4.1 – Gestão de Riscos

• A empresa realizará avaliações periódicas de riscos, no mínimo anuais, para identificar ameaças e vulnerabilidades;  
• Medidas de mitigação serão implementadas com base nos resultados da análise de risco;
• Os resultados das avaliações serão documentados e revisados pela Alta Direção. 

4.2 – Controle de Acessos  

• O acesso às informações e sistemas será concedido apenas a usuários autorizados, com base no princípio do menor privilégio;  
• Revisões periódicas de acessos para garantir a conformidade com as regras estabelecidas;
• Acessos de prestadores de serviços e terceiros serão controlados e monitorados.

4.3 – Gestão de Ativos  

• Os ativos de informação serão identificados, classificados e protegidos conforme sua criticidade; 
• O uso de dispositivos pessoais para acesso a informações corporativas estará sujeito a políticas específicas;  
• Procedimentos de descarte seguro de ativos de informação serão aplicados para evitar vazamentos de dados.
  

4.4 – Classificação da Informação  

• As informações da empresa serão classificadas conforme nível de sensibilidade e criticidade, incluindo dados pessoais como categoria
  específica;

• A proteção e os controles aplicáveis a cada nível serão definidos na Norma de Classificação da Informação (GSP-NOR-002);

• Dados pessoais sensíveis (dados de saúde, biométricos etc.) receberão classificação e controles mais rigorosos.

4.5 – Segurança Física e Ambiental  

• Medidas de segurança física serão aplicadas para proteger instalações, servidores e arquivos confidenciais;  
• O acesso às instalações será controlado, monitorado e registrado; 
• Equipamentos e mídias de armazenamento contendo dados pessoais receberão descarte seguro conforme procedimento específico.

4.6 – Gestão de Incidentes de Segurança  

• Todos os incidentes de segurança da informação deverão ser registrados e tratados conforme o Procedimento de Gerenciamento de Incidentes (GSPPRO-002);  
• Incidentes que envolvam dados pessoais terão tratamento específico conforme a Seção 6 desta política;  
• Relatórios de incidentes serão analisados para a implementação de ações preventivas. 

4.7 – Gestão da Continuidade do Negócio  

• A empresa manterá o Plano de Continuidade do Negócio e Gestão de Crise (GSP-PLA-001) para assegurar a operação em situações de falha ou
  desastre;  
• Cenários de continuidade incluirão situações de incidentes com dados pessoais;  
• Testes periódicos garantirão a eficiência e atualidade do plano.

4.8 – Gestão de Conformidade  

• A conformidade com leis, regulamentos e normas aplicáveis será monitorada continuamente, incluindo LGPD, ISO 27001 e ISO 27701;  
• Auditorias internas e externas verificarão a aderência aos dois sistemas de gestão integrados;
• Sanções legais aplicáveis serão identificadas e documentadas, incluindo penalidades da ANPD.

4.9 – Treinamento e Conscientização  

• Todos os colaboradores receberão treinamentos regulares sobre segurança da informação e privacidade de dados;  
• Campanhas de conscientização e reciclagem serão realizadas no mínimo anualmente;
• Registros de treinamentos serão mantidos como evidência de conformidade.

4.10  – Uso Apropriado dos Canais de Comunicação  

• O uso dos canais de comunicação da empresa deve ser exclusivamente para fins profissionais; 
• Transmissões de dados pessoais por canais digitais deverão utilizar controles criptográficos apropriados;
• O uso inadequado dos recursos poderá resultar em sanções disciplinares conforme a política da empresa.

4.11 – Melhoria Contínua  

• A empresa se compromete com a melhoria contínua do SGSI e do SGPI com base em análises críticas e indicadores de desempenho;  
• Indicadores serão monitorados periodicamente para avaliar a eficácia das práticas de segurança e privacidade;  
• A Alta Direção assegurará a implementação de melhorias nos sistemas integrados sempre que necessário.

4.12 – Promoção da Cultura de Segurança da Informação 

• A Alta Direção, gestores e responsáveis pela Governança realizará ações para disseminar a cultura de segurança da informação e proteção de dados;
• A segurança e a privacidade devem ser parte integrante de todas as fases de projetos (privacy by design); 
• A empresa assegurará a divulgação, treinamento e revisão anual desta política.

4.13 – Papel da Organização no Tratamento de Dados Pessoais  

A Medicina Direta atua em duplo papel no tratamento de dados pessoais:

• Como Operadora de dados pessoais: trata dados de pacientes em nome das unidades de saúde clientes (controladoras), por meio do sistema de
  Prontuário Eletrônico (PEP). O tratamento ocorre exclusivamente conforme instruções dos clientes controladores;
• Como Controladora de dados pessoais: determina a finalidade e os meios do tratamento de dados dos próprios colaboradores, candidatos e usuários do site/contato comercial.

4.14 – Papel da Organização no Tratamento de Dados Pessoais  

Todo tratamento de dados pessoais na Medicina Direta deve estar fundamentado em ao menos uma base legal do Art. 7º ou Art. 11 da LGPD,
conforme o tipo de dado:

• Consentimento do titular – livre, informado, inequívoco e específico para a finalidade;
• Cumprimento de obrigação legal ou regulatória;
• Execução de contrato do qual o titular é parte;
• Exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Proteção da vida ou da incolumidade física do titular ou de terceiro;
• Tutela da saúde – exclusivamente por profissionais de saúde ou entidades sanitárias;
• Interesses legítimos do controlador – exceto quando prevalecerem direitos fundamentais do titular.

4.15 – Finalidade, Adequação e Necessidade

• Dados pessoais serão tratados somente para finalidades específicas, explícitas, legítimas e informadas ao titular;
• O tratamento deve ser compatível com as finalidades declaradas – uso para finalidades diferentes requer nova base legal ou consentimento específico;
• A coleta será limitada ao mínimo necessário para atingir a finalidade declarada (princípio da minimização de dados).

4.16 – Transparência e Aviso de Privacidade

• A Medicina Direta manterá Avisos de Privacidade atualizados e acessíveis para cada categoria de titular;
• As informações serão fornecidas de forma clara, precisa e em linguagem adequada ao público-alvo;
• Atualizações nas finalidades de tratamento serão comunicadas aos titulares de forma tempestiva.

4.17 – Direitos dos Titulares de Dados Pessoais

• A Medicina Direta assegura aos titulares de dados pessoais o exercício dos seguintes direitos, conforme o Art. 18 da LGPD.
• As solicitações dos titulares serão atendidas em até 15 dias corridos, conforme Art. 19 da LGPD;

4.18 – Privacidade por Design e por Padrão

• A proteção de dados pessoais será incorporada ao design de sistemas, processos e produtos desde a concepção (privacy by design);
• As configurações padrão garantirão o maior nível de proteção de dados pessoais possível, sem exigir ação adicional do titular (privacy by default);

4.19 – Retenção e Descarte de Dados Pessoais

• Dados pessoais não serão retidos por período superior ao necessário para as finalidades do tratamento;
• Ao término do tratamento, os dados serão eliminados, anonimizados ou transferidos, salvo obrigação legal de guarda;
• O descarte observará técnicas que impeçam a recuperação das informações.

4.20 – Compartilhamento e Transferência de Dados Pessoais

• O compartilhamento de dados pessoais com terceiros somente ocorrerá quando houver base legal adequada e instrumento contratual específico com cláusulas de proteção de dados;
• Transferências internacionais de dados pessoais obedecerão aos requisitos dos Art. 33 a 36 da LGPD;
• Registros de transferências e compartilhamentos serão mantidos como evidência de conformidade.

4.21 – Avaliação de Impacto à Proteção de Dados (RIPDP/DPIA)

• Serão realizadas avaliações de impacto para novas atividades de tratamento de alto risco ou mudanças significativas em tratamentos existentes;
• Os resultados subsidiarão a gestão de riscos de privacidade e as medidas de mitigação a serem adotadas.

4.22 – Encarregado pelo Tratamento de Dados Pessoais (DPO)

• A Medicina Direta designará formalmente um Encarregado pelo Tratamento de Dados Pessoais, conforme Art. 41 da LGPD;
• O Encarregado é o ponto de contato para titulares de dados e para a Autoridade Nacional de Proteção de Dados (ANPD);
• A identidade e os dados de contato do Encarregado serão divulgados publicamente no Aviso de Privacidade e no site;
• O Encarregado tem acesso direto à Alta Direção e atua de forma independente.

4.23 – Gestão de Incidentes com Dados Pessoais:

Em complemento ao processo geral de gestão de incidentes de segurança (Seção 4.6), incidentes com dados pessoais receberão tratamento específico:

• Como Operadora: incidentes no PEP que envolvam dados de pacientes serão comunicados ao cliente controlador sem demora injustificada,
  fornecendo as informações necessárias para que o cliente cumpra sua obrigação de notificar a ANPD;
• Como Controladora: incidentes com dados de colaboradores que possam acarretar risco ou dano relevante aos titulares serão comunicados à ANPD e aos titulares afetados em prazo não superior a 72 horas após o conhecimento (Art. 48 LGPD);
• O Encarregado (DPO) será notificado imediatamente sobre qualquer incidente com dados pessoais;
• Registros detalhados de incidentes com dados pessoais serão mantidos para fins regulatórios e forenses.

4.24 – Fornecedores e Subcontratados:

• Clientes da Medicina Direta (unidades de saúde) são os controladores dos dados de seus pacientes; a Medicina Direta, como operadora, tratará esses dados exclusivamente conforme instruções contratuais;
• Substituições ou inclusão de subcontratados serão comunicadas previamente ao cliente controlador, com prazo para manifestação;