Política de Protección de Datos

1. Introducción

1.1. Presentación y objetivos

Este documento define las directrices y estrategias para la protección de los datos personales dentro del marco de los procesos y actividades de las empresas Horizon Serviços Técnicos de Seguros Ltda (CNPJ 29.234.610/0001-31) y Servitas Serviços Auxiliar de Seguros Ltda (CNPJ 83.618.009/0001-98), en adelante denominadas Horizon Servitas.

Este documento también define el ciclo de vida de la información junto con los procesos y actividades de Horizon Servitas, así como el tratamiento que se debe llevar a cabo en cada etapa de este ciclo vital.

En este documento de Política de Protección de Datos se observan los requisitos de protección de datos definidos en la LEY Nº 13.709, DEL 14 DE AGOSTO DE 2018 – Ley General de Protección de Datos;

1.2. Documentos Relacionados

Esta Política de Protección de Datos está relacionada con otros estándares y procedimientos internos de Horizon Servitas, tales como:

  • Código de Conducta y Ética;
  • Política de Seguridad de la Información;
  • Política de Clasificación de Información;

1.3. Definiciones

En esta Política de Protección de Datos se aplican los conceptos definidos en el Artículo 5 de la LEY Nº 13.709, DEL 14 DE AGOSTO DE 2018 – Ley General de Protección de Datos, además de los siguientes conceptos:

  • DPO (Responsable de Protección de Datos): equivalente al concepto de Responsable de Protección de Datos citado en la Ley General de Protección de Datos;
  • ROPA (Registro de Actividades de Procesamiento): equivalente al Registro de Operaciones de Tratamiento de Datos Personales citado en la Ley General de Protección de Datos, en este documento se denominará "Registro de Operaciones" y en forma reducida ROPA;
  • DPIA (Evaluación de Impacto en la Protección de Datos): equivalente al Informe de Impacto en la Protección de Datos Personales citado en la Ley General de Protección de Datos.

1.4. Autores

Esta Política de Protección de Datos es redactada por el Comité de Seguridad de la Información y Protección de Datos bajo el asesoramiento de Tracker Segurança da Informação.

La aplicación de esta política, su revisión y mantenimiento son responsabilidad del Comité de Seguridad de la Información y Protección de Datos, cuya lista de miembros está disponible al final de la Política de Seguridad de la Información actualmente en vigor.

Cualquier pregunta sobre la aplicación de esta política o sugerencias de cambios y mejoras puede dirigirse al correo electrónico laureano@horizonsts.com.br.

1.5. Versión y revisión

Esta Política de Protección de Datos está en la versión 1.1, aprobada el 4 de diciembre de 2025.

Este documento debe ser revisado y se debe preparar, aprobar, difundir y distribuir una nueva versión conforme a los requisitos definidos en la Política de Seguridad de la Información.

1.6. Relación con la Política de Seguridad de la Información

Para garantizar la seguridad de la información de los datos personales, las directrices y definiciones de esta Política de Protección de Datos están sujetas a todas las definiciones de la Política de Seguridad de la Información, tales como:

  • Gestión lógica de la seguridad de la información;
  • Gestión de la seguridad física de la información;
  • Compromiso de la alta dirección;
  • Ámbito de aplicación;
  • formación y evaluación periódica;
  • Concienciación y difusión de la cultura;
  • Revisión y actualización;
  • Auditoría interna y externa periódica;
  • Incidentes e medidas disciplinares;

1.7. Ciclo de vida de la información física y lógica

Dentro del marco de esta Política de Protección de Datos, los datos físicos y lógicos se organizan según el siguiente ciclo de vida:

  • Recogida de datos: consiste en obtener información del titular o de terceros en nombre del titular. Dentro del ámbito de la LEY nº 13.709, cubre las siguientes situaciones de tratamiento: recogida, producción y recepción;
  • Almacenamiento de datos: consiste en el archivo físico o lógico de información en el entorno de horizonsts.com.br o en un entorno de terceros en nombre del horizonsts.com.br. Dentro del marco de la LEY nº 13.709, cubre las siguientes situaciones de procesamiento: archivo y almacenamiento;
  • Acceso a los datos: consiste en el uso de datos para el procesamiento de datos. Dentro del marco de la LEY nº 13.709, cubre las siguientes situaciones de procesamiento: uso, acceso, procesamiento, evaluación o control de información, modificación y extracción;
  • Intercambio de datos: consiste en poner los datos a disposición de los operadores en nombre del horizonsts.com.br. Dentro del marco de la LEY Nº 13.709, cubre las siguientes situaciones de procesamiento: transmisión, distribución, comunicación, transferencia y difusión;
  • Eliminación: consiste en la exclusión definitiva de los datos o su anonimización de modo que los datos hacen imposible identificar a un individuo. Dentro del ámbito de la LEY Nº 13.709, cubre las siguientes situaciones de procesamiento: eliminación;

