POLÍTICA DE GOVERNANÇA DE DADOS DO GRUPO ENDOPURE

Data de Atualização: 21 de março de 2024

  1. Esta Política é aplicável à ENDOPURE PRODUÇÕES E EDUCAÇÃO LTDA., ENDOPURE HOLDINGS, LLC e 1 PURE ASSESSORIA LTDA, empresas integrantes do “Grupo Endopure”.

  2. OBJETIVO DESTA POLÍTICA

    1. Esta Política de Governança de Dados visa estabelecer e esclarecer como se dá o manuseio e o tratamento de dados, pelo Grupo Endopure, coletados de seus colaboradores, prestadores de serviços e parceiros.

    2. O objetivo desta Política é estabelecer princípios, diretrizes, atribuições e responsabilidades para a gestão de dados do Grupo Endopure, bem como esclarecer de que forma é tratada a privacidade dos dados coletados pelo Grupo, tudo em consonância com as regras dispostas na Lei Geral de Proteção de Dados (Lei 13.709/2018), a seguir denominada “LGPD”.

  3. APLICAÇÃO, COLETA E FINALIDADE DE USO

    1. Esta Política se aplica a todos os colaboradores, prestados de serviços e parceiros do Grupo Endopure que, em razão de contrato de prestação de serviços firmados com uma das empresas do Grupo Endopure, se utilizem dos sites das empresas do Grupo, emails corporativos, equipamentos, bem como todo e quaisquer sistemas operacionais utilizados pelas empresas do Grupo para realizar seus negócios.

    2. A coleta dos dados pessoais dos colaboradores, prestadores de serviços e parceiros do Grupo Endopure se dará em razão da utilização dos sites das empresas do Grupo, emails corporativos, equipamentos, bem como todo e quaisquer sistemas operacionais utilizados pelas empresas do Grupo para realizar seus negócios.

    3. Os dados coletados poderão vir a ser tratados, a critério exclusivo do Grupo Endopure, visando o aprimoramento de seu negócio, realização de pesquisas, incremento de vendas, etc.

  4. ARMAZENAGEM, ACESSOS, PERMISSÕES E ELIMINAÇÃO DOS DADOS

  1. Apenas serão solicitados os dados legal e/ou contratualmente necessários, para a atividade ou contrato a ser formado e cumprido, junto a clientes, fornecedores, parceiros e colaboradores.

  2. Ocorrerá o compartilhamento dos dados pessoais quando necessário para o cumprimento de obrigação legal, de contrato, ou por determinação de autoridade competente, respeitando os interesses ou direitos e liberdades fundamentais do titular.

  3. Os dados serão mantidos pelo Grupo Endopure somente pelo tempo necessário para as finalidades para as quais são coletados, e obrigações legais delas decorrentes, sendo descartados antes disso, se assim requisitado pelo titular, e não houver qualquer outra razão para a sua manutenção, como eventual obrigação legal de retenção de dados, ou necessidade de preservação destes para resguardo de direitos do Grupo.

  4. São utilizadas ferramentas tecnológicas referentes ao controle de acesso a dados protegidos, objeto desta Política. Tais sistemas implementam diferentes níveis de permissão e de auditoria das ações relacionadas ao compartilhamento de dados, de forma que todos os colaboradores e parceiros também têm acessos diferentes aos dados protegidos, conforme a necessidade (efetiva ou potencial).

  5. Todos os colaboradores, prestadores de serviços e parceiros têm ciência sobre a possibilidade de fiscalização das suas atividades.

6. SEGURANÇA DOS DADOS

6.1 A privacidade dos dados pessoais transmitidos pelo site está protegida por meio de ferramentas técnicas de segurança, bem como os dados fornecidos para prestação de serviços/execução de contratos. As referidas ferramentas de tecnologia de segurança são atualizadas e testadas frequentemente.

6.2. Em caso de confirmação de incidente relevante com os dados pessoais, a Autoridade Nacional de Proteção de Dados – ANPD e os titulares dos dados serão notificados dentro de até 2 dias úteis a partir do conhecimento do incidente.

6.3. Os colaboradores são treinados periodicamente sobre a importância da confidencialidade e a manutenção da privacidade e segurança de suas informações, sendo certo que os mesmos sofrerão medidas disciplinadas apropriadas em caso de descumprimento da obrigação de confidencialidade e privacidade.

6.4 O Grupo possui Política de Backup, que é atualizada e executada periodicamente.

6.5. Parceiros e Colaboradores são responsáveis por manter informações e dados das empresas seguros e protegidos contra acesso não autorizado.

