Política de Privacidade da Anvisa

Política de Privacidade da Anvisa

A Política de Privacidade tem o objetivo de esclarecer e informar aos titulares de dados pessoais que acessam o sítio eletrônico e os serviços digitais da Anvisa como seus dados pessoais são tratados, em conformidade com o disposto no art. 6º, inciso VI, art. 9º e Capítulo III da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD).

1. Definições

Para melhor compreensão deste documento, nesta Política de Privacidade, consideram-se:

2. Base legal para tratamento de dados pessoais

A Agência Nacional de Vigilância Sanitária (Anvisa) é uma autarquia sob regime especial, que tem sede e foro no Distrito Federal, e está presente em todo o território nacional por meio das coordenações de portos, aeroportos, fronteiras e recintos alfandegados.

Executamos nossas atividades de acordo com as atribuições previstas na Lei nº 9.782, de 26 de janeiro 1999.

Quanto às hipóteses de tratamento de dados pessoais (artigo 7º, LGPD), em geral, na Anvisa são utilizadas aquelas que dizem respeito ao cumprimento de obrigação legal ou regulatória pelo controlador (inciso II) e relativo ao tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (inciso III).

Conforme o serviço a ser prestado na Anvisa, em menor escala, serão utilizadas as hipóteses que baseiam no consentimento do titular (inciso I), na realização de estudos por órgão de pesquisa (inciso IV) e na a tutela da saúde em procedimentos realizados pela Agência, como autoridade sanitária (inciso VIII).

O tratamento de dados pessoais de crianças e de adolescentes realizado pela Agência é feito no melhor interesse daqueles, nos termos da legislação pertinente.

A Anvisa se compromete a cumprir as normas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD) e a respeitar os princípios dispostos no art. 6º:

I. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

3. Controlador

A quem competem as decisões referentes ao tratamento de dados pessoais (Controlador)?

A Lei Geral de Proteção de Dados Pessoais define como controlador, em seu Art. 5º, inciso VI, a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Para os serviços realizados, as decisões referentes ao tratamento de dados pessoais competem à:

Agência Nacional de Vigilância Sanitária
Endereço: SIA - Setor de Indústria e Abastecimento, Trecho 5, área especial 57, Brasília - DF.
Telefone: 0800 642 9782

4. Operador

Quem realiza o tratamento de dados pessoais (Operador)?

A Lei Geral de Proteção de Dados Pessoais define como operador, em seu Art. 5º, inciso VII, a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

A depender do serviço a ser prestado pela Anvisa, o tratamento dos dados coletados pode ser realizado por servidores, colaboradores internos e externos ou empresas contratadas para sua execução:

Nome: SPASSU TECNOLOGIA E SERVIÇO S.A
Endereço: Av. Princesa Isabel, 629, Ed. Vitória Center, Centro, Vitória/ES, CEP: 29.010- 904
Telefone: (27) 2123-4900 

Nome: CENTRAL IT TECNOLOGIA DA INFORMACAO S/A
Endereço: SHN QD 02 BL F N° 87 SLS 1713 A1726 s/n, Asa Norte, Brasília-DF, CEP: 70.702-060
Telefone: (61) 3030-4000

Nome: HITSS DO BRASIL SERVIÇOS TECNOLÓGICOS LTDA.
Endereço: Av. Pres. Vargas, 1012 – 8º Andar Centro, Rio de Janeiro – RJ, CEP: 20.071-910
Telefone: (27) 99309-3653 

Nome: TEL CENTRO DE CONTATOS LTDA
Endereço: Avenida Deputado Francisco José Pinto dos Santos, 391C, Pedra do Descanso, Feira de Santana – BA, CEP: 44007-095
Telefone: (75) 3322-4317 

Nome: DEFENDER CONSERVAÇÃO E LIMPEZA EIRELI
Endereço: SIA Trecho 17 Via IA 4, Lote 495, Zona Industrial, Brasília-DF, CEP 71.200-260
Telefone: (61) 3301-7219

Nome: R7 FACILITIES - MANUTENCAO E SERVICOS LTDA.
Endereço: SIA Trecho 17 Rua 14 Prédio 170, Zona Industrial, Brasília-DF, CEP 71.200-240
Telefone: (61) 3142-0377

Obs.: A lista apresentada não é exaustiva e segue em atualização à medida que o inventário de dados pessoais é atualizado.

5. Encarregado

Quem é o responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (Encarregado)?