1.8. Principios de Protección de Datos y Seguridad de la Información.

Los siguientes principios de protección de datos y seguridad de la información deben ser observados por Horizon Servitas a lo largo de todo el ciclo de vida de los datos personales:

  1. Propósito: el tratamiento de datos personales solo puede producirse después de que se haya definido un propósito claro, esté debidamente registrado en el mapa de propósitos y con una base legal definida.
  2. Suficiencia: el procesamiento debe restringirse al propósito definido y no debe ocurrir de manera incompatible con dicho propósito.
  3. Necesidad: la información obtenida debe restringirse al mínimo necesario para alcanzar el propósito previamente definido, cubriendo únicamente los datos relevantes para él.
  4. Acceso Libre: los titulares de los datos personales deben contar con un canal de servicio que les permita consultar sobre la forma, tratamiento y seguridad de sus datos personales.
  5. Calidad de los datos: los datos procesados deben ser claros, precisos, relevantes y actualizados, en relación con sus respectivos fines específicos.
  6. Transparencia: los titulares de los datos personales deben contar con un canal de servicio que les permita obtener información clara y precisa sobre el tratamiento realizado con sus datos, incluso en relación con los agentes de tratamiento implicados.
  7. Seguridad: Horizon Servitas planificará, implementará, mantendrá, analizará críticamente y mejorará continuamente las medidas técnicas y administrativas de gestión de la seguridad de la información.
  8. Prevención: las medidas técnicas y administrativas de la gestión de la seguridad de la información también deben actuar para prevenir la ocurrencia de incidentes.
  9. No discriminación: bajo ninguna circunstancia se utilizará el tratamiento de datos personales en situaciones discriminatorias, ilegales o abusivas.
  10. Responsabilidad y rendición de cuentas: Horizon Servitas debe contar con controles y mecanismos que demuestren la eficacia de sus medidas de seguridad de la información y protección de datos.

2. ORGANIZACIÓN DE PROTECCIÓN DE DATOS

2.1. Responsabilidades en Protección de Datos

  1. La persona encargada de la protección de datos personales.
    1. La responsable de datos de Horizon Servitas es la Sra. Laureano Dalla Costa, en el cargo/función de Directora.
    2. Las actividades de la persona responsable consisten en:
      • Aceptar quejas y comunicaciones de los sujetos de datos, proporcionar aclaraciones y adoptar medidas;
      • Recibir comunicaciones de la autoridad nacional y tomar medidas;
      • Para orientar a los empleados, las empresas contratadas sobre las prácticas a adoptar en relación con la protección de datos personales;
      • Rastrear el cumplimiento de la protección de datos mediante la implementación de controles administrativos y técnicos de protección de datos.
    3. El responsable de datos es responsable de supervisar y aplicar todas las resoluciones emitidas por el ANPD a la organización.
  2. El comité de seguridad de la información y protección de datos personales.
    1. Horizon Servitas debe mantener un comité de seguridad de la información y protección de datos personales.
    2. El comité de seguridad de la información y protección de datos personales es responsable de definir y hacer cumplir las políticas de protección de datos personales de la empresa.
    3. El responsable de datos contará con el apoyo en sus funciones del Comité de Seguridad de la Información y Protección de Datos.
  3. El grupo de trabajo sobre protección de datos personales.
    1. Horizon Servitas debe mantener un grupo de trabajo sobre protección de datos personales con representantes directos de todos los sectores que procesan datos personales.
    2. El grupo de trabajo de protección de datos personales es responsable de mantener el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).
    3. El Responsable de Datos será apoyado en sus funciones por el Grupo de Trabajo de Protección de Datos.
  4. Registro de Operaciones de Tratamiento de Datos Personales - ROPA.
    1. Horizon Servitas debe mantener un Registro de Operaciones de Procesamiento de Datos Personales (ROPA).
    2. El Registro de Operaciones de Tratamiento de Datos Personales (ROPA) debe contener, junto con los fines por sector, los tipos de datos tratados, los recursos implicados y la base legal asociada.
    3. La responsabilidad de Horizon Servitas sobre el tratamiento de datos personales, ya sea responsable u operador, debe incluirse en el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).
    4. El Registro de Operaciones de Tratamiento de Datos Personales (ROPA) debe contener una lista de los otros agentes de tratamiento de datos (operadores y controladores) con los que Horizon Servitas comparte datos personales, incluida la existencia de una transferencia internacional.

