Política de Privacidade e Proteção de Dados

Conteúdo desta política

• 1. ObjetivoO compromisso da Casembrapa com a sua privacidade
• 2. DefiniçõesOs termos da LGPD explicados
• 3. Referência normativaLeis e normas que fundamentam esta política
• 4. Âmbito de aplicaçãoA quem esta política se aplica
• 5. DiretrizesPrincípios, coleta, retenção, direitos, compartilhamento, cookies
• 6. ResponsabilidadesO papel de cada área na proteção de dados
• 7. Disposições geraisAlterações desta política
• 8. Aprovação e vigênciaQuando esta política entra em vigor e quando é revisada

Objetivo

Esta Política de Privacidade tem como objetivo informar de forma clara, objetiva e transparente sobre como tratamos os dados pessoais dos nossos usuários. Nosso compromisso é proteger a privacidade e a segurança das informações pessoais, em conformidade com as legislações aplicáveis de proteção de dados.

Esta Política descreve como coletamos, usamos, armazenamos, protegemos e compartilhamos os dados pessoais dos usuários que utilizam nossos serviços. As informações contidas neste documento visam garantir a transparência sobre nossas práticas de tratamento de dados e os direitos dos titulares.

Definições

Os principais termos usados nesta política, conforme a LGPD:

Anonimização

Atividade de tratamento que desidentifica irreversivelmente dados pessoais de tal forma que o titular não pode ser identificado usando tempo, custo e tecnologia razoáveis, seja pelo controlador ou por qualquer outra pessoa física ou jurídica. Os princípios básicos do tratamento de dados pessoais não se aplicam a dados anonimizados, pois não são mais dados pessoais.

Autoridade nacional

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional.

Controlador

A pessoa ou entidade responsável pelas decisões sobre o tratamento de dados pessoais.

Consentimento

Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Dados pessoais

Informação que possibilita a identificação direta ou indireta da pessoa natural, como nome e sobrenome, data e local de nascimento, RG, CPF, retrato em fotografia, endereço de e-mail, número de telefone, renda, entre outros.

Dados pessoais sensíveis

Dados pessoais que são, por sua natureza, particularmente sensíveis em relação aos direitos e liberdades fundamentais e que, por isso, merecem proteção específica, pois o contexto de seu tratamento pode criar riscos significativos aos direitos e liberdades fundamentais. Incluem dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

Dado pessoal de criança e de adolescente

O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Encarregado de Proteção de Dados (DPO)

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Tratamento de dados

Qualquer operação realizada com os dados pessoais, como coleta, armazenamento, alteração, compartilhamento e eliminação.

Titular dos dados

A pessoa natural a quem os dados pessoais se referem.

Transferência internacional de dados

Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Operador

A pessoa ou entidade que realiza o tratamento de dados pessoais em nome do controlador.

Referência normativa

• Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709/2018;
• Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (GDPR);
• Marco Civil da Internet: Lei nº 12.965/2014;
• ABNT NBR ISO/IEC 27701: Tecnologia da Informação, Técnicas de Segurança, Sistema de Gestão de Privacidade da Informação, Requisitos e Diretrizes;
• Guia Orientativo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD): Cookies e proteção de dados pessoais;
• Guia Orientativo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD): Definições dos agentes de tratamento de dados pessoais e do encarregado.

Âmbito de aplicação

As diretrizes estabelecidas nesta Política são de aplicação obrigatória em toda a Casembrapa e deverão ser observadas por todos os conselheiros, diretores, colaboradores, fornecedores e prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

A política se aplica a todas as áreas e departamentos dentro da organização que realizam atividades de tratamento de dados pessoais.

Diretrizes

5.1 Princípios

Os seguintes princípios são observados no tratamento de dados pessoais:

• Finalidade: a realização do tratamento deve ocorrer para propósitos legítimos, específicos e explícitos;
• Adequação: o tratamento deve ser adequado às finalidades informadas e acordadas com o titular;
• Necessidade: o tratamento deve se limitar à realização de suas finalidades;
• Livre acesso: o titular deve ter acesso fácil e gratuito sobre a forma e a duração do tratamento dos dados pessoais;
• Qualidade dos dados: os dados devem ser exatos, claros, relevantes e atualizados;
• Transparência: o titular deve ser informado sobre como e para que seus dados serão utilizados;
• Segurança: deve haver medidas técnicas e administrativas para proteger os dados pessoais;
• Prevenção: deve haver medidas para prevenir danos causados pelo tratamento de dados pessoais;
• Não discriminação: o tratamento de dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos;
• Responsabilização e prestação de contas: deve haver responsabilização e prestação de contas pelo agente de tratamento.

