Regulamento Institucional de Proteção de Dados, Segurança da Informação e Uso dos Recursos Digitais do FAS

1. Apresentação

O Centro de Estudos e Pesquisas Científicas Francisco Antonio de Salles — FAS, entidade do terceiro setor que administra unidades, serviços e programas de saúde pública por meio de contratos de gestão e instrumentos congêneres, estabelece o presente Regulamento Institucional de Proteção de Dados, Segurança da Informação e Uso dos Recursos Digitais.

Este regulamento disciplina o tratamento de dados pessoais, o uso dos recursos tecnológicos institucionais, a comunicação corporativa, o armazenamento e compartilhamento de documentos, a utilização das plataformas digitais oficiais, a prevenção de incidentes de segurança e as responsabilidades de colaboradores, gestores, terceiros, prestadores de serviços, voluntários, estagiários, fornecedores e demais pessoas que tratem dados ou utilizem recursos tecnológicos em nome do FAS.

O regulamento integra o Programa de Governança em Privacidade e Proteção de Dados do FAS, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD, com as orientações da Autoridade Nacional de Proteção de Dados — ANPD, com as normas sanitárias aplicáveis, com os contratos de gestão, com o Código de Ética, com o Programa de Integridade, com a Política de Segurança da Informação e com as demais normas internas da instituição.

2. Objetivos

São objetivos deste regulamento:

• estabelecer regras obrigatórias para o tratamento de dados pessoais e dados pessoais sensíveis no âmbito do FAS;
• proteger dados de pacientes, usuários, acompanhantes, colaboradores, candidatos, terceiros, fornecedores, parceiros, voluntários e demais titulares;
• disciplinar o uso do Google Workspace institucional, do Gmail corporativo, do Google Drive, do Google Meet, do Google Chat, do Jotform institucional, dos sites, das plataformas de EAD e dos demais recursos digitais autorizados;
• impedir o uso de e-mails pessoais, contas externas, formulários não homologados, nuvens particulares, aplicativos não autorizados e ferramentas paralelas para atividades institucionais;
• assegurar rastreabilidade, integridade, preservação documental, prestação de contas e transparência na atuação institucional;
• prevenir incidentes de segurança, vazamentos, acessos indevidos, perda de documentos, exclusão irregular de mensagens e compartilhamentos não autorizados;
• definir responsabilidades do Compliance/DPO, do setor de TI, dos gestores, dos colaboradores e dos terceiros autorizados;
• fortalecer a cultura institucional de proteção de dados, segurança da informação, integridade, responsabilidade e uso adequado dos recursos públicos e institucionais.

3. Abrangência

Este regulamento aplica-se a todo tratamento de dados pessoais realizado no âmbito do FAS, incluindo:

• dados de pacientes, usuários e beneficiários dos serviços de saúde;
• dados de acompanhantes, familiares e responsáveis legais;
• dados de colaboradores, empregados, terceirizados, estagiários, voluntários, profissionais cedidos e prestadores de serviços;
• dados de candidatos a vagas e participantes de processos seletivos;
• dados de fornecedores, representantes comerciais, parceiros, órgãos públicos, instituições apoiadoras e demais terceiros;
• dados tratados em formulários, planilhas, documentos, e-mails, mensagens, reuniões virtuais, sistemas, sites, plataformas de EAD, canais de atendimento, processos administrativos, compras, contratos, treinamentos e comunicações institucionais.

O regulamento se aplica a todas as unidades, projetos, programas e setores do FAS, incluindo a sede administrativa, unidades de saúde, programas municipais, plataformas digitais, ambientes de treinamento, sites institucionais, ambientes de comunicação e recursos tecnológicos sob administração ou responsabilidade do FAS.

4. Fundamentos legais e princípios

O tratamento de dados pessoais pelo FAS deve observar os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Todo tratamento de dados deve possuir finalidade legítima, base legal adequada, pertinência com as atividades institucionais e nível de segurança compatível com o risco envolvido.

