Política de Privacidade do FAS

1. Introdução

A privacidade dos titulares de dados pessoais é importante para o FAS. Esta Política de Privacidade explica como a instituição trata dados pessoais em seus sites, formulários eletrônicos, plataformas digitais, ambientes de treinamento, canais de comunicação, processos administrativos, processos seletivos, relações de trabalho, contratos, projetos, programas e unidades de saúde sob sua gestão.

O tratamento de dados pessoais pelo FAS deve observar os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Esta Política tem natureza informativa e deve ser interpretada em conjunto com os demais documentos institucionais de governança, especialmente o Regulamento Institucional de Proteção de Dados, Segurança da Informação e Uso dos Recursos Digitais, a Política de Segurança da Informação, o Código de Ética, o Programa de Integridade e os avisos de privacidade específicos eventualmente apresentados em formulários, sistemas ou processos.

2. Controlador e Encarregado

O controlador dos dados pessoais tratados no âmbito desta Política é o Centro de Estudos e Pesquisas Científicas Francisco Antonio de Salles — FAS, observadas as hipóteses em que o tratamento ocorra em cooperação com órgãos públicos, unidades de saúde, parceiros, fornecedores, operadores ou demais agentes envolvidos na execução de contratos, projetos e serviços.

O Encarregado de Proteção de Dados do FAS atua como canal de comunicação entre a instituição, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados — ANPD.

3. Abrangência

Esta Política aplica-se a dados pessoais de visitantes dos sites, usuários de plataformas digitais, participantes de treinamentos, candidatos a vagas, colaboradores, terceirizados, prestadores, fornecedores, parceiros, pacientes, acompanhantes, responsáveis legais, usuários dos serviços, participantes de projetos, representantes de órgãos públicos e demais pessoas que interajam com o FAS.

Quando houver aviso de privacidade específico para determinado formulário, processo seletivo, treinamento, evento, canal, sistema ou serviço, esse aviso deverá ser lido em conjunto com esta Política.

4. Dados pessoais tratados

De acordo com a finalidade do tratamento e o canal utilizado, o FAS poderá tratar as seguintes categorias de dados pessoais:

• dados de identificação, como nome, CPF, RG, data de nascimento, assinatura, imagem e identificação funcional;
• dados de contato, como e-mail, telefone, endereço e unidade de vínculo;
• dados profissionais, educacionais e curriculares, quando necessários a processos seletivos, capacitações, cadastro funcional ou prestação de serviços;
• dados de navegação, como endereço IP, registros de acesso, tipo de navegador, sistema operacional, páginas visitadas, data, horário, origem de acesso e interações com o site;
• dados de comunicação, incluindo mensagens enviadas por e-mail, formulários institucionais, canais de atendimento e demais meios oficiais;
• dados financeiros, bancários, fiscais, contratuais ou de pagamento, quando necessários à relação funcional, contratual, contábil ou administrativa;
• dados de saúde, dados sobre deficiência, atestados, informações assistenciais, prontuários, laudos, exames ou informações relacionadas a serviços de saúde, quando aplicável;
• dados de imagem, voz ou participação em eventos, treinamentos, reuniões, campanhas ou publicações institucionais, quando houver finalidade legítima e base legal aplicável;
• outros dados fornecidos voluntariamente pelo titular ou necessários ao cumprimento de obrigações legais, regulatórias, contratuais, assistenciais ou institucionais.

5. Fontes de coleta

Os dados pessoais podem ser coletados diretamente do titular ou por meio de canais e fontes legítimas, incluindo:

• sites institucionais do FAS;
• formulários oficiais criados no Jotform institucional;
• plataformas de EAD e ambientes de treinamento;
• Gmail corporativo, Google Workspace, Google Drive, Google Meet, Google Chat e demais ferramentas institucionais autorizadas;
• sistemas assistenciais, administrativos, de RH, financeiros, contratuais, de compras, auditoria ou prestação de contas;
• órgãos públicos, unidades de saúde, parceiros, fornecedores, prestadores, operadores e terceiros autorizados;
• documentos entregues pelo próprio titular ou por seu representante legal;
• registros gerados durante a navegação, atendimento, inscrição, solicitação, contratação, participação em treinamento ou uso de serviços institucionais.

6. Finalidades do tratamento

O FAS poderá tratar dados pessoais para as seguintes finalidades:

• administrar sites, páginas, plataformas digitais, formulários e canais institucionais;
• prestar serviços, executar projetos, gerir unidades e cumprir contratos de gestão ou instrumentos congêneres;
• realizar atendimento, comunicação, registro, acompanhamento, capacitação, inscrição e suporte aos usuários;
• gerenciar processos seletivos, cadastro de candidatos, admissão, integração, treinamento, desenvolvimento e demais rotinas de RH;
• cumprir obrigações legais, regulatórias, sanitárias, trabalhistas, fiscais, contábeis, contratuais e de prestação de contas;
• enviar comunicações institucionais, convites, avisos, notícias, treinamentos, campanhas e informações relacionadas às atividades do FAS;
• responder dúvidas, solicitações, reclamações, denúncias, comunicações de incidentes e pedidos de titulares;
• proteger a segurança dos sites, sistemas, redes, documentos, e-mails, formulários, contas e demais recursos tecnológicos;
• prevenir fraudes, acessos indevidos, abusos, incidentes de segurança e usos incompatíveis com as normas institucionais;
• elaborar indicadores, relatórios estatísticos, controles internos, auditorias e análises de gestão, preferencialmente de forma agregada ou anonimizada quando possível;
• exercer direitos em processos administrativos, judiciais, arbitrais, fiscalizações, auditorias, sindicâncias ou apurações internas.