5.2 Definição dos agentes de tratamento

A Casembrapa se compromete a garantir a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) e adota as seguintes definições no contexto do tratamento de dados pessoais:

• Controladora de dados: a Casembrapa atua como controladora dos dados pessoais, ou seja, é responsável pelas decisões relativas à coleta, uso, armazenamento, compartilhamento e eliminação de dados pessoais dos usuários. A Casembrapa assegura que os dados sejam tratados de maneira transparente, segura e de acordo com as finalidades informadas aos titulares;
• Operadora de dados: a Casembrapa também pode atuar como operadora de dados pessoais, quando processa dados em nome de outras entidades, conforme as obrigações e termos contratuais acordados. Nessa função, a Casembrapa trata os dados pessoais exclusivamente de acordo com as instruções recebidas de seus contratantes, sempre em conformidade com as disposições da LGPD;
• Operadores: são todas as pessoas físicas ou jurídicas que, contratadas pela Casembrapa, realizam o tratamento de dados pessoais em seu nome. Isso inclui prestadores de serviços, colaboradores, fornecedores e outros terceiros envolvidos no processamento de dados pessoais, que devem seguir as diretrizes estabelecidas pela Casembrapa;
• Encarregado de Dados (DPO): pessoa designada pelo Presidente da Casembrapa, que é responsável por garantir a conformidade das práticas de tratamento de dados pessoais com a LGPD.

Responsabilidade de terceiros e usuários

A Casembrapa tem o compromisso de assegurar que os dados pessoais sejam tratados em conformidade com a legislação vigente, adotando medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, vazamentos, perdas e outras situações que possam comprometer a sua segurança.

Além disso, para os serviços prestados por terceiros (como subcontratados), a Casembrapa estabelece contratos específicos que exigem que esses subcontratados tratem os dados pessoais de maneira segura e em conformidade com as normas de proteção de dados, incluindo cláusulas que preveem a responsabilidade pelo tratamento adequado e pela implementação de medidas de segurança compatíveis com as exigências da LGPD.

5.3 Condições para coleta e tratamento de dados

A Casembrapa realiza a coleta e o tratamento de dados pessoais dos titulares com o objetivo de cumprir com suas obrigações contratuais, regulamentares e administrativas, além de oferecer os serviços de saúde adequados aos seus beneficiários.

Os dados são coletados para a realização do cadastro eletrônico dos beneficiários, a pré-inscrição no plano e a utilização dos produtos e serviços disponibilizados pela Operadora. Essa coleta é essencial para a gestão da carteira de beneficiários, além de permitir a personalização dos serviços conforme as necessidades dos usuários.

A Casembrapa também realiza o tratamento de dados no processo de recebimento e acompanhamento de comunicações enviadas à Ouvidoria. Esses dados são utilizados para garantir a resposta adequada às solicitações, dúvidas, críticas ou sugestões dos beneficiários.

Dados coletados. A Casembrapa coleta dados pessoais que incluem, mas não se limitam a:

• Dados de identificação: nome completo, data de nascimento, número de identidade, CPF, telefone, e-mail;
• Dados de estado civil: informações sobre o estado civil do titular;
• Informações de saúde e dependentes: Cartão Nacional de Saúde, dados de conta corrente, dados dos dependentes e declaração de saúde;
• Documentos digitalizados: documentos necessários para comprovar as informações fornecidas pelos titulares, como documentos de identidade, comprovantes de residência, entre outros.

Os dados pessoais deverão ser utilizados com o objetivo de promover os serviços prestados pela Operadora, de forma eficiente e segura, observados os artigos 23 a 30 da LGPD. O tratamento dos dados pessoais realizado pela Casembrapa é necessário para:

• Cumprir e executar contratos;
• Exercer direitos legais e regulatórios;
• Garantir a tutela da saúde e o adequado atendimento médico aos beneficiários;
• Proteger contra fraudes;
• Assegurar a segurança dos dados e a proteção do titular;
• Cumprir com obrigações legais e regulatórias aplicáveis à operação.

Todas as atividades de coleta e tratamento de dados são realizadas em conformidade com a Lei Geral de Proteção de Dados (LGPD), buscando sempre garantir a transparência, a privacidade e a segurança das informações pessoais tratadas.