Dados pessoais sensíveis, especialmente dados de saúde, dados biométricos, dados de crianças e adolescentes, informações sobre deficiência, informações funcionais, dados de folha de pagamento, dados bancários, documentos pessoais e registros de acesso, devem receber proteção reforçada, com acesso restrito às pessoas autorizadas e apenas pelo tempo necessário à finalidade institucional, obrigação legal, prestação de contas, auditoria ou defesa de direitos.

5. Definições

Para fins deste regulamento, considera-se:

• dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• titular: pessoa natural a quem se referem os dados pessoais;
• tratamento: toda operação realizada com dados pessoais, incluindo coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração;
• controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais;
• operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador, mediante contrato, instrução documentada ou instrumento equivalente;
• usuário autorizado: colaborador, gestor, terceiro ou prestador de serviço que, no exercício de suas funções, recebe autorização para acessar sistemas, documentos, dados ou recursos digitais institucionais;
• encarregado de proteção de dados: pessoa indicada pelo FAS para atuar como canal de comunicação entre o controlador, os titulares e a ANPD;
• incidente de segurança: evento adverso, confirmado ou suspeito, relacionado à violação de confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais;
• ambiente corporativo homologado: plataforma, sistema, aplicativo, formulário, conta, serviço ou recurso digital previamente autorizado pelo FAS, pelo Compliance/DPO e/ou pelo setor de TI.

6. Estrutura de governança

A governança de proteção de dados e segurança da informação do FAS é composta, no mínimo, pelas seguintes instâncias e responsabilidades:

6.1 Compliance/DPO

Compete ao Compliance/DPO:

• orientar colaboradores, gestores e terceiros quanto às práticas de proteção de dados;
• receber comunicações de titulares e interagir com a ANPD, quando cabível;
• apoiar a avaliação de riscos de novos processos, ferramentas, formulários, contratos, sistemas e integrações;
• participar da análise de incidentes de segurança envolvendo dados pessoais;
• estabelecer diretrizes de privacidade, minimização, necessidade, retenção, descarte e compartilhamento;
• acompanhar, em conjunto com o TI, a conformidade dos ambientes digitais institucionais.

6.2 Setor de TI

Compete ao setor de TI:

• administrar, proteger e monitorar os recursos tecnológicos institucionais;
• implementar controles de acesso, autenticação, permissões, restrições, logs, backups e demais medidas técnicas de segurança;
• avaliar e homologar, em conjunto com o Compliance/DPO, aplicativos, extensões, integrações, ferramentas digitais e solicitações de uso de terceiros;
• apoiar a resposta a incidentes de segurança;
• orientar os usuários sobre uso seguro dos recursos digitais;
• bloquear, suspender ou restringir acessos que representem risco à segurança, à integridade dos dados ou à continuidade dos serviços.

6.3 Gestores de unidades e setores

Compete aos gestores:

• assegurar o cumprimento deste regulamento em suas áreas;
• orientar suas equipes quanto ao uso correto dos sistemas, e-mails, documentos e plataformas;
• evitar compartilhamentos desnecessários ou excessivos;
• comunicar imediatamente ao Compliance/DPO e ao TI qualquer suspeita de incidente, vazamento, perda de documento, acesso indevido, exclusão irregular, uso de conta pessoal ou ferramenta não autorizada;
• solicitar formalmente acessos, permissões e recursos tecnológicos necessários ao trabalho de sua equipe.

Gestores, coordenadores e chefias internas não são operadores de dados pelo simples exercício de suas funções. São usuários autorizados e agentes internos que atuam sob a estrutura institucional do FAS, devendo tratar dados apenas nos limites de suas atribuições.

6.4 Colaboradores, terceiros e usuários autorizados

Todos os usuários autorizados devem:

• cumprir este regulamento e as demais políticas institucionais;
• utilizar exclusivamente contas, sistemas e ferramentas homologadas;
• manter sigilo sobre credenciais, documentos, informações e dados acessados;
• não compartilhar senhas, códigos de autenticação, links internos ou arquivos restritos;
• comunicar imediatamente falhas, suspeitas, acessos indevidos, mensagens suspeitas, perda de dispositivo ou qualquer evento que possa comprometer dados pessoais ou informações institucionais.

