Política de Proteção de Dados Pessoais – UCB Brasil

• O porquê desta Política?

A coleta e o processamento de dados pessoais são necessários para desenvolver soluções que criem valor para os pacientes. A UCB compromete-se a garantir a proteção dos dados pessoais a ela confiados, bem como a respeitar os direitos das pessoas físicas cujos dados pessoais estão sendo coletados ou processados, por ou em nome da empresa.

Além disso, a UCB pretende cumprir as leis e regulamentos de proteção de dados aplicáveis (incluindo a Lei Geral de Proteção de Dados do Brasil “LGPD” e o Regulamento Geral de Proteção de Dados da União Européia ou “GDPR”) nos países em que a UCB realiza negócios.

• Principais Tópicos

Esta Política de Proteção de Dados Pessoais (“Política”) estabelece princípios comuns de proteção de dados pessoais a serem aplicados sempre que funcionários da UCB ou terceiros, agindo em nome da UCB, processarem dados pessoais, tais como:

• Os funcionários devem empregar os princípios de “Privacidade por Design – Privacy by Design” (conforme detalhado abaixo e projetados para evitar qualquer dano ao titular dos dados) sempre que se envolver em atividades onde dados pessoais são processados, incluindo a avaliação e mitigação de riscos de proteção de dados.

• As transferências internacionais de dados pessoais só podem ocorrer após a instalação de elementos de proteção de dados apropriados.

• Os direitos da pessoa em questão devem ser respeitados.

• Escopo

Esta Política estabelece os princípios e regras de proteção de dados a serem aplicados a todos os dados pessoais processados por, ou em nome da UCB, em qualquer formato, eletrônico ou em papel, independentemente do modo ou local de armazenamento (por exemplo, nuvem).

Todos os funcionários da UCB devem agir de acordo com esta Política e tomar as medidas necessárias para garantir que seus parceiros de negócios também estejam em conformidade.

É importante reconhecer que os dados pessoais podem se originar de pacientes e cuidadores, profissionais de saúde, funcionários, prestadores de serviços, ou quaisquer outros titulares de dados; e esta Política se aplica a cada um desses grupos indistintamente.

• Requisitos da Política:

1. Princípios de processamento de dados pessoais: “Privacidade por Design”
   Cada um dos seguintes princípios de proteção de dados - que formam o núcleo do “Privacy by Design” da UCB - deve ser revisado e aplicado a quaisquer atividades de processamento de dados pessoais executadas por ou em nome da UCB.
   Adotar uma abordagem de “Privacidade por design” é uma ferramenta essencial para minimizar os riscos de privacidade e criar confiança. Isso significa projetar projetos, processos, produtos ou sistemas com a privacidade em mente desde o início.

A. O processamento deve ser legal

Os dados pessoais só podem ser coletados, processados ou transferidos pela UCB se houver uma base legal (ou “justificativa legal”) que permita a atividade de processamento.

“Categorias especiais” de dados pessoais (por exemplo, dados de saúde, dados genéticos) têm bases jurídicas mais limitadas do que outros tipos de dados pessoais.

B. O processamento deve ser justo

O processamento de dados pessoais não deve, injustificadamente, ter um efeito ou propósito diferente daquele que foi acordado ou comunicado aos seus titulares. Além disso, os dados pessoais só devem ser tratados / processados da forma como foi informado aos seus titulares.

O processamento de dados pessoais geralmente não deve causar “danos” (financeiros, de reputação, etc.) ao sujeito dos dados.

C. O processamento deve ser transparente

Antes do tratamento dos dados, qualquer pessoa cujos dados pessoais sejam coletados, direta ou indiretamente, deve ser informada sobre seu processamento, a menos que a legislação nacional determine o contrário.

O Aviso de Privacidade deve informar, de forma clara, objetiva e completa ao titular dos dados, sobre as informações legalmente necessárias relevantes e seus direitos.
Para obter ajuda na elaboração de um Aviso de Privacidade, entre em contato com o departamento jurídico ou Data Privacy Officer.

D. O processamento deve ser minimizado

Quaisquer dados pessoais processados pela UCB devem ser adequados, relevantes e limitados ao que é necessário para alcançar a (s) finalidade (s) para a qual ele é processado.

O padrão “mínimo necessário” significa apenas coletar e processar os dados pessoais necessários para a atividade atual.

Quando possível, os dados pessoais serão pseudonimizados ou anonimizados.
Ao remover identificadores sempre que possível, a UCB protege ainda mais a privacidade dos titulares de dados, dificultando a identificação de um indivíduo.

