Política de Privacidade

Política de Proteção de Dados Pessoais para Associados, Colaboradores, Conselheiros, Coordenadores, Diretores, Convenentes, Contratadas e Parceiras de Negócios da Associação dos Funcionários Públicos do Estado de São Paulo – AFPESP

LGPD – Lei Geral de Proteção de Dados

Lei Federal nº 13.709, de 14 de agosto de 2018, alterada pela Lei nº 13.853, de 08 de julho de 2019 – entrou em vigor, em agosto de 2020

Objetivo

A Associação dos Funcionários Públicos do Estado de São Paulo – AFPESP assegura a relevância da privacidade de dados pessoais e, em atendimento à Lei Geral de Proteção de Dados Pessoais – LGPD, apresenta as práticas adotadas quanto aos dados constantemente coletados e a utilização de dados pessoais sobre pessoas físicas e jurídicas, quais sejam: associados, empregados, parceiros, convenentes, prestadores de serviços e visitantes, dados estes coletados por seus representantes por meio de  formulários impressos ou digitais por website ou outros.

Deste modo, estamos cientes de nossas obrigações ao tratar dados pessoais com zelo e responsabilidade, conservando e preservando-os de maneira segura e privativa, de modo a cumprir a legislação vigente no que tange à privacidade e proteção dos mesmos.

Portanto, o propósito desta Política de Proteção é informar e fornecer esclarecimentos de “o por que, quando e como” a AFPESP coleta e utiliza informações que possam conter dados pessoais. Assim, indicamos que leia esta Política com muita atenção, vez que ela disponibiliza conhecimentos e esclarecimentos fundamentais sobre como a Associação utiliza dados pessoais, bem como expõe direitos, obrigações e garantias previstas na legislação aplicável a Proteção de Dados Pessoais.

De outro modo, importante salientar que esta Política não objetiva substituir quaisquer termos ou contratos, nem os direitos que os destinatários possam ter disponíveis.

A AFPESP é a controladora responsável por cuidar dos dados pessoais de seus associados e empregados, conselheiros, coordenadores, diretores e, ainda, de parceiros, convenentes, prestadores de serviços e visitantes. Todavia, o titular pode solicitar a identidade de cada empresa que administra seus dados pessoais no contexto de sua relação com a Associação.

O titular deve estar ciente de que, embora a AFPESP seja a principal responsável por zelar de seus dados pessoais, tais informações são conservadas em tratamento de dados acessíveis, com os padrões estabelecidos nesta Política de Proteção, bem como na legislação aplicável.

Público-Alvo

Esta Política de Proteção aplica-se a todos os associados, empregados, conselheiros, coordenadores, diretores, parceiros, convenentes, prestadores de serviços e visitantes da AFPESP.

Ao fornecer os seus dados à AFPESP, o titular dos dados, aceita os termos e condições desta Política de Proteção, conforme termo próprio.

Legislação Aplicável

A Lei nº 13.709 de 14 de agosto de 2018, alterada pela Lei nº 13.853, de 08 de julho de 2019, denominada de Lei Geral de Proteção de Dados Pessoais – LGPD, dispondo ela de definições, obrigações e garantias que devem ser aplicáveis aos tratamentos de dados pessoais realizados no país, os quais serão amparados pelas determinações desta Política de Proteção e outras leis brasileiras aplicáveis.

Para tanto, importante será para seu entendimento, esclarecermos algumas definições mencionadas da Lei Geral de Proteção de Dados - LGPD:

Dados Pessoais: são informações relativas a uma pessoa, identificada ou identificável;

Dados Pessoais Sensíveis: são dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Titular dos Dados Pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Banco de Dados: é conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico concernente a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, é a pessoa que define quais dados serão coletados, por qual meio e como ocorrerá o tratamento desses dados;

Operador: pessoa natural ou jurídica, de direito público ou privado, que segue as determinações estabelecidas pelo Controlador para o tratamento dos dados.

Tratamento: toda e qualquer operação realizada com os dados pessoais coletados de pessoa física ou jurídica, referente a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Conforme as disposições da Lei nº 13.709 de 14 de agosto de 2018, alterada pela Lei nº 13.853, de 08 de julho de 2019, denominada de Lei Geral de Proteção de Dados Pessoais – LGPD, a AFPESP apenas poderá tratar um dado se possuir uma base legal para tanto. Sendo assim, dispomos abaixo as bases legais que a AFPESP se respalda para realizar o processamento de dados:

  1. Mediante o fornecimento de consentimento pelo titular:

    Quando o consentimento do titular for obrigatório para a realização do processamento, o controlador deve se assegurar que possui a respectiva autorização, bem como que quando o titular de dados revogar seu consentimento, a AFPESP deve apagar os dados baseados na ausência do consentimento existente em sua base de dados.

  2. Para o cumprimento de obrigação legal ou regulatória pelo controlador:

    Necessário conservar e arquivar os documentos em decorrência da Lei ou por obrigações regulatórias e legais.
    Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, consideradas as disposições do Capítulo IV da Lei nº 13.709/2018 – LGPD;

  3. Execução de contratos em que o titular seja parte:

    Quando necessário para a elaboração de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

  4. Exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307 de 23 de setembro de 1996 (Lei de Arbitragem);

    Base legal quando a empresa ajuizar uma ação face ao titular dos dados, seus dados pessoais poderão ser tratados sem que isso represente uma violação.

  5. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros:

    Poderá ser utilizado para respaldar práticas de tratamento de dados pessoais em razões legítimas, a partir de situações definidas, como apoio nos procedimentos da empresa, bem como para proteger os titulares de dados das prestações de serviços que os beneficiem, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

  6. Para a proteção do crédito:

    Esta base apoiará na proteção de crédito dos titulares de dados.

Garantias e princípios de proteção de dados pessoais

Os dados pessoais são tratados em conformidade com as disposições da Lei Geral de Proteção de Dados Pessoais – LGPD, atendendo os princípios básicos de boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados pessoais, transparência, segurança, prevenção, não-discriminação, responsabilização, prestação de contas e outros princípios e garantias previstos nas demais legislações aplicáveis.

Deste modo, a AFPESP coleta e utiliza dados pessoais, entrementes, garantirá que esse tratamento seja feito em concordância do titular dos dados pessoais e da legislação pátria, bem como para a destinação adequada e necessária ao seu processamento, como para realizar todas as atividades que originem com o objetivo social e, ainda, para cumprir com obrigações contratuais, leis penais, cíveis, trabalhistas, previdenciárias e fiscais e também atividades de recursos humanos, parcerias, convênios e prestação de serviços.

Em vista disto, o tratamento de dados pode ser efetuado para a execução de procedimentos preliminares relacionados à elaboração de um contrato e, ainda, em razão de um legítimo interesse.

Informamos que os dados pessoais não serão operados e manuseados objetivando outros propósitos que sejam incompatíveis e diversos daqueles para o qual foram colhidos. Destarte, o titular dos dados pessoais tem o direito de obter acesso a eles, retificá-los e completa-los quando estiverem incorretos ou ultrapassados.

A AFPESP poderá regularmente reexaminar seus padrões de coleta de dados, armazenamento e processamento para certificar-se que somente sejam coletados, armazenados e processados dados pessoais indispensáveis para atender o propósito dos seus serviços, parcerias e convênios e, para o bom funcionamento de suas atividades. Portanto, quaisquer modificações no objetivo da coleta de dados, deverão ser preliminarmente comunicadas aos titulares e, ato contínuo, para as situações em que o consentimento é obrigatório para promover o tratamento. Os titulares poderão revogá-lo, caso se oponham a alteração em questão.

Procedimentos para coleta e tratamento de dados pessoais

A coleta de dados pela AFPESP realizada através de seus empregados, prepostos, parceiros e/ou prestadores de serviços deverá ser realizada em conformidade com bases legais necessárias para aquele tratamento, de modo a cumprir com o princípio da minimização de dados, onde seus empregados, prepostos, parceiros e/ou prestadores de serviços deverão coletar e manter em arquivo somente os dados estritamente  necessários para a finalidade que justifique sua coleta.

Via de regra, os empregados, prepostos, parceiros e/ou prestadores de serviços NÃO estão autorizados pela AFPESP à coleta e/ou tratamento de dados pessoais sensíveis; exceto, se devidamente comprovada a sua necessidade e mediante a autorização expressa do titular do dado. Para tanto, será revisado periodicamente a necessidade de manutenção dos dados pessoais coletados, descartando quaisquer dados que não sejam necessários à operação.

Em caso de solicitação de exercício de direito garantidos aos titulares dos dados pessoais, caberá a AFPESP decidir se irá recepcionar o requerimento, bem como encaminhá-lo ao DPO – (Encarregado dos Dados ou Data Protection Officer) para que este tome as medidas operacionais pertinentes, cuja decisão será informada ao titular do direito.

Os dados pessoais coletados e/ou tratados pela AFPESP serão armazenados pelo tempo legalmente exigido OU pelo tempo necessário para cumprimento da finalidade para a qual foi coletado; salvo, se o seu titular se opuser ao tratamento e/ou manutenção dos dados, ou ainda, se o titular revogar o seu consentimento (no caso de dados pessoais tratados mediante consentimento).

Esgotada a necessidade de armazenamento e/ou cumprida a finalidade para a qual o dado pessoal foi coletado, a AFPESP eliminará os dados pessoais coletados, registrando os dados de sua destruição para comprovação futura, se assim se fizer necessária.

Finalidade de uso dos dados pessoais

Os dados coletados de pessoa física ou jurídica (este tratando-se de Política de Privacidade), serão utilizados para as seguintes finalidades:

  1. Filiação de associados;
  2. Inclusão de dependentes;
  3. Identificação de associados e dependentes;
  4. Acesso às dependências;
  5. Reserva para hospedagem;
  6. Recebimento de mensalidades;
  7. Realizar contato por meio do telefone, correspondência ou mensagens em canais digitais;
  8. Inscrição para cursos e aulas de ginástica, pilates entre outras;
  9. Agendamento clínico;
  10. Contratos de prestações de serviços ou aquisições;
  11. Parcerias de interesse do associado;
  12. Segmentação de associados para oferta de serviços e benefícios;
  13. Ações de retenção e ou readmissão;
  14. Cobrança de associados inadimplentes;
  15. Ou que mais possa contribuir com o objeto social da AFPESP.

Segurança, confidencialidade e privacidade de dados pessoais

A AFPESP incumbe-se de tratar com sigilo e confidencialidade todos os dados pessoais que possuir, tomando as providências de segurança indispensáveis para preservar e proteger tais dados, conforme a Política Global de Segurança e Privacidade da Informação, cumprindo desta forma as práticas de Segurança da Informação.

Como medida de segurança, a AFPESP adota medidas administrativas, organizacionais, técnicas e físicas, as quais são necessárias para assegurar a segurança e a confidencialidade de seus dados pessoais, com a intenção de evitar ingressos não permitidos e situações acidentais ou ilícitas de modificação, extinção, destruição, divulgação ou quaisquer outras formas de tratamento não autorizado, e que possibilitem detectar anomalias, sejam elas propositais ou não, de riscos causados por uma ação humana ou por meios tecnológicos, visando continuamente  a melhoria e aperfeiçoamento de nossos serviços de controle e segurança.

A segurança dos dados pessoais é tratada com prudência e cautela pela AFPESP, utilizando padrões e melhores práticas adotados no mercado. Contamos com time preparado e altamente qualificado, comprometido com a garantia de proteger os dados por nós tratados, bem como investimento no conjunto de soluções e produtos de mais alta tecnologia para as operações de segurança na prevenção, detecção e monitoramento dos dados, aplicativos, base de dados e rede de dados.

A Associação nos instrumentos contratuais firmados entre seus prestadores de serviços, parceiros e convenentes inclui a cláusula de confidencialidade, que também é aplicável para qualquer colaborador, empregado e preposto destes prestadores. Assim, todas as pessoas incluídas em quaisquer das fases do tratamento de dados pessoais possuem a obrigação de sigilo e confidencialidade e, essa obrigatoriedade perdura inclusive posteriormente a finalização da relação contratual com a AFPESP e ao titular dos dados pessoais.

No que se refere à privacidade, a Associação assegura que somente usa os dados pessoais fornecidos quando convicta de que:

  1. Foi concedida a anuência para a utilização dos dados;
  2. Quando a utilização dos dados pessoais pela AFPESP é necessária para realizar um contrato;
  3. Quando o emprego dos dados pessoais pela AFPESP é necessário para desempenhar uma obrigação legal ou regulamentar;
  4. Quando o uso dos dados pessoais pela Associação é necessário para o exercício regular de direitos, seja em contrato, ou em processo judicial, administrativo e arbitral, além de outras diversas situações. 

Guarda e arquivo de documentação

É de responsabilidade AFPESP coletar, guardar, arquivar, armazenar, manusear, utilizar, transferir, excluir etc., somente os dados pessoais e/ou documentos necessários para o exercício de suas atividades e/ou prestação de serviços em ambiente seguro, sigiloso a fim de garantir a privacidade e a segurança dos dados.

É terminantemente proibida a coleta, guarda, arquivo, armazenamento, manuseio, utilização, transferência de arquivos e/ou cópias de documentos que contenham dados pessoais em dispositivos de uso pessoal, tais como pen drives, celulares, computadores, notebooks, etc.

A AFPESP não coleta, guarda, arquiva, armazena, manuseia, utiliza, transfere, divulga, vende, disponibiliza, etc quaisquer dados pessoais sem o consentimento expresso e/ou fora das finalidades para os quais foram disponibilizados pelo seu titular, ou ainda, em desacordo com a legislação aplicável.

Compartilhamento de Dados

Os dados pessoais recebidos pela AFPESP em decorrência de sua atividade empresarial são destinados única e exclusivamente para atender as finalidades a que lhe foram confiados, da forma permitida por lei e mediante o uso da base legal que lhe é aplicável.

Os contratos firmados entre a AFPESP e terceiros que lhe prestam serviços, preveem a garantia e níveis de segurança aos dados pessoais transferidos em decorrência dos serviços contratados. Recomendamos, ainda, a leitura de suas políticas de privacidade, para entender a maneira que suas informações pessoais serão usadas e tratadas por eles.

Os dados pessoais recebidos pela AFPESP em decorrência de sua atividade empresarial NÃO devem ser destinados ou utilizados para finalidade diversa daquela contida no contrato – trabalhista ou civil – ou transferidos para terceiros, sem autorização prévia e expressa da AFPESP

Em caso de estrito cumprimento de dever legal e/ou processual através de Órgãos Governamentais, Poder Administrativo, Executivo e/ou Judiciário das esferas Municipal, Estadual e/ou Federal, os dados pessoais recebidos pela AFPESP poderão ser compartilhados, sem qualquer responsabilização desta pelo cumprimento da ordem que lhe fora imposta.

Esgotadas todas as necessidades para uso dos dados pessoais, cumprida a execução contratual OU findo o período do contrato e término do tratamento dos dados, esses deverão ser ELIMINADOS, exceto se necessária à sua conservação por período superior, sendo as partes contratantes obrigadas ao atendimento das medidas de segurança apropriadas para a preservação do sigilo dos dados e medidas necessárias para obediência da lei para tal armazenamento.

Ao término do contrato – trabalhista ou cível – o usuário das informações não poderá enviar, armazenar, tratar, transferir etc., os dados pessoais compartilhados pela AFPESP para a execução das atividades e/ou prestação de serviços; sob pena de incorrer nas penalidades descritas na Lei 13.709/2018 – LGPD.

Direitos dos titulares dos dados pessoais

O titular dos dados pessoais tem o direito de obter acesso a eles a qualquer momento, podendo retificá-los, completá-los quando estiverem incorretos ou ultrapassados, solicitar a portabilidade ou eliminação, salvo os dados pessoais cujas retenções são necessárias e/ou permitidas por lei.

São direitos dos titulares dos dados pessoais previstos na Lei Geral de Proteção de Dados – LGPD – Lei nº 13.709/2018, não se limitando a estes:

  1. (Acesso facilitado às informações sobre o tratamento de seus dados;
  2. Disponibilização de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para atendimento ao livre acesso:
  1. Finalidade específica do tratamento;
  2. Forma e duração do tratamento, observados os segredos comercial e industrial;
  3. Identificação do controlador;
  4. Informação do contato do controlador;
  5. Informação acerca do uso compartilhado de dados pelo controlador e a finalidade;
  6. Responsabilidade dos agentes que realizarão o tratamento.
  1. Confirmação da existência de tratamento;
  2. Correção de dados incompletos, inexatos ou desatualizados;
  3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei Geral de Proteção de Dados – LGPD – Lei nº 13.709/2018;
  4. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  5. Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16* da Lei Geral de Proteção de Dados – LGPD – Lei n.º 13.709/2018;
  6. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  7. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  8. Revogação do consentimento.

O titular dos dados pessoais para ter acesso aos seus dados junto à AFPESP ou exercer seus direitos acima descritos poderá:

  1. Enviar uma solicitação por escrito juntamente com uma cópia de documento de identidade pessoal com foto;
  2. Enviar uma correspondência eletrônica (e-mail) juntamente com uma cópia digitalizada de documento de identidade pessoal com foto.

Os direitos do titular poderão ser exercidos junto à AFPESP mediante requerimento expresso do titular ou de seu representante legal devidamente constituído, os quais serão atendidos pela entidade, em formato SIMPLIFICADO, imediatamente OU por meio de declaração COMPLETA no prazo máximo de quinze (15) dias. E estando a AFPESP impossibilitada quanto ao fornecimento das informações requeridas pelo titular, esta comunicará o titular do direito que não é agente de tratamento dos dados e indicará, sempre que possível, o controlador responsável ou indicará as razões de fato ou de direito que impedem o cumprimento da requisição.

Declaração sobre notificação de privacidade

Os empregados, parceiros, visitantes e prestadores de serviços da AFPESP deverão ser informados do termo de Declaração sobre notificação de privacidade, o qual contém as normas internas de coleta e tratamento de dados pessoais, de acordo com as políticas de privacidade e informações da empresa.

Estando eles cientes, inclusive, que em caso de desobediências a políticas de privacidade e informações AFPESP e/ou dos dispositivos previstos em lei, estarão sujeitos às penalidades previstas na Lei Geral de Proteção de Dados Pessoais.

Política de privacidade do site

A Política de Privacidade da Internet aplica-se a www.afpesp.org.br e/ou http://portal/default.aspx, https://www.flexreserva.org.br e/ou aplicativos para telefones móveis que estão vinculados com nossa política de privacidade.

Boas práticas

São consideradas boas práticas à proteção de dados pessoais pela AFPESP, não limitadas a estas:

  1. Conscientização da importância da proteção de dados pessoais aos empregados, parceiros, convenente e prestadores de serviços;
  2. Estrutura de comitê responsável para correta adequação da LGPD, observando constantemente as melhores práticas e mantendo as atualizações necessárias em caráter preventivo sobre a proteção de dados;
  3. Descarte consciente de documentos físicos que não tenham mais serventia, utilizando a picotadora ao invés de jogá-los inteiros na lixeira, ou ainda, incinerando-os de maneira segura;
  4. Utilizar local próprio para assuntos empresariais, evitando locais públicos, como elevadores e corredores e etc.;
  5. Não deixar documentos visíveis em cima da mesa;
  6. Copiar no e-mail somente as pessoas que devam ter acesso aqueles documentos ou o conteúdo do e-mail;
  7. Avisar o Encarregado de Proteção de Dados sobre quaisquer problemas e matérias que envolvam Proteção de Dados, como temas contratuais e de novos produtos.
  8. Monitoramento constante do Controlador sobre as alterações e regulamentações legislativas, além do monitoramento interno dos regulamentos e práticas internas da AFPESP.

Notificação de incidente

Os empregados, parceiros, visitantes e prestadores de serviços da AFPESP que tomarem conhecimento sobre quaisquer violações das regras de privacidade, confidencialidade ou segurança de dados, ou caso tiver ciência de ataque interno ou externo, deverão, obrigatoriamente, comunicar de forma imediata e sigilosa a AFPESP para que esta adote prontamente as medidas administrativas e judiciais cabíveis.

Responsabilização e disciplina

Os empregados, parceiros e prestadores de serviços da AFPESP deverão adotar os procedimentos necessários para o cumprimento fiel da Política de privacidade, confidencialidade ou segurança de dados, sob pena de rescisão contratual, inclusive por justa causa. Além das aplicações das sanções legais – cíveis e/ou criminais.

Câmeras de segurança

As imagens captadas pelas câmeras internas de segurança da AFPESP serão mantidas sob rigorosas medidas de sigilo e privacidade e o acesso será disponibilizado através de ordem judicial e/ou autorização expressa da Diretoria Executiva da AFPESP.

Comitê Multidisciplinar de Privacidade

A AFPESP, em 27 de abril de 2022, através da Portaria n.º 28/2022 institui o “Comitê Multidisciplinar de Privacidade”, com a finalidade de instituir, organizar, coordenar e supervisionar quaisquer atividades relacionadas à privavidade e proteção de dados nos termos da Lei n.º 13.709 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais.

Data Protection Officer (DPO) ou Encarregado de Dados Pessoais

A AFPESP, em 27 de abril de 2022, através da Portaria n.º 27/2022 designa a Drª. GRAZIELE SEGANTINI LOPES, advogada devidamente inscrita na OAB/SP sob o n.º 272.671, empregada celetista matrícula n.º 4540, como ENCARREGADA PELO TRATAMENTO DE DADOS PEESOAIS-DATA PROTECTION OFFICE (DPO), que poderá ser contatada pelos titulares dos dados de segunda-feira a sexta-feira, das 9h00min às 18h00min, através do número (11) 3312-8729 e/ou endereço eletrônico (e-mail) Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo..


*Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

  1. cumprimento de obrigação legal ou regulatória pelo controlador;
  2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
  4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.