7. Ambientes tecnológicos oficiais do FAS

São ambientes tecnológicos oficiais do FAS:

• Google Workspace institucional;
• Gmail corporativo;
• Google Drive institucional;
• Google Meet;
• Google Chat;
• Google Agenda;
• Google Docs, Sheets, Slides e demais aplicativos nativos disponibilizados no ambiente corporativo;
• Jotform institucional, para formulários, inscrições, coletas estruturadas, solicitações internas e fluxos de dados;
• servidor dedicado HostGator, utilizado para hospedagem de sites, plataformas de EAD, páginas institucionais, sistemas web autorizados e acervo técnico de e-mails antigos oriundos do ambiente webmail;
• demais sistemas, plataformas ou aplicativos expressamente autorizados pelo setor de TI e/ou Compliance/DPO.

É proibido utilizar plataformas, aplicativos, formulários, nuvens, extensões, complementos, integrações ou serviços digitais não autorizados para tratamento de dados pessoais, documentos institucionais, informações de saúde, dados de RH, dados financeiros, dados de candidatos, informações contratuais ou comunicações corporativas.

8. Google Workspace institucional

O Google Workspace é o ambiente corporativo oficial do FAS para comunicação, colaboração, produção documental, reuniões, armazenamento e compartilhamento institucional.

O uso do Google Workspace deve observar:

• acesso exclusivamente por conta corporativa do FAS;
• autenticação em duas etapas, quando exigida;
• vedação ao compartilhamento de senha;
• uso restrito às finalidades institucionais;
• respeito às permissões de acesso definidas por setor, função, unidade ou projeto;
• proibição de instalação ou autorização de aplicativos, extensões, complementos ou integrações não homologadas;
• comunicação imediata ao TI e ao Compliance/DPO em caso de acesso suspeito, perda de dispositivo, mensagem maliciosa, compartilhamento indevido ou alteração não autorizada de permissões.

Os aplicativos disponíveis no menu institucional do Google Workspace e autorizados pela administração podem ser utilizados conforme as permissões de cada usuário. Qualquer outro aplicativo, extensão, complemento, conector, automação, integração com ferramenta externa ou acesso de terceiro deve ser previamente solicitado ao setor de TI, que poderá submeter a análise ao Compliance/DPO sempre que houver risco de tratamento de dados pessoais, compartilhamento externo, coleta de credenciais, acesso a arquivos, leitura de e-mails ou integração com sistemas institucionais.

9. Gmail institucional

O Gmail corporativo é o meio oficial de comunicação eletrônica do FAS.

É proibido:

• utilizar e-mail pessoal para tratar assuntos institucionais;
• criar contas externas em nome do FAS sem autorização;
• encaminhar, copiar, sincronizar ou redirecionar mensagens corporativas para e-mails pessoais;
• utilizar e-mail corporativo para compras pessoais, promoções, cadastros particulares, redes sociais pessoais ou finalidades alheias às atividades do FAS;
• configurar encaminhamento automático para contas externas;
• utilizar clientes, aplicativos ou ferramentas de terceiros não autorizadas para baixar, copiar, armazenar ou fazer backup de mensagens corporativas;
• enviar dados pessoais, dados de saúde, documentos de RH, informações financeiras, planilhas, contratos, relatórios ou documentos institucionais para destinatários sem necessidade, autorização ou relação legítima com a finalidade do tratamento.

Consideram-se mensagens corporativas todas as comunicações relacionadas às atividades, unidades, projetos, contratos, colaboradores, pacientes, candidatos, fornecedores, órgãos públicos, parceiros, programas, processos administrativos, prestação de contas, treinamentos, compras, contratações e responsabilidades institucionais do FAS.

10. Vedação à exclusão de e-mails corporativos

É vedada a exclusão de e-mails corporativos relacionados às atividades institucionais do FAS.

