Programa de Proteção de Dados, LGPD e Segurança da Informação do FAS

1. Finalidade desta página

Esta página apresenta, de forma resumida e institucional, as principais medidas adotadas pelo FAS para proteção de dados pessoais, segurança da informação e conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD.

Diferentemente do Regulamento Institucional de Proteção de Dados, Segurança da Informação e Uso dos Recursos Digitais, esta página não tem por objetivo reproduzir todas as regras, vedações e procedimentos internos. Sua finalidade é apresentar ao público, colaboradores, parceiros, titulares e órgãos de controle uma visão geral do Programa de Proteção de Dados do FAS.

2. Programa de Proteção de Dados do FAS

A implementação da LGPD no FAS reflete um compromisso contínuo com a segurança, a transparência, a rastreabilidade, a preservação documental e a conformidade nas atividades administrativas, assistenciais, educacionais e tecnológicas da instituição.

O programa abrange a sede administrativa, as unidades de saúde sob gestão, os processos de recursos humanos, os processos seletivos, os canais digitais, os sites institucionais, as plataformas de EAD, os formulários eletrônicos, as comunicações corporativas e os demais ambientes em que haja tratamento de dados pessoais.

3. Governança e responsabilidades

A governança do Programa de Proteção de Dados é conduzida de forma integrada pelo Compliance/DPO, pelo setor de TI, pelas lideranças, pelos gestores das unidades e pelos usuários autorizados dos sistemas institucionais.

O Compliance/DPO orienta a instituição quanto às práticas de proteção de dados, avalia riscos, acompanha incidentes e atua como canal de comunicação com titulares e com a Autoridade Nacional de Proteção de Dados, quando cabível.

O setor de TI responde pela administração, proteção e monitoramento dos recursos tecnológicos, controles de acesso, permissões, segurança de sistemas, apoio técnico, análise de ferramentas e resposta a incidentes de segurança.

4. Google Workspace institucional

O FAS utiliza o Google Workspace institucional como ambiente oficial de comunicação, colaboração, reuniões, produção documental, armazenamento e compartilhamento de arquivos.

O ambiente inclui Gmail corporativo, Google Drive institucional, Google Meet, Google Chat, Google Agenda, Google Docs, Google Sheets, Google Slides e demais aplicativos disponibilizados e autorizados no ambiente corporativo.

Entre as medidas de governança aplicáveis estão o uso de contas corporativas, controles de acesso, autenticação em duas etapas quando exigida, gestão de permissões, restrição ao uso de e-mails pessoais, vedação ao encaminhamento indevido de mensagens corporativas, proibição de compartilhamento com contas externas sem finalidade legítima e preservação de e-mails relacionados às atividades institucionais.

O FAS utiliza os recursos administrativos, relatórios, registros de segurança e controles disponíveis no ambiente contratado, além de medidas internas de preservação documental e prevenção de compartilhamento indevido. A instituição não deve divulgar ferramentas específicas de retenção, auditoria ou prevenção de perda de dados que não estejam efetivamente contratadas, implantadas e disponíveis em seu plano vigente.

5. Jotform institucional

O Jotform institucional é a plataforma oficial do FAS para criação de formulários, inscrições, solicitações, coletas estruturadas de dados, registros, termos de ciência, termos de responsabilidade, processos seletivos, pesquisas autorizadas e fluxos internos.

É vedado o uso de Google Forms, Microsoft Forms, Typeform, SurveyMonkey, formulários pessoais, formulários gratuitos, links externos ou qualquer ferramenta não homologada para coleta de dados pessoais, dados de saúde, dados de colaboradores, dados de candidatos, dados financeiros, documentos, assinaturas ou informações institucionais.

Os formulários institucionais devem observar finalidade específica, coleta mínima necessária, responsável definido, controle de acesso aos resultados, prazo de retenção, avisos de privacidade quando aplicáveis e validação pelo setor responsável, pelo TI e/ou pelo Compliance/DPO quando envolverem dados sensíveis ou risco relevante.

6. Servidor dedicado HostGator, sites e EAD

O FAS mantém servidor dedicado em ambiente HostGator para hospedagem de sites institucionais, páginas, plataformas de educação a distância, sistemas web autorizados e acervo técnico de e-mails antigos oriundos do ambiente webmail anterior.

