Política de Proteção de Dados

1. Introdução

1.1. Apresentação e Objetivos

Este documento define as diretrizes e estratégias para proteção de dados pessoais no âmbito dos processos e atividades das empresas Horizon Serviços Técnicos de Seguros Ltda (CNPJ 29.234.610/0001-31) e Servitas Serviços Auxiliares de Seguros Ltda (CNPJ 83.618.009/0001-98), doravante denominadas, agrupadas, como Horizon Servitas.

Este documento também define o ciclo de vida da informação junto aos processos e atividades da Horizon Servitas, bem como o tratamento a ser realizado em cada etapa deste ciclo de vida.

Neste documento de Política de Proteção de Dados são observados os requisitos de proteção de dados definidas na LEI No 13.709, DE 14 DE AGOSTO DE 2018 – Lei Geral de Proteção de Dados;

1.2. Documentos Relacionados

Esta Política de Proteção de Dados está relacionada com outras normas e procedimentos internos da Horizon Servitas, como:

  • Código de Conduta e Ética;
  • Política de Segurança da Informação;
  • Política de Classificação da Informação;

1.3. Definições

Nesta Política de Proteção de Dados aplicam-se os conceitos definidos no Art. 5o da LEI No 13.709, DE 14 DE AGOSTO DE 2018 – Lei Geral de Proteção de Dados, adicionalmente aplicam-se os conceitos abaixo:

  • DPO (Data Protection Officer): equivalente ao conceito de Encarregado de Proteção de Dados citado na Lei Geral de Proteção de Dados;
  • ROPA (Record Of Processing Activities): equivalente ao Registro das Operações de Tratamento de Dados Pessoais citado na Lei Geral de Proteção de Dados, neste documento será citado como “Registro de Operações” e de modo reduzido como ROPA;
  • DPIA (Data Protection Impact Assessment): equivalente ao Relatório de Impacto à Proteção de Dados Pessoais citado na Lei Geral de Proteção de Dados.

1.4. Autores

Esta Política de Proteção de Dados é de autoria do Comitê de Segurança da Informação e Proteção de Dados sob assessoria da Tracker Segurança da Informação.

A aplicação desta política, sua revisão e manutenção são de responsabilidade do Comitê de Segurança da Informação e Proteção de Dados, cuja relação de membros está disponível no final da Política de Segurança da Informação atualmente em vigor.

Dúvidas sobre a aplicação desta política ou sugestões de alteração e melhoria podem ser encaminhadas para o e-mail laureano@horizonsts.com.br.

1.5. Versão e Revisão

Esta Política de Proteção de Dados encontra-se na versão 1.1, homologada em 04 de dezembro de 2025.

Este documento deve ser revisado e uma nova versão deve ser elaborada, homologada, divulgada e distribuída conforme requisitos definidos na Política de Segurança da Informação.

1.6. Relação com a Política de Segurança da Informação

Com o objetivo de garantir a segurança da informação dos dados pessoais, as diretrizes e definições desta Política de Proteção de Dados estão sujeitas a todas as definições da Política de Segurança da Informação, como:

  • Gestão de segurança lógica da informação;
  • Gestão de segurança física da informação;
  • Comprometimento da alta direção;
  • Escopo de aplicação;
  • Treinamento e avaliação periódica;
  • Conscientização e disseminação de cultura;
  • Revisão e atualização;
  • Auditoria periódica interna e externa;
  • Incidentes e medidas disciplinares;

1.7. Ciclo de Vida da Informação Física e Lógica

No âmbito desta Política de Proteção de Dados, os dados físicos e lógicos estão organizados conforme o seguinte ciclo de vida:

  • Coleta de Dados: consiste no momento da obtenção da informação junto ao titular ou a terceiros em nome do titular. No âmbito da LEI No 13.709 abrange as seguintes situações de tratamento: coleta, produção e recepção;
  • Armazenamento de Dados: consiste no arquivamento físico ou lógico da informação em ambiente do(a) horizonsts.com.br ou ambiente de terceiros em nome do(a) horizonsts.com.br. No âmbito da LEI No 13.709 abrange as seguintes situações de tratamento: arquivamento e armazenamento;
  • Acesso aos Dados: consiste na utilização dos dados para processamento do mesmo. No âmbito da LEI No 13.709 abrange as seguintes situações de tratamento: utilização, acesso, processamento, avaliação ou controle da informação, modificação e extração;
  • Compartilhamento de Dados: consistem na disponibilização de dados para operadores em nome do(a) horizonsts.com.br. No âmbito da LEI No 13.709 abrange as seguintes situações de tratamento: transmissão, distribuição, comunicação, transferência e difusão;
  • Eliminação: consiste na exclusão definitiva do dado ou em sua anonimização de modo que o dado impossibilite a identificação de pessoa física. No âmbito da LEI No 13.709 abrange as seguintes situações de tratamento: eliminação;