As mensagens corporativas devem ser preservadas, arquivadas, organizadas ou classificadas conforme orientação institucional, mas não devem ser excluídas pelo usuário, considerando a necessidade de preservação documental, rastreabilidade, prestação de contas, auditoria, transparência, resposta a órgãos de controle, cumprimento de obrigações legais, defesa de direitos e proteção da memória institucional.

Caso o usuário deseje organizar sua caixa de entrada, deverá utilizar recursos de arquivamento, marcadores, pastas, filtros ou outros mecanismos autorizados, sem apagar mensagens relacionadas às atividades do FAS.

A exclusão intencional de e-mails corporativos, especialmente quando relacionada a documentos, comunicações com órgãos públicos, processos administrativos, contratos, compras, RH, pacientes, fornecedores, prestação de contas, sindicâncias, auditorias ou solicitações de autoridades, poderá caracterizar violação grave das normas internas, sujeita à apuração e às medidas administrativas, disciplinares, contratuais e legais cabíveis.

11. Google Drive institucional

O Google Drive institucional é o ambiente oficial de armazenamento, organização, edição e compartilhamento de documentos corporativos do FAS.

É proibido:

• utilizar Google Drive pessoal para armazenar documentos do FAS;
• utilizar OneDrive pessoal, Dropbox, iCloud, Mega, WeTransfer, MediaFire ou qualquer outro serviço não homologado para armazenar, editar, transferir ou compartilhar documentos institucionais;
• copiar documentos do Google Drive institucional para contas pessoais;
• compartilhar documentos com terceiros sem necessidade institucional, base legal, autorização ou relação contratual/funcional legítima;
• conceder permissões amplas, públicas ou por link aberto sem autorização;
• compartilhar planilhas com dados pessoais ou dados sensíveis para usuários que não necessitem da informação;
• criar repositórios paralelos, cópias locais desnecessárias ou versões não controladas de documentos institucionais.

O compartilhamento de arquivos deve observar o princípio do menor privilégio, concedendo ao destinatário apenas o nível de acesso necessário: visualização, comentário ou edição.

Compartilhamentos externos somente poderão ocorrer quando o destinatário integrar a biosfera legítima de atuação institucional do FAS, incluindo órgãos públicos contratantes, unidades sob gestão, fornecedores contratados, parceiros formalizados, auditores, consultores, assessorias, autoridades competentes ou outros terceiros autorizados, sempre de acordo com a finalidade, a necessidade, a segurança e a legislação aplicável.

Sempre que possível, o compartilhamento deve ser realizado por contas institucionais identificáveis, evitando links públicos, links amplos ou envio de anexos por canais inseguros.

12. Google Meet e Google Chat

O Google Meet e o Google Chat são ferramentas institucionais autorizadas para reuniões, comunicação interna, alinhamentos operacionais, treinamentos e atividades administrativas.

O uso dessas ferramentas deve observar:

• utilização preferencial por contas corporativas;
• cuidado com convites enviados a terceiros;
• restrição de acesso a reuniões sensíveis;
• vedação ao compartilhamento de links de reunião em ambientes públicos ou grupos não autorizados;
• proibição de gravação de reuniões sem finalidade legítima, ciência dos participantes e autorização aplicável;
• vedação ao compartilhamento de dados pessoais, dados de saúde, documentos de RH, documentos financeiros ou informações sigilosas em chats ou reuniões sem necessidade institucional;
• registro formal por e-mail, documento ou sistema próprio quando a reunião tratar de deliberações relevantes, decisões administrativas, compras, contratações, processos seletivos, incidentes, apurações internas ou assuntos sujeitos à prestação de contas.

O Google Chat não substitui processos formais, e-mails institucionais, formulários oficiais, sistemas de chamados, processos administrativos ou fluxos documentais obrigatórios.

13. Jotform institucional

O Jotform institucional é a plataforma oficial do FAS para criação de formulários, inscrições, solicitações, coletas estruturadas de dados, fluxos internos, registros, termos de ciência, termos de responsabilidade, processos seletivos, pesquisas autorizadas e demais formulários institucionais.