2.2. Controles de gestión de privacidad

  1. Programa de Seguridad de la Información y Gobernanza de la Privacidad.
    1. Horizon Servitas debe mantener un programa continuo y actualizado de Seguridad de la Información y Gobernanza de la Privacidad de Datos.
    2. Planes de Acción en Seguridad de la Información y Privacidad de Datos;
      • Comité de Seguridad de la Información y Protección de Datos;
      • ROPA - Registro de Operaciones de Tratamiento de Datos Personales;
      • Gestión de Riesgos en Seguridad y Privacidad de la Información;
      • Política de Seguridad de la Información;
      • Política de Protección de Datos;
      • Política de Clasificación de Información;
      • Planes de Respuesta a Incidentes de Seguridad de la Información;
      • Política de Seguridad para Proveedores y Proveedores de Servicios;
      • Planes de Acción en Seguridad de la Información y Privacidad de Datos;
      • Auditorías internas y externas de seguridad y privacidad de la información;
    3. Los elementos anteriores deben estar debidamente definidos en la Política de Seguridad de la Información de Horizon Servitas o en documentos relacionados.

2.3. Controles técnicos de privacidad

  1. Controles técnicos/tecnológicos para la seguridad de la información.
    1. Horizon Servitas debe mantener una política de tecnología de la información que incluya controles tecnológicos para la seguridad de la información.
    2. Los controles técnicos/tecnológicos deben describirse a lo largo del ciclo de vida de los datos en la Política de Tecnología de la Información o documentos relacionados.
    3. Los controles de cifrado utilizados por la empresa deben formalizarse en la Política de Tecnología de la Información o en documentos relacionados.
  2. Controles de privacidad por diseño y privacidad por defecto.
    1. En todos los proyectos, sistemas y recursos de Horizon Servitas, la privacidad siempre debe establecerse y configurarse por defecto.
    2. Los proyectos, productos o servicios empresariales de Horizon Servitas deben ser evaluados bajo una lista de requisitos de privacidad antes de ser implementados en la estructura de la organización.
    3. Los sistemas de información y las herramientas de infraestructura tecnológica deben evaluarse bajo una lista de requisitos de privacidad antes de incorporarse al marco de Horizon Servitas.

2.4. Cumplimiento de solicitudes de privacidad

  1. Informes de privacidad.
    1. Para cumplir con el derecho a la Confirmación del Tratamiento de Datos, Horizon Servitas debe preparar y mantener un informe estándar de tratamiento de datos personales, que demuestre el procesamiento realizado durante el ciclo de vida de los sujetos de datos.
    2. Horizon Servitas debe preparar y mantener un informe estándar de impacto en protección de datos (DPIA), que se extraerá del análisis de seguridad de la información y riesgos de privacidad.
  2. Portal de Privacidad de Datos.
    1. Horizon Servitas mantendrá un portal de publicaciones sobre información de privacidad de datos.
    2. La información sobre el responsable de datos y sus funciones debe incluirse en el portal de privacidad de datos.
    3. El tratamiento de datos de niños y adolescentes debe publicarse y actualizarse en el portal de publicación de privacidad.
    4. La posibilidad de que el titular solicite una lista de fines de interés legítimo aplicados al tratamiento de sus datos personales debe publicarse en el portal.
    5. Los canales de comunicación para gestionar solicitudes relacionadas con la privacidad de datos deben publicarse en el portal de privacidad de datos.
  3. Servicio de Datos Sujetos.
    1. Los empleados de atención al cliente directa y el público en general deben recibir formación sobre cómo encaminar las solicitudes de privacidad al canal de servicio correspondiente.
    2. Las solicitudes de informes de procesamiento de datos personales deben registrarse debidamente y priorizarse para una respuesta inmediata, según la disponibilidad técnica y humana de la empresa.
    3. Las solicitudes de adecuación/corrección de datos deben registrarse debidamente y priorizarse para una respuesta inmediata, según la disponibilidad técnica y humana de la empresa.
    4. Las solicitudes de eliminación y la correspondiente eliminación de datos deben registrarse debidamente y priorizarse para una respuesta inmediata, según la disponibilidad técnica y humana de la empresa.