A Lei Geral de Proteção de Dados Pessoais define como encarregado, em seu Art. 5º, inciso VIII, a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

As informações de contato do encarregado encontram-se disponíveis em nosso sítio na internet, clicando aqui.

6. Direitos do Titular de Dados Pessoais

Quais são os direitos do titular de dados pessoais?

O titular de dados pessoais possui os seguintes direitos, conferidos pela Lei Geral de Proteção de Dados Pessoais (LGPD):

• Direito de confirmação e acesso (Art. 18, incisos I e II): é o direito do titular de dados de obter do serviço a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de acessar os seus dados pessoais.
• Direito de retificação (Art. 18, inciso III): é o direito de solicitar a correção de dados incompletos, inexatos ou desatualizados.
• Direito à limitação do tratamento dos dados (Art. 18, inciso IV): é o direito do titular de dados de limitar o tratamento de seus dados pessoais, podendo exigir a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei Geral de Proteção de Dados Pessoais.
• Direito de oposição (Art. 18, § 2º): é o direito do titular de dados de, a qualquer momento, opor-se ao tratamento de dados por motivos relacionados com a sua situação particular, com fundamento em uma das hipóteses de dispensa de consentimento ou em caso de descumprimento ao disposto na Lei Geral de Proteção de Dados Pessoais.
• Direito de portabilidade dos dados (Art. 18, inciso V): é o direito do titular de dados de realizar a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
• Direito de não ser submetido a decisões automatizadas (Art. 20): o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

7. Quais Dados São Tratados

A Anvisa coleta dados que consideramos indispensáveis para o desempenho de nossas atividades, tais como os da lista abaixo, não exaustiva:

• Nome completo;
• Endereço;
• E-mail;
• Numeração do documento oficial com foto;
• Telefone fixo residencial;
• Número de celular;
• RG (Número da Carteira de Identidade);
• CPF;
• CNPJ;
• MEI;
• Data de nascimento;
• Certidão de nascimento;
• Certidão de casamento;
• Certificado de reservista;
• Número de registro em conselho profissional;
• Número do passaporte;
• Cargo.

8. Como os dados são coletados

Em geral, coletamos seus dados pessoais quando você utiliza nossos serviços preenchendo formulários eletrônicos ou manuais da Anvisa e por meio de documentos encaminhados em conjunto.

Também coletamos seus dados quando você, participa de consultas públicas, estudos e pesquisas, eventos e quando realiza buscas e demais interações nos nossos serviços.

Alguns dos seus dados podem ser coletados de banco de dados de sistemas de outros órgãos ou entidades da Administração Pública, como Ministério da Saúde, Receita Federal, entre outros.

9. Qual o Tratamento Realizado e para Qual Finalidade

A Lei Geral de Proteção de Dados Pessoais define tratamento como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O tratamento dos seus dados pessoais é realizado ao oferecermos serviços públicos que possam ser de seu interesse, com o objetivo de cumprimento das competências institucionais da Anvisa.

De acordo com o art. 7° da Lei n° 9782, de 26 de janeiro de 1999, constituem áreas de competência da Anvisa:

- conceder registros de produtos, segundo as normas de sua área de atuação;

- conceder e cancelar o certificado de cumprimento de boas práticas de fabricação;

 - anuir com a importação e exportação dos produtos mencionados no art. 8º da referida Lei;

- autorizar o funcionamento de empresas de fabricação, distribuição e importação dos produtos mencionados no art. 8° da referida Lei e de comercialização de medicamentos;

- administrar e arrecadar a taxa de fiscalização de vigilância sanitária, instituída pelo art. 23 da referida Lei.

- fomentar e realizar estudos e pesquisas no âmbito de suas atribuições;

- estabelecer normas e padrões sobre limites de contaminantes, resíduos tóxicos, desinfetantes, metais pesados e outros que envolvam risco à saúde;

- autuar e aplicar as penalidades previstas em lei.

Demais competências e atribuições da Agência podem ser consultadas aqui.

10. Compartilhamento de Dados

Os dados pessoais do usuário poderão ser compartilhados com as seguintes instituições:

Secretarias de Saúde dos Estados/DF e municípios, Ministério da Saúde, CNPQ, Fiocruz, USP, UNB, ENAP, Receita Federal, Polícia Federal, Correios.

Os dados pessoais poderão ser compartilhados também com órgãos de controle em casos de auditoria externa, por decisão judicial ou solicitação do Ministério Público.