É proibido utilizar Google Forms, Microsoft Forms, Typeform, SurveyMonkey, formulários pessoais, formulários gratuitos, links externos ou qualquer outra ferramenta não homologada para coletar dados pessoais, dados de saúde, dados de colaboradores, dados de candidatos, dados financeiros, documentos, assinaturas, autorizações, registros ou informações institucionais.

A criação de formulários deve observar:

• finalidade específica;
• coleta mínima necessária;
• indicação de responsável pelo formulário;
• definição de prazo de retenção;
• restrição de acesso aos resultados;
• uso de avisos de privacidade ou termos de ciência quando aplicável;
• validação pelo setor responsável, pelo TI e/ou pelo Compliance/DPO quando houver tratamento de dados pessoais sensíveis, dados de saúde, dados de crianças e adolescentes, dados de candidatos, documentos pessoais, dados financeiros ou risco relevante.

Nenhum colaborador, gestor ou setor poderá criar formulário institucional por conta própria em ambiente externo ou pessoal.

14. Aplicativos de terceiros, extensões e integrações

É proibida a instalação, autorização, conexão ou utilização de aplicativos de terceiros, extensões de navegador, complementos do Gmail, complementos do Google Drive, automações externas, conectores, bots, plugins ou integrações que não estejam previamente autorizados no ambiente institucional.

Qualquer necessidade de uso de aplicativo externo deverá ser solicitada ao setor de TI, com justificativa da finalidade, indicação dos dados envolvidos, identificação dos usuários, descrição do fornecedor, finalidade do acesso, riscos conhecidos e período de utilização.

O setor de TI poderá aprovar, negar, restringir, testar ou submeter a solicitação ao Compliance/DPO, especialmente quando o aplicativo solicitar acesso a e-mails, arquivos do Drive, contatos, agenda, credenciais, dados pessoais, dados sensíveis, dados de pacientes, dados de colaboradores, dados de candidatos ou informações estratégicas do FAS.

Aplicativos não autorizados poderão ser bloqueados, removidos ou revogados a qualquer tempo.

15. Servidor dedicado HostGator, sites, EAD e acervo antigo

O FAS mantém servidor dedicado em ambiente HostGator para hospedagem de sites institucionais, plataformas de educação a distância, páginas, sistemas web autorizados e acervo técnico de e-mails antigos oriundos do ambiente webmail anterior.

O servidor dedicado não substitui o Google Workspace como ambiente oficial de comunicação, armazenamento colaborativo e gestão documental corrente.

O uso do servidor dedicado deve observar:

• acesso restrito a administradores autorizados;
• senhas fortes e individualizadas;
• vedação ao compartilhamento de credenciais de cPanel, WHM, WordPress, bancos de dados, FTP, SFTP, SSH ou painéis administrativos;
• uso de autenticação adicional quando disponível;
• atualização periódica de WordPress, temas, plugins e componentes;
• remoção de usuários inativos, plugins abandonados, temas não utilizados e arquivos desnecessários;
• controle de permissões por perfil de usuário;
• backups periódicos;
• monitoramento de malware, tentativas de acesso e alterações indevidas;
• cuidado reforçado com páginas que contenham formulários, uploads, inscrições, certificados, dados de alunos, dados de colaboradores ou informações institucionais.

Administradores, editores e autores dos sites do FAS devem publicar apenas conteúdos autorizados, corretos, atualizados, compatíveis com a identidade institucional, sem exposição indevida de dados pessoais, imagens de pacientes, colaboradores, crianças, adolescentes, documentos, listas, telefones, e-mails, prontuários, escalas, dados de saúde, dados financeiros ou informações internas.

Publicações contendo imagens de pessoas devem observar autorização de uso de imagem, finalidade institucional, contexto adequado e vedação à exposição vexatória, discriminatória ou incompatível com os valores do FAS.