3. PROTECCIÓN DEL CICLO DE VIDA DE LOS DATOS

3.1. Protección de datos en la fase de recopilación

  1. Directrices generales para la recogida de datos.
    1. No se podrá realizar la recogida de datos personales en Horizon Servitas sin que el propósito correspondiente esté debidamente registrado en el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).
    2. Horizon Servitas debe recopilar estrictamente los datos necesarios para el cumplimiento de los fines registrados.
    3. Para fines de trazabilidad, los fines de recogida física y lógica de datos deben generar registros de entrada (registros) de los datos en la empresa.
    4. La recopilación de datos digitales sensibles debe hacerse mediante medios protegidos por cifrado o contraseña.
    5. Toda la recogida de datos de niños y adolescentes debe realizarse junto con el consentimiento específico de los tutores legales.
  2. Recogida de datos en forma de controlador.
    1. Toda la recopilación de datos en forma de un responsable de la ley debe realizarse únicamente cuando esté formalmente asociada a una base legal prevista por la ley.
    2. En el caso de la recogida de datos para el cumplimiento de un contrato, el propósito específico del tratamiento debe estar claramente indicado en el contrato.
    3. En el caso de la recogida de datos por consentimiento, el propósito específico del tratamiento debe estar claramente indicado en el consentimiento, junto con la información para revocarlo.
  3. Recogida de datos en forma de operador.
    1. En situaciones de recogida en las que Horizon Servitas es el operador de los datos personales, debe establecerse un contrato con el responsable responsable de los datos personales.
    2. En caso de que Horizon Servitas sea el operador de los datos personales, el responsable correspondiente debe ser informado de todas las acciones registradas (ROPA) que involucran sus datos.
    3. La responsabilidad de las partes, como controlador y operador, debe estar claramente definida en el contrato o en un documento complementario.
    4. El contrato con el responsable de datos definirá los fines del tratamiento de los datos posibles para Horizon Servitas.

3.2. Protección de datos en la fase de almacenamiento

  1. Directrices generales para el almacenamiento de datos.
    1. Todos los recursos de almacenamiento de datos personales de Horizon Servitas deben estar debidamente registrados en el Registro de Operaciones de Procesamiento de Datos Personales (ROPA).
    2. Los datos personales en posesión de Horizon Servitas deben almacenarse únicamente en entornos físicos y/o lógicos gestionados por la empresa o por proveedores de servicios debidamente contratados.
    3. Los entornos de almacenamiento soportados por control de cifrado deben estar correctamente documentados.
    4. El almacenamiento físico y lógico de datos sensibles debe contar con controles de seguridad adicionales. Por ejemplo, cifrado.
    5. Solo deben almacenarse los datos estrictamente necesarios para el cumplimiento de los fines registrados.
    6. Los datos deben almacenarse solo durante el periodo estrictamente necesario para el cumplimiento de los fines registrados.
  2. Almacenamiento de datos personales en el extranjero.
    1. Si los datos personales se almacenan en el entorno propio de la empresa, en el extranjero, también deben cumplirse todos los requisitos de esta política en este entorno.
  3. Almacenamiento de datos anonimizado.
    1. Las situaciones de procesamiento anonimizado deben registrarse debidamente en el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).
    2. En situaciones de procesamiento anonimizado, debe existir un informe técnico del sector de tecnologías de la información que demuestre la irreversibilidad de los datos anonimizados.
  4. Tiempo de retención de datos personales.
    1. En casos de cumplimiento y consentimiento contractual, el tiempo de retención es la duración de los respectivos contratos y consentimientos.
    2. En casos de cumplimiento de una obligación legal, el tiempo de retención es la duración respectiva de la obligación legal.
    3. En casos de ejercicio regular de derechos, el periodo de retención es la duración respectiva del ejercicio del derecho.
    4. Para las demás bases legales no mencionadas en esta sección, el tiempo de conservación de los datos personales debe definirse en el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).