5.4 Hipóteses para o tratamento de dados pessoais e dados pessoais sensíveis

A Casembrapa realiza o tratamento de dados pessoais e dados pessoais sensíveis com base em hipóteses legítimas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), assegurando que todos os tratamentos sejam realizados de forma transparente e em conformidade com as finalidades informadas aos titulares. As principais hipóteses incluem:

• Cumprimento de obrigação legal ou regulatória: quando o tratamento for necessário para o cumprimento de obrigações previstas em leis ou regulamentos, como as exigências da ANS (Agência Nacional de Saúde Suplementar) para a gestão do plano de saúde;
• Execução de contrato ou adimplemento de obrigação contratual: quando o tratamento de dados for essencial para a execução dos contratos firmados com os beneficiários, como no caso da adesão a planos de saúde e serviços relacionados;
• Proteção da vida ou da incolumidade física: quando necessário para proteger a vida ou a saúde do titular ou de terceiros, como em situações de urgência relativa ou no fornecimento de assistência à saúde;
• Exercício regular de direitos em processo judicial, administrativo ou arbitral: quando o tratamento for necessário para a defesa da Casembrapa ou de seus beneficiários em processos legais;
• Interesses legítimos da Casembrapa ou de terceiros: quando houver interesse legítimo no tratamento, desde que respeitados os direitos fundamentais dos titulares, como na melhoria dos serviços prestados aos beneficiários e na gestão administrativa dos planos;
• Consentimento explícito do titular: para situações onde o consentimento explícito do titular é necessário, especialmente no caso de dados pessoais sensíveis.

São considerados dados pessoais sensíveis, entre outros: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado genético ou biométrico, dado referente à saúde e dado referente à vida sexual.

5.5 Tratamento de dados pessoais de crianças e adolescentes

O tratamento de dados pessoais de crianças e adolescentes pela Casembrapa será realizado com estrita observância ao seu melhor interesse, conforme determina a legislação vigente. O tratamento deverá atender às hipóteses previstas no artigo 7º da LGPD ou, no caso de dados sensíveis, ao disposto no artigo 11 da mesma lei, sendo avaliado de acordo com o caso concreto, conforme o artigo 14, caput, da LGPD.

Para o tratamento de dados pessoais de crianças, é imprescindível a obtenção de consentimento específico de pelo menos um dos pais ou do responsável legal, em conformidade com o parágrafo 1º do artigo 14 da LGPD.

Em situações excepcionais, poderá haver a coleta de dados pessoais de crianças sem a necessidade do consentimento mencionado acima, quando tal coleta for indispensável para contatar os pais ou o responsável legal, desde que utilizada apenas uma vez e sem armazenamento posterior, ou para garantir a proteção da criança. Em nenhuma circunstância esses dados serão compartilhados com terceiros sem a autorização expressa de pelo menos um dos pais ou responsáveis legais.

A Casembrapa adotará todas as medidas razoáveis para verificar a autenticidade do consentimento concedido pelo responsável legal da criança. Quando necessário, a operacionalização desse processo poderá ser delegada a seus Operadores, mediante acordo prévio. Todas as informações relacionadas ao tratamento de dados pessoais de crianças e adolescentes serão disponibilizadas aos pais ou responsáveis legais de forma clara, simples e acessível.

5.6 Política de retenção e descarte

Os dados pessoais serão armazenados pelo tempo necessário para a prestação dos serviços contratados. Após o encerramento do contrato, os dados serão mantidos pelo período de 5 (cinco) anos, salvo nos casos em que a legislação ou regulação exija um prazo maior de retenção ou quando houver uma base legal que justifique a sua manutenção.

Os dados também poderão ser preservados para cumprimento de obrigações legais, decisões judiciais, prevenção à fraude (art. 11, II, “a” da LGPD), proteção ao crédito (art. 7º, X da LGPD) e outros interesses legítimos, nos termos do artigo 10 da LGPD. Decorrido o prazo de retenção e cessada a necessidade legal, os dados serão eliminados por meio de métodos seguros de descarte ou anonimizados para fins estatísticos, respeitando as diretrizes estabelecidas na Tabela de Temporalidade.