16. Compartilhamento de dados e documentos

O compartilhamento de dados pessoais e documentos institucionais somente poderá ocorrer quando houver finalidade legítima, necessidade, autorização, relação funcional ou contratual adequada e compatibilidade com as atividades do FAS.

É proibido:

• compartilhar arquivos institucionais com e-mails pessoais;
• copiar e-mail corporativo para conta pessoal própria ou de terceiros;
• enviar documentos internos para WhatsApp pessoal sem necessidade e autorização;
• compartilhar planilhas amplas com dados de colaboradores, pacientes ou candidatos sem controle de acesso;
• conceder acesso a documentos de uma unidade a gestores ou colaboradores de outra unidade sem necessidade institucional;
• enviar documentos financeiros, de RH, saúde, compras, contratos, auditorias, sindicâncias ou prestação de contas por canais informais;
• utilizar links públicos ou abertos para documentos com dados pessoais;
• realizar download, impressão ou cópia local sem necessidade.

O compartilhamento externo deve ser limitado a destinatários identificados e vinculados à finalidade institucional, como órgãos públicos contratantes, autoridades, fornecedores contratados, consultores, auditorias, unidades sob gestão, parceiros formalizados e demais terceiros autorizados.

17. Spam, phishing, malwares, macros e arquivos compactados

Os usuários devem adotar cautela permanente em relação a mensagens, anexos, links, QR codes, páginas de login, arquivos compartilhados e solicitações incomuns.

É proibido abrir, executar ou baixar arquivos suspeitos, especialmente quando envolverem extensões executáveis, scripts, instaladores, macros, arquivos compactados com senha ou remetentes desconhecidos.

Mensagens suspeitas devem ser comunicadas imediatamente ao setor de TI e/ou ao canal de segurança indicado, sem encaminhamento desnecessário de anexos maliciosos a outros usuários.

Arquivos com macros, como .docm, .xlsm e .pptm, somente poderão ser utilizados quando houver necessidade justificada, origem confiável e validação do setor de TI.

Arquivos compactados com senha, como .zip, .rar ou .7z, devem ser tratados como potencialmente perigosos, pois podem impedir a verificação automatizada de segurança e ocultar conteúdo malicioso.

O envio massivo de e-mails, listas de distribuição, comunicações a grandes grupos, campanhas institucionais ou mensagens para múltiplos destinatários deve observar autorização do setor competente, orientação do TI, regras antispam e boas práticas de reputação do domínio institucional.

18. WhatsApp e canais informais

O WhatsApp não é repositório oficial de documentos, não substitui e-mail corporativo, Google Drive institucional, Jotform, sistemas próprios, processos administrativos ou canais formais do FAS.

É proibido utilizar WhatsApp para:

• realizar processos seletivos;
• receber currículos ou documentos de candidatos;
• consultar fornecedores, solicitar preços, negociar compras ou formalizar orçamentos;
• enviar notas fiscais, faturas, ordens de pagamento, documentos de contas a pagar ou receber;
• enviar atestados médicos, documentos de RH, PPP, férias, dados funcionais ou documentos pessoais;
• compartilhar dados de pacientes, prontuários, exames, laudos, imagens clínicas ou informações de saúde, salvo hipótese excepcional, justificada, autorizada e compatível com protocolos assistenciais;
• cobrar prazos contratuais, reclamar formalmente de fornecedores, registrar desconformidades ou substituir canais formais de compras, contratos, fiscalização e compliance;
• compartilhar arquivos institucionais fora de ambiente controlado.

Quando o WhatsApp for utilizado como ferramenta auxiliar de comunicação rápida, as decisões, documentos, arquivos relevantes e registros necessários deverão ser formalizados posteriormente no canal institucional adequado.

19. Redes sociais e imagem institucional

O uso de redes sociais em computadores, dispositivos ou redes do FAS deve observar as normas internas, as orientações do setor de Comunicação, do TI e do Compliance/DPO.

