POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS DA MULTIDROGAS

 

  1. OBJETIVO

 

A Rede MultiDrogas está comprometida com a proteção da privacidade de seus clientes, por conta disso emprega os melhores esforços, através de medidas técnicas e organizacionais para desempenhar a proteção adequada em todas as suas operações, bem como as realizadas por terceiros, que envolvam o tratamento de dados pessoais e sensíveis da empresa.

 

Nesse passo, esta Política possui a finalidade de:

 

  1. Estar em conformidade com as leis e regulamentações aplicáveis de proteção de dados pessoais e sensíveis e seguir as melhores práticas;
  2. Proteger os direitos dos titulares de dados, fornecedores e parceiros contra os riscos de violações de dados;
  3. Ser transparente com relação aos procedimentos da empresa no tratamento de dados pessoais e sensíveis; e

 

  1. ABRANGÊNCIA

 

Esta política se aplica a todos os canais de relacionamento com clientes, como lojas físicas, SAC, sites e/ou aplicativos mobile. É destinada a todos os titulares de dados, que de maneira direta ou indireta utilizam a prestação de serviço/produto da Rede MultiDrogas, bem como aos fornecedores, prestadores de serviço e terceirizados.

 

  1. DEFINIÇÕES

 

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Controlador conjunto: mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • Agentes de tratamento: o controlador e o operador;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
  • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

 

  1. CONTROLADOR, CONTROLADORIA CONJUNTA E OPERADOR

 

Para as atividades de tratamento de dados pessoais compreendidas no escopo da presente Política de Privacidade, será considerado “Controlador de Dados Pessoais” a (i) ASSOCIAÇÃO DE FARMÁCIAS E DROGARIAS INDEPENDENTES DE SÃO JOSÉ DO RIO PRETO E REGIÃO – ASSOFADI, inscrita sob o CNPJ n° 00.433.431/0001-41, está situada na Rua Pedro Pandim, nº 226, sala 04, Distrito Industrial,na cidade de São José do Rio Preto/SP, CEP 15.035-490. (ii) COOPERATIVA DE USUÁRIOS DE ASSISTÊNCIA MÉDICA DE SÃO JOSÉ DO RIO PRETO – CONSOLIDAÇÃO, inscrita sob o CNPJ n° 03.803.500/0001.50 está situada na Rua Pedro Pandim, nº 226, sala 04, Distrito Industrial,na cidade de São José do Rio Preto/SP, CEP 15.035-490.

 

As farmácias que integram a Rede Multidrogas são pessoas jurídicas independentes e, sendo assim, possuem autonomia organizacional e funcional. Por isso, ao utilizar os produtos ou serviços das farmácias da Rede é possível que diferentes regras sobre o tratamento de dados pessoais se apliquem. Nesse caso o titular deve consultar a Política de Privacidade da empresa responsável pelo produto ou serviço utilizado.

 

  1. PRINCÍPIOS

 

A MultiDrogas descreve os princípios dispostos na Lei Geral de Proteção de Dados a serem seguidos no tratamento de dados pessoais e sensíveis, a fim de atender aos padrões de proteção de dados e estar em conformidade com a legislação e regulamentação aplicáveis.

 

  • Legalidade, Transparência e Não Discriminação

 

A MultiDrogas trata os dados pessoais e sensíveis de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis.

A empresa somente trata dados pessoais e sensíveis quando o propósito/finalidade do tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os titulares de dados são informados sobre a razão e a forma pela qual seus dados pessoais e sensíveis serão tratados.

 

Dados Pessoais:

I –       mediante o fornecimento de consentimento pelo titular;

II –      para o cumprimento de obrigação legal ou regulatória pelo controlador;

III –     pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV –     para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V –     quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI –     para o exercício regular de direitos em processo judicial, administrativo ou arbitral,

VII –    para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII –   para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX –     quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X –      para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

XI – Legítimo Interesse, para : I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

 

Dados Sensíveis:

I –       quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II –      sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

  1. a) cumprimento de obrigação legal ou regulatória pelo controlador;
  2. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  3. c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  4. d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral,
  5. e) proteção da vida ou da incolumidade física do titular ou de terceiro;
  6. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  7. g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

Dados Pessoais de Crianças e de Adolescentes:

I – Deverá ser realizado em seu melhor interesse;

II – O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal;

III – A empresa deverá manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares;

IV – Poderão ser coletados dados pessoais de crianças sem o consentimento, quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento;

V – É proibido condicionar a participação dos dados de crianças em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade;

 

  • Limitação E Adequação Da Finalidade

 

O tratamento de dados pessoais e sensíveis é realizado de maneira compatível com a finalidade original para a qual os dados foram coletados.

 

  • Princípio Da Necessidade (Minimização Dos Dados)

 

As rotinas que envolvem o tratamento de dados pessoais e sensíveis da MultiDrogas realizam o referido tratamento na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados.

 

  • Exatidão (Qualidade Dos Dados)

 

A MultiDrogas adota medidas razoáveis para assegurar que quaisquer dados pessoais e sensíveis em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que é possibilitado ao titular de dados a possibilidade de se requerer a exclusão, salvo nos casos previstos em lei, bem como a correção de dados imprecisos ou desatualizados.

 

  • Integridade E Confidencialidade (Livre Acesso, Prevenção E Segurança)

 

A MultiDrogas assegura que medidas técnicas e administrativas apropriadas são aplicadas aos dados pessoais e sensíveis para protegê-los contra o tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos.

O tratamento de dados pessoais e sensíveis também garante a devida confidencialidade através da aplicação de medidas de segurança.

 

  • Responsabilização E Prestação De Contas

 

A MultiDrogas é responsável e demonstra o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:

 

  1. Garantia de que os titulares dos dados possam exercer os seus direitos conforme descritos na legislação;
  2. Mapeamento de Dados Pessoais e Sensíveis de todos os setores da empresa que tratam dados, a fim de conhecer e consequentemente aplicar medidas de segurança, para todas as rotinas da empresa;
  3. Orientação disposta em cláusula contratual, para que os operadores e controladores conjunto de dados da empresa também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
  4. Garantia de que a empresa está cumprindo todas as exigências e solicitações da Autoridade Nacional de Proteção de Dados.

 

  1. DO TRATAMENTO DE DADOS PESSOAIS E SENSÍVEIS

 

O tratamento de dados pessoais e sensíveis é necessário para que a Rede MultiDrogas ofereça serviços e funcionalidades adequados às necessidades dos titulares de dados, bem como para personalizar serviços, fazendo com que sua experiência seja a mais cômoda e satisfatória possível.

 

Qualquer tratamento de dados pessoais, sensíveis ou não, realizado pela Rede Multidrogas, estará baseado em fundamento legal e se dará de forma adequada com a finalidade da sua coleta.

 

O tratamento de seus dados pessoais ocorrerá para: (i) cumprimento de obrigações legais ou regulatórias, (ii) exercício regular de direitos em processos; (iii) quando necessários para execução de contrato firmado com o titular, ou procedimentos necessários para celebração deste; (iv) proteção de crédito; (v) atender interesses legítimos do Controlador; (vi) tutela a sua saúde; ou (vii) prevenir fraudes. Em outros casos, o tratamento de dados pessoais será condicionado ao seu consentimento.

 

Os dados coletados são:

 

Dados Cadastrais: nome completo, CPF, gênero, telefone, e-mail, endereço, data de nascimento.

Dados Financeiros: dados de pagamento, incluindo nome do titular e número do cartão de crédito ou débito.

Dados Sensíveis: informações sobre compras, receitas médicas e histórico de saúde.

Dados de Navegação: cookies, geolocalização, IP, informações de dispositivo e navegador.

 

Os dados são coletados das seguintes maneiras:

 

Cadastro em nossas plataformas e programas de fidelização.

Compras realizadas em lojas físicas ou canais digitais (site, app, televendas).

Participação em programas de benefícios e convênios, cujas regras são definidas por meio de regulamentos próprios.

Comunicação e interações por e-mail, telefone, WhatsApp ou atendimento ao cliente.

 

Os dados são utilizados para:

 

Cumprimento de Obrigações Legais: atender exigências para venda de medicamentos controlados, comunicações obrigatórias de saúde pública, Farmácia Popular, etc.

Prestação de Serviços: realizar entregas, confirmar identidade e garantir a segurança nas transações.

Melhoria da Experiência do Cliente: oferecer descontos, campanhas personalizadas, e comunicação sobre produtos de interesse.

Marketing e Fidelização: envio de newsletters, ofertas, e informações sobre saúde e bem-estar.

Prevenção à Fraude: garantir a segurança dos sistemas e evitar fraudes em compras e pagamentos.

 

 

  1. RETENÇÃO E LIMITAÇÃO DO ARMAZENAMENTO DE DADOS

 

O período de armazenamento é exercido sempre para: (i) cumprir obrigação legal ou regulatória pelo controlador; (ii) garantir a segurança do titular de dados; (iii) melhor satisfazer os interesses do titular de dados.

Sendo assim, os dados pessoais e sensíveis deverão ser excluídos do sistema e banco de dados, ou descartados através do uso de fragmentadora, sempre que:

  1. Atingirem sua finalidade ou quando deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. Cumprirem o período de armazenamento;
  3. Houver solicitação de revogação do consentimento, quando o tratamento de dados pessoais e sensíveis possui amparo nesta base legal;
  4. Quando for determinado o descarte pela Autoridade Nacional de Proteção de Dados, ou ser constatada uma violação no tratamento pertinente à Lei Geral de Proteção de Dados.

 

É permitido o armazenamento, após término de seu tratamento, para:

  1. Cumprimento de obrigação legal ou regulatória pelo controlador;
  2. Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
  4. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Os dados pessoais e sensíveis, armazenados no banco de dados, deverão ser anonimizados ou pseudonimizados, sempre que possível.

 

  1. PADRÕES DE SEGURANÇA

 

Importância da Proteção de Dados Pessoais e Sensíveis

A MultiDrogas está comprometida com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais, com vistas a garantir o direito fundamental do titular de dados à autodeterminação informativa.

 

Garantir a Segurança dos Dados Pessoais e Sensíveis

A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não repúdio são objetivos a serem perseguidos para a segurança dos dados pessoais e sensíveis tratados pela MultiDrogas.

 

Obrigação do Sigilo de Dados Pessoais e Sensíveis

Todos os colaboradores da MultiDrogas, bem como prestadores de serviços, fornecedores e terceirizados, que realizam qualquer tipo de tratamento de dados pessoais ou sensíveis, estão obrigados aos deveres de confidencialidade e sigilo, mediante a anuência do Contrato de Trabalho, Contrato de Prestação de Serviços e Políticas instituídas pela empresa.

 

Não obstante, apesar dos nossos contínuos esforços para preservar sua privacidade e proteger seus dados pessoais, nenhum sistema é completamente seguro em relação às ameaças existentes. Na eventualidade da ocorrência de alguma violação de dados pessoais, a Rede Multidrogas garantirá de imediato a operacionalização de protocolos de resposta para correção e mitigação dos efeitos, bem como o cumprimento das medidas legais cabíveis, especialmente as previstas pela LGPD.

 

  1. COMPARTILHAMENTO DE DADOS

 

A fim de garantir a qualidade de nossos serviços e produtos, a Rede Multidrogas pode compartilhar seus dados de forma segura e controlada, sempre respeitando as finalidades especificadas e as normas de proteção de dados.

Importante destacar que a Rede Multidrogas não comercializa seus dados em nenhuma circunstância.

