São adotadas as definições da LGPD em seu Artigo 5º., incluindo, mas não se limitando a:

• Dados Pessoais: Informações relacionadas à pessoa natural identificada ou identificável.
• Dados Sensíveis: Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, dados referentes à saúde, vida sexual, dados genéticos ou biométricos.
• Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• Operador: Pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do controlador.
• Encarregado (DPO): Pessoa indicada pelo controlador para atuar como canal de comunicação com os titulares dos dados e a ANPD.

As PARTES se comprometem a cumprir integralmente:

• Lei nº 13.709/2018 (LGPD) – Lei Geral de Proteção de Dados Pessoais.
• Constituição Federal.
• Código de Defesa do Consumidor.
• Código Civil.
• Marco Civil da Internet (Lei nº 12.965/2014) e seu Decreto nº 8.771/2016.
• Regulamento Geral de Proteção de Dados da União Europeia (GDPR), quando aplicável.

O tratamento de dados pessoais por fornecedores, prestadores de serviço e parceiros deverá sempre observar os princípios estabelecidos na LGPD, que são fundamentos essenciais para garantir a privacidade, a proteção e a segurança dos dados dos titulares. São eles:

Finalidade:
O tratamento de dados deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Os dados só podem ser usados para os objetivos claramente definidos no contrato ou na relação comercial, vedando usos genéricos, ocultos ou abusivos.

Adequação:
O tratamento deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto da atividade.
As operações de tratamento precisam fazer sentido em relação à finalidade. Por exemplo, não se deve coletar dados pessoais ou pessoais sensíveis se não forem necessários para a execução do serviço contratado.

Necessidade:
Limitar o tratamento ao mínimo necessário para a realização de suas finalidades, abrangendo apenas os dados pertinentes, proporcionais e não excessivos.
O fornecedor deve evitar a coleta desnecessária de dados. Se algum dado não for exigido para determinada atividade, ele não deve ser solicitado.

Livre Acesso:
O fornecedor deve garantir aos titulares de dados a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
O titular pode, a qualquer momento, solicitar informações sobre quais dados seus estão sendo tratados e para quais finalidades.

Qualidade dos Dados:
Assegurar que os dados pessoais sejam exatos, claros, relevantes e estejam atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
O fornecedor ou parceiro deve manter os dados corretos. Se souber que algum dado está incorreto, deve atualizar ou permitir que o titular o atualize.

Transparência:
Garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e seus respectivos agentes de tratamento, observados os segredos comercial e industrial.
O fornecedor deve informar, de forma clara, sobre o tratando dos dados pessoais, para que fim, por quanto tempo, e se há compartilhamento com terceiros.

Segurança:
Deve estabelecer a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
É obrigação dos fornecedores e parceiros implementarem sistemas, processos e controles que evitem vazamentos, acessos indevidos e outros incidentes.

Prevenção:
Determinar a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Além de reagir a incidentes, os fornecedores devem agir proativamente, criando procedimentos e medidas de segurança para evitar que eles ocorram.

Não Discriminação:
Vedar o tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos.
É proibido usar dados para práticas discriminatórias, como negação de serviços ou diferenciação baseada em origem, saúde, raça, orientação sexual, religião, etc.

Responsabilização e Prestação de Contas:
O agente de tratamento (fornecedor, parceiro ou prestador) deve demonstrar que adota medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, bem como da eficácia dessas medidas.
Deve estar apto a provar, por meio de documentos, políticas, relatórios e registros, que cumpre a LGPD. Apenas dizer que cumpre não basta — é necessário demonstrar.

Conformidade com a LGPD e Normas Aplicáveis:
Os fornecedores devem assegurar que suas práticas de tratamento de dados estejam em conformidade com a LGPD e demais normas pertinentes.

Políticas Internas:
Devem possuir políticas de privacidade, proteção de dados e segurança da informação formalizadas e aplicáveis a seus empregados, subcontratados e terceiros.

Treinamento e Conscientização:
Manter programas regulares de treinamento sobre privacidade, proteção de dados e segurança da informação.

Finalidade Específica:
O tratamento de dados deverá ocorrer exclusivamente para os fins definidos no contrato celebrado com o Grupo Sabin e empresas do Grupo, sendo vedado qualquer uso para finalidades diversas, próprias ou de terceiros.