É vedado publicar, compartilhar ou divulgar:

• dados pessoais de pacientes, colaboradores, candidatos, fornecedores ou terceiros;
• imagens de pacientes, acompanhantes, crianças ou adolescentes sem autorização e finalidade institucional legítima;
• imagens de colegas em situação vexatória ou constrangedora;
• documentos internos, telas de sistemas, escalas, prontuários, relatórios, listas, planilhas ou informações restritas;
• fotos ou vídeos que exponham fragilidades estruturais, danos, equipamentos, incidentes, acidentes ou situações internas sem comunicação prévia pelos canais institucionais;
• conteúdo falso, discriminatório, ofensivo, difamatório, assediante, racista, xenofóbico, homofóbico, capacitista, contrário à saúde pública ou incompatível com os valores institucionais;
• manifestação que exponha indevidamente o FAS, unidades sob gestão, órgãos públicos parceiros, pacientes, colaboradores ou serviços de saúde.

Problemas estruturais, riscos, danos, falhas, acidentes, desconformidades ou situações que exijam providências devem ser comunicados pelos canais formais internos, e não por exposição pública em redes sociais.

20. Processos seletivos e RH

Os processos seletivos do FAS devem ser realizados exclusivamente por canais institucionais homologados, preferencialmente por formulários Jotform oficiais, com controle de acesso, finalidade definida, coleta mínima necessária e aviso de privacidade adequado.

É proibido divulgar e-mail do FAS para recebimento de currículos, documentos de candidatos ou inscrições em processos seletivos, salvo autorização específica do RH, TI e Compliance/DPO.

É proibido receber currículos por WhatsApp, e-mail pessoal, Google Forms, formulários externos, redes sociais, mensagens privadas ou canais não homologados.

Dados de candidatos devem ser tratados apenas para a finalidade do processo seletivo, pelo período necessário à seleção, contestação, auditoria, prestação de contas, cumprimento de obrigação legal ou defesa de direitos.

A manutenção de banco de talentos somente poderá ocorrer quando houver base legal adequada, informação clara ao titular, prazo definido, controle de acesso e autorização institucional.

Documentos de RH, dados funcionais, documentos pessoais, dados bancários, atestados, informações de saúde, avaliações, medidas disciplinares e registros trabalhistas devem ser tratados exclusivamente em ambientes institucionais autorizados e acessados apenas por pessoas com necessidade funcional.

21. Treinamentos obrigatórios

Todos os colaboradores, gestores, terceiros autorizados e usuários de sistemas institucionais deverão realizar os treinamentos obrigatórios definidos pelo FAS, incluindo, quando aplicável:

• LGPD e proteção de dados;
• segurança da informação;
• uso seguro do Gmail institucional;
• uso correto do Google Drive;
• prevenção de phishing, spam, malwares e engenharia social;
• uso de Jotform e formulários institucionais;
• incidentes de segurança;
• boas práticas em redes sociais, WhatsApp e canais digitais;
• responsabilidades de gestores e usuários autorizados.

O não cumprimento dos treinamentos obrigatórios poderá ensejar restrição de acesso a sistemas, comunicação à chefia imediata e aplicação das medidas administrativas cabíveis.

22. Incidentes de segurança

Qualquer evento confirmado ou suspeito que possa comprometer dados pessoais, sistemas, contas, documentos, e-mails, arquivos, formulários, sites, senhas, dispositivos ou informações institucionais deve ser comunicado imediatamente ao Compliance/DPO e ao setor de TI.

São exemplos de incidentes ou suspeitas:

• envio de dados para destinatário errado;
• compartilhamento indevido de arquivo;
• perda ou roubo de dispositivo;
• acesso não autorizado à conta;
• exclusão indevida de e-mails ou documentos;
• vazamento de dados;
• recebimento ou clique em link malicioso;
• instalação de aplicativo não autorizado;
• invasão, alteração indevida ou infecção de site;
• exposição de dados pessoais em redes sociais, WhatsApp, sites ou documentos públicos.

O FAS adotará procedimento interno de resposta a incidentes, incluindo contenção, avaliação, preservação de evidências, registro, comunicação às áreas responsáveis, mitigação de danos, orientação aos titulares e comunicação à ANPD quando exigido pela legislação aplicável.