O compartilhamento pode ocorrer nas seguintes situações:

  1. Entre os Departamentos Internos: Seus dados poderão ser compartilhados entre os departamentos da nossa rede, acessíveis apenas por colaboradores devidamente autorizados e com a finalidade de aprimorar o atendimento.
  2. Prestadores de Serviços: Para viabilizar a prestação dos nossos serviços, podemos compartilhar dados com empresas que nos auxiliam em operações de pagamento, entregas, armazenamento em nuvem, marketing, prevenção de fraudes e outras atividades relacionadas.
  3. Programas de Benefício: Caso participe de programas como o Clube De Vantagens Rede Multidrogas, o Programa de Benefício em Medicamentos (PBM), seus dados poderão ser compartilhados com parceiros e indústrias para a concessão de descontos e benefícios.
  4. Cumprimento de Obrigações Legais: Seus dados poderão ser compartilhados com autoridades públicas, judiciais ou administrativas, sempre que necessário para o cumprimento de obrigações legais, regulatórias ou para responder a processos judiciais.
  5. Proteção de Direitos: Em situações de disputa ou conflito, podemos compartilhar seus dados para proteger nossos direitos e interesses, sempre dentro dos limites permitidos pela legislação vigente.
  6. Transferência Internacional de Dados: Em alguns casos, seus dados pessoais poderão ser transferidos para servidores localizados fora do Brasil, como no caso de serviços de computação em nuvem. Garantimos que todas as transferências internacionais seguem as melhores práticas de segurança e conformidade com as leis de proteção de dados.
  7. Processos de Sucessão Empresarial: No caso de fusão, aquisição ou outras alterações societárias, seus dados podem ser transferidos para a nova entidade, sempre com a garantia de que os princípios de privacidade e proteção continuarão sendo observados.

 

  1. DIREITOS DOS TITULARES DE DADOS PESSOAIS E SENSÍVEIS

 

Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Lei Geral de Proteção de Dados.

 

Desta feita, a MultiDrogas realiza os melhores esforços para cumprir fielmente os direitos dos titulares de dados, que se compreendem em:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  5. Portabilidade dos dados a outro fornecedor de serviço ou produto;
  6. Eliminação dos dados pessoais tratados com o consentimento;
  7. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  8. Revogação do consentimento.

 

  1. RESPONSABILIDADES

 

A Rede Multidrogas garante a segurança dos dados coletados e armazenados, bem como o cumprimento das finalidades descritas nesta Política de Privacidade.

 

No entanto, não nos responsabilizamos por negligência, imprudência ou imperícia do usuário no trato com seus dados individuais, sendo ele o único responsável pela guarda e proteção de sua eventual senha, bem como pela atualização e veracidade das informações fornecidas no cadastro.

 

Qualquer dano ou prejuízo decorrente de perda, furto da senha, ou imprecisão, falsidade ou desatualização das informações será de exclusiva responsabilidade do usuário.

 

  1. PÁGINAS DE TERCEIROS

 

Através de seu website, a MultiDrogas disponibiliza conexão para websites de terceiros. Os quais estão sujeitos a Políticas de Privacidade independentes. Esta Política de Privacidade de dados não se aplica a tais websites e não nos responsabilizamos pela forma como os dados dos usuários são tratados por parte dos referidos terceiros.

 

  1. SOLICITAÇÕES E DÚVIDAS

 

Para exercício dos seus direitos, esclarecimento de dúvidas e acesso a mais informações sobre o tratamento de seus dados pessoais, envie e-mail para o Encarregado de Dados Marcos Vinícius Caparroz da Silva, endereço eletrônico: dpo@redemultidrogas.com.br.

 

  1. CONSIDERAÇÕES FINAIS

 

Esta política entra em vigor a partir da data de publicação e pode ser alterada sem aviso prévio, a qualquer tempo, por decisão do setor de Proteção de Dados, Tecnologia da Informação e Comitê de Privacidade, mediante o surgimento de fatos relevantes que apareçam ou não tenham sido contemplados neste documento.

 

  1. DATA DA PUBLICAÇÃO

São José do Rio Preto, 26 de setembro de 2024.