A Casembrapa poderá manter os dados armazenados em situações especiais, quando necessário para cumprimento de obrigações legais ou regulatórias, conforme previsto no artigo 16 da LGPD. Nos casos em que o titular de dados solicitar a exclusão de suas informações, será respeitado o prazo mínimo de retenção exigido pela legislação brasileira. Ademais, alguns dados poderão ser mantidos para garantir a execução do contrato de plano de saúde, em conformidade com os artigos 15 e 16 da LGPD.

A Casembrapa estabelecerá, em normativos internos, os critérios e finalidades da retenção dos dados pessoais coletados, bem como os respectivos prazos de conservação, de acordo com o artigo 16 da LGPD.

5.7 Armazenamento e registro das atividades

Os dados pessoais coletados e os registros de atividades são armazenados em ambiente seguro e controlado pelos prazos mínimos abaixo:

5.8 Mecanismos de acesso, correção e exclusão: direitos dos titulares

Os titulares dos dados têm o direito de acessar, corrigir ou excluir seus dados pessoais. A Lei Geral de Proteção de Dados Pessoais (LGPD) garante um conjunto de direitos aos titulares de dados pessoais, ou seja, às pessoas físicas cujas informações são coletadas e tratadas, sejam elas beneficiárias, colaboradores da instituição ou terceiros envolvidos. Conforme o artigo 18 da LGPD:

Confirmação da existência de tratamento

Direito de saber se seus dados estão sendo tratados por uma organização.

Acesso aos dados

Possibilidade de acessar os dados pessoais mantidos pelo controlador.

Correção de dados

Direito de solicitar a correção de informações incompletas, inexatas ou desatualizadas.

Anonimização, bloqueio ou eliminação de dados

Medidas aplicáveis a dados considerados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Portabilidade dos dados

Transferência de dados pessoais a outro prestador de serviço ou produto, mediante solicitação expressa do titular e de acordo com regulação da Autoridade Nacional de Proteção de Dados (ANPD), resguardados os segredos comercial e industrial.

Eliminação dos dados pessoais

Exclusão dos dados tratados com base no consentimento do titular, exceto nas situações previstas no artigo 16 da LGPD.

Informação sobre o compartilhamento de dados

Direito de ser informado sobre as entidades públicas e privadas com as quais seus dados foram compartilhados.

Informação sobre o consentimento

Ser informado sobre a possibilidade de negar o consentimento e quais são as consequências dessa negativa.

Revogação do consentimento

Direito de revogar o consentimento a qualquer momento, conforme o parágrafo 5º do artigo 8º da LGPD.

Oposição ao tratamento

Direito de se opor ao tratamento de seus dados pessoais quando realizado em desconformidade com a LGPD.

5.9 Tratamento de solicitações

Conforme determina a LGPD, as solicitações feitas por titulares de dados serão respondidas no prazo máximo de 15 dias, contados a partir da data de recebimento do pedido devidamente autenticado. Caso os documentos fornecidos não sejam suficientes para validar a identidade do solicitante, o prazo legal será suspenso até que a autenticação seja concluída. O tratamento das solicitações seguirá as diretrizes abaixo:

• Prazo de resposta: todas as solicitações serão analisadas e respondidas no prazo máximo de 15 dias úteis, conforme a LGPD;
• Autenticação da identidade: o atendimento à solicitação está condicionado à verificação da identidade do titular. Caso haja necessidade de documentos adicionais, o titular será notificado;
• Notificação da decisão: o titular será informado sobre a decisão tomada em relação à sua solicitação, acompanhada das devidas justificativas em caso de deferimento ou indeferimento.

As solicitações deverão ser realizadas por meio do e-mail institucional dpo@casembrapa.org.br.

5.10 Compartilhamento de dados pessoais

A Casembrapa adota medidas rigorosas para garantir a proteção dos dados pessoais de seus beneficiários e de todos os envolvidos em suas operações. O tratamento de dados é realizado com a finalidade de cumprir com obrigações legais, regulatórias e contratuais, respeitando os direitos de privacidade e as diretrizes estabelecidas pela LGPD. Os dados podem ser compartilhados com as seguintes partes:

Patrocinadora

Finalidade: administração dos planos e prestação de contas, execução do convênio firmado entre as partes, exercício regular de direitos e fins de auditoria.

Os dados coletados e atividades registradas poderão ser compartilhados com as patrocinadoras da Casembrapa, em conformidade com as disposições da LGPD, especialmente as bases legais previstas nos artigos 7º e 11.

