pessoais correspondem à tomada de decisões através de meios tecnológicos e sem intervenção humana. A inteligência artificial vem ganhando espaço no processamento de dados pessoais, com inúmeras empresas utilizando esse recurso para realizar classificações e definir perfis (“profiling”). De acordo com o art. 20 da LGPD, o titular dos dados tem o direito de solicitar a revisão de decisões automatizadas, inclusive aquelas destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, e o controlador deverá fornecer informações claras e adequadas a respeito dos critérios e procedimentos utilizados para as decisões automatizadas, sempre que for solicitado. A ENERGIÉ NUTRIÇÃO não utiliza processos de decisão automatizada e não emprega qualquer tecnologia para realizar a definição de perfis (“profiling”).
5. COMPARTILHAMENTO DE DADOS COM TERCEIROS
A ENERGIÉ NUTRIÇÃO não compartilha com terceiros dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas. Apenas alguns dados anonimizados, que não estão sujeitos à aplicação da LGPD, são compartilhados com terceiros. Os destinatários incluem os próprios clientes corporativos, que recebem informações estatísticas e epidemiológicas consolidadas para análise dos resultados do programa nutricional, bem como para eventual adoção de medidas preventivas, visando a melhora da qualidade de vida de seus funcionários. Ainda que não estejam sujeitos à aplicação da LGPD, todos os destinatários de dados anonimizados compartilhados pela ENERGIÉ NUTRIÇÃO necessariamente aderem à presente política de privacidade e oferecem os padrões mínimos de segurança e proteção de dados pessoais exigidos pela LGPD.
6. TRANSFERÊNCIA INTERNACIONAL DE DADOS
A LGPD permite a transferência internacional de dados pessoais somente se o destinatário estiver localizado em país que proporcione grau de proteção de dados pessoais adequado ao exigido no Brasil (art. 33, I). Caso contrário, o controlador deverá oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, seja por meio de cláusulas contratuais (art. 33, II), seja mediante obtenção de consentimento específico e destacado do titular dos dados (art. 33, VIII).[8] A ENERGIÉ NUTRIÇÃO não realiza transferência internacional de dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas.
7. ELIMINAÇÃO DE DADOS PESSOAIS
O controlador deve eliminar os dados pessoais sob sua custódia assim que cumprida a finalidade de tratamento (art. 16, caput), podendo armazenar os dados pessoais por período maior apenas para cumprimento de obrigação legal ou regulatória (art. 16, I). A tabela abaixo indica os períodos de retenção aplicados pela ENERGIÉ NUTRIÇÃO para cada tipo de dado pessoal tratado:
| Titular | Tipo de dado | Período de retenção | Base legal |
| Colaboradores de clientes corporativos e clientes pessoas físicas | Dados de contato | 20 (vinte) anos após o último atendimento | Resolução CFN nº 594/2019, art. 4º, § 1º (*) |
| Dados de identificação | |||
| Dados sobre saúde |
* A Resolução CFN nº 594/2019 estabelece que a guarda do prontuário do paciente é de responsabilidade do nutricionista (art. 3º, V), e, especificamente quanto aos prontuários eletrônicos, deve-se armazená-los por tempo indeterminado, podendo ser eliminados 20 (vinte) anos após o último registro, “mantendo o meio de armazenamento atualizado de acordo com as novas tecnologias” (art. 3º, VI, b).
8. INFORMAÇÕES SOBRE SEGURANÇA DE DADOS
A LGPD estabelece que os controladores têm o dever de adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais sob sua custódia de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46, caput). Adicionalmente, os dados pessoais tratados durante o atendimento nutricional são protegidos por sigilo, podendo ser divulgados, de acordo com o art. 3º, IV, da Resolução CFN nº 594/2019, “somente nas hipóteses de autorização do próprio paciente ou do responsável legal, ou ainda em razão de decisão judicial, de acordo com o que rege o Código de Ética do Nutricionista”.
A Autoridade Nacional de Proteção de Dados ainda não estabeleceu os padrões técnicos mínimos para a aplicação do disposto no art. 46 da LGPD. Embora não seja possível garantir proteção absoluta contra todas as ameaças existentes no ambiente virtual, a ENERGIÉ NUTRIÇÃO adota as melhores políticas, mecanismos e procedimentos de segurança cibernética existentes no mercado para proteger os dados pessoais de colaboradores de clientes corporativos e clientes pessoas físicas., incluindo controle rigoroso de acesso, criptografia com certificação SSL e registros de eventos (logs) para todo acesso e/ou modificação de arquivos. A ENERGIÉ NUTRIÇÃO também firmou termos de responsabilidade, realizou treinamentos e se compromete a manter sua equipe atualizada sobre as melhores práticas de segurança da informação para proteção de dados pessoais.
______________
[1] LGPD, art. 5º, I.
[2] LGPD, art. 5º, II.
[3] LGPD, art. 5º, X.
[4] LGPD, art. 5º, XII.
[5] LGPD, art. 5º, VI.
[6] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. Brasília, DF: ANPD, mai. 2021, p. 5-6.
[7] LGPD, art. 5º, VIII.
[8] O art. 35 da LGPD estipula que a ANPD definirá o conteúdo de cláusulas padrão, certificados, selos e códigos de conduta sobre a transferência internacional de dados pessoais. Os procedimentos relacionados a esse artigo ainda não foram regulamentados, conforme comunicado publicado no sítio eletrônico da própria ANPD: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/transferencia-internacional-de-dados. Acessado em 7 dez. 2021.
Documento atualizado pela última vez em 29 de dezembro de 2022.
- Engarregado de proteção de dados pessoais: Mônica Reva
Entre em contato: [email protected]
Instagram
Facebook-f
Linkedin-in
Youtube