6.6 O prestador de serviço ou parceiro, ao acessar ou utilizar equipamentos e recursos disponibilizados pelo Grupo Endopure, ainda que mediante aparelhos, sistemas ou contas pessoais, tem o conhecimento de que referidos recursos de tecnologia da informação/rede, e-mails corporativos, laptops, pen drives, hard drives, telefones celulares corporativos, dentre outros são fornecidos/disponibilizados pelo Grupo Endopure como ferramentas para execução dos serviços prestados e, portanto, permanecem sendo de propriedade da mesma.

6.7 O Grupo Endopure se reserva o direito de fiscalizar, monitorar, divulgar, cancelar e controlar o uso dos seus recursos de informática/rede, incluindo arquivos físicos, eletrônicos e e-mails corporativos. Isto inclui, ainda, todos os aparelhos de propriedade do Grupo Endopure (laptops, telefones celulares, pen drives, hard drives, entre outros) e dispositivos que estejam conectados à rede da Endopure, como chats do Teams, zoom, WhatsApp, Telegram, entre outros.

6.8 É vedado que os e-mails fornecidos pelo Grupo Endopure tenham como fator de recuperação de senha o celular particular do prestador de serviço.

6.9. Fica expressamente vedada a transferência de qualquer conteúdo e informação, através do envio de emails profissionais para o email particular de qualquer dos titulares de dados, contendo informações de propriedade do Grupo Endopure e / ou obtidas em decorrência da prestação dos serviços prestados ao Grupo, salvo em casos previamente acordados com as empresas.Tais informações devem ser mantidas sob absoluto sigilo.

7. COMITÊ DE PROTEÇÃO DE DADOS

7.1. Este comitê é composto por 4 membros, sendo (1) DPO, (2) Responsável pela Gestão de Pessoas, (3) Sócio Administrador, e (4) Responsável por TI/SI (Tecnologia e Segurança da Informação), com seguintes atribuições relativas à esta Política:

  1. Atualização e análise dos processos internos do Grupo;

  2. Apoio consultivo às atividades de proteção de dados do Grupo;

  3. Manutenção e cumprimento da governança desta Política;

  4. Discussão, adequação e implantação de plano de resposta a incidentes.

7.2. O Comitê se reunirá semestralmente, ou em caso de outra necessidade, por convocação de um de seus membros.

8. PLANO DE RESPOSTA A INCIDENTES

8.1. São utilizadas técnicas de tecnologia e segurança da informação para auxiliar cada área a identificar, monitorar, relatar e resolver eventual incidente, categorizando os incidentes com relação à gravidade. Entende-se como incidente algum evento que gere danos pessoais ou econômicos ao titular dos dados.

8.2. O esforço do Grupo é conjunto, com a participação das áreas pertinentes, inclusive de tecnologia, com o propósito de proteger os dados pessoais na certeza de que todas as medidas de segurança foram desempenhadas.

8.3. Em caso de eventual incidente, serão realizadas notificações internas, externas e atualizações cíclicas para resolução do respectivo problema, com a maior brevidade possível.

9. USO ADEQUADO DE RECURSOS DO GRUPO ENDOPURE

9.1 Os equipamentos porventura fornecidos a seus colaboradores, prestadores de serviços e/ou parceiros pelo Grupo Endopure são para uso exclusivamente profissional. É estritamente proibida a instalação de software não autorizado ou a edição de arquivos pessoais nestes equipamentos.

9.2 Os colaboradores, prestadores de serviço e parceiros não devem efetuar qualquer modificação no hardware dos equipamentos fornecidos pelo Grupo Endopure. Isso inclui, mas não se limita a, adicionar ou remover componentes de hardware, como placas de rede ou outros dispositivos de rede.

9.3 Não é permitido bloquear ou manipular fisicamente portas ou conexões de hardware nos dispositivos da empresa que afetem a conectividade de rede ou o endereço IP.

9.4 A substituição de qualquer hardware, como roteadores, switches ou outros dispositivos de rede, sem autorização explícita da equipe de TI ou gerenciamento de TI é estritamente proibida.

9.5 Proibição de Softwares para Alteração de Endereço IP:

9.5.1 Os colaboradores, prestadores de serviço e parceiros não devem instalar ou utilizar VPNs (Redes Virtuais Privadas) não autorizadas que permitam a alteração de endereços IP para contornar as políticas de segurança da empresa.

9.5.2 A instalação e uso de aplicativos de proxy ou software de tunelamento que possam mascarar ou alterar o endereço IP não são permitidos.

9.5.3 O uso de ferramentas de spoofing de IP, que permitem alterar o endereço IP de origem em pacotes de rede, é estritamente proibido.

9.5.4 Os prestadores de serviço não devem manipular as configurações de rede nos dispositivos da empresa para modificar o endereço IP ou qualquer outra configuração relacionada à rede.

10. MONITORAMENTO E AUDITORIA

10.1 O Grupo Endopure se reserva o direito de monitorar e auditar as atividades dos colaboradores, prestadores de serviços e parceiros em equipamentos da empresa e no Google Workspace, para fins de segurança, conformidade e Discovery.