A Anvisa também compartilha dados pessoais do usuário com outras instituições quando a manifestação de Ouvidoria não é de competência da Agência, após pedido de consentimento. Caso não haja o consentimento, há o encaminhamento da denúncia com a identificação protegida.

Maiores detalhes sobre o compartilhamento de dados por parte da Anvisa estarão constantes no Inventário de Dados Pessoais.

11. Transferência Internacional de Dados

A Agência realiza transferência de dados com organismos e entidades internacionais.

Há transferência de dados com autoridades sanitárias internacionais com acordos de cooperação que preveem o sigilo das informações (para os serviços de emissão de Certificado de boas práticas de distribuição, CBPF para produtos de indústria internacional e monitoramento pós-mercado de medicamentos e produtos).

Ocorre ainda a transferência internacional de dados no âmbito de projetos realizados por meio de organizações tais como OPAS (Organização Pan-Americana de Saúde), PNUD (Programa das Nações Unidas para o Desenvolvimento) e UNESCO (Organização das Nações Unidas para a Educação, a Ciência e a Cultura).

 12. Segurança dos Dados

A Anvisa se compromete a aplicar as medidas técnicas e organizativas aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, alteração, comunicação ou difusão de tais dados.

Para a garantia da segurança, serão adotadas soluções que levem em consideração: as técnicas adequadas; os custos de aplicação; a natureza, o âmbito, o contexto e as finalidades do tratamento; e os riscos para os direitos e liberdades do usuário.

O serviço utiliza criptografia SSL em seus sistemas para que os dados sejam transmitidos de forma segura, de maneira que a transmissão dos dados entre o servidor e o usuário, e em retroalimentação, ocorra de maneira totalmente cifrada ou encriptada.

No entanto, a Agência se exime de responsabilidade por culpa exclusiva de terceiros, como em caso de ataque de hackers ou crackers, ou culpa exclusiva do usuário, como no caso em que ele mesmo transfere seus dados a terceiro. A Agência se compromete, ainda, a comunicar o usuário em prazo adequado caso ocorra algum tipo de violação da segurança de seus dados pessoais que possa lhe causar um alto risco para seus direitos e liberdades pessoais.

A violação de dados pessoais é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Por fim, a Anvisa se compromete a tratar os dados pessoais do usuário com confidencialidade, dentro dos limites legais.

13. Cookies

Cookies são pequenos arquivos de texto enviados pelo site ao computador do usuário e que nele ficam armazenados, com informações relacionadas à navegação do site.

Por meio dos cookies, pequenas quantidades de informação são armazenadas pelo navegador do usuário para que o servidor do serviço possa lê-las posteriormente. Podem ser armazenados, por exemplo, dados sobre o dispositivo utilizado pelo usuário, bem como seu local e horário de acesso ao site.

É importante ressaltar que nem todo cookie contém dados pessoais do usuário, já que determinados tipos de cookies podem ser utilizados somente para que o serviço funcione corretamente.

As informações eventualmente armazenadas em cookies também são consideradas dados pessoais. Todas as regras previstas nesta Política de Privacidade também são aplicáveis aos referidos cookies.

14. Tratamento Posterior dos Dados para Outras Finalidades

A Lei Geral de Proteção de Dados Pessoais permite o tratamento posterior dos dados pessoais, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na Lei.  

Os dados pessoais podem ser utilizados para a melhoria contínua dos serviços e aprimoramento da experiência do usuário no âmbito da Anvisa.

Dados anonimizados poderão ser utilizados futuramente para geração de estatísticas, de forma a melhorar os procedimentos dos serviços disponibilizados pela Agência. Também podem ser utilizados para fins de pesquisa por órgãos especializados no assunto. Podem, igualmente, ser utilizados de maneira agregada para divulgação de informações através de meios de comunicação, e em publicações científicas e educacionais.

15. Mudanças na Política de Privacidade

A presente versão (v001) desta Política de Privacidade foi atualizada pela última vez em 07/06/2024.

O editor se reserva o direito de modificar, a qualquer momento o site as presentes normas, especialmente para adaptá-las às evoluções dos serviços da Anvisa, seja pela disponibilização de novas funcionalidades, seja pela supressão ou modificação daquelas já existentes.

Esta Política de Privacidade deve ser revisada e atualizada no máximo a cada 2 (dois) anos.