Política de Gestão de Dados Pessoais de Clientes e Prescritores

 

Índice

 

  1. Introdução. 1
  2. Estrutura e Escopo. 2
  3. Aprovação e vigência. 2
  4. Escopo e Objetivos. 2
  5. Fundamento Legal de Tratamento de Dados Pessoais. 3
  6. Diretrizes. 5
  7. Procedimento de Atendimento (Presencial e Remoto). 5
  8. Procedimento de Entrega e Expedição. 6
  9. Procedimento de Tratamento de Reclamações – LGPD (Solicitação de remoção, acesso, etc.) 7
  10. Período de guarda de dados pessoais. 8
  11. Papéis e responsabilidades. 9
  12. Treinamentos. 9
  13. Gestão de Incidentes. 10
  14. Relação de Políticas e Procedimentos. 10
  15. Sanções previstas. 11
  16. Disposições finais. 11

 

1.       Introdução

 

Nossa empresa, aOMNIVITA Manipulação Integrativa Ltda acesso a dados pessoais de clientes e prescritores e realiza o compartilhamento desses dados com terceiros, em especial órgãos públicos como a vigilância sanitária (por sistemas como o SNGPC), de forma que é necessário organizar o tratamento de dados pessoais, dado o fato de que existem obrigações legais para a coleta e compartilhamento com autoridade pública de algumas informações pessoais (e não de todas), o que precisa ser conhecido e gerido adequadamente.

 

A presente política é direcionada para realizar a gestão adequada da obtenção de dados pessoais de clientes e prescritores, o que envolve a coleta, manutenção/tratamento desses dados pessoais e seu compartilhamento com autoridades públicas.

2.       Estrutura e Escopo

 

A Política de Gestão de Dados Pessoais de Clientes e Prescritores (PDPC) é composta por este documento e pelos anexos indicados no item 9 (Relação de Procedimentos e Políticas), e suas previsões são aplicáveis à:

 

  1. Clientes;
  2. Prescritores;
  3. Autoridades públicas;

 

Não estão englobados nessa política a relação com demais terceiros, sendo estes públicos objeto de políticas e procedimentos distintos.

4.       Aprovação e vigência

 

A aprovação e a alteração deste documento (e seus anexos) é de competência da área de Atendimento ao Consumidor (SAC), que é responsável por mantê-la adequada aos procedimentos regulares da organização e à legislação aplicável.

 

O documento possui prazo de vigência indeterminado, devendo ser observado e seguido a partir da data de sua implementação até eventual alteração.

 

Renovação: É recomendável que a área de Atendimento ao Consumidor (SAC)revise essa política, no máximo, a cada 12 (doze) meses.

5.       Escopo e Objetivos

 

A organização possui acesso a dados pessoais de clientes e prescritores (os quais obtém por meio das receitas dos clientes), de forma que realiza tratamento e compartilhamento (obrigado por lei Lei Geral de Proteção de Dados – LGPD, Lei 13.709/2018) de dados pessoais.

 

6.       Fundamento Legal de Tratamento de Dados Pessoais

 

A legislação de proteção dados (Lei Geral de Proteção de Dados – LGPD, Lei 13.709/2018) estabelece diretrizes para o tratamento de dados pessoais, sendo a mais relevante para a presente política o fundamento legal de tratamento, ou seja, sob qual previsão o tratamento realizado é efetuado.

 

  • Venda (atendimento passivo)

 

A legislação de proteção de dados realiza a distinção entre as chamadas “finalidades do uso do dado”, ou seja, a depender da situação um determinado uso pode ser legal e fundamentado ou não. Para organizar a relação serão consideradas duas situações distintase iniciar outra fase, a primeira delas é da realização da venda, na qual o cliente traz uma receita (ou manifesta a intenção de adquirir um produto da organização) e procura ativamente a FarmáciaXXOmnivita Manipulação Integrativa Ltda, já na segunda situação ocorre uma ação.

 

Nesse sentido, para a primeira situação de venda para clientes, existem dois fundamentos legais aplicáveis. O o primeiro deles é o cumprimento de obrigações legais e regulatórias pelo controlador (organização) para aviamento e dispensa de medicamentos (inciso II)e o O segundo deles é o inciso V, considerando aqui que a compra e venda (de medicamentos) é uma operação formalizada por um contrato (mesmo que esse seja feito de forma verbal ou sem todas as formalidades previstas).

 

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

 

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

(…)

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

 

Destaque-se que todo trâmite de negociação prévia deve ser considerado como uma fase pré-contratual (mesmo que a compra não se realize).

 

Para os prescritores o fundamento legal é o inciso II, referente ao fundamento legal, no sentido de que a legislação obriga que a organização conheça qual é o prescritor do medicamento (sendo esse um dos requisitos para o aviamento das receitas).

 

  • Marketing(atendimento ativo)

 

A outra situação se distingue pelo fato de a organização procurar ativamente o cliente (o que será mais bem detalhado na “Política de Marketing e Utilização de Dados”), nesses casos é necessário obter o consentimento do indivíduo.

 

Para clientes isso significa criar políticas de marketing que permitam o seu descadastramento e busquem obter o seu consentimento direto para realização de ações de marketing (mais detalhes no documento “Política de Marketing e Utilização de Dados”).

 

Para os prescritores o adequado é proceder da mesma forma, realizar um primeiro contato no qual se busca ativamente solicitar o interesse deste em ser contactado pela organização, como para realização de visitas técnicas, etc.

 

Em todos esses casos de marketing e comunicação (ativa da organização) é necessário obter o consentimento destes para obtenção e tratamento de seus dados pessoais:

 

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

 

I – mediante o fornecimento de consentimento pelo titular;

7.       Diretrizes

 

Back-up (cópia de segurança): Todos os dados pessoais e documentos obtidos de terceiros, a qualquer título, deverão ser armazenados em back-ups regulares (em conformidade com a Política de Segurança e procedimentos específicos).

 

Princípio de acesso mínimo: As equipes de Recursos Humanos devem limitar ao máximo o acesso aos dados pessoais dos colaboradores, ex-empregados e entrevistados, de forma que recebam apenas o mínimo necessário para cumprir sua função.

 

Prescritores: Os prescritores, após sua primeira identificação pela organização (seja por meio de receita de pacientes ou de outra forma) deve ser contactado e indagado sobre o interesse de contatos futuros, em caso negativo deve ser interrompida a comunicação.

 

Clientes: O cliente deve ser acessado livremente enquanto relativo a uma compra ativa (o que inclui follow-up comercial e ligações de acompanhamento), porém, após a compra a comunicação deve ser restrita a finalidades específicas como pós-atendimento e mediante sua autorização.

8.       Procedimento de Atendimento (Presencial e Remoto)

 

O procedimento de atendimento para clientes é efetivamente o mesmo, independente do seu meio (presencial ou remoto), devem ser solicitadas as informações necessárias (e a receita) para realização da proposta comercial e prestação do serviço. Nesse momento, porém, é importante solicitar o consentimento para usos futuros dos dados pessoais do cliente, sendo adequado:

 

  • Perguntar se é possível retornar o contato posteriormente (em caso de remédios de uso contínuo) para oferecer reposição de medicamento;
  • Perguntar se o cliente está disposto a ser acionado (ou não) para eventual pesquisa de satisfação;
  • Perguntar se o cliente aceita receber material promocional de marketing;

 

Esses itens devem ser considerados de forma individual (um cliente pode responder positivamente a um e não aos demais), devendo essas informações serem adequadamente cadastradas no software de ERP da organização.

 

Observação: O cliente deve ser informado que pode mudar de opinião a qualquer momento sobre qualquer um desses itens, bastando entrar em contato e solicitar a concessão de consentimento (ou sua remoção).

 

9.       Procedimento de Entrega e Expedição

 

O procedimento de entrega e expedição deve ser organizado de forma a permitir o controle de quem na organização possui acesso aos dados pessoais do cliente (em especial o endereço), caso sejam utilizados terceiros (no caso de terceirização de serviço) é necessário que a empresa contratada esteja adequada à essa política e apta a preservar a segurança dessas informações.

 

As embalagens de entrega (rótulos e demais comunicações) deverão ser orientadas para conterem o menor número possível de informações referente ao cliente.

 

10.   Procedimento de Tratamento de Reclamações – LGPD (Solicitação de remoção, acesso, etc.)

 

O procedimento de tratamento de reclamações referente à dados pessoais é dividido em duas etapas específicas, a primeira é compreensão da demanda do cliente (que pode não utilizar a terminologia correta) e a segunda sobre a viabilidade (ou não) de uma ação solicitada.

 

De forma geral os direitos do cliente são:

 

  1. Perguntar se (e quais) informações a organização possui sobre ele;
  2. Solicitar alterações/correções de dados, sejam esses dados errados ou simplesmente desatualizados;
  3. Solicitar cópia dos dados pessoais;
  4. Solicitar a transferência de dados pessoais para outra organização;
  5. Solicitar a remoção de dados que a organização possui sobre si;

 

A primeira questão a ser compreendida é que nenhuma informação pode ser entregue a indivíduo sem a prova que ele é titular, ou seja, uma solicitação que não seja acompanhada de uma identificação adequada (informação de nome, endereço e número de RG e/ou CPF) não deve ser respondida, dado o risco de se tratar de uma tentativa de fraude.

