Grupo Unimed-Rio Norma

Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00

Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

1 – OBJETIVO
Este documento tem por finalidade determinar a forma de atuação em caso de ocorrência de incidentes de
privacidade envolvendo dados pessoais tratados pela Unimed - Rio.

2 – CAMPO DE APLICAÇÃO
Este documento destina-se a todas as empresas do Grupo Unimed-Rio e demais partes interessadas.

3 – REFERÊNCIAS
 POL.002 - Segurança da Informação

 POL.001 - Política de Privacidade Interna Unimed-Rio

 Código de Ética e Conduta

 Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018).

4 – CONCEITOS
LGPD: Lei Federal nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais.

Dados Pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável (“TITULAR ou
TITULAR DOS DADOS”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou
indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de
identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da
identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular;

Tratamento: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de
dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a
eliminação ou a destruição;

Titular dos dados: pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento;

Controlador: parte a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente
relativas às finalidades e aos meios de tratamento de dados pessoais;

Operador: parte que trata dados pessoais de acordo com as instruções do Controlador;

Página 1 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

Encarregado de Dados: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação
entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

Incidente de Privacidade: qualquer ação, proposital ou acidental que possa permitir o acesso não autorizado ou
causar a destruição, perda, alteração, comunicação, difusão, concretizando ou gerando potencialidade à quebra
de confidencialidade, integridade e disponibilidade de uma informação pessoal.

Medidas de Segurança: medidas, técnicas ou organizacionais aptas a garantir a integridade e a confidencialidade

dos dados pessoais contra a ocorrência de incidentes.

Autoridade Nacional de Proteção De Dados: Órgão pertencente à administração pública federal, responsável
pela fiscalização do cumprimento das disposições da LGPD.

Quebra De Confidencialidade. O processo no qual um ou mais dados pessoais de um ou mais titulares sejam
divulgados, revelados ou disponibilizados a qualquer pessoa, ou grupo de pessoas, sem a devida autorização.
Quebra De Integridade. Processo no qual o conteúdo e precisão (validade) dos dados pessoais ao longo do seu
ciclo de vida (coleta, uso, armazenamento, compartilhamento e exclusão) estão comprometidos. Em outras
palavras, a informação não está correta e é apresentada incorretamente para quem a consulta.
Quebra De Disponibilidade. O comprometimento dos meios de acesso à informação pessoal, sempre que
necessário para quem precisa utilizá-la.

Página 2 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

5 – INDICADORES DE DESEMPENHO E SLA

 Não se aplica.

6 – DIRETRIZES
É responsabilidade de todos os colaboradores conhecer as políticas que se aplicam a seu trabalho. Medidas
disciplinares podem ser aplicadas a qualquer colaborador que violar nosso Código de Ética, a legislação aplicável
ou políticas e procedimentos da empresa.
Um Incidente de Segurança Envolvendo Dados Pessoais (“Incidentes”) é a potencial quebra da confidencialidade,
integridade e disponibilidade de uma informação pessoal tratada pela Unimed- Rio.
As respostas dos incidentes na Unimed – Rio devem passar pelas seguintes fases:

Detecção Classificação Engajamento Resposta

do Time
Identificação Classificar o Acionar os Executar as
da nível de colaboradore ações
Ocorrência criticidade s necessárias
de um do incidente participantes para
incidente. e quais do time de responder
participantes resposta. eficientement
do time de e ao incidente.
respostas
devem ser
engajados.

Página 3 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

A Unimed – Rio classifica como incidentes de violação de dados pessoais:

 Perda de um laptop com dados pessoais de colaboradores ou clientes, sem estar criptografado.

 Envio de um e-mail contendo uma lista de dados pessoais de clientes ou colaboradores para o
destinatário errado.
 Arquivos de currículo de candidatos a uma vaga expostos em um diretório aberto na internet, com acesso
sem necessidade de identificação (usuário e senha).
 Extração de dados pessoais de servidores da empresa por um terceiro, utilizando de falhas técnicas e
engenharia social (“ataque hacker”).
 Exposição e disponibilização indevida de dados pessoais, por meios físicos ou digitais, para um número
indeterminado de pessoas, no Brasil ou em qualquer país;
 Negação de serviço ocasionada por incidente no qual o acesso (lógico ou físico) a um sistema que
armazene Dados Pessoais seja prejudicado ou impossibilitado, de forma que a integridade dos Dados
Pessoais (existência e/ou veracidade) seja comprometida permanentemente, dada a indisponibilidade do
acesso;
 Acesso (lógico ou físico) tentado ou obtido a um sistema que possua Dados Pessoais cuja autorização para
conexão, leitura, gravação, autenticação, modificação, eliminação ou criação não tenha sido concedida; e
 Uso inapropriado de dados pessoais ensejando a violação das políticas relacionadas a tratamento de
dados pessoais, e que possa acarretar risco ou dano relevante aos titulares.

6.1 - REPORTE DE POSSÍVEIS INCIDENTES DE VIOLAÇÃO DE DADOS PESSOAIS

Qualquer colaborador da Unimed - Rio que tenha conhecimento ou suspeita de que uma violação de dados
pessoais tenha ocorrido deverá reportar a situação com o máximo de detalhes possível, garantida a proteção de
sua identidade, para o e-mail privacidade@unimed-rio.com.br.
Qualquer omissão quanto à comunicação de ocorrências será entendida, igualmente, como um descumprimento
das regras estabelecidas nas políticas e procedimentos internos, bem como nesta norma de Respostas A
Incidentes De Privacidade De Dados Pessoais.

