POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS DO CREMESP
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS DO CREMESP
O Conselho Regional de Medicina do Estado de São Paulo (Cremesp) é uma Autarquia Federal, criada pela Lei n.º 3268, de 30 de Setembro de 1957 e pelo Decreto Federal nº 44.045 de 19 de Julho de 1958, faz parte do sistema de registro e fiscalização do exercício da medicina, formado pelo Conselho Federal de Medicina (CFM), com sede em Brasília/DF, e pelos Conselhos Regionais existentes em todos os Estados da Federação e no Distrito Federal.
O Cremesp é o órgão responsável por registrar os profissionais médicos e as empresas médicas, além de fiscalizar, disciplinar, orientar e julgar a atuação profissional. Além disso, a autarquia desenvolve um amplo programa de educação continuada, para os profissionais da Medicina, por meio de palestras e eventos, visando garantir à sociedade que os trabalhos desenvolvidos por eles sejam realizados com ética, boa técnica e nos termos da legislação vigente.
Em respeito à Lei Geral de Proteção de Dados – LGPD, Lei nº 13.709/2018, a presente Política de Privacidade e Proteção de Dados do CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SÃO PAULO (“Cremesp”), tem o objetivo explicar como os dados dos titulares são tratados, estabelecendo regras de coleta, armazenamento, utilização, tratamento, compartilhamento e exclusão dos dados e informações eventualmente coletados (i) em suas plataformas digitais; (ii) nos eventos; e (iii) por meio do cadastro de novos inscritos ou atualização de sua base cadastral.
Dessa forma, os dados pessoais serão tratados de forma adequada, garantindo seus direitos à privacidade e ao controle sobre os seus dados. Por isso, serão solicitadas apenas as informações que forem estritamente necessárias para a realização das atividades públicas previstas na Lei nº. 3.268/1957.
1. DEFINIÇÕES
ALGUMAS DEFINIÇÕES DE TERMOS TÉCNICOS IMPORTANTES PARA FACILITAR A COMPREENSÃO DESTA POLÍTICA
a. ANONIMIZAÇÃO: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
b. AUTORIDADE NACIONAL: é um órgão da administração pública federal integrante da Presidência da República. Suas tarefas essenciais são fiscalizar e regular a aplicação da LGPD. Esse órgão faz a ponte entre a sociedade e o governo, prestando um serviço aos cidadãos. A “ANPD” também terá um papel de orientar e apoiar os órgãos do governo e empresas em relação às situações em que o tratamento de dados é permitido ou não;
c. BANCO DE DADOS: conjunto estruturado de dados pessoais, localizado em um ou em vários locais, em suporte eletrônico ou físico;
d. BLOQUEIO: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
e. COMPARTILHAMENTO DE DADOS: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais, com autorização específica entre entes públicos ou privados;
f. CONSENTIMENTO: é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
g. CONTROLADOR DE DADOS: pessoa natural ou instituição, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
h. DADOS PESSOAIS: todos os dados relacionados à pessoa natural identificada ou identificável, o que pode incluir, além de nome, e-mail, CPF, endereço de protocolo de internet (IP), identificador do dispositivo (Device ID) e outros identificadores que, se analisados em conjunto, permitem a identificação de um usuário;
i. DADOS PESSOAIS ANONIMIZADOS: dados relativos a um usuário que passaram por um processo de quebra do vínculo existente entre as informações e o seu titular, de modo a garantir o seu anonimato definitivamente;
j. ELIMINAÇÃO: exclusão do dado ou de conjunto de dados armazenados em banco de dados, independente do procedimento empregado;
k. FINALIDADE: propósito legítimo, informado ao titular, que assegura a legalidade do tratamento de seus dados;
l. LEGÍTIMO INTERESSE: trata-se da justificativa para o tratamento e processamento regular e legal de dados. O legítimo interesse do controlador de dados tem fundamento nas finalidades para as quais os dados são coletados, considerando as situações concretas em que isso será feito. É legítimo o uso de dados para (i) o apoio e promoção de atividades; e (ii) a proteção do exercício regular dos direitos do titular, ou prestação de serviços que o beneficiem, respeitando-se as suas expectativas e suas liberdades fundamentais;
m. TRATAMENTO DE DADOS: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
2. COLETA
O Conselho coleta dados que são indispensáveis para o cumprimento de suas atividades finalísticas. Os dados coletados dependerão do tipo de contato que o titular estabelece ou estabeleceu com o Cremesp, veja como exemplo:
2.1 INSCRIÇÃO NO CONSELHO: nome, e-mail, gênero, nº de CPF, RG, CRM, endereço, telefone para contato, dados biométricos, dados acadêmicos, informações profissionais e dados de responsáveis por empresas médicas.