 

O passo seguinte é que o cliente possui direito a remoção de todos os dados pessoais com exceção aquele que são de obrigação da organização reter e comunicar a terceiros, logo os dados presentes em Receituário (e receitas aviadas) deverão ser mantidos armazenados em conformidade com os prazos legais.

 

De forma que é possível realizar a remoção de cadastrado do ERP, remoção de banco de dados de marketing e de lista de clientes, protegidos todos os dados que devem ser armazenados.

 

Nesse sentido a comunicação deve ser conter o texto padrão (pode ser explicada por telefone e/ou e-mail, mensagem):

 

“Em decorrência da Portaria 344/1998 as farmácias magistrais são obrigadas a reter todas as receitas aviadas, e estas possuem dados pessoais seus, porém, não é possível alterá-los ou removê-los dado a obrigação legal de seu armazenamento integral e sem qualquer alteração. No restante, informações não abrangidas pela legislação como de cunho obrigatório, informamos que realizamos a alteração/remoção conforme solicitado.

 

Segue abaixo a relação de medidas realizas:”

 

Por último, é importante que as medidas efetuadas sejam comunicadas ao cliente (por exemplo, dados pessoais como nome e endereço foram removidos/alterados) por meio escrito, sendo o mais recomendável o e-mail.

 

Observação: No caso de prescritores se aplica a mesma observação, pois as receitas possuem requisitos legais de apresentação de dados pessoais destes (como nome, inscrição em conselho regional etc.)

 

11.   Período de guarda de dados pessoais

 

Os dados pessoais dos clientes e prescritores deve ser guardado enquanto estes se mantiverem como clientes (ou prescritores) ativos da organização, sendo recomendável inativar os clientes após 12 (doze) meses sem movimentação e, após 60 (trinta) meses realizar a sua exclusão definitiva.

 

Observação: Em caso de solicitações de remoção de dados pessoais é adequado guardar a troca de comunicação com o indivíduo (e o e-mail/comunicação que finalizou o atendimento) pelo período de 60 (sessenta) meses.

12.   Papéis e responsabilidades

 

Administração: é o responsável final por garantir que a empresa cumpra suas obrigações legais.

 

Atendimento ao Consumidor (SAC): elaborar/revisar, implementar a política (incluindo obter o consentimento de clientes e prescritores quando necessário) e promover treinamentos específicos para a equipe).

 

Segurança da Informação/TI: Garantir a segurança técnica dos sistemas e arquivos, bem como realização regular de back-ups.

 

Equipe: As únicas pessoas capazes de acessar os dados cobertos por esta política devem ser aquelas que precisam deles para seu trabalho.

13.   Treinamentos

 

O planejamento de treinamentos é dividido em três situações distintas, colaboradores da área de Recursos Humanos, novos colaboradores na área e equipe geral.

 

Colaboradores da Área de Atendimento ao Consumidor (SAC): Realização de treinamento específico informando sobre novos procedimentos, atendimento e solicitações a serem realizados aos clientes (consentimento para utilização de dados pessoais) e sobre os procedimentos para tratamento de reclamações referente à dados pessoais e LGPD, deverá ser realizado novo treinamento ao menos 1 (uma) vez a cada 12 (doze) meses.

 

Novos colaboradores da área Atendimento ao Consumidor (SAC): O treinamento deverá ser realizado em conjunto com o referente a procedimentos operacionais e cotidianos, momento no qual deverá ser apresentada ao novo colaborador a política e seu conteúdo.

 

Equipe Geral: Esse tema deve ser abordado no treinamento regular (anual) sobre o tema de Proteção de Dados e Privacidade a ser realizado, que possui o objetivo de que todas as áreas da organização estejam cientes de suas obrigações sobre o tema e das obrigações específicas aplicáveis a cada área.

14.   Gestão de Incidentes

 

O colaborador deve informar a área de Segurança da Informação/TI (e seu superior direto) em caso de qualquer suspeita de incidente de violação de dados pessoais, o que inclui não apenas acesso não autorizado por terceiros (como hacking), mas também perdas e danos ocorridos aos dados.

 

O colaborador deverá comunicar o incidente por meio do documento específico “Comunicado de Gestão de Incidentes”.

 

15.   Sanções previstas

 

O descumprimento das normas previstas nesta política e demais procedimentos é passível de sanções administrativas, como suspensão, e legais, conforme legislação vigente.

 

16.   Disposições finais

 

Dúvidas e questionamentos referentes à essa política (e procedimentos) deverão ser encaminhados à área de Atendimento ao Consumidor (SAC), que é responsável por solucionar essas questões e promover alterações na política, bem como sua atualização/renovação regular.