7. Bases legais

O tratamento de dados pessoais pelo FAS poderá se fundamentar, conforme o caso, em bases legais previstas na LGPD, incluindo cumprimento de obrigação legal ou regulatória, execução de contrato ou procedimentos preliminares relacionados a contrato, execução de políticas públicas, tutela da saúde, proteção da vida ou da incolumidade física, exercício regular de direitos, legítimo interesse, proteção do crédito e consentimento quando necessário.

O consentimento não será utilizado como base legal única quando houver fundamento legal mais adequado ao contexto institucional, assistencial, trabalhista, contratual ou regulatório. Quando o tratamento depender de consentimento, o titular será informado de forma clara e poderá revogá-lo, observadas as hipóteses legais de retenção e continuidade do tratamento.

8. Dados pessoais sensíveis e dados de saúde

O FAS poderá tratar dados pessoais sensíveis, especialmente dados de saúde, informações sobre deficiência, dados biométricos, dados de crianças e adolescentes, dados funcionais sensíveis ou outros dados protegidos, quando necessários à execução de serviços, cumprimento de obrigações legais, tutela da saúde, gestão de unidades, processos de RH, acessibilidade, segurança, prestação de contas ou defesa de direitos.

O acesso a dados pessoais sensíveis deve ser restrito a pessoas autorizadas, limitado à finalidade necessária e protegido por medidas técnicas e administrativas compatíveis com o risco do tratamento.

É vedado utilizar dados pessoais sensíveis para fins discriminatórios, abusivos, vexatórios, incompatíveis com a finalidade informada ou contrários aos princípios da LGPD.

9. Crianças e adolescentes

Quando houver tratamento de dados pessoais de crianças e adolescentes, o FAS observará o melhor interesse do titular, a finalidade legítima, a necessidade da coleta, a segurança das informações e as normas aplicáveis.

Em atividades assistenciais, educacionais, campanhas, eventos, formulários, autorizações, imagens ou publicações envolvendo crianças e adolescentes, poderão ser exigidas informações adicionais, validações, autorizações específicas ou participação dos responsáveis legais, conforme o caso.

10. Cookies, métricas e tecnologias semelhantes

Os sites do FAS podem utilizar cookies e tecnologias semelhantes para funcionamento técnico das páginas, melhoria da experiência de navegação, análise de uso, segurança, prevenção de fraudes, medição de desempenho e avaliação de campanhas institucionais.

Cookies estritamente necessários podem ser utilizados para permitir o funcionamento adequado do site. Cookies analíticos, de desempenho, publicidade institucional ou tecnologias similares poderão depender de configuração, aviso, preferência ou consentimento, conforme a natureza da ferramenta e as orientações aplicáveis.

O titular pode configurar seu navegador para bloquear, apagar ou restringir cookies. A restrição de cookies pode afetar o funcionamento de algumas páginas, formulários, recursos ou serviços digitais.

Quando utilizados serviços de terceiros, como ferramentas de métricas, mapas, vídeos incorporados, fontes, plugins, redes sociais ou soluções de segurança, esses terceiros poderão coletar informações de navegação conforme suas próprias políticas e configurações.

11. Compartilhamento de dados

O FAS poderá compartilhar dados pessoais quando houver finalidade legítima, necessidade institucional, base legal adequada, obrigação contratual, obrigação legal ou relação compatível com os serviços prestados.

O compartilhamento poderá ocorrer, conforme o caso, com:

• colaboradores, gestores e usuários autorizados, nos limites de suas atribuições;
• unidades de saúde, programas, projetos e setores administrativos vinculados às atividades do FAS;
• órgãos públicos, prefeituras, secretarias, autoridades sanitárias, órgãos de controle, Ministério Público, Poder Judiciário, autoridades policiais ou administrativas, quando cabível;
• fornecedores, prestadores, operadores, suboperadores, consultores, seguradoras, assessorias, auditores e parceiros formalmente autorizados;
• plataformas tecnológicas homologadas, incluindo Google Workspace, Jotform institucional, servidor dedicado HostGator, sistemas de saúde e demais ferramentas institucionais autorizadas;
• terceiros necessários à execução de contratos, prestação de serviços, suporte técnico, segurança da informação, auditoria, defesa de direitos ou cumprimento de obrigação legal.

O FAS não comercializa dados pessoais e não fornece dados pessoais a terceiros para marketing direto próprio desses terceiros sem base legal adequada.