Prestadores de saúde ou parceiros assistenciais

Finalidade: garantir a entrega efetiva de assistência à saúde, conforme os contratos firmados entre a Casembrapa e seus beneficiários.

Dados pessoais poderão ser compartilhados com prestadores de serviços da rede credenciada para a efetivação da assistência à saúde.

Órgãos públicos reguladores ou autoridades públicas

Finalidade: cumprimento de obrigações legais e regulatórias.

Dados pessoais podem ser compartilhados com órgãos da administração pública para o cumprimento das obrigações legais e regulatórias exigidas pela legislação vigente.

Agência Nacional de Saúde Suplementar (ANS)

Finalidade: cumprimento de obrigações legais e regulatórias.

Os dados podem ser compartilhados com a ANS para atender a exigências regulatórias e garantir o cumprimento das normativas aplicáveis ao setor de saúde suplementar.

Operadoras de saúde parceiras que fornecem a reciprocidade

Finalidade: garantir a entrega efetiva de assistência à saúde, conforme os contratos firmados entre a Casembrapa e seus beneficiários, por meio de contrato de reciprocidade com outras operadoras de saúde.

Dados poderão ser compartilhados com operadoras de saúde parceiras para garantir a continuidade da assistência aos beneficiários.

Prestadores contratados

Finalidade: garantir a assistência à saúde em cumprimento aos contratos firmados entre a Casembrapa e seus beneficiários.

Dados poderão ser compartilhados com clínicas contratadas que prestam serviços de atenção primária à saúde (APS) e saúde integrativa. Esses serviços visam atender às necessidades dos beneficiários de maneira integral, cuidando da prevenção, diagnóstico e tratamento.

Sistemas e serviços de gestão empresarial

Finalidade: assegurar a autorização adequada de guias de saúde, garantir o faturamento correto dos serviços prestados e otimizar a eficiência operacional entre a Casembrapa e os prestadores de serviços de saúde.

Os dados podem ser compartilhados com a empresa fornecedora do sistema de gestão empresarial para garantir o funcionamento adequado do sistema, permitindo a automação das autorizações de guias, a correção do faturamento e o monitoramento dos serviços prestados.

A Casembrapa compromete-se a garantir que o compartilhamento de dados pessoais com terceiros ocorra de forma restrita e limitada às informações mínimas necessárias para atingir as finalidades específicas de cada operação, preservando sempre a segurança e a proteção dos dados dos usuários.

Caso seja necessária qualquer transferência internacional de dados pessoais, a Casembrapa realizará tais transferências em conformidade com as disposições do artigo 33 da LGPD, respeitando as normativas estabelecidas pela Autoridade Nacional de Proteção de Dados (ANPD) e as resoluções pertinentes sobre o tema.

5.11 Anonimização e pseudonimização

Sempre que possível e aplicável, a Casembrapa adota práticas de anonimização ou pseudonimização dos dados pessoais tratados, apresentando-os em formato quantitativo, para garantir a proteção da identidade dos indivíduos e cumprir com as exigências de privacidade e segurança da LGPD.

5.12 Notificação sobre subcontratados

A Casembrapa pode utilizar subcontratados para o tratamento de dados pessoais. Todos os subcontratados serão formalmente informados e comprometidos, através de contrato, a cumprir com todas as disposições desta política, incluindo as exigências legais de proteção de dados pessoais.

A Casembrapa continuará a ser responsável pela segurança dos dados pessoais, independentemente de subcontratação, garantindo que todos os subcontratados atendam aos mesmos níveis de segurança e conformidade exigidos pela legislação de proteção de dados.

5.13 Encarregado de Dados

A Casembrapa designará o agente responsável para atuar como canal de comunicação entre a operadora, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). São atribuições do Encarregado de Dados:

• Acolher reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da Autoridade Nacional e adotar providências;
• Orientar os empregados e os contratados da Instituição a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

5.14 Canal de comunicação com o Encarregado pela Proteção de Dados (DPO)

A Casembrapa disponibiliza um canal de comunicação direto com o Encarregado pela Proteção de Dados, também conhecido pela sigla DPO (Data Protection Officer), conforme estabelecido pela Lei Geral de Proteção de Dados (LGPD).

De acordo com o art. 5º, inciso VIII, da LGPD, o DPO é o profissional designado pela organização para atuar como intermediário entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), garantindo a transparência e o cumprimento das normas de proteção de dados pessoais.