3.3. Protección de datos en la fase de acceso

  1. Directrices generales para el acceso a los datos.
    1. No se puede acceder a datos personales en Horizon Servitas sin que el propósito correspondiente esté debidamente registrado en el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).
    2. Todo acceso a datos personales debe estar respaldado por controles de autenticación y acceso, debidamente definidos en la política de seguridad de la información.
    3. El acceso a los datos soportado por control de cifrado (canal seguro) debe estar correctamente documentado.
    4. Para fines de trazabilidad, el acceso a datos personales físicos y lógicos debe generar registros de acceso (logs) según la criticidad de la información accedida, especialmente en el caso de datos sensibles.
    5. Las opciones de exportación de datos en sistemas de información, como la exportación de hojas de cálculo y archivos, deben tener registros específicos.
  2. Acceso para fines de interés legítimo.
    1. Todos los fines que impliquen interés legítimo estarán sujetos a una Evaluación de Interés Legítimo (LIA). Las evaluaciones de LIA serán posteriormente remitidas para revisión y deliberación por parte del Comité de Seguridad de la Información y Privacidad.
    2. La aprobación del Comité de Seguridad de la Información y Protección de Datos debe contener la justificación para fines de interés legítimo.
  3. Acceso específico para el área de salud.
    1. Los operadores de planes de salud privados tienen prohibido procesar datos de salud para la práctica de la selección de riesgos en la contratación de cualquier modalidad, así como en la contratación y exclusión de beneficiarios.

3.4. Protección de datos en la fase de compartición

  1. Directrices generales para el intercambio de datos.
    1. No se podrá compartir datos personales en Horizon Servitas sin que estén debidamente registrados en el Registro de Operaciones de Tratamiento de Datos Personales (ROPA).
    2. El intercambio de datos personales solo se realizará con agentes de procesamiento debidamente contratados.
    3. Solo se compartirán los datos personales estrictamente necesarios para el cumplimiento del contrato establecido con el operador.
    4. La corrección de datos internos a Horizon Servitas debe transmitirse a todas las entidades compartidas, de manera registrada y formal.
    5. La eliminación de datos internos de Horizon Servitas debe transmitirse a todas las entidades compartidas, de manera registrada y formal.
    6. Para fines de trazabilidad, los datos compartidos deben generar un registro de compartición (logs).
  2. Instrucciones de protección de datos para el operador.
    1. Para todas las acciones realizadas, Horizon Servitas notificará formalmente al operador las instrucciones de protección de datos.
    2. Cada 12 meses, Horizon Servitas solicitará pruebas de protección de datos a los procesadores de datos.
    3. La evidencia de la protección de datos de los operadores será analizada por el Comité de Seguridad de la Información y Protección de Datos , que emitirá una opinión sobre la privacidad de cada operador.
    4. Los nuevos contratos de los proveedores solo deberían darse tras evaluar el cumplimiento de los requisitos de privacidad y protección de datos.
  3. Compartir en el área de salud.
    1. Está prohibida la comunicación o el uso compartido entre responsables de los responsables de datos personales sensibles relacionados con la salud con el objetivo de obtener una ventaja económica, salvo en los casos previstos por la ley.
  4. Transferencia internacional de datos.
    1. En los casos de transferencia internacional identificados en el Registro de Operaciones (ROPA), se debe adjuntar al contrato del operador pruebas de ley compatibles con la protección de datos o cláusulas específicas que aborden la protección de datos personales.
    2. En los casos en los que no exista transferencia internacional, el contrato con el operador debe incluir una cláusula que explique el tratamiento de datos dentro del territorio nacional.

3.5. Protección de datos en la eliminación progresiva

  1. Directrices generales para la eliminación de datos.
    1. Al final de un propósito, cuando la base legal ya no sea aplicable, los datos personales implicados deben ser eliminados, anonimizados o asociados a un nuevo propósito.
    2. Si la eliminación está motivada por una solicitud explícita del sujeto de los datos, debe registrarse evidencia formal de dicha solicitud antes de la eliminación de los datos.
    3. En situaciones de anonimización de datos, evidencian su irreversibilidad.
    4. Para fines de trazabilidad, las operaciones de eliminación de datos personales, ya sean físicas o lógicas, deben generar registros de eliminación (logs).

4. INCIDENTES DE PROTECCIÓN DE DATOS

4.1. Registro de incidentes de protección de datos

  1. Directrices generales para registrar incidentes.
    1. El canal específico para registrar incidentes de protección de datos será a través del correo electrónico comitecompliance@horizonsts.com.br.
    2. El registro de incidentes de protección de datos sigue las definiciones de la Política de Seguridad de la Información.

4.2. Gestión de incidentes de protección de datos

  1. Directrices generales para la gestión de incidentes.
    1. 1. La gestión de incidentes de protección de datos sigue las definiciones de la Política de Seguridad de la Información.
    2. 2. La comunicación de un incidente de protección de datos al ANPD y al sujeto debe realizarse lo antes posible desde el momento del análisis y verificación del incidente, sin exceder un plazo máximo de dos días laborables.
    3. En los casos en que Horizon Servitas sea el operador de los datos personales, la comunicación debe realizarse con el Controlador correspondiente lo antes posible, con un plazo máximo de 72 horas.

¡Habla con nosotros!