12. Transferências internacionais

O uso de plataformas tecnológicas, serviços de hospedagem, ferramentas de comunicação, formulários, segurança, suporte, métricas ou armazenamento pode envolver tratamento, acesso remoto, hospedagem ou transferência internacional de dados pessoais.

As transferências internacionais serão realizadas quando necessárias às finalidades informadas e observadas as hipóteses, garantias e requisitos previstos na LGPD, incluindo contratos, políticas de segurança, medidas de proteção, avaliação do fornecedor, salvaguardas aplicáveis ou outros mecanismos legalmente admitidos.

A publicação voluntária de informações em áreas públicas do site ou em ambientes acessíveis pela internet poderá tornar tais informações disponíveis globalmente, razão pela qual o titular deve avaliar cuidadosamente os dados que decide tornar públicos.

13. Retenção e descarte

O FAS manterá dados pessoais pelo tempo necessário ao cumprimento das finalidades que justificaram a coleta, observando obrigações legais, regulatórias, sanitárias, trabalhistas, fiscais, contábeis, contratuais, prestação de contas, auditorias, segurança, exercício regular de direitos e políticas internas de retenção.

Quando não houver mais necessidade, obrigação ou fundamento para manutenção, os dados pessoais poderão ser eliminados, anonimizados, bloqueados ou arquivados de forma segura, conforme a natureza do dado, o sistema utilizado, a finalidade do tratamento e a obrigação aplicável.

Documentos, e-mails, registros e informações relacionados a contratos de gestão, órgãos públicos, processos administrativos, RH, saúde, auditorias, prestação de contas, incidentes, sindicâncias ou defesa de direitos poderão ser preservados pelo período necessário à finalidade institucional e às exigências legais.

14. Segurança da informação

O FAS adota medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados, perda, alteração, comunicação, divulgação indevida, destruição, uso inadequado ou situações acidentais ou ilícitas.

Entre as medidas aplicáveis, conforme o ambiente e o risco, estão:

• uso de contas corporativas e ambientes homologados;
• controles de acesso, senhas fortes e autenticação em duas etapas quando exigida;
• gestão de permissões e princípio do menor privilégio;
• vedação ao uso de e-mails pessoais e ferramentas não autorizadas para atividades institucionais;
• armazenamento e compartilhamento por Google Drive institucional e demais ambientes autorizados;
• uso do Jotform institucional para formulários e coletas estruturadas de dados;
• monitoramento de segurança, registros, backups, atualizações e proteção dos sites hospedados em servidor dedicado;
• treinamentos, orientações, controles internos e procedimentos de resposta a incidentes.

15. Incidentes de segurança

Qualquer suspeita de incidente envolvendo dados pessoais, como vazamento, acesso indevido, perda, destruição, alteração, comunicação irregular, exclusão indevida, envio para destinatário errado, invasão de site, clique em link malicioso ou compartilhamento indevido, deve ser comunicada imediatamente ao Encarregado de Proteção de Dados e/ou ao setor de TI.

O FAS avaliará o incidente, adotará medidas de contenção e mitigação, preservará registros quando necessário e realizará comunicações à ANPD ou aos titulares quando exigido pela legislação e pelo regulamento aplicável.

16. Direitos dos titulares

O titular de dados pessoais poderá solicitar, nos termos da LGPD e observadas as hipóteses legais aplicáveis:

• confirmação da existência de tratamento;
• acesso aos dados pessoais;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• portabilidade, quando aplicável e regulamentada;
• informação sobre compartilhamento de dados;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• revogação do consentimento, quando o tratamento se basear nessa hipótese;
• oposição a tratamento irregular;
• peticionamento perante a ANPD.

As solicitações serão avaliadas mediante validação de identidade e poderão ser limitadas quando envolverem obrigação legal, sigilo, segredo profissional, segurança assistencial, proteção de terceiros, prestação de contas, prevenção a fraudes, defesa de direitos ou impossibilidade técnica devidamente justificada.

17. Sites, serviços e links de terceiros

Os sites do FAS podem conter links para páginas, sistemas, vídeos, mapas, redes sociais, plataformas públicas, órgãos governamentais, parceiros ou serviços de terceiros. O FAS não controla e não se responsabiliza pelas práticas de privacidade, segurança, cookies ou conteúdo de sites de terceiros.

Recomenda-se que o titular leia as políticas de privacidade dos terceiros antes de fornecer dados pessoais ou utilizar serviços externos.

18. Atualizações desta Política

Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças legislativas, orientações da ANPD, alterações em processos, ferramentas, sistemas, contratos, serviços, infraestrutura tecnológica ou evolução do Programa de Proteção de Dados do FAS.

A versão atualizada será publicada nos canais institucionais do FAS. Quando necessário, os titulares poderão ser comunicados por e-mail, aviso no site, mensagem institucional ou outro canal adequado.

19. Contato

Para exercer direitos, solicitar esclarecimentos, comunicar irregularidades, apresentar reclamações ou obter informações sobre o tratamento de dados pessoais, entre em contato com o Encarregado de Proteção de Dados do FAS.