10.2 O Google Workspace deve ser usado apenas para atividades profissionais relacionadas ao trabalho a ser executado.

10.3 Colaboradores devem seguir as diretrizes de uso aceitável do Google Workspace e respeitar os termos de serviço do Google.

10.4 Dados criados ou armazenados no Google Workspace podem estar sujeitos a políticas de retenção definidas pelo Grupo Endopure.

.

11. CONSENTIMENTO DE COLETA E DESCARTE DE DADOS

11.1. Há dois fundamentos legais para processamento dos dados pessoais por nós coletados (LGPD): (1) execução do contrato e (2) consentimento.

11.2. O consentimento pode ser revogado a qualquer momento pelo titular dos dados. Para eliminação dos dados, necessário contato através do e-mail ( privacidade@1purecbd.com ), com prazo de resolução de 15 dias corridos a partir do recebimento da solicitação, com as ressalvas presentes nesta Política.

11.3 O Grupo Endopure está comprometido com a integridade e a proteção dos dados protegidos por esta Política, e toma todas as medidas razoáveis para garantir que os dados coletados estejam seguros.

11.4. São utilizadas as melhores práticas de governança de dados disponíveis no mercado.

12. A SOLICITAÇÃO DE REVISÃO INTERNA DO TRATAMENTO DE DADOS

12.1. Diante de fundada suspeita de que os dados não foram tratados de acordo com esta Política, após pedido não atendido pela equipe que usualmente o atende, o titular poderá pedir ao DPO (privacidade@1purecbd.com) a revisão interna, dentro de três meses a partir da data do indício da irregularidade, de acordo com os seguintes passos:

  1. Em até 10 dias úteis, ao e-mail do solicitante deve ser enviada confirmação de recebimento do pedido de revisão, também questionando se o indício relatado foi esclarecido junto à equipe envolvida.

  2. Quando o Grupo Endopure receber pedido de revisão interna, serão observadas as seguintes condições:

  1. Pedido pessoal vindo de e-mail não cadastrado nas bases de dados do Grupo Endopure: se tal e-mail for diferente do cadastrado na base de dados, ao solicitante da revisão deverá ser pedido que seja enviada cópia de seu documento oficial de identificação, para comprovação de sua autenticidade.

  2. Pedido institucional vindo de e-mail atípico: em caso de pedido de revisão proveniente de e-mail diferente dos institucionais da organização solicitante, deverá ser checada a autenticidade pelos e-mails institucionais típicos, ou mesmo pelo procedimento acima.

  3. Outras informações adicionais poderão ser requeridas ao solicitante, para confirmação de sua identidade e para proteção de seus direitos.

12.2 A solicitação de revisão será processada em até 15 dias corridos. Caso haja complexidade no pedido, ou se forem feitas diversas solicitações relativas ao mesmo titular, esse tempo poderá ser maior. O usuário será atualizado sobre o andamento de cada solicitação.

12.3 Se solicitados, os dados do titular serão exportados e/ou excluídos de nossos arquivos, dentro de 15 dias corridos, ressalvados casos de urgência justificada, que serão atendidos em menor prazo, bem como outras ressalvas já expostas nesta Política, em relação às retenções que legalmente forem necessárias.

12.4 Reclamação pelo pedido de revisão não atendido:

12.4.1. Se considerar inadequada a resposta recebida, o solicitante poderá reiterar seu pedido para auditoria@1purecbd.com, justificando seu inconformismo.

12.4.2. A reclamação acima será tratada pelo Auditor Independente de Ética e Conformidade, que provocará o Comitê de Proteção de Dados, para apuração do caso, nos termos do Código de Conduta Ética do Grupo Endopure. Se não satisfeito o reclamante, poderá reclamar junto aos órgãos competentes.

12.4.3. Com ou sem reclamação, caberá ao DPO (i) reunir-se com envolvidos, visando identificação da causa raiz da ocorrência e (ii) gerar relatório do caso com proposta de melhorias, visando evitar recorrência.

13. OS DIREITOS DOS TITULARES DOS DADOS PESSOAIS

13.1 Os titulares dos dados pessoais têm os seguintes direitos (Lei 13.709/18):

  1. Direito de confirmação da existência de tratamento: faculdade de requisitar e receber cópia digital dos dados pessoais coletados pelo Grupo Endopure, ressalvados aqueles já tornados públicos, caso em que caberá ao Grupo Endopure apenas o dever de exclusão/descarte;

  2. Direito de livre acesso aos dados de forma clara: direito de acesso gratuito aos dados pessoais que o Grupo Endopure detém. Para solicitar, contatar o e-mail privacidade@1purecbd.com.

