Política de Privacidade
A Invitare Pesquisa Clínica Auditoria e Consultoria, inscrita no CNPJ 04.236.747/0001-02, empresa de personalidade jurídica de direito privado, com sede em São Paulo/SP, adota essa Política de Privacidade para demonstrar nosso respeito aos seus dados e a aderência à Lei Geral de Proteção de Dados (Lei 13.709/2012) e demais regulamentações aplicáveis ao tema.
A segurança da informação, de acordo com a ANPD, pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação. Esse conjunto de ações impacta todo o ambiente institucional das empresas, com objetivo de prevenir, detectar e combater as ameaças digitais.
Nossa Política de Privacidade determina quais são os dados coletados, quais os propósitos para a coleta de determinados dados, como eles são protegidos em sua cadeia de coleta, anonimização, registro, armazenamento, uso, compartilhamento e eliminação. O controle dos dados de uma pessoa deve ocorrer com o objetivo de preservação do anonimato, preserva ção da imagem, quando aplicável, respeito às individualidades, intimidade e liberdade de escolha.
É importante que você leia essa Política atentamente.
Temos um Código de Conduta e um conjunto de requisitos sobre Boas Práticas de Governança, tudo para mostrar a transparência dos nossos serviços e o respeito pelos seus dados e a forma como nos relacionamos com nossos clientes, colaboradores e demais terceiros.
Considerando o porte da Invitare, seguimos o Guia Orientativo publicado pela Autoridade Nacional de Proteção de Dados (ANPD), sobre “SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE” - VERSÃO 1.0 OUT. 2021.
De acordo com esse Guia Orientativo e com a LGPD seguem algumas definições importantes:
- Agentes de tratamento: o controlador e o operador.
- ANPD: Autoridade Nacional de Proteção de Dados.
- Anonimização: procedimento utilizado para anonimizar um dado pessoal, fazendo com que esse dado não possa mais se relacionar com a pessoa que gerou o dado.
- Cookies: arquivos de informações armazenados no computador ou dispositivos móveis através do navegador de Internet (browser). Estes arquivos permitem que, durante um certo período, um website recorde de ações e preferências registradas em nome de um usuário.
- Controlador de dados: agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.
- Dados pessoais: informações relacionadas à pessoa natural identificada ou identificável. Esses dados podem ser, mas não se limitam a nome, CPF e fotos.
- Dados sensíveis: aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Dados sensíveis, por terem uma proteção especial conferida pela LGPD, possuem regras mais rigorosas para seu tratamento, a fim de evitar riscos ou danos relevantes aos titulares de dados, mesmo quando manipulados por agentes de tratamento de pequeno porte.
- Encarregado: indivíduo responsável por garantir a conformidade de uma organização, pública ou privada. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
- NDA: non-disclosure agreement
- Operador de dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e conforme a finalidade por este delimitada.
- Titular dos dados: pessoa a quem os dados se referem. Você usuário, é titular dos seus dados pessoais e dados pessoais sensíveis.
- Tratamento de dado: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do inciso X do art. 5º da LGPD.
- Usuários: uma pessoa física que de alguma forma se comunica com uma organização, no nosso caso, com a Invitare. Essa comunicação pode ocorrer quando a pessoa utiliza o website da Invitare, redes sociais, portais.
POLÍTICA DA SEGURANÇA DA INFORMAÇÃO (PSI)
A PSI, de acordo com a ANPD é um conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização. Essa política pode ser endereçada por organizações de qualquer porte e compreende uma boa prática para a gestão da segurança.
A implementação de uma PSI pela Invitare existe para evidenciar a boa-fé e diligência na segurança dos dados pessoais sob sua custódia e fornece diretrizes para a gestão da segurança da informação.
A PSI da Invitare prevê uso de senhas (que devem ser alteradas em períodos previamente estabelecidos) para acesso aos documentos gerados, aos dados dos nossos usuários, compreendendo, colaboradores internos, externos e clientes, controle no compartilhamento dos dados, uso de antivírus, uso de equipamentos exclusivos da Invitare pelos colaboradores, capacidade de rastreabilidade de acesso aos sistema informatizados utilizados com níveis de acesso diferenciados em função do cargo ocupado pelo colaborador, dentre outras ações, que ainda que simplificadas, se justificam pelo porte da empresa e pelo tipo de dado acessado.
Para que a PSI seja atingida, os colaboradores da Invitare são treinados e, de forma contínua conscientizados sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais, além dos dados de documentos obtidos dos clientes, fornecedores e demais terceiros.
A ANPD, suas publicações e, em especial, a LGPD é discutida com os colaboradores, a fim de que eles possam introjetar a relevância de se garantir que cuidados básicos sejam adotados de forma contínua para minimizar incidentes de segurança, tais como clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail; manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas; não compartilhar logins e senhas de acesso das estações de trabalho; bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros; seguir as orientações de como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário; como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing.
A Invitare entende que um ambiente organizacional que estimule seus colaboradores a prevenir e informar vulnerabilidades ou incidentes com os dados é fundamental para a estabilidade da empresa e para a segurança dos próprios colaboradores, clientes e demais usuários.
GESTÃO DE CONTRATOS
Todos os contratos com colaboradores e/ou clientes possuem como anexo, um NDA. Nesse NDA, nosso Código de Conduta e esse Código de Privacidade são citados, bem como informado que em nosso website (www.invitare.com.br ) eles estão disponíveis.
Os contratos são arquivados em arquivo digital (nuvem) divididos por cliente. Nela são organizados todos os documentos e dados respectivos a cada cliente. Após prazo previamente estabelecido em contrato, esses documentos são excluídos do sistema.
No caso de colaboradores, pastas específicas existem para cada colaborador com os dados minimamente necessários para atendimento da legislação aplicável.
EMPRESA DE TI
A Invitare terceiriza serviços de TI para empresas com as quais mantém contratos com os devidos NDA, suas responsabilidades e formas de acesso e segurança dos dados da Invitare.
O acesso de dados pelas empresas terceiras só pode ser realizada em conformidade com as cláusulas contratuais previamente estabelecidas e devidamente assinadas. Processo de autenticação e trilhas de auditorias são previstas, para que, em caso de intercorrência, seja possível avaliar sua origem e as forma de correção e futuros planos de contingência.
As senhas dos colaboradores não são compartilhadas com a empresa de TI, nem tampouco com demais colaboradores. A Invitare possui senhas específicas para cargos de alto nível (diretoria) para acesso a arquivos de seus colaboradores direto, garantindo a responsabilidade pelos acessos que se fizerem necessários, esclarecendo as razões para tais acessos.
A Invitare, seguindo o preconizado pelo estudo “Segurança Digital: uma análise de gestão de risco em empresas brasileiras”, publicado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) em conjunto com o Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), que apontou que melhorar processos de identificação e autenticação em serviços e sistemas, incluindo a não reutilização de senhas, estão entre as três medidas de maior impacto na segurança da informação em empresas, orienta seus colaboradores que se atentem a tais recomendações. Considerando que a Invitare utiliza serviços de computação em nuvem, temos a Microsoft 365 que possui nível dos dados armazenados.
COLETA E TRATAMENTO DE DADOS PESSOAIS
A Invitare coleta os dados pessoais para que seja possível prestar os serviços aos quais está apta para realizar. Solicitamos, por exemplo, nome, CPF, endereço, dados bancários, e-mail, pois se faz necessário emissão de certificados, envio de correspondências eletrônicas ou físicas, elaboração de contratos, boletos bancários, listas de presença e acesso às instalações da Invitare ou a terceiros a ela vinculados. Salientamos que seu nome e/ou endereço, podem ser repassados, por exemplo, para a Empresa Brasileira de Correios e Telégrafos ou para empresa especializada na confecção de Certificados de Conclusão de Curso.
A Invitare não solicita dados sensíveis, tais como referentes à saúde, atividade religiosa, hábito sexual, dentre outros dados sensíveis.
Ao acessar nosso website, redes sociais e demais mídias eletrônicas dados da sua navegação são capturados, o que não significa que serão utilizados.
FINALIDADE DO TRATAMENTO DOS DADOS PESSOAIS
A Invitare realiza o tratamento dos dados pessoais de um usuário de forma exclusiva para a finalidade ou propósito da nossa instituição. Em algumas situações, tais como processos administrativos ou judiciais, os dados poderão ser tratados, sempre em atendimento aos requisitos regulatórios aplicáveis.
No caso dos alunos da Invitare, para que eles possam realizar projetos de pesquisa, ferramentas públicas, sob a responsabilidade do governo federal, precisam ser utilizadas, por exemplo, para avaliação de protocolos pelo Sistema CEP/Conep. Ressaltamos que nessa situação, a Invitare não possui qualquer forma de proteção desses dados.
COMPARTILHAMENTO DE DADOS PESSOAIS
A Invitare pode compartilhar seus dados entre nossos departamentos, sempre com o propósito de desenvolver nosso trabalho em sua integralidade, fazendo com que você se sinta satisfeito. Tais atividades podem ser, mas não se limitam a: elaboração de contratos, emissão de boletos, realização de consultoria, aulas e mentorias.
Seus dados também podem ser transmitidos para atendimento de obrigações legais, sempre com documentos que comprovem tal solicitação pela autoridade regulatória aplicável.
ARMAZENAMENTO DE DADOS PESSOAIS
Os dados serão armazenados por período rigorosamente necessário para cada uma das finalidades definidas pelo serviço contratado. Esse período será estipulado em contrato devidamente assinado pelas partes.
No caso de alguma demanda, por exemplo, financeira, os dados serão mantidos até que a demanda tenha sido solucionada.
A Invitare utilizará recursos dentro do limite do porte da instituição para evitar que os dados sejam perdidos, tenham mau uso, ou sejam acessados por colaboradores não autorizados.
COOKIES E DEMAIS FERRAMENTAS AFINS
A Invitare recebe e pode armazenar dados mediante a utilização de cookies em suas redes de navegação. Esses cookies, quando aceitos, permitem melhorar sua navegabilidade e experiência em nosso website. É possível que você recuse os cookies. Nesse caso, é possível que algumas funcionalidades do website não sejam acessadas.
DIREITOS DOS USUÁRIOS
Sobre seus dados pessoas, a LGPD garante que os usuários possam:
- Solicitar correção, anonimização, bloqueio, eliminação de dados desnecessários ou tratados de forma não conforme com os requisitos legais aplicáveis;
- Obter informações sobre entidades públicas e privadas com as quais os dados são compartilhados, exceto aquelas protegidas por lei;
- Confirmar se há tratamento dos dados e como eles são feitos;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Obter informações sobre as consequências da não autorização para informação sobre seus dados e eventual revogação de uma autorização
- Caso você tenha qualquer dúvida ou solicitação sobre seus dados, faça contato com invitare@invitare.com.br
NOSSO SITE/REDES SOCIAIS
O website da Invitare e demais mídias eletrônicas são de responsabilidade da Invitare. Caso alguma informação não seja compreendida por você ou, a seu critério, não corresponda à realidade, é seu direito fazer contato com a Invitare para que possamos dirimir suas dúvidas e/ou fazer eventuais adequações.
ATUALIZAÇÃO DA POLÍTICA DE PRIVACIDADE
A Política de Privacidade Invitare será revisada sempre que novos requisitos legais forem estabelecidos e/ou sempre que novos processos internos forem adotados com o objetivo de melhor resguardar a segurança dos nossos usuários.
No momento de uma revisão, a nova versão será disponibilizada em nosso website, nossos colaboradores serão treinados e nossos clientes receberão uma notificação sobre a alteração.
Fica estabelecido o Foro de São Paulo/SP para a resolução de eventuais conflitos.
Políticas de Privacidade Invitare
Versão de janeiro de 2024
Aprovada pela Presidência e Diretoria
Para qualquer informação adicional
Tel.: 11.5581.1019