O Encarregado de Dados será responsável por monitorar os canais internos e fazer a análise inicial dos reportes
recebidos, de forma imediata. E se identificada a ocorrência de incidente, deve-se informar os terceiros que
possuam obrigações contratuais de mútua cooperação.

Página 4 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

Contratos com terceiros que possuam cláusula referente à necessidade de notificação quanto a situações de
incidentes, por esta ou aquela parte, devem prever canais como pontos para reporte dos incidentes, sem prejuízo
de outras responsabilidades que poderão ser previstas, considerando as obrigações contratuais.

6.2 MONITORAMENTO ATIVO

A Área de Segurança da Informação deverá conduzir monitoramento preventivo mensalmente, cujas definições
estão prescritas na POL.002- Política de Segurança da Informação, bem como em procedimentos relacionados à
Área técnica.

6.3. ANÁLISE PRELIMINAR DO INCIDENTE

Caso o reporte inicial não contenha subsídios suficientes para que o Encarregado de Dados possa analisar a
existência destes indícios, mais informações deverão ser solicitadas ao informante.
Não havendo a existência de indícios razoáveis de que o incidente ocorreu, o reporte poderá ser descartado.
Em caso de confirmação do incidente, porém sem o envolvimento de dados pessoais, o envolvimento do
Encarregado de dados será facultativo.

6.4 CLASSIFICAÇÃO DO INCIDENTE

Havendo constatação de que o incidente envolvendo dados pessoais ocorreu, o Encarregado de Dados deverá
determinar qual sua classificação dos incidentes.

Tabela 01: Classificação do Incidente

O impacto do Incidente deve ser aferido da seguinte forma:
Alto
Volume de Dados Pessoais Expostos

Alta Gravidade Alta Gravidade Alta Gravidade

Médio

Média Gravidade Alta Gravidade Alta Gravidade

Baixo

Baixa Gravidade Média Gravidade Média Gravidade

Baixa Média Alta

Página 5 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

Sensibilidade dos Dados Pessoais afetados

VOLUME DE DADOS PESSOAIS EXPOSTOS SENSIBILIDADE DOS DADOS PESSOAIS AFETADOS

Criticidade Descrição Criticidade Descrição

Dados Pessoais de crianças ou adolescentes, Dados

Volume de Dados Pessoais afetado
Alto Alta Pessoais Dados Sensíveis ou que possam gerar
superior a 2% da base de dados
discriminação ao titular; dados bancários, de
controlada pela Empresa
pagamento ou de proteção ao crédito
Dados Pessoais imediatamente identificáveis (e.g.
Volume de Dados Pessoais afetado
Médio Média nome, e-mail, CPF), combinados ou não com
inferior a 0,5% e superior a 2% da base de
informações comportamentais (e.g. histórico de
dados controlada pela Empresa
atividades, preferências etc.)
Dados anonimizados, Dados Pessoais pseudonimizados
Volume de Dados Pessoais afetado
Baixo Baixa (desde que a chave de desanonimização também não
inferior a 0,5% da base de dados
tenha sido comprometida), Dados Pessoais de difícil
controlada pela Empresa
identificação (e.g. IP)

Para a classificação do incidente, deve ser considerada a classificação e o volume dos dados afetados,
observando-se os seguintes conceitos:

Tabela 02: classificação dos dados pessoais

Classificação dos Dados Pessoais Descrição

Quaisquer informações relativas a uma pessoa singular identificada ou identificável, e
Simples
que não esteja classificada abaixo como dados financeiros e/ou comportamentais.

Dados pessoais que que remetam ou revelem qualquer aspecto da vida financeira do
Financeiros titular. Exemplos: número de conta, cartão de crédito, código verificador, renda,
salário, benefícios.
Dados pessoais que demonstrem ou revelem o comportamento do titular. Exemplos:
Comportamentais dados de localização, consumo, hábitos, preferências, endereço IP, cookies, logs de
conexão, logs de acesso.
Dados Pessoais sobre origem racial, étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
Sensíveis
referente à saúde, ou à vida sexual, dado genético ou biométrico, quando vinculados
a uma pessoa natural.

Como referencial à classificação quanto ao risco ou dano ao titular, o Encarregado de Dados deve valer-se,
também, dos critérios presentes no Anexo III - do Procedimento de Relatório de Impacto à Proteção de Dados
Pessoais, considerando como risco ou dano Irrelevante os definidos naquele documento como “Negligenciável”, e
os demais (“Limitado”, “Considerável” e “Alto”) como Relevante.

Página 6 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

6.5 ENVOLVIMENTO DO TIME DE RESPOSTA

Os gestores das áreas abaixo, sejam integrantes ou não do Comitê de Privacidade, devem ser envolvidos
conforme regras determinadas nesta norma. Além das situações previstas abaixo, o Encarregado de Dados
poderá definir a necessidade de atuação destas áreas ou de qualquer outra área da empresa, além dos
integrantes do time de resposta aqui estabelecidos.

Ainda, é responsabilidade do Encarregado de Dados acionar os participantes do time de resposta, devendo

manter um controle com os nomes destes profissionais e diversos meios de contato como e-mail, telefone
celular, aplicativos de mensagem instantânea etc.

É possível o envolvimento dos participantes do time de resposta em momