Política de Privacidade de Dados Coren-SP

PREÂMBULO – JUSTIFICATIVA PARA A APROVAÇÃO DA POLÍTICA DE PRIVACIDADE DE DADOS (PPD)

A Lei Federal nº 13.709/2018 dispõe sobre o tratamento de dados pessoais, inclusive através de meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou ainda o tratamento de dados coletados no território nacional. Seu objetivo é o de proteger a privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

O Coren-SP, visando conferir transparência aos procedimentos de tratamento de dados pessoais, e firmar compromisso com o integral cumprimento da Lei Geral de Proteção de Dados, APROVA na Reunião Ordinária do Plenário, realizada aos 09/01/2023, por meio de sua Decisão COREN-SP/PLENÁRIO/001/2023, sua Política de Privacidade de Dados (PPD), a ser utilizada nos sítios de internet, sistemas e aplicativos corporativos do Conselho Regional de Enfermagem de São Paulo (Coren-SP).

Esta Política de Privacidade descreve as práticas do Coren-SP em relação aos dados coletados por meio do site www.coren-sp.gov.br, e por todos os demais mecanismos de coleta de dados, como o preenchimento de formulários físicos ou bancos de dados informatizados, e-mails, fornecimento de cópias de documentos, manifestações em redes sociais, contratos, publicações, etc., de acordo com as leis em vigor.

Ao estabelecer sua Política de Privacidade, o Coren-SP se compromete e declara aplicar aos dados pessoais e aos dados pessoais sensíveis sob sua custódia, todas as melhores práticas procedimentais, garantindo ao usuário de seus canais de atendimento e de coleta de dados, seja durante a realização da atividade fiscalizatória exercida pelo Coren-SP, seja em razão das relações jurídicas mantidas com os demais titulares de dados, ou ainda, em razão da utilização do site www.coren-sp.gov.br, o cumprimento da legislação brasileira aplicável à proteção de dados.

O conteúdo do site do Coren-SP é livre e gratuito para acesso às informações públicas, porém para acesso ou solicitação de serviços ou informações específicas que digam respeito ao usuário, será exigido cadastro prévio do solicitante, com a criação de login e senha, para autorização de acesso seguro ao sistema corporativo.

As informações fornecidas pelo usuário, ao cadastrar-se nos sistemas corporativos do Coren-SP durante o uso dos serviços ofertados, são armazenadas nos bancos de dados institucionais de acordo com padrões de segurança, confidencialidade e integridade. Os dados coletados pelo sistema de cookies são utilizados para melhor navegabilidade no site.

É através da Política de Privacidade ora aprovada, que o Coren-SP demonstra observar as regras de tratamento de dados pessoais aplicáveis aos órgãos públicos, previstas no art. 23 e subsequentes da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD), e os princípios enunciados no art. 6º do mesmo diploma legal, ressalvadas as hipóteses elencadas no art. 4º da LGPD, não regulamentadas pela lei.

SUMÁRIO

  1. Apresentação
  2. O Coren-SP e a Lei Geral de Proteção de Dados (LGPD)
  3. Dados Pessoais e Dados Pessoais Sensíveis
  4. Das Hipóteses de Tratamento
  5. Hipóteses de Tratamento pelo Coren-SP
  6. Das Operações de Tratamento
  7. Formas de Tratamento de Dados pelo Coren-SP
  8. Dos Direitos dos Titulares de Dados Pessoais
  9. Da Necessidade e da Dispensa do Consentimento
  10. Das Possibilidades e Limites da Divulgação de Dados
  11. Dos Serviços Prestados por Terceiros
  12. Do Armazenamento e da Eliminação de Dados Pessoais
  13. Da Segurança da Informação
  14. Das Alterações na Política de Privacidade
  15. Formas de Contato e Prazo para Atendimento
  16. Contato da Encarregada de Proteção de Dados Pessoais

1.      APRESENTAÇÃO

O Coren-SP está regulamentado nos termos da Lei nº 5.905 de 12/5/1973, que criou o Conselho Federal de Enfermagem (Cofen) e os Conselhos Regionais de Enfermagem (Coren), com a finalidade de disciplinar e fiscalizar o exercício da profissão, realizar o julgamento e aplicação de penalidades nos casos de infração ao Código de Ética dos Profissionais de Enfermagem, além do cumprimento à observância de seus princípios éticos e profissionais. O Conselho Regional é subordinado diretamente ao Conselho Federal, guardadas as suas discricionaridades, garantidas em seu regimento interno, cabendo-lhe conceder o registro profissional para enfermeiros, obstetrizes, técnicos e auxiliares de enfermagem; fiscalizar e disciplinar o exercício profissional da enfermagem amparado por requisitos éticos e legais; emitir Registros das Anotações de Responsabilidade Técnica (ART); e deliberar sobre assuntos relacionados ao exercício das profissões regulamentadas pelo sistema Cofen.

Com sede na cidade de São Paulo, SP, à Alameda Ribeirão Preto, 82, Bela Vista, CEP: 01331-000, o Conselho Regional de Enfermagem de São Paulo (Coren-SP) é o maior conselho de classe da área da saúde da América Latina, e para a consecução de seus objetivos, realiza tratamentos de dados pessoais, sendo certo que em todos os seus procedimentos, é valorizada a privacidade dos usuários de seus sistemas informatizados, dos profissionais, de seus empregados, colaboradores, fornecedores e parceiros.

Nesse sentido, o Coren-SP não tem medido esforços para aprimorar o atendimento ao profissional e aos interesses da sociedade, efetuando continuamente investimentos em capacitação e em tecnologias da informação, o que vem proporcionando a migração de diversos serviços para o ambiente online, como, por exemplo, a emissão do Registro de Responsabilidade Técnica. Dessa forma são reduzidos ao máximo a utilização de procedimentos manuais e o contato de operadores com os dados pessoais, garantindo-se ainda o controle e a rastreabilidade dos acessos e procedimentos.

Pautado pela transparência em relação à sua atuação e, também, pela responsabilidade com a incorporação de todos os valores da Lei Geral de Proteção de Dados à sua cultura organizacional, o Coren-SP criou a presente Política de Privacidade, para demonstrar seu compromisso com a proteção da sua privacidade, buscando de forma clara, objetiva e transparente, informar sobre os tipos de tratamentos de dados efetuados, os recursos de segurança utilizados, o embasamento legal para o tratamento de dados, e, principalmente, todos os direitos garantidos ao titular dos dados pessoais.

2.      O COREN E A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

Com a publicação da Lei Geral de Proteção de Dados Pessoais, LGPD, Lei Federal sob nº 13.709/2018, todos os dados pessoais e sensíveis passaram a ser protegidos para a garantia da privacidade e para a inviolabilidade da intimidade, da honra e da imagem das pessoas naturais, nas suas diversas relações jurídicas, garantindo-se ainda a liberdade de expressão, de informação, de comunicação e de opinião, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania.

Referida lei tem por objeto as relações jurídicas que envolvam a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados coletados, ou referentes a indivíduos localizados no território nacional.

Para a consecução de seus objetivos, a LGPD descreveu as figuras i) do titular dos dados, que é a pessoa à qual se referem as informações a serem protegidas; ii) do Controlador, que é a pessoa física ou jurídica em nome de quem e sob a responsabilidade de quem os dados são tratados; iii) do operador, pessoa incumbida pelo controlador de operar as ações que envolvem os dados pessoais; iv) da autoridade nacional de proteção de dados, órgão governamental federal responsável por regular e monitorar o tratamento de dados pessoais; e, finalmente, v) do encarregado de proteção de dados, que é a pessoa responsável pela intermediação entre o titular de dados, o controlador, o agente de dados, e a autoridade nacional de proteção de dados.

O Coren-SP, na condição de controlador de dados, visando assegurar aos profissionais inscritos, bem como a todos os parceiros, contratados, empregados, colaboradores e outros que com a autarquia mantenham qualquer tipo de relacionamento, a correta aplicação da Lei Geral de Proteção de Dados em todos os seus procedimentos, vem implementando um programa de Governança em Privacidade, em sinal de seu comprometimento com a adoção de processos e boas práticas a serem aplicadas a todos os dados pessoais que estejam sob sua custódia, independentemente de sua origem, sensibilidade, ou finalidade de tratamento.

Vale dizer, no exercício de suas funções institucionais, o Coren-SP coleta e trata dados pessoais de seus inscritos, bem como de empregados, empresas e colaboradores terceirizados, parceiros, fornecedores e conveniados, dentre outros, sempre em observância às hipóteses de tratamento e às finalidades especificadas na Lei Geral de Proteção de Dados, e no limite de suas atribuições legais, utilizando-se de procedimentos seguros e de boas práticas, em cumprimento ao disposto no inciso I do art. 23 da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).

Como uma das ações de Governança em Privacidade, é estabelecida a presente “Política de Privacidade”, documento que representa o compromisso do Coren-SP com a segurança dos dados pessoais que lhe são custodiados, e no qual informa aos titulares de dados quais são os dados coletados e de que forma são tratados, em todas as etapas de procedimentos em que estão envolvidos, de modo a estabelecer uma relação de confiança e transparência.

São também informados no item 7 da presente política de privacidade todos os direitos dos titulares de dados, para que estes possam sempre encontrar informações claras e objetivas, bem como para que tenham respeitados os seus direitos à informação sobre as finalidades e as hipóteses legais de tratamentos, ao acesso aos dados, sua correção, atualização, anonimização, bloqueio e eliminação quando excessivos; à portabilidade, à revogação de consentimentos e informações sobre suas consequências, etc.

O Coren-SP conta em sua estrutura com sistemas de segurança da informação, rastreabilidade e mecanismos de supervisão da movimentação de dados, incorporados em todos os processos de tratamento, de ponta a ponta, como controle de acesso, segurança web, certificados digitais, backup, entre outros.

A partir da realização de inventário de dados, o Coren-SP monitora as atividades de seus agentes de tratamento, e vem trabalhando a todo momento para: i) informatizar todos os processos que envolvam tratamento de dados; ii) identificar lacunas e iii) monitorar riscos, através de processos de avaliação sistemática de impactos e riscos à privacidade, com periódicas análises de vulnerabilidades, em total observância às normas de segurança da informação.

3.      DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS

Os dados pessoais são quaisquer informações relacionadas a uma pessoa natural identificada ou identificável, e podem ser captados por meio digital através inserção em sites, bancos de dados públicos ou privados, e outros; ou por meio físico, através de cópias, impressões, formulários, etc.

Quando os dados pessoais se referem a origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; à saúde ou à vida sexual, à genética ou biometria de pessoa natural, são chamados dados pessoais sensíveis, e as hipóteses de tratamento, ou seja, as possibilidades de sua captação e utilização, são ainda mais restritas, visando a proteção à privacidade individual.

4.      DAS HIPÓTESES DE TRATAMENTO

As hipóteses de tratamento estipuladas pela Lei 13.709/2018 são dividas pelas categorias dos dados pessoais, sejam eles comuns ou sensíveis. As hipóteses de tratamento dos dados pessoais comuns encontram-se descritas no artigo 7º, incisos I a X, enquanto que as hipóteses de tratamento de dados pessoais sensíveis encontram-se relacionadas e descritas no artigo 11, incisos I, e II, e suas alíneas “a” a “g”, sendo algumas comuns a ambos os artigos, conforme abaixo relacionadas:

Art. 7º, I, e Art.11, I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

E quando não houver consentimento do titular de dados, nas hipóteses em que for indispensável:

Art 7º, II e Art. 11, II, “a” – para o cumprimento de obrigação legal ou regulatória pelo controlador;

Art. 7º, III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Art. 7º, IV e Art. 11, II, “c” – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais e pessoais sensíveis;

Art. 7º, V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

Art. 7º, VI e Art. 11, II, “d” – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 9.307, de 23 de setembro de 1996;

Art. 7º, VII e Art. 11, II, “e” – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

Art. 7º, VIII e Art. 11, II, “f” – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Art. 7º, IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

Art. 7º, X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Art. 11, II, “b” – tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

Art. 11, II, “g” – garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

5.       HIPÓTESES DE TRATAMENTO PELO COREN-SP

O Coren-SP, por caracterizar-se como órgão regional de sistema autárquico da administração pública federal, encontra-se autorizado a promover o tratamento de dados, limitado às hipóteses descritas no item 4 supra, da presente Política de Privacidade.

Destaca-se que como órgão da administração pública, o Coren-SP está autorizado pela LGPD, através do disposto em seu artigo 23, a realizar o tratamento de dados pessoais exclusivamente para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, e desde que as hipóteses de tratamento sejam informadas ao titular de dados, conforme item 3, e que seja indicado o encarregado pela proteção dos dados,   nos termos do item 15, ambos da presente política de privacidade.

Assim, os dados pessoais fornecidos pelos titulares de dados em quaisquer dos meios de coleta utilizados pelo Coren-SP poderão ser empregados para o atendimento das suas finalidades públicas e institucionais, enquanto órgão da administração pública indireta, nas atividades desempenhadas por todas as unidades funcionais que integram sua estrutura organizacional, conforme previsto no seu Regimento Interno aprovado pela DECISÃO COREN-SP/DIR/03/2013, de 03 de setembro de 2013.

O fornecimento dos dados pessoais a terceiros e a sua utilização para finalidades diversas daquelas para as quais foram coletados apenas poderão ocorrer mediante consentimento fornecido pelo seu titular ou, ainda, nas hipóteses de tratamento para a execução das competências constitucionais e regimentais do Coren-SP, e de compartilhamento com órgãos ou entidades para a execução atividades de interesse público.

6.      DAS OPERAÇÕES DE TRATAMENTO

As operações de tratamento são as situações fáticas que levam ao conhecimento de um ou mais dados pessoais ou dados pessoais sensíveis, podendo se classificar da seguinte forma, segundo a ação envolvida1:

ACESSO – ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

ARMAZENAMENTO – ação ou resultado de manter ou conservar em repositório um dado;

ARQUIVAMENTO – ato ou efeito de manter registrado um dado em qualquer das fases do ciclo da informação, compreendendo os arquivos corrente, intermediário e permanente, ainda que tal informação já tenha perdido a validade ou esgotado a sua vigência;

AVALIAÇÃO – analisar o dado com o objetivo de produzir informação;

CLASSIFICAÇÃO – maneira de ordenar os dados conforme algum critério estabelecido;

COLETA – recolhimento de dados com finalidade específica;

COMPARTILHAMENTO: Ação que pode se dar pela comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais com outros entes;

COMUNICAÇÃO – transmitir informações pertinentes a políticas de ação sobre os dados;

CONTROLE – ação ou poder de regular, determinar ou monitorar as ações sobre o dado;

DIFUSÃO – ato ou efeito de divulgação, propagação, multiplicação dos dados;

DISTRIBUIÇÃO – ato ou efeito de dispor de dados de acordo com algum critério estabelecido;

ELIMINAÇÃO – ato ou efeito de excluir ou destruir dado do repositório; EXTRAÇÃO – ato de copiar ou retirar dados do repositório em que se encontrava; MODIFICAÇÃO – ato ou efeito de alteração do dado;

PROCESSAMENTO – ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;

PRODUÇÃO – criação de bens e de serviços a partir do tratamento de dados;

RECEPÇÃO – ato de receber os dados ao final da transmissão;

REPRODUÇÃO – cópia de dado preexistente obtido por meio de qualquer processo;

TRANSFERÊNCIA – mudança de dados de uma área de armazenamento para outra, ou para terceiro;

TRANSMISSÃO – movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;

UTILIZAÇÃO – ato ou efeito do aproveitamento dos dados.

7.      FORMAS DE TRATAMENTO DOS DADOS PELO COREN-SP

As informações pessoais podem ser coletadas sob a forma digital ou física, verbal ou escrita, direta ou indiretamente, e poderão ser utilizadas para manter atualizados os registros dos titulares de dados, bem como para processar seus pedidos, fornecer serviços on-line, monitorar o uso de aplicativos, manter a qualidade dos serviços, informá-los de oportunidades que possam interessar-lhes e entender suas necessidades para melhoria da qualidade de serviço. Também poderão ser utilizadas as informações pessoais para efeitos internos, tais como auditorias, análise de dados, entre outros, bem como para efeitos externos, nas hipóteses e termos definidos pelo art. 26, §1º da LGPD.

A coleta de informações pessoais ocorre também quando o titular de dados pessoais se comunica com o Coren-SP, seja por e-mail, ligação telefônica ou por meio de registros de protocolos, inserção de dados no site, etc. Os dados coletados são aqueles necessários para disponibilizar o acesso dos usuários ao atendimento de suas solicitações e necessidades, sempre limitados às atividades públicas desempenhadas pelo Coren-SP, seja sob a forma de atendimento pessoal, atendimento pelo site ou por demais canais de comunicação.

As informações pessoais requeridas obedecem ao princípio da proporcionalidade, ou seja, são coletadas apenas aquelas informações necessárias à realização das atividades institucionais do Coren-SP, em especial as necessárias para a verificação da autenticidade da documentação e da identidade dos profissionais da área de enfermagem, em razão das funções fiscalizatória e regulamentadora exercidas pela autarquia.

Ao acessar os serviços online do Coren-SP, serão coletados apenas os dados inseridos pelo usuário, através do cadastro para login no sistema, e exclusivamente para a segurança de todos os usuários, como medida preventiva e inibidora, bem como para a detecção de acessos indevidos a informações privadas.

Assim, incumbe ao usuário o fornecimento de informações corretas e atualizadas, bem como a utilização responsável dos ambientes digitais, evitando que terceiros tenham acesso ao seu login e senha. Por ser a coleta de dados sob a forma “online” um momento em que o próprio titular de dados, mediante a inserção de login e senha, compartilha suas informações com o Coren-SP, apenas o titular de dados poderá se responsabilizar sobre a precisão, veracidade ou desatualização das informações prestadas em seu nome.

Por seu turno, o Coren-SP se responsabiliza por utilizar em seu site www.coren-sp.gov.br todas as tecnologias hábeis a garantir o respeito à legislação vigente e aos termos desta Política de Privacidade.

Destaca-se que não são coletados para a atividade do Coren-SP informações de crianças ou de adolescentes.

8.      DOS DIREITOS DOS TITULARES DE DADOS PESSOAIS

O Coren-SP se responsabiliza pela integral observância aos direitos dos titulares de dados2, que estão dispostos na Lei Geral de Proteção de Dados, conforme seguem:

  • Direito ao tratamento adstrito aos propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (Art. 6º, I);
  • Direito ao tratamento adequado, compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento (Art. 6º, II);
  • Direito à limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento (Art. 6º, III);
  • Direito à consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (Art. 6º, IV);
  • Direito à exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para o cumprimento da finalidade de seu tratamento (Art. 6º, V);
  • Direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (Art. 6º, VI);
  • Direito à segurança dos dados, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (Art. 6º, VII);
  • Direito à adequada prevenção de danos, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (Art. 6º, VIII);
  • Direito de não ser discriminado de forma ilícita ou abusiva (Art. 6º, IX);
  • Direito de exigir a adequada responsabilização e a prestação de contas por parte dos agentes de tratamento, ao qual se contrapõe o dever, por parte destes, de adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais (Art. 6º, X);
  • Direito de condicionar o tratamento de dados ao prévio consentimento expresso, inequívoco e informado do titular, salvo as exceções legais (Arts. 7º, I, e 8º);
  • Direito de exigir o cumprimento de todas as obrigações de tratamento previstas na lei, mesmo para os casos de dispensa de exigência de consentimento;

Art. 8º, § 2º – Direito à inversão do ônus da prova quanto ao consentimento (Art. 7º, § 6º);

  • Direito de requerer a nulidade de autorizações genéricas para o tratamento de dados pessoais (Art. 8º, § 4º);
  • Direito de requerer a nulidade do consentimento caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou, ainda, não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca (Art. 9º, § 1º);
  • Direito de requerer a revogação do consentimento a qualquer tempo, mediante manifestação expressa do titular, por procedimento gratuito e facilitado (Art. 8º, § 5º);
  • Direito de revogar o consentimento caso o titular discorde das alterações quanto ao tratamento de dados, seja na finalidade, forma e duração do tratamento, alteração do controlador ou compartilhamento (Arts. 8º, § 6º e 9º, § 2º);
  • Direito de acesso facilitado ao tratamento de dados, cujas informações devem ser disponibilizadas de forma clara, adequada e ostensiva acerca de (entre outras): finalidade específica do tratamento; forma e duração do tratamento, observados os segredos comercial e industrial; identificação do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador; finalidade, responsabilidades dos agentes que realizarão o tratamento e direitos do titular, com menção explícita aos direitos contidos no art. 18 (Art. 9º);
  • Direito de ser informado sobre aspectos essenciais do tratamento de dados, com destaque específico sobre o teor das alterações supervenientes no tratamento (Art. 8º, § 6º);
  • Direito de ser informado, com destaque, sempre que o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço, ou, ainda, para o exercício de direito, o que se estende à informação sobre os meios pelos quais o titular poderá exercer seus direitos (Art. 9º, § 3º);
  • Direito de ser informado sobre a utilização dos dados pela administração pública para os fins autorizados pela lei e para a realização de estudos por órgão de pesquisa (Art. 7º, III e IV c/c art. 7º, § 1º);
  • Direito de que o tratamento de dados pessoais cujo acesso é público esteja adstrito à finalidade, à boa-fé e ao interesse público que justificaram sua disponibilização (Art. 7º, § 3º);
  • Direito de condicionar o compartilhamento de dados por determinado controlador que já obteve consentimento a novo e específico consentimento. No caso da Administração Pública Federal (APF), em que o tratamento é embasado nas hipóteses de dispensa de consentimento original, o compartilhamento demandará uma nova justificativa de tratamento (Art. 7º, § 5º);
  • Direito de ter o tratamento de dados limitado ao estritamente necessário para a finalidade pretendida quando o tratamento for baseado no legítimo interesse do controlador (Art. 10, § 1º);
  • Direito à transparência do tratamento de dados baseado no legítimo interesse do controlador (Art. 10, § 2º);
  • Direito à anonimização dos dados pessoais sensíveis, sempre que possível, na realização de estudos por órgão de pesquisa (Art. 11, II, c);
  • Direito de ter a devida publicidade em relação às hipóteses de dispensa de consentimento para: tratamento de dados sensíveis no cumprimento de obrigação legal ou regulatória pelo controlador; ou tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos (Art. 11, § 2º);
  • Direito de impedir a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter vantagem econômica (exceto nos casos de portabilidade de dados quando consentido pelo titular) (Art. 11, § 4º);
  • Direito de que os dados pessoais sensíveis utilizados em estudos de saúde pública sejam tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas (Art. 13);
  • Direito de não ter dados pessoais revelados na divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa sobre saúde pública (Art. 13, § 1º);

Art. 13, § 2º – Direito de não ter dados pessoais utilizados em pesquisa sobre saúde pública transferidos a terceiros pelo órgão de pesquisa;

  • Direito ao término do tratamento, quando verificado que: (i) a finalidade foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (ii) houve o fim do período de tratamento; (iii) houve comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, conforme disposto no § 5º do art. 8º da Lei e resguardado o interesse público; ou (iv) por determinação da autoridade nacional, quando houver violação ao disposto na Lei (Art. 15);
  • Direito à eliminação ou ao apagamento dos dados, no âmbito e nos limites técnicos das atividades, sendo autorizada a conservação somente nas exceções legais (Art. 16);

9.      DA NECESSIDADE E DA DISPENSA DE CONSENTIMENTO

Nos termos das hipóteses de tratamento descritas no item 4 da presente Política de Privacidade, sempre que houver razões secundárias não condizentes com a atividade institucional do Coren-SP para a coleta ou tratamento de dados pessoais, será solicitado o consentimento expresso por escrito, do titular de dados. Neste caso, se após nos fornecer seus dados, a qualquer tempo o titular dos dados se arrepender, ou se assim o desejar por qualquer outro motivo, poderá revogar o consentimento, mediante encaminhamento de solicitação por quaisquer dos meios de contato existentes, como o site www.coren-sp.gov.br, o canal do Fale Conosco (https://portal.coren-sp.gov.br/fale-conosco/), ou pelo e-mail lgpd@coren-sp.gov.br.

Nas demais hipóteses, conforme previstas no item 3, supra, quando o tratamento de dados for indispensável para o cumprimento de obrigação legal ou regulatória pelo controlador; ou quando o tratamento compartilhado de dados for necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos, será dispensado o consentimento do titular de dados, considerando-se devidamente publicada, através da na presente Política de Privacidade a respectiva motivação, em atenção ao disposto no artigo 23, inciso I, do mesmo diploma legal.

10.      DAS POSSIBILIDADES E LIMITES DA DIVULGAÇÃO DE DADOS

O Coren-SP disponibiliza em formato de dados abertos em seu site, apenas as informações sob regência da Lei de Acesso à Informação Pública (Lei nº 12.527/2011), garantindo-se, contudo, o sigilo das informações pessoais que permitam identificar individualmente os titulares de dados pessoais.

Os dados coletados e as atividades registradas também poderão ser compartilhados pelo Coren-SP com autoridades judiciais, administrativas ou governamentais competentes, quando houver requerimento, requisição ou ordem judicial, conforme previsto na Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD).

11.      DOS SERVIÇOS PRESTADOS POR TERCEIROS

Ao navegar no site www.coren-sp.gov.br, o usuário poderá ser conduzido, via hyperlink, a conteúdos ou serviços, a outros portais ou plataformas que poderão coletar suas informações e ter sua própria Política de Privacidade. Hyperlinks externos não constituem endosso pelo Coren-SP a respeito dos sites/ambientes vinculados, nem tampouco às informações, produtos ou serviços ali contidos, pelos quais não se responsabiliza.

O Coren-SP prima pela segurança e privacidade do conteúdo inserido no domínio www.coren-sp.gov.br, bem como pela ininterrupta vigilância contra ataques, invasões ou contaminações por vírus de todos os tipos, agindo de forma proativa para impedir que terceiros não autorizados venham a acessar e, eventualmente, interceptar, eliminar, alterar, modificar ou manipular de qualquer modo os dados presentes e/ou transmitidos a seus servidores.

12.        DO ARMAZENAMENTO E DA ELIMINAÇÃO DOS DADOS PESSOAIS

As informações coletadas dos titulares de dados são armazenados em bases de dados do Coren-SP especificamente criadas para viabilizar sua atividade institucional, sendo certo que o titular de dados poderá a qualquer tempo solicitar alterações, exclusões, revogações de suas permissões, atualização, alteração, remoção ou eliminação de seus dados, nos termos da Lei Geral de Proteção de Dados, por meio da Ouvidoria Geral, acessível em http://ouvidoria.cofen.gov.br/cofen/ ou pelo e-mail lgpd@coren-sp.gov.br, o que será analisado também à luz dos dispositivos da LGPD, sempre contextualizando os dados pessoais envolvidos com a atividade reguladora e fiscalizadora do Coren-SP.

Os dados e os registros de atividades coletados serão armazenados em ambiente seguro e controlado, observadas as regras de Segurança da Informação. Em caso de eventos que envolvam falhas, desvios de finalidade ou perda de dados por ação de vírus ou de terceiros invasores ao sistema de banco de dados do Coren-SP, serão adotadas de forma imediata todas as providências necessárias a fazer cessar o risco e a conter as suas consequências, investigando-se a origem dos acessos, bem como sua abrangência e potencial lesivo, e comunicando a Autoridade Nacional de Proteção de Dados, para as providências de sua alçada.

Em razão de sua atividade pública fiscalizadora e reguladora, o Coren-SP mantém os dados pessoais pelos prazos mínimos exigíveis em legislações específicas, após os quais são mantidos para uso restrito à autarquia.

Os dados coletados são armazenados em servidores próprios do Coren-SP e na nuvem, localizados no Brasil.

13.        DA SEGURANÇA DA INFORMAÇÃO

O Coren-SP utiliza protocolo seguro de navegação de internet (HTTPS) em todos os seus sítios. O HTTPS utiliza SSL/TLS que, por sua vez, são protocolos que criptografam a conexão do cliente com o servidor, garantindo a confidencialidade na transferência dos dados e a autenticidade do acesso.

O acesso às informações coletadas está restrito aos agentes autorizados para o uso adequado desses dados, no limite de suas atribuições e respeitando os princípios de proporcionalidade, necessidade e relevância para os objetivos institucionais do Coren-SP, mediante compromisso de confidencialidade e preservação da privacidade, sendo certo que a utilização indevida dessas informações, de modo a ferir a presente Política de Privacidade e demais políticas internas, estará sujeita à responsabilização do agente, com a cominação das sanções legais e disciplinares.

Os mesmos padrões de privacidade e de segurança da informação do Coren- SP são exigidos de prestadores de serviços que possam, em razão de sua atividade, vir a acessar, ainda que parcial ou incidentalmente, dados pessoais ou sensíveis, ficando igualmente responsabilizados por desvios de finalidade, na forma da lei.

As Normas de Segurança da Informação do Coren-SP encontram-se aprovadas pela Instância Plenária do Coren-SP, e disponibilizadas a todo o seu quadro funcional e representativo.

14.        DAS ALTERAÇÕES NA POLÍTICA DE PRIVACIDADE

A presente Política de Privacidade poderá ser alterada e estará sujeita a adequações sempre que se fizer necessário para a manutenção do compromisso do Coren-SP com a melhoria contínua, ou para manutenção de sua conformidade com a legislação vigente, cabendo ao usuário verificá-la sempre que efetuar o acesso ao site https://portal.coren-sp.gov.br.

A Política de Privacidade do Coren-SP será revista anualmente, ou sempre que se fizer necessário para adequação às legislações e regras de privacidade, podendo ser prorrogada por decisão do Plenário, caso seus termos, ao tempo da incidência do prazo para a sua revisão, atendam às legislações e normas de proteção de dados, bem como às Deliberações da Autoridade Nacional de Proteção de Dados.

Caso haja alguma dúvida sobre as condições estabelecidas na Política de Privacidade, o usuário deverá entrar em contato por meio do canal de atendimento https://portal.coren-sp.gov.br/fale-conosco/.

15.        FORMAS DE CONTATO E PRAZO PARA ATENDIMENTO

Para dirimir quaisquer dúvidas sobre a Política de Privacidade do Coren-SP, bem como para exercer quaisquer dos direitos de titular de dados previstos na Lei 13.709/2018, o usuário deverá entrar em contato com a Encarregada pela Proteção aos Dados Pessoais através do e-mail lgpd@coren-sp.gov.br ou do site https://portal.coren-sp.gov.br/faleconosco.

Com base no art. 18 da Lei Federal nº 13.709/2018, para encaminhar um pedido de acesso aos dados pessoais, sob o modo online, é necessário clicar e preencher o formulário em http://ouvidoria.cofen.gov.br/coren-sp/

O prazo de resposta é de 15 dias, conforme estabelecido no inciso II do Art. 19 da Lei Federal nº 13.709/2018.

16.      IDENTIFICAÇÃO E CONTATOS DA ENCARREGADA DE PROTEÇÃO DE DADOS (DPO)

Por força da Portaria COREN/PLENÁRIO 103/2022, de 13/05/2022, é encarregada pela Proteção aos Dados Pessoais, a Sra. Simone Beralda Tavares, que poderá ser contatada em:

Conselho Regional de Enfermagem de São Paulo – Coren-SP
Alameda Ribeirão Preto, 82, Bela Vista, São Paulo, SP, CEP 01331-000.
E-mail: lgpd@coren-sp.gov.br       
Telefone: (11) 3225-6374

REFERÊNCIAS

1 Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD) – Governo Digital (www.gov.br)
2 (Guia de Boas Práticas – Lei Geral de Proteção de Dados – LGPD – Direitos Fundamentais do Titular de Dados)