Por meio deste canal, a Casembrapa se compromete a responder, dentro do prazo legal estabelecido, a quaisquer solicitações relativas ao tratamento dos dados pessoais realizados pela empresa.

5.15 Resposta a violações de dados

Caso ocorra uma violação de dados pessoais sob nossa custódia, estamos comprometidos em adotar medidas imediatas e eficazes para mitigar os impactos e corrigir a situação. As ações que tomaremos incluem, mas não se limitam a:

• Investigar a violação e determinar a causa: investigar a violação de dados de forma minuciosa, buscando identificar a origem do incidente e a extensão do dano, com o intuito de prevenir futuras ocorrências;
• Notificação aos titulares dos dados: notificar prontamente os titulares dos dados afetados pela violação, informando-os sobre a natureza do incidente e as ações que estamos tomando para proteger suas informações. Essa notificação será feita de maneira clara e acessível;
• Mitigação dos danos causados pela violação: tomar todas as medidas cabíveis para minimizar os danos decorrentes da violação, que podem incluir, mas não se limitam, ao bloqueio de acesso, à alteração de senhas ou a outras providências necessárias para a proteção dos dados afetados;
• Notificação às autoridades competentes: caso seja exigido por lei ou regulamentação, notificaremos as autoridades competentes sobre a violação de dados, seguindo os prazos e requisitos estabelecidos.

5.16 Política de Cookies

A fim de proporcionar uma melhor experiência de navegação aos usuários no site da Casembrapa, utilizamos cookies para coletar informações relevantes e adequadas ao comportamento de navegação. Esta seção tem como objetivo esclarecer a natureza e as finalidades dos dados coletados, garantindo transparência, segurança e conformidade com a LGPD.

Cookies são pequenos arquivos de texto gerados e armazenados no dispositivo (computador, tablet ou celular) do usuário ao acessar o site da Casembrapa. Esses arquivos permitem que o site reconheça o dispositivo do usuário, armazene informações sobre suas preferências e ações, e torne a navegação mais eficiente e personalizada. Além disso, os cookies podem melhorar a relevância dos anúncios exibidos, coletar dados para identificar eventuais problemas no site e padronizar estatísticas, garantindo uma experiência otimizada.

Os cookies usados em nosso site podem ser classificados da seguinte forma:

• Cookies essenciais: são necessários para o funcionamento básico do site, como a navegação entre páginas e o uso de funcionalidades essenciais. Sem esses cookies, alguns serviços não estariam disponíveis;
• Cookies de preferência: permitem que o site lembre das preferências do usuário, como idioma ou região, oferecendo uma experiência mais personalizada;
• Cookies de desempenho: coletam dados sobre como os usuários interagem com o site, como páginas visualizadas e tempo de permanência, auxiliando na melhoria do desempenho e na identificação de áreas que necessitam de ajustes.

O usuário pode controlar e gerenciar os cookies através das configurações do seu navegador (Google Chrome, Mozilla Firefox, Safari e Microsoft Edge oferecem instruções próprias para gerenciar cookies). A maioria dos navegadores permite bloquear ou excluir cookies, além de alertar quando um cookie estiver sendo colocado. Caso o usuário opte por desativar certos cookies, algumas funcionalidades do site podem ser limitadas ou não funcionar corretamente.

Além disso, o site pode utilizar cookies de terceiros, como os provenientes de serviços como Google Analytics, redes sociais e fornecedores de anúncios. Para mais informações sobre como esses cookies são utilizados e como o usuário pode gerenciá-los, consulte as políticas de privacidade dos respectivos serviços.

Os dados coletados por meio dos cookies são usados apenas para as finalidades descritas nesta política. É proibido o uso desses dados para fins ilícitos, discriminatórios ou abusivos. Garantimos o sigilo e a integridade dos dados, especialmente em relação aos dados sensíveis, e nos responsabilizamos perante os titulares e a Autoridade Nacional de Proteção de Dados.

Ao acessar o nosso site e continuar navegando, o usuário concorda com o uso de cookies conforme descrito nesta política. Caso deseje modificar suas preferências, o usuário pode alterar as configurações de cookies no seu navegador, como mencionado acima.

Revogação do consentimento e exclusão de dados. Com exceção dos cookies essenciais, que são imprescindíveis para o funcionamento do site, o usuário pode desativar ou excluir outros cookies diretamente nas configurações do navegador. Contudo, isso pode afetar a funcionalidade de algumas áreas ou serviços do site. Se o usuário desejar excluir os dados coletados ou tiver quaisquer dúvidas sobre o tratamento de dados pessoais, poderá entrar em contato com o Encarregado de Dados pelo e-mail dpo@casembrapa.org.br.

Após o consentimento do usuário, a Casembrapa armazenará os cookies no dispositivo utilizado para o acesso, lembrando dessas preferências nas futuras visitas ao site. O usuário pode revogar seu consentimento a qualquer momento, mas, se optar por não permitir certos cookies, algumas funcionalidades do site poderão não funcionar corretamente.

5.17 Monitoramento e auditoria

Todas as informações geradas, acessadas, armazenadas ou distribuídas através dos recursos tecnológicos fornecidos pela Casembrapa estão sujeitas a processos de monitoramento e auditoria. Esses processos visam garantir a conformidade com as diretrizes corporativas e a segurança dos dados, bem como a proteção dos ativos de informação. O monitoramento e a auditoria são realizados exclusivamente para os seguintes fins:

• Verificar o cumprimento das políticas e diretrizes internas da empresa;
• Identificar acessos ou conteúdos indevidos, ilegais ou não autorizados;
• Detectar atividades fraudulentas, práticas de violação de segurança ou comportamento inadequado;
• Recolher evidências que possam ser necessárias para apoiar a Casembrapa em processos judiciais, investigações internas ou em auditorias externas;
• Atender às exigências de órgãos reguladores e fiscalizadores, quando necessário.

A Casembrapa se reserva o direito de registrar, analisar e revisar todos os eventos e atividades relacionadas aos acessos à Internet e ao uso de ativos de informação pelos seus usuários. Isso inclui, mas não se limita a: monitoramento de navegação na web, e-mails, acessos a sistemas e transferências de dados, com o objetivo de garantir que os recursos da empresa estejam sendo utilizados de maneira ética, legal e em conformidade com os parâmetros estabelecidos. A operadora adota esse processo de monitoramento para proteger seus ativos, usuários e a integridade das informações, evitando o uso indevido e acessos não autorizados.

Responsabilidades

Diretoria Executiva

• Garantir o alinhamento estratégico da Política de Privacidade com as diretrizes organizacionais e a legislação vigente;
• Assegurar a implementação de práticas e recursos adequados para a proteção de dados pessoais e a conformidade com as regulamentações de privacidade e segurança da informação;
• Patrocinar a criação e evolução do programa de privacidade, alocando os recursos necessários e promovendo a cultura de proteção de dados dentro da organização, garantindo que todas as áreas compreendam e cumpram as normas de privacidade;
• Fomentar a responsabilidade organizacional em relação à privacidade, garantindo o envolvimento das lideranças e equipes no cumprimento das políticas e práticas de proteção de dados, assegurando que a privacidade seja considerada em todas as decisões estratégicas;
• Promover a transparência e a confiança dos públicos de relacionamento quanto ao tratamento de dados pessoais, divulgando de maneira clara e acessível as práticas de privacidade e os direitos dos titulares de dados.

Gerência de Riscos e Conformidade

• Desenvolver, implementar e manter a Política de Privacidade da organização, garantindo que esteja alinhada com as leis e regulamentações vigentes, como a LGPD (Lei Geral de Proteção de Dados) no Brasil e o GDPR (Regulamento Geral de Proteção de Dados) na União Europeia;
• Gerenciar e coordenar o programa de conscientização sobre privacidade, promovendo treinamentos periódicos para os colaboradores sobre o manuseio de dados pessoais, práticas de segurança e a importância da privacidade;
• Realizar auditorias internas de privacidade e segurança, avaliando periodicamente o cumprimento da Política de Privacidade e detectando possíveis não conformidades ou riscos associados ao tratamento de dados pessoais;
• Analisar e revisar os processos de coleta, armazenamento, processamento e compartilhamento de dados pessoais, garantindo que estejam em conformidade com as regulamentações de privacidade e adotando boas práticas de segurança da informação;
• Desenvolver e implementar medidas de proteção e controle de acesso para garantir a integridade e a confidencialidade dos dados pessoais, além de minimizar os riscos de vazamentos de informações;
• Estabelecer e manter um plano de resposta a incidentes de privacidade, com procedimentos claros para lidar com possíveis violações de dados pessoais, incluindo notificações aos titulares e autoridades competentes, conforme exigido pela legislação;
• Acompanhar as mudanças legislativas e regulamentares relacionadas à privacidade e proteção de dados pessoais, ajustando a política e os procedimentos internos conforme necessário para garantir a conformidade contínua;
• Fornecer suporte às áreas de negócio na implementação de boas práticas de privacidade em novos projetos, processos e sistemas, com a realização de análises de impacto à privacidade (Privacy Impact Assessments, PIAs) quando necessário.