  3. Direito de correção de dados incompletos, inexatos ou desatualizados: faculdade de solicitar, a qualquer momento, a correção e/ou a retificação dos seus dados pessoais, caso identifique que estão incorretos, incompletos ou desatualizados, observando casos em que, por lei ou contrato, ao titular é determinada a obrigação de requerer a retificação ou atualização;

  4. Direito à anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei: se constatado pelo titular que há dados desnecessários ou excessivos, bem como se o tratamento estiver se dando em desconformidade com a finalidade prevista, caberá ao Grupo Endopure adotar a respectiva medida solicitada no prazo de 15 dias corridos.

  5. Direito à eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses de guarda legal e outras dispostas na Lei. Em alguns casos, o titular dos dados tem direito a que seus dados sejam eliminados. Deve-se frisar que não é um direito absoluto, uma vez que há fundamentos legais para a retenção de dados pessoais.

  6. Direito à informação das entidades públicas e privadas com as quais o Grupo Endopure porventura tenha compartilhado os dados. Os titulares dos direitos de dados tem direito de saber quais são as entidades que o Grupo Endopure compartilhou os dados pessoais e quais foram esses dados.

  7. Direito à informação sobre a possibilidade de não fornecer o consentimento e as consequências da negativa. Os titulares dos dados têm direito de saber as consequências da negativa de consentimento para tratamento dos dados pessoais.

  8. Direito da revogação do consentimento: Tem o direito a qualquer tempo revogar o consentimento fornecido.

  9. Direito de garantia à disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados. O titular tem direito a saber informações sobre a disponibilidade, qualidade e sigilo dos dados pessoais.

  10. Direito de apresentar uma reclamação à Autoridade Nacional de Proteção da Dados. O titular tem o direito, caso o Grupo Endopure viole a Lei Geral de Proteção de Dados.

14. BASES LEGAIS PARA O PROCESSAMENTO DOS DADOS

  1. Os Dados sempre serão processados de acordo com as bases legais previstas na legislação aplicável, tais como:

  1. Execução contratual e procedimentos preliminares relacionados ao contrato;

  2. Obrigação legal ou regulatória;

  3. Atender ao legítimo interesse do Grupo Endopure ou de Terceiros;

  4. Exercício regular de direitos em processo judicial, administrativo ou arbitral.

  1. Do mesmo modo, os Dados Sensíveis porventura coletados, definidos na LGPD como aqueles que se relacionam a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico, serão processados de acordo com as bases legais previstas na legislação aplicável, como por exemplo:

  1. Prevenção à fraude e à segurança do titular;

  2. Obrigação legal ou regulatória;

  3. Exercício regular de direitos em processo judicial, administrativo ou arbitral; ou

  4. Para outras finalidades, quando necessário, para garantir a legalidade desses processamentos. O titular dos direitos sempre será informado acerca de tais processamentos, de maneira transparente.

14.3 Nos termos acima, ficam todos os colaboradores, prestadores de serviços e parceiros obrigados a manter em sigilo todo e qualquer dado de pacientes que venha a ter acesso, respeitando dessa maneira o sigilo médico-paciente.

15. DISPOSIÇÕES GERAIS

15.1 Ao firmar um contrato de prestação de serviços com uma das empresas do Grupo Endopure, o colaborador, o prestador de serviços e/ou o parceiro estará automaticamente aceitando essa Política, pelo que concorda expressamente com o tratamento de seus dados, bem como com o compartilhamento de seus dados por terceiros, sempre que necessário.

15.2 O Grupo Endopure prevê a responsabilidade dos agentes que atuam nos processos de tratamento de dados, em conformidade com os artigos 42 ao 45 da LGPD.

15.3 O Grupo Endopure compromete-se a manter esta Política atualizada, observando suas disposições e zelando por seu cumprimento.

15.4 O Grupo Endopure assume o compromisso de buscar condições técnicas e organizacionais seguras e aptas a proteger todo o processo de tratamento de dados.

15.5 Caso a Autoridade Nacional de Proteção de Dados exija a adoção de providências em relação ao tratamento de Dados realizado pelo Grupo Endopure, comprometemo-nos a segui-las.

15.6 Os colaboradores, prestadores de serviço e parceiros estarão sujeitos a perdas e danos, em caso de descumprimento das obrigações de confidencialidade previstas neste instrumento.

15.7 Caso tenha dúvidas sobre esta Política ou sobre os dados tratados, o titular dos dados poderá entrar em contato com o Encarregado de Proteção de Dados, através do email: privacidade@1purecbd.com.

15.8 O Grupo Endopure está constantemente buscando melhorar todos os seus sistemas operacionais e a forma como os opera. Desta forma, esta Política poderá passar por atualizações para refletir eventuais melhorias realizadas nos referidos sistemas. Desta forma, recomendamos aos titulares de direito visitar periodicamente a página 1purerx.com/politica para que tenha conhecimento sobre eventuais atualizações realizadas.