1.8. Princípios da Proteção de Dados e Segurança da Informação.

Os seguintes princípios de proteção de dados e segurança da informação devem ser observados pela Horizon Servitas ao longo do ciclo de vida dos dados pessoais:

  1. Finalidade: o tratamento dos dados pessoais somente poderá ocorrer após definida uma finalidade clara, devidamente registrada no mapa de finalidades e com base legal definida.
  2. Adequação: o tratamento deve ser restringir à finalidade definida e não deve ocorrer de forma incompatível com tal finalidade.
  3. Necessidade: as informações obtidas devem se restringir ao mínimo necessário para a realização da finalidade previamente definida, abrangendo apenas os dados pertinentes para tal.
  4. Livre Acesso: os titulares de dados pessoais devem possuir canal de atendimento que lhes permita consulta sobre a forma, tratamento e segurança de seus dados pessoais.
  5. Qualidade dos Dados: os dados tratados devem ser claros, exatos, relevantes e atualizados, em relação as suas respectivas finalidades específicas.
  6. Transparência: os titulares de dados pessoais devem possuir canal de atendimento que lhes permita obter informações claras e precisas sobre o tratamento realizado com seus dados, inclusive em relação aos agentes de tratamento envolvidos.
  7. Segurança: a Horizon Servitas deve planejar, implementar, manter, analisar criticamente e melhorar continuamente medidas técnicas e administrativas de gestão de segurança da informação.
  8. Prevenção: as medidas técnicas e administrativas de gestão de segurança da informação devem também atuar na prevenção de ocorrência de incidentes.
  9. Não Discriminação: em nenhuma hipótese o tratamento de dados pessoais será utilizado em situações discriminatórias, ilícitas ou abusivas.
  10. Responsabilização e Prestação de Contas: a Horizon Servitas deve possuir controles e mecanismos de demonstração da eficácia de suas medidas de segurança da informação e proteção de dados.

2. Organização da Proteção de Dados

2.1. Responsabilidades Sobre a Proteção de Dados

  1. O encarregado proteção de dados pessoais.
    1. O encarregado de dados da Horizon Servitas é o Sr(a) Laureano Dalla Costa, sob o cargo/função de diretor.
    2. As atividades do encarregado consistem em:
      • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
      • Receber comunicações da autoridade nacional e adotar providências;
      • Orientar os funcionários, empresas contratadas a respeito das práticas a serem tomadas em relação a proteção de dados pessoais;
      • Acompanhar a conformidade com a proteção de dados através da implementação dos controles administrativos e técnicos de proteção de dados.
    3. O encarregado de dados é responsável por acompanhar e aplicar à organização de todas as resoluções emitidas pela ANPD.
  2. O comitê de segurança da informação e proteção de dados pessoais.
    1. A Horizon Servitas deve manter um comitê de segurança da informação e proteção de dados pessoais.
    2. O comitê de segurança da informação e proteção de dados pessoais é responsável pela definição e aplicação das políticas de proteção de dados pessoais da empresa.
    3. O encarregado de dados será apoiado em suas funções pelo Comitê de Segurança da Informação e Proteção de Dados.
  3. O grupo de trabalho em proteção dados pessoais.
    1. A Horizon Servitas deve manter um grupo de trabalho em proteção de dados pessoais com representantes diretos de todos os setores que tratam dados pessoais.
    2. O grupo de trabalho em proteção de dados pessoais é responsável pela manutenção do Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    3. O encarregado de dados será apoiado em suas funções pelo Grupo de Trabalho em Proteção de Dados.
  4. Registro de Operações de Tratamento de Dados Pessoais - ROPA.
    1. A Horizon Servitas deve manter um Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    2. O Registro de Operações de Tratamento de Dados Pessoais (ROPA) deve conter, juntamente com as finalidades por setor, os tipos de dados tratados, os recursos envolvidos e a base legal associada.
    3. A responsabilidade da Horizon Servitas pelo tratamento de dados pessoais, sendo controlador ou operador, deve constar no Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    4. O Registro de Operações de Tratamento de Dados Pessoais (ROPA) deve conter uma relação dos demais agentes de tratamento de dados (operadores e controladores) com os quais a Horizon Servitas realiza o compartilhamento de dados pessoais, incluindo a existência de transferência internacional.