Área de Segurança da Informação

• Propor e implementar melhorias contínuas na cibersegurança, otimizando o uso de recursos alocados em ativos de informação, projetos e processos de negócios, para garantir a proteção robusta contra ameaças;
• Detectar, identificar e registrar violações ou tentativas de acessos não autorizados, adotando as medidas corretivas necessárias, além de ações legais e de auditoria para mitigar riscos e evitar recorrências;
• Promover a cultura de segurança da informação dentro da organização, envolvendo todas as áreas e colaboradores nas práticas de proteção de dados e nas políticas de comunicação segura, para garantir a conscientização e adesão generalizada;
• Realizar estudos contínuos e monitorar o impacto de novas tecnologias que possam afetar a segurança da informação, identificando riscos emergentes e propondo soluções proativas para mitigá-los;
• Revisar e sugerir alterações na Política de Segurança da Informação, garantindo que ela se mantenha atualizada e em conformidade com as regulamentações vigentes e as melhores práticas do setor;
• Zelar pela eficácia dos controles de segurança da informação.

Encarregado de Dados

• Monitorar a conformidade com as leis e regulamentações de proteção de dados, assegurando que a organização esteja em conformidade com a LGPD, o GDPR e outras legislações aplicáveis;
• Atuar como ponto de contato principal para os titulares de dados, fornecendo esclarecimentos sobre os direitos relacionados aos dados pessoais e assegurando que as solicitações de acesso, correção, exclusão e portabilidade sejam atendidas conforme exigido por lei;
• Orientar e aconselhar a organização sobre a implementação de medidas de privacidade e segurança no tratamento de dados pessoais, incluindo a avaliação de riscos e a implementação de medidas corretivas quando necessário;
• Coordenar as avaliações de impacto à proteção de dados (DPIAs), identificando e mitigando riscos associados ao tratamento de dados pessoais em novos projetos, processos ou tecnologias;
• Supervisionar a resposta a incidentes de privacidade e violações de dados, assegurando que os incidentes sejam tratados de acordo com a legislação, incluindo a notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, quando aplicável;
• Realizar treinamentos e sensibilizações contínuas sobre privacidade para colaboradores, garantindo que todos os funcionários compreendam e sigam as políticas e procedimentos de proteção de dados;
• Manter o registro de atividades de tratamento de dados, conforme exigido pela legislação de privacidade, e garantir a transparência das práticas da organização em relação ao tratamento de dados pessoais;
• Atuar em conformidade com as demais atribuições estabelecidas pela LGPD e pelo regulamento da ANPD sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais.

Empregados

• Cumprir as diretrizes e determinações contidas nesta Política;
• Comunicar formalmente à Gerência de Riscos e à Gerência de Tecnologia a percepção ou conhecimento de qualquer fragilidade ou irregularidade que viole as determinações desta Política e que possa eventualmente afetar a segurança das informações da organização.

Disposições gerais

A presente política poderá ser modificada a qualquer momento, conforme a finalidade ou necessidade, para adequação e conformidade legal de disposição de lei ou norma que tenha força jurídica equivalente, e sempre que a Casembrapa julgar necessário.

As informações aqui apresentadas fazem parte do conjunto de diretrizes estabelecidas pela Diretoria da Casembrapa, em linha com os objetivos de negócio, melhores práticas de governança corporativa, regulamentações e legislação vigente.

Aprovação e vigência

Esta Política entra em vigor a partir de sua aprovação e será revisada, no mínimo, a cada dois anos ou sempre que necessário.

Documento POL.PGR.002, versão 001. Elaboração: Gerência de Riscos e Conformidade (20/03/2025). Revisão: Jurídico (05/05/2025). Aprovação: Diretoria Executiva (17/06/2025, Despacho PGG nº 034/2025, Reunião da Diretoria Executiva nº 168) e Conselho de Administração (25/07/2025, Reunião do Conselho de Administração nº 71).

Baixar a Política de Privacidade e Proteção de Dados completa em PDF