Segurança e Governança:
Adotar medidas técnicas e administrativas capazes de proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Gestão de Direitos dos Titulares:
Disponibilizar canais para atender solicitações dos titulares, tais como: acesso, retificação, eliminação, portabilidade e demais direitos previstos no Art. 18 da LGPD.

Compartilhamento de Dados:
O compartilhamento de dados pessoais sensíveis, especialmente dados de saúde, é vedado para obtenção de vantagens econômicas, salvo para os fins legítimos relacionados à prestação de serviços de saúde, assistência farmacêutica ou outros permitidos pela legislação.

Subcontratação:
Em caso de subcontratação, o fornecedor deverá garantir que seus subcontratados cumpram integralmente as obrigações previstas nesta política e na legislação aplicável, especialmente em relação à confidencialidade, segurança da informação e privacidade dos dados.

Transferência Internacional de Dados:
A transferência internacional de dados pessoais somente será permitida se forem rigorosamente observados os requisitos estabelecidos na Lei nº 13.709/2018 (LGPD), bem como as diretrizes e exigências da Resolução CD/ANPD Nº 19, DE 23 de agosto de 2024, que estabelece regras específicas sobre cláusulas-padrão contratuais para a transferência internacional de dados pessoais.

O fornecedor, prestador de serviço ou parceiro que realizar transferência internacional de dados deverá obrigatoriamente firmar contrato contendo cláusulas contratuais padrão, alinhadas às disposições da referida normativa da ANPD, garantindo níveis adequados de proteção, segurança e privacidade dos dados.

Além disso, poderão ser utilizados outros mecanismos legais válidos, como normas corporativas globais, certificações, ou garantias específicas previstas na legislação, desde que assegurem o pleno atendimento às exigências da LGPD e da autoridade nacional.

Notificação Imediata:
Os fornecedores devem comunicar o Grupo Sabin por meio do seu encarregado encarregado@sabin.com.br, no prazo máximo de 24 (vinte e quatro) horas da ciência, sobre qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Informações Necessárias:
A comunicação deverá conter, no mínimo:
• Data e hora do incidente;
• Tipos de dados afetados;
• Número e lista de titulares afetados, se possível;
• Dados de contato do Encarregado (DPO) de sua empresa;
• Medidas de contenção e mitigação adotadas;
• Possíveis consequências aos titulares;

Comunicação à ANPD e aos Titulares:
Caso o incidente gere risco relevante aos titulares, o fornecedor deverá cumprir sua obrigação de comunicação à ANPD e aos titulares no prazo de até 3 (três) dias úteis, conforme a Resolução CD/ANPD nº 15/2024.

Retenção e Eliminação de Dados:
Os dados pessoais deverão ser eliminados após o término do tratamento, salvo nas hipóteses legais ou regulatórias que autorizem sua conservação, como obrigações fiscais, contratuais ou judiciais.

Responsabilidades:
Cada parte é responsável, na qualidade de controlador ou operador, por assegurar que o tratamento de dados pessoais esteja em conformidade com a LGPD. Eventuais descumprimentos gerarão responsabilidade administrativa, civil e penal, incluindo indenizações, multas, custas judiciais e honorários advocatícios.

Fiscalização e Auditoria:
O Grupo Sabin se reserva-se o direito de auditar, quando julgar necessário, as práticas de privacidade e proteção de dados dos fornecedores, prestadores de serviços e parceiros, podendo exigir a apresentação de evidências de conformidade.

Sanções e Penalidades Contratuais:
O descumprimento desta Política poderá ensejar:
• Advertência.
• Multas contratuais.
• Suspensão dos serviços.
• Rescisão contratual por justa causa.
• Indenização por perdas e danos.

Esta Política integra os contratos celebrados entre o Grupo Sabin e os fornecedores, prestadores de serviço e parceiros.

Está sujeita às atualizações legais, podendo ser revisada sempre que necessário para refletir alterações na legislação ou nos processos internos do Grupo Sabin.

Para qualquer dúvida, comunicação de incidente ou exercício de direitos, o fornecedor deverá entrar em contato com o Encarregado de Dados do Grupo Sabin (DPO), por meio do e-mail: dpo@sabin.com.br.

Encarregado de Dados: Edgard Gonçalves Moreira
Encarregado de Dados Suplente: Welisom Ferreira
Encarregado de Proteção de Dados: encarregado@sabin.com.br
Equipe de Privacidade e Proteção de Dados: privacidade@sabin.com.br

Referência Versão: POL.PVD.05