2.2. Controles de Gestão da Privacidade

  1. Programa de Governança em Segurança da Informação e Privacidade.
    1. A Horizon Servitas deve manter um programa contínuo e atualizado de Governança em Segurança da Informação e Privacidade de Dados.
    2. Planos de Ação em Segurança da Informação e Privacidade de Dados;
      • Comitê de Segurança da Informação e Proteção de Dados;
      • ROPA - Registro de Operações de Tratamento de Dados Pessoais;
      • Gestão de Riscos em Segurança da Informação e Privacidade;
      • Política de Segurança da Informação;
      • Política de Proteção de Dados;
      • Política de Classificação da Informação;
      • Planos de Resposta à Incidentes de Segurança da Informação;
      • Política de Segurança de Fornecedores e Prestadores de Serviço;
      • Planos de Ação em Segurança da Informação e Privacidade de Dados;
      • Auditorias internas e externas de segurança da informação e privacidade;
    3. Os elementos acima citados devem estar devidamente definidos na Política de Segurança da Informação da Horizon Servitas ou documentos relacionados.

2.3. Controles de Técnicos de Privacidade

  1. Controles técnicos/tecnológicos de segurança da informação.
    1. A Horizon Servitas deve manter uma política de tecnologia da informação que contemple controles tecnológicos de segurança da informação.
    2. Os controles técnicos/tecnológicos devem estar descritos ao longo do ciclo de vida dos dados na Política de Tecnologia da Informação ou documentos relacionados.
    3. Os controles de criptografia utilizados pela empresa devem estar formalizados na Política de Tecnologia da Informação ou documentos relacionados.
  2. Controles de privacidade por projeto e privacidade por padrão.
    1. Em todos os projetos, sistemas e recursos da Horizon Servitas a privacidade deve ser sempre definida e configurada por padrão.
    2. Projetos de negócio, produtos ou serviços da Horizon Servitas devem ser avaliados sob um checklist de requisitos de privacidade antes de serem efetivados à estrutura da organização.
    3. Sistemas de informação e ferramentas de infraestrutura de tecnologia da informação devem ser avaliadas sob um checklist de requisitos de privacidade antes de serem incorporadas à estrutura da Horizon Servitas.

2.4. Atendimento de Solicitações em Privacidade

  1. Elaboração de Relatórios de Privacidade.
    1. Para atendimento do direito de Confirmação de Tratamento de Dados, a Horizon Servitas deve elaborar e manter um relatório padrão de tratamento de dados pessoas, o qual demonstra o tratamento realizados durante o ciclo de vida dos dados de titulares.
    2. A Horizon Servitas deve elaborar e manter um relatório padrão de impacto à proteção de dados (DPIA), o qual será extraído a partir da análise de risco de segurança da informação e privacidade.
  2. Portal de Privacidade de Dados.
    1. A Horizon Servitas deve manter um portal de publicações sobre informações de privacidade de dados.
    2. As informações sobre encarregado de dados e suas atribuições devem constar no portal de privacidade de dados.
    3. O tratamento de dados de crianças e adolescentes deve estar publicado e atualizado no portal de publicações de privacidade.
    4. Deve ser publicado no portal a possibilidade de o titular solicitar a relação de finalidades de legítimo interesse aplicadas ao tratamento de seus dados pessoais.
    5. Os canais de comunicação para atendimento de solicitações relacionadas com a privacidade de dados devem estar publicados no portal de privacidade de dados.
  3. Atendimento ao Titular de Dados.
    1. Os colaboradores de atendimento direto à clientes e ao público em geral devem ser treinados sobre o encaminhamento de solicitações de privacidade para o canal adequado de atendimento.
    2. As solicitações de relatório de tratamento de dados pessoais devem ser devidamente registradas e priorizadas para atendimento imediato, conforme disponibilidades técnicas e humanas da empresa.
    3. As solicitações de adequação/correção de dados devem ser devidamente registradas e priorizadas para atendimento imediato, conforme disponibilidades técnicas e humanas da empresa.
    4. As solicitações de exclusão e respectiva eliminação de dados devem ser devidamente registradas e priorizadas para atendimento imediato, conforme disponibilidades técnicas e humanas da empresa.