E. O processamento adicional deve ser limitado

Os dados pessoais devem ser processados apenas para fins específicos, explícitos e legítimos (por exemplo, conforme descrito na Declaração de Privacidade ou no formulário de consentimento fornecido aos titulares de dados antes do processamento) e não deverão ser processados de forma incompatível com o propósito inicial.

Se a UCB desejar processar dados pessoais para um novo propósito (o que significa que não está “no espírito” do propósito original), o processamento não deve começar até que: (i) tenha sido determinado que o processamento para este “novo” propósito é legal e admissível nos termos da LGPD; (ii) o titular dos dados seja devidamente informado, e se necessário, seja fornecido um consentimento atualizado, e (iii) o restante das obrigações sob a LGPD tenha sido cumprido.

F. Os dados pessoais devem ser seguros e precisos

Os dados pessoais devem ser processados de uma maneira que garanta segurança apropriada, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, utilizando medidas técnicas e organizacionais apropriadas.

Além disso, os dados pessoais devem ser precisos e atualizados durante todo o seu ciclo de vida (por exemplo, da coleta à destruição / exclusão dos dados).

Para controles de segurança de dados apropriados, entre em contato com o Departamento de TI da UCB para obter orientação e assistência, mesmo se os dados forem processados por terceiros.

G. As regras de retenção de dados pessoais devem ser seguidas

Os dados pessoais não devem ser mantidos por mais tempo do que o necessário para atender às finalidades comerciais legítimas para as quais os dados foram coletados, e em conformidade com as políticas de retenção de dados da UCB, a menos que a legislação nacional determine o contrário.

Quando os dados pessoais não forem mais necessários em um formulário que permita a identificação do titular dos dados em questão, os dados pessoais serão tornados anônimos ou destruídos. A destruição de dados pessoais deve ser realizada, conforme apropriado, por trituração quando em forma de papel, ou exclusão permanente dos sistemas ou dispositivos quando em formato eletrônico, incluindo quaisquer dados de backup conforme diretrizes internas de TI para a destruição / exclusão de documentos.

Consulte as regras de retenção de dados da UCB ou entre em contato com o departamento jurídico local para dúvidas sobre os períodos de retenção de documentos.

2) Transferências e Divulgações de Dados Pessoais

As leis nacionais (por exemplo, a LGPD) geralmente impõem restrições à transferência de dados pessoais para países terceiros ou organizações internacionais. Estas restrições estão em vigor para garantir que o nível de proteção oferecido pelas leis do país de origem não seja prejudicado.

Conforme explicado abaixo, a UCB pode transferir dados pessoais para cada uma dessas partes somente se o mesmo nível de proteção de dados pessoais for assegurado; essa garantia deve estar em vigor antes da transferência internacional de dados pessoais e deve continuar enquanto o destinatário dos dados puder acessar os dados pessoais.

A. Transferências dentro das empresas afiliadas da UCB

As transferências de dados pessoais dentro da UCB são permitidas de acordo com as Binding Corporate Rules1 da UCB (“BCRs”). No caso de uma entidade da UCB estar atuando como controladora e outra entidade da UCB estar atuando como sua processadora e suas atividades de processamento estarem sujeitas ou dentro do escopo da LGPD, essas entidades devem executar um contrato de processamento de dados de acordo com os requisitos previstos no artigo 28.º do GDPR. Entre em contato com o Data Privacy Officer ou jurídico local para qualquer necessidade específica.

B. Transferências para, ou entre os Processadores de Dados (externos) do UCB

Sempre que a UCB contrata os serviços de um processador de dados (externo), a UCB tem a obrigação de garantir que tais processadores de dados forneçam garantias apropriadas para implementar medidas técnicas e organizacionais efetivas para que o processamento ocorra respeitando as regras de proteção de dados. Assim, a UCB deve conduzir uma análise dos riscos de proteção de dados, bem como impor obrigações de privacidade e segurança de dados pessoais razoáveis e apropriadas ao processador de dados através de contrato escrito.

O contrato com um processador de dados também deve contemplar hipóteses de violações de dados, bem como as reações apropriadas.
Além disso, a UCB deve garantir que qualquer (sub) processador, localizado fora do Brasil, para quem os dados pessoais são transferidos por ou em nome da UCB, esteja em conformidade com as regras de transferência internacional da LGPD e GDPR.

1 Binding Corporate Rules (BCRs), ou regras corporativas vinculantes são como um código de conduta de proteção de dados. Eles permitem que empresas multinacionais (como a UCB) transfiram dados pessoais internacionalmente dentro do mesmo grupo corporativo para países que não fornecem um nível adequado de proteção.