23. Retenção, arquivamento e descarte

O FAS manterá dados pessoais e documentos pelo tempo necessário ao cumprimento das finalidades institucionais, obrigações legais, contratos de gestão, prestação de contas, auditorias, controle interno, defesa de direitos, normas sanitárias, obrigações trabalhistas, fiscais, contábeis e regulatórias.

O descarte de dados e documentos deverá ocorrer de forma segura, autorizada e rastreável, observando política de retenção, tabela de temporalidade, orientação do setor responsável e avaliação do Compliance/DPO quando envolver dados pessoais sensíveis, dados de saúde, dados de RH, processos administrativos, sindicâncias, auditorias, contratos, documentos financeiros ou solicitações de autoridades.

A vedação à exclusão de e-mails corporativos permanece como regra específica de preservação documental, sem prejuízo de políticas institucionais de retenção e descarte aplicáveis a outras categorias de dados e documentos.

24. Direitos dos titulares

Os titulares de dados pessoais poderão exercer seus direitos previstos na LGPD, incluindo confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio, eliminação quando cabível, informação sobre compartilhamento, portabilidade quando aplicável, revogação do consentimento e oposição a tratamento irregular.

As solicitações deverão ser encaminhadas ao Encarregado de Proteção de Dados pelo canal institucional indicado pelo FAS, mediante validação de identidade e análise da possibilidade jurídica e técnica de atendimento.

O atendimento aos direitos dos titulares observará hipóteses legais de retenção, sigilo, segredo profissional, proteção de terceiros, segurança assistencial, obrigações legais, prestação de contas e defesa de direitos.

25. Sanções e medidas administrativas

O descumprimento deste regulamento poderá ensejar orientação, advertência, suspensão, restrição de acesso, bloqueio de conta, comunicação à chefia, apuração interna, responsabilização contratual, rescisão contratual, dispensa por justa causa, comunicação a autoridades competentes ou outras medidas cabíveis, conforme a gravidade, reincidência, dano causado, intenção, risco institucional e normas aplicáveis.

São consideradas condutas graves, entre outras:

• utilizar e-mail pessoal para atividades corporativas;
• encaminhar e-mails ou documentos institucionais para conta pessoal;
• excluir e-mails corporativos relacionados às atividades do FAS;
• compartilhar arquivos com terceiros não autorizados;
• criar formulários em Google Forms ou plataformas não homologadas para coleta de dados institucionais;
• instalar ou autorizar aplicativos de terceiros não aprovados;
• compartilhar senhas ou códigos de autenticação;
• expor dados pessoais em redes sociais ou WhatsApp;
• omitir incidente de segurança;
• utilizar canais informais para tratar dados de pacientes, RH, processos seletivos, compras, contratos ou documentos financeiros.

26. Atualização do regulamento

Este regulamento poderá ser atualizado periodicamente para refletir alterações legislativas, orientações da ANPD, mudanças tecnológicas, atualização da infraestrutura do FAS, novas plataformas, alterações contratuais, recomendações de auditoria, incidentes de segurança ou evolução do Programa de Governança em Privacidade e Proteção de Dados.

As atualizações serão divulgadas pelos canais institucionais e poderão ser objeto de treinamento, termo de ciência ou comunicação específica aos usuários.

27. Contato

As dúvidas, solicitações de titulares, comunicações de incidente, pedidos de orientação e demandas relacionadas à proteção de dados pessoais deverão ser encaminhadas ao Encarregado de Proteção de Dados do FAS pelo e-mail compliance@fas.org.br e também ao setor de TI em tecnologia@fas.org.br

Demandas técnicas, solicitações de acesso, avaliação de aplicativos, liberação de ferramentas, bloqueios, incidentes de sistemas, suspeitas de phishing, falhas de segurança e assuntos relacionados à infraestrutura deverão ser encaminhados ao setor de TI pelos canais institucionais definidos pelo FAS.