3. Proteção de Ciclo de Vida de Dados

3.1. Proteção de Dados na Fase de Coleta

  1. Diretrizes gerais para coleta de dados.
    1. Nenhuma coleta de dados pessoais poderá ser realizada na Horizon Servitas sem que a respectiva finalidade esteja devidamente registrada no Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    2. A Horizon Servitas deve coletar estritamente os dados necessários para o cumprimento das finalidades registradas.
    3. Para fins de rastreabilidade, as finalidades de coleta de dados físicas e lógicas devem gerar registro de entrada (logs) dos dados na empresa.
    4. A coleta de dados sensíveis digitais deve ser feita através de meios protegidos por criptografia ou senha de acesso.
    5. Toda coleta de dados de crianças e adolescentes deverá ser realizada juntamente com obtenção de consentimento específico dos responsáveis legais.
  2. Coleta de dados na forma de controlador.
    1. Toda coleta de dados na forma de controlador deve ser realizada apenas quando formalmente associada a uma base legal prevista em lei.
    2. No caso de coleta de dados por cumprimento de contrato a finalidade específica de tratamento deve constar claramente no contrato.
    3. No caso de coleta de dados por consentimento a finalidade específica de tratamento deve constar claramente no consentimento, juntamente com as informações para revogação do mesmo.
  3. Coleta de dados na forma de operador.
    1. Nas situações de coleta em que a Horizon Servitas for operadora dos dados pessoais, deve-se estabelecer contrato com o controlador dos dados pessoais.
    2. Caso a Horizon Servitas seja operador(a) dos dados pessoais, o respectivo controlador deve ser informado de todos os compartilhamentos registrados (ROPA) que envolvam seus dados.
    3. A responsabilidade das partes, como controlador e operador, deve estar claramente definida em contrato ou em documento complementar.
    4. O contrato com o controlador dos dados deve definir as finalidades de tratamento dos dados possíveis à Horizon Servitas.

3.2. Proteção de Dados na Fase de Armazenamento

  1. Diretrizes gerais para o armazenamento de dados.
    1. Todos os recursos de armazenamento de dados pessoais da Horizon Servitas devem estar devidamente registrados no Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    2. Dados pessoais em posse da Horizon Servitas devem ser armazenados somente em ambientes físicos e/ou lógicos gerenciados pela empresa ou por prestadores de serviços devidamente contratados.
    3. Os ambientes de armazenamento suportados pelo controle de criptografia devem estar devidamente documentados.
    4. O armazenamento físicos e lógicos de dados sensíveis deve possuir controles de segurança extras. Ex. criptografia.
    5. Devem ser armazenados apenas os dados estritamente necessários ao cumprimento das finalidades registradas.
    6. Os dados devem ser armazenados apenas pelo período de tempo estritamente necessário ao cumprimento das finalidades registradas.
  2. Armazenamento de dados pessoais no exterior.
    1. Caso ocorra armazenamento de dados pessoais em ambiente próprio da empresa, no exterior, deve-se observar todos os requisitos desta política também neste ambiente.
  3. Armazenamento de dados anonimizados.
    1. As situações de tratamento anonimizado devem estar devidamente registradas no Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    2. Nas situações de tratamento anonimizado, deve existir laudo técnico do setor de tecnologia da informação que comprove a irreversibilidade dos dados anonimizados.
  4. Tempo de retenção de dados pessoais.
    1. Nos casos de cumprimento de contrato e consentimento, o tempo de retenção é o tempo de vigência dos respectivos contratos e consentimentos.
    2. Nos casos de cumprimento de obrigação legal, o tempo de retenção é o respectivo tempo de vigência da obrigação legal.
    3. Nos casos de exercício regular de direitos, o tempo de retenção é o respectivo tempo de vigência do exercício do direito.
    4. Para as demais bases legais não citadas nesta seção, o tempo de retenção dos dados pessoais deve ser definido no Registro de Operações de Tratamento de Dados Pessoais (ROPA).

3.3. Proteção de Dados na Fase de Acesso

  1. Diretrizes gerais para o acesso de dados.
    1. Nenhum acesso a dados pessoais poderá ser realizado na Horizon Servitas sem que a respectiva finalidade esteja devidamente registrada no Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    2. Todo acesso aos dados pessoais deve ser suportado pelos controles de autenticação e controles de acesso, devidamente definidos na política de segurança da informação.
    3. O acesso de dados suportados pelo controle de criptografia (canal seguro) deve estar devidamente documentado.
    4. Para fins de rastreabilidade, os acessos a dados pessoais físicos e lógicos devem gerar registro de acesso (logs) conforme a criticidade das informações acessadas, principalmente no caso de dados sensíveis.
    5. Opções de exportação de dados em sistemas de informação, como por exemplo exportação de planilhas e arquivos, devem possuir logs específicos.
  2. Acesso para finalidades de legítimo interesse.
    1. Todas as finalidades que envolvam legítimo interesse serão submetidas a uma Avaliação de Legítimo Interesse (LIA). As avaliações de LIA serão posteriormente encaminhadas para revisão e deliberação do Comitê de Segurança da Informação e Privacidade.
    2. Na aprovação pelo Comitê de Segurança da Informação e Proteção de Dados deve constar a justificativa para a finalidade de legítimo interesse.
  3. Acesso específico para a área da saúde.
    1. É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