2.2 EVENTOS: quando se exige cadastro para a participação de um evento, normalmente são solicitados: nome, e-mail, CPF, CRM, endereço, telefone para contato e informações profissionais;
O Cremesp organiza eventos virtuais, presenciais e/ou híbridos, sejam eles seminários, congressos, reuniões científicas, assembleias, oficinas ou workshops. Nesses casos, podem ser captados dados de pessoas convidadas como palestrantes ou que tenham preenchido algum formulário de inscrição para comparecer ao evento.
Esses dados serão compartilhados internamente, especialmente com as áreas de eventos e comunicações com a finalidade de promover o contínuo contato do Cremesp com os titulares, que se mostraram interessados em nossas atividades.
2.3 CAMPANHAS E AÇÕES DE ENGAJAMENTO: na maioria dos casos: nome, e-mail, CPF, CRM, endereço, telefone para contato e informações profissionais. Entretanto, são coletados dados diferentes, de acordo com a necessidade da campanha que está sendo feita;
2.4 VISITA AO SITE: aqui podem ser coletados dados relativos ao seu provedor de internet, sistema operacional, navegador, páginas e cookies;
Durante a navegação do titular no site do Conselho, poderão ser registrados os seguintes dados para gerar estatísticas de acesso:
§ Dados relativos ao seu provedor de internet;
§ Sistema operacional;
§ Navegador (tipo, versão, opções habilitadas e plug-ins instalados);
§ Configurações de vídeo (tamanho/resolução e quantidade de cores);
§ Páginas acessadas (data e hora de acesso); e
§ Cookies.
2.5 CADASTRO NO SITE: coleta do nome, e-mail e nº de CPF. O IP do seu computador pode ser registrado para proteção interna em caso de fraude;
2.6 ENVIO DE COMUNICAÇÕES ELETRÔNICAS: os dados fornecidos pelos titulares serão utilizados para realizar comunicações eletrônicas de carácter institucional.
2.7 ÁREAS DO MÉDICO/EMPRESA: Ao realizar o pré-cadastro, em nosso site, serão solicitados dados pessoais, tais como nome, CPF, endereço, e-mail, entre outros, para formalização do processo de registro dos novos médicos e empresas médicas.
2.8 PESQUISA: Ao realizar pesquisas com os médicos e as empresas médicas, os dados pessoais poderão ser solicitados, tais como nome, CPF, endereço, e-mail.
As informações podem ser utilizadas pelo Cremesp, com a finalidade de atualizar os dados dos inscritos eventualmente envolvidos em processos administrativos e/ou judiciais.
3. Qualquer outro tipo de comunicação com o Cremesp através de e- mail, ligação telefônica, registro de protocolos, entre outros.
4. FINALIDADE
Os dados fornecidos pelos titulares ao Conselho serão utilizados para cumprir a finalidade prevista na Lei nº 3.268/1957, tais como:
4.1 exercer as atividades de registro de pessoas físicas e jurídicas;
4.2 exercer atividades de fiscalização do exercício profissional;
4.3 apurar possíveis infrações ético-profissionais em sindicâncias e processos ético-profissionais;
4.4 comunicar-se com os inscritos;
4.5 manter os cadastros atualizados;
4.6 viabilizar a participação em campanhas, pesquisas e eventos e,
4.7 entender as necessidades dos médicos, das empresas médicas e demais usuários para proporcionar qualidade nos serviços prestados.
5. SEGURANÇA E TRATAMENTO
O Cremesp se compromete a aplicar boas práticas de segurança alinhadas aos padrões técnicos e regulatórios exigidos. Assim, busca-se proteger seus dados de possíveis vulnerabilidades.
São adotados os melhores esforços para garantir a segurança da transmissão de informações no site, além de tomar todas as precauções e seguir as melhores práticas para proteger seus dados.
Depois de receber as informações, serão adotados procedimentos rigorosos e recursos de segurança para impedir acessos não autorizados. O acesso a essas informações será limitado a um número mínimo de colaboradores do Cremesp, que estão sujeitos a compromissos de confidencialidade.
Os dados recebidos e enviados pelos titulares são criptografados, dificultando interceptações. Embora haja um grande esforço para manter e fornecer segurança razoável para as informações processadas cabe destacar que nenhum sistema de segurança é infalível contra todas as violações de segurança em potencial.
Entre as medidas de segurança adotadas pelo Cremesp, destaque-se as seguintes:
§ Limitação do acesso aos dados do titular, de modo que terceiros não autorizados não possam acessá-los;
§ Utilização do certificado Secure Socket Layer (SSL), de modo que a transmissão de dados entre os dispositivos dos usuários e nossos servidores aconteça de forma criptografada;
§ Os dados dos titulares são armazenados em ambiente seguro;
§ Manutenção dos registros daqueles que tem, de alguma forma, contato com os dados.
O acesso às informações coletadas está restrito aos colaboradores autorizados para o tratamento desses dados. A utilização indevida dessas informações, ferindo esta Política de Privacidade e demais políticas internas, estará sujeita às penalidades previstas em lei.
O cumprimento dos padrões de privacidade e segurança da informação será exigido de toda empresa contratada para prestação de serviços ao Cremesp.
6. COMPARTILHAMENTO
Os dados pessoais dos titulares só serão compartilhados com terceiros em algumas situações específicas:
6.1 Quando houver consentimento do titular para disponibilização dessas informações a terceiros determinados;
6.2 Em casos de utilização dos serviços de terceiros para cumprimento das finalidades institucionais e das obrigações legais;
6.3 Nos casos de utilização de provedor terceirizado para fornecer um serviço;
6.4 Com o fim de cumprir quaisquer termos, condições ou acordos firmados pelo Cremesp com outros órgãos públicos;
6.5 Para ações judiciais nas quais o titular de dados esteja envolvido;
6.6 Em casos específicos descritos por lei ou por força de decisões judiciais,
6.7 Para o Conselho Federal de Medicina.
Em algumas circunstâncias, as informações pessoais poderão ser colocadas em anonimato para que elas não possam mais ser associadas ao titular.
7. ARMAZENAMENTO
Os dados pessoais dos titulares serão mantidos apenas pelo tempo em que forem necessários, de acordo com a finalidade, as leis e as regulamentações aplicáveis.
Estes dados serão armazenados em bases de dados específicas, criadas para o feito e, em situação alguma, os dados recolhidos serão utilizados para outra finalidade que não seja aquela para a qual foram recolhidos.
8. DIREITOS DO TITULAR
O titular dos dados pessoais tem os seguintes direitos conferidos por lei:
8.1 Requisitar a informação sobre se os seus dados sofrem qualquer tipo de tratamento por este Conselho e como isso é feito;
8.2 Solicitar o acesso e confirmação a toda informação pessoal mantida pelo Cremesp;
8.3 Cancelar o seu consentimento a qualquer momento, com exceção dos dados tratados mediante obrigação regulatória ou legítimo interesse;
8.4 Requisitar a correção de informações incorretas, incompletas ou imprecisas a seu respeito, que estão na base de dados deste Conselho;
8.5 Requisitar a exclusão de nossas listas de comunicação ou marketing, deixando de receber mensagens e e-mails, caso não deseje mais isso.
O Cremesp segue os requisitos legais que obrigam a conservação dos dados pessoais por um período mínimo. Nos casos em que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a execução das finalidades que motivaram a sua coleta e tratamento, nos termos definidos na lei.
9. CONTATO
Caso o titular deseje exercitar qualquer um dos direitos listados acima ou apenas atualizar as suas preferências, a qualquer momento, poderá enviar um e-mail, explicando a sua demanda, para o contato da área responsável pelo cuidado com esse tipo de requisição por meio do endereço eletrônico: dpo@cremesp.org.br.
Encarregado: Elcio Lima Garcia (Portaria CREMESP nº 79/2021)
Caso prefira enviar a comunicação pelo correio, o endereço postal da sede é Rua Frei Caneca, 1282 – São Paulo/SP-CEP 01307-002.
10. MUDANÇAS E ATUALIZAÇÕES DA POLÍTICA DE PRIVACIDADE
O Cremesp se reserva no direito de atualizar esta política de proteção de dados sempre que necessário.
11. CONTROLE DE VERSÕES
Esta é a primeira versão da Política de Privacidade e Proteção de Dados do Cremesp, formulada em Dezembro de 2021.