O servidor dedicado não substitui o Google Workspace como ambiente oficial de comunicação, colaboração, armazenamento corrente e gestão documental. Seu uso deve ser restrito às finalidades autorizadas, com controle de administradores, senhas fortes, perfis de acesso, atualizações de WordPress, temas e plugins, backups, monitoramento de malware e cuidado reforçado com páginas que contenham formulários, uploads, inscrições, certificados ou informações institucionais.

Administradores, editores e autores dos sites do FAS devem publicar apenas conteúdos autorizados, corretos, atualizados e compatíveis com a identidade institucional, sem exposição indevida de dados pessoais, imagens de pacientes, documentos internos, listas, telefones, e-mails, prontuários, escalas, dados de saúde, dados financeiros ou informações restritas.

7. Sistemas de saúde nas unidades

Nas unidades de saúde sob gestão do FAS, os sistemas assistenciais e administrativos utilizados para atendimento, registro, acompanhamento e gestão de pacientes devem observar controles de acesso, rastreabilidade, autenticação de usuários autorizados e medidas de segurança compatíveis com o tratamento de dados de saúde.

Dados de pacientes, prontuários, laudos, exames, imagens clínicas, informações assistenciais e demais dados pessoais sensíveis devem ser acessados apenas por profissionais autorizados e exclusivamente para finalidades compatíveis com assistência, gestão, regulação, auditoria, obrigação legal, prestação de contas ou defesa de direitos.

8. Infraestrutura local, rede e backups

A infraestrutura local da sede e das unidades pode incluir servidores, rede interna, estações de trabalho, dispositivos, rotinas de backup, armazenamento técnico, sistemas legados ou recursos de apoio à continuidade das atividades institucionais.

Esses recursos devem ser administrados pelo setor de TI, com controle de acesso, restrição de permissões, monitoramento de logs quando disponível, rotinas de backup compatíveis com a criticidade dos dados e medidas de recuperação em caso de falhas, indisponibilidade ou incidentes.

Sempre que houver migração de arquivos, mensagens ou documentos para o Google Workspace institucional, os ambientes locais ou legados deverão ser tratados como apoio técnico, histórico ou contingencial, evitando duplicidade desnecessária, repositórios paralelos e compartilhamentos fora dos ambientes homologados.

9. Treinamentos e conscientização

O FAS promove treinamentos presenciais e online sobre proteção de dados pessoais, segurança da informação, uso adequado dos recursos digitais, confidencialidade, prevenção de phishing, uso correto do Gmail, Google Drive, Jotform, comunicação de incidentes e responsabilidades dos colaboradores.

Os treinamentos integram a estratégia de prevenção, conscientização e prestação de contas do Programa de Proteção de Dados, devendo ser realizados conforme orientação institucional e dentro dos prazos definidos para cada público, unidade, setor ou função.

10. Incidentes de segurança

Qualquer suspeita de acesso indevido, vazamento, perda de documento, exclusão irregular, envio de dados para destinatário errado, clique em link malicioso, compartilhamento indevido, instalação de aplicativo não autorizado, invasão de site ou exposição de dados pessoais deve ser comunicada imediatamente aos canais institucionais.

O FAS adota procedimento interno de resposta a incidentes, com avaliação, contenção, preservação de evidências, mitigação de riscos, orientação aos envolvidos e comunicação à ANPD ou aos titulares quando exigido pela legislação aplicável.

11. Direitos dos titulares

Os titulares de dados pessoais poderão solicitar informações sobre o tratamento de seus dados e exercer os direitos previstos na LGPD, observadas as hipóteses legais de retenção, sigilo, segurança assistencial, proteção de terceiros, prestação de contas, cumprimento de obrigação legal e defesa de direitos.

As solicitações deverão ser encaminhadas ao Encarregado de Proteção de Dados do FAS pelo canal institucional indicado, com validação de identidade e análise da possibilidade jurídica e técnica de atendimento.

12. Canais de contato

Dúvidas, solicitações de titulares, pedidos de orientação, reclamações ou comunicações relacionadas à proteção de dados pessoais devem ser encaminhadas ao Encarregado de Proteção de Dados do FAS.