3.4. Proteção de dados na Fase de Compartilhamento

  1. Diretrizes gerais para o compartilhamento de dados.
    1. Nenhum compartilhamento de dados pessoais poderá ser realizado na Horizon Servitas sem que o mesmo esteja devidamente registrado no Registro de Operações de Tratamento de Dados Pessoais (ROPA).
    2. O compartilhamento de dados pessoais ocorrerá somente com agentes de tratamento devidamente contratados.
    3. Será compartilhado apenas os dados pessoais estritamente necessários para o cumprimento do contrato estabelecido com o operador.
    4. A correção de dados internos a Horizon Servitas deve ser repassada a todas as entidades compartilhadas, de modo registrado e formal.
    5. A eliminação de dados internos a Horizon Servitas deve ser repassada a todas as entidades compartilhadas, de modo registrado e formal.
    6. Para fins de rastreabilidade, os compartilhamentos de dados pessoais devem gerar registro de compartilhamento (logs).
  2. Instruções de proteção de dados ao operador.
    1. Para todos os compartilhamentos realizados, a da Horizon Servitas fará a notificação formal de instruções de proteção de dados ao operador.
    2. A cada prazo de 12 meses, a Horizon Servitas fará a solicitação de evidências de proteção de dados junto aos operadores de dados.
    3. As evidências de proteção de dados de operadores serão analisadas pelo Comitê de Segurança da Informação e Proteção de Dados que fará a emissão de um parecer em relação à privacidade de cada operador.
    4. Novas contratações de fornecedores somente devem ocorrer após a avaliação do cumprimento de requisitos de privacidade e proteção de dados.
  3. Compartilhamento na área da saúde.
    1. É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses previstas em lei.
  4. Transferência internacional de dados.
    1. Nos casos de transferência internacional identificados no Registro de Operações (ROPA), deve-se anexar ao contrato do operador evidência de lei compatível com a proteção de dados ou cláusulas específicas que abordem a proteção de dados pessoais.
    2. Para os casos em que não ocorre transferência internacional o contrato com o operador deve possuir cláusula que explicite o tratamento dos dados dentro do território nacional.

3.5. Proteção de Dados na Fase de Eliminação

  1. Diretrizes gerais para a eliminação de dados.
    1. Ao término de uma finalidade, quando a base legal não for mais aplicável, os dados pessoais envolvidos devem ser eliminados, anonimizados ou associados a uma nova finalidade.
    2. Caso a eliminação seja motivada por solicitação explícita do titular, deve-se registrar evidência formal de tal solicitação antes da eliminação dos dados.
    3. Nas situações de anonimização dos dados, evidenciar a irreversibilidade dos mesmos.
    4. Para fins de rastreabilidade, as operações de eliminação de dados pessoais, sejam físicas ou lógicas, devem gerar registro de eliminação (logs).

4. Incidentes de Proteção de Dados

4.1. Registro de Incidentes de Proteção de Dados

  1. Diretrizes gerais de tratamento de incidentes.
    1. O tratamento de incidentes de proteção de dados segue as definições da Política de Segurança da Informação.
    2. A comunicação de incidente de proteção de dados à ANPD e ao titular deve ser realizada o mais breve possível a partir do momento da análise e constatação do incidente, não excedendo o prazo máximo de dois dias úteis.
    3. Nos casos em que a Horizon Servitas for operadora dos dados pessoais, o comunicado deve ser realizado ao respectivo Controlador também o mais breve possível, com prazo máximo de 72 horas.

4.2. Tratamento de Incidentes de Proteção de Dados

  1. Diretrizes gerais de tratamento de incidentes.
    1. O tratamento de incidentes de proteção de dados segue as definições da Política de Segurança da Informação.
    2. A comunicação de incidente de proteção de dados à ANPD e ao titular deve ser realizada o mais breve possível a partir do momento da análise e constatação do incidente, não excedendo o prazo máximo de dois dias úteis.
    3. Nos casos em que a Horizon Servitas for operadora dos dados pessoais, o comunicado deve ser realizado ao respectivo Controlador também o mais breve possível, com prazo máximo de 72 horas.

Fale com a gente!