Carta de Serviços à Privacidade e Proteção de Dados

Unimed Porto Velho – Sociedade Cooperativa Médica Ltda.

“Cuidar também é proteger dados.”

O Encarregado de Proteção de Dados (DPO) é seu parceiro na construção de projetos seguros, inovadores e em conformidade com a LGPD.

1. Objetivo

Esta Carta de Serviços tem como objetivo orientar colaboradores, gestores e cooperados sobre quando e como acionar a Encarregada de Proteção de Dados (DPO) sempre que houver criação, alteração ou revisão de processos, projetos, contratos, sistemas ou comunicações que envolvam o tratamento de dados pessoais.

O documento traduz, de forma prática, os princípios de Privacy by Design (privacidade desde a concepção) e Privacy by Default (privacidade por padrão), assegurando que toda inovação, ajuste ou mudança nas rotinas da Unimed Porto Velho nasça em conformidade com a LGPD (Lei nº 13.709/2018), a Resolução CD/ANPD nº 15/2024 e o Programa Nacional de Governança em Privacidade e Proteção de Dados (PNGPPD).

2. Quando acionar o Encarregado

Você deve acionar o DPO sempre que:

1. For criado ou alterado qualquer formulário, planilha, processo ou sistema que colete ou registre informações pessoais.
2. Houver integração entre sistemas, inclusive com outras Unimeds, prestadores ou fornecedores.
3. Projetos ou campanhas envolverem imagens, vídeos, depoimentos ou dados reais de pessoas.
4. For contratado ou renovado um prestador que tenha acesso a dados pessoais.
5. Iniciativas de inovação utilizarem inteligência artificial, automação, BI ou cruzamento de dados.
6. For detectado incidente de segurança, perda de planilha, acesso indevido ou vazamento.
7. Houver dúvidas sobre se determinada atividade implica tratamento de dados pessoais.

Regra de ouro: Se envolve informação de pessoa identificada ou identificável, o DPO deve participar.

3. O que o Encarregado faz

O Encarregado (DPO) atua de forma preventiva, orientadora e responsiva, apoiando as áreas na adequação à LGPD e nas boas práticas de governança em privacidade.

3.1 Avaliação preventiva – Privacy by Design

• Análise prévia de projetos, processos, sistemas e integrações;
• Definição da base legal e minimização de dados;
• Orientações sobre segurança, controle de acesso e registro de logs;
• RIPD/DPIA: elaboração ou validação do Relatório de Impacto à Proteção de Dados (LGPD) quando houver alto risco.

3.2 ROPA e/ou Mapeamento de Dados Pessoais e Sensíveis

• Criação e manutenção do ROPA (Registro das Operações de Tratamento) por processo/área;
• Data mapping: fluxos, finalidades, compartilhamentos, prazos de retenção e medidas de segurança;
• Matriz de transferência internacional (quando aplicável).

3.3 Terceiros e contratos

• Due diligence de fornecedores com acesso a dados;
• Inserção de cláusulas contratuais de proteção de dados (controlador–operador, suboperadores, SLA de segurança);
• Criação e atualização da matriz de compartilhamento e responsabilidades.

3.4 Governança de consentimento e cookies

• Diretrizes para consentimento, avisos de privacidade, opt-in/opt-out;
• Padrões para cookies/trackers e retenção em canais digitais.

3.5 Gestão de incidentes e resposta

• Playbook de Incidentes: classificação (baixa/média/alta criticidade), contenção, erradicação e recuperação;
• Abertura e registro formal no Livro de Incidentes;
• Avaliação de riscos aos titulares e, quando necessário, notificação à ANPD e aos titulares dentro dos prazos legais;
• Pós-incidente: registro de lições aprendidas e medidas corretivas.

3.6 Comunicação e cultura

• Canal de contato com titulares de dados e com a ANPD;
• Treinamentos, campanhas e materiais educativos sobre privacidade;
• Relatórios executivos periódicos de conformidade e acompanhamento do PNGPPD.

4. O que você pode solicitar ao DPO

• Avaliação prévia de projetos, sistemas ou processos sob a ótica de Privacy by Design;
• RIPD/DPIA: elaboração ou validação de Relatório de Impacto à Proteção de Dados;
• Inclusão ou atualização de ROPA e/ou Mapa de Dados da sua área;
• Parecer técnico sobre tratamento, compartilhamento, base legal e retenção;
• Revisão contratual (cláusulas LGPD, matriz controlador–operador, suboperadores);
• Orientação sobre governança de consentimento (avisos, formulários, cookies, opt-in/opt-out);
• Apoio em incidentes de dados: abertura de número de incidente, análise e comunicação à ANPD/titulares, quando aplicável;
• Materiais e treinamentos rápidos para a equipe (checklists, roteiros, cartazes, guias rápidos);
• Participação em reuniões de projeto ou tabletop exercises (simulados de incidente).

5. O que não é atribuição direta do DPO

• Executar medidas técnicas de segurança (responsabilidade da área de TI e da área demandante);
• Substituir parecer jurídico, quando a análise exigir interpretação normativa ampla;
• Aprovar contratos ou políticas sem a participação da gerência responsável;
• Ser o responsável exclusivo por incidentes decorrentes de falhas operacionais.

O DPO atua como guia e guardião da privacidade — não como auditor isolado.

6. Prazo e forma de atendimento

Tipo de Solicitação	Prazo Médio de Resposta	Forma de Atendimento
Orientações e dúvidas rápidas	Até 3 dias úteis	E-mail ou reunião breve via Teams
Parecer técnico / análise de projeto	Até 7 dias úteis	Formulário de projeto (QR Code)
Avaliação de incidente ou vazamento	Atendimento imediato (em até 24h)	Canal de Incidente de Dados – Intranet

Os prazos podem variar conforme a complexidade da demanda.

7. Como acionar o Encarregado

• E-mail institucional: encarregadalgpd@unimedportovelho.coop.br
• Formulário eletrônico: Acesse aqui
• Canal interno: Intranet > LGPD > Acionar o Encarregado
• Reunião breve: solicitar agendamento via e-mail.

8. Mensagem final

“Cada projeto é uma oportunidade de fazer diferente — e com segurança.

A privacidade não limita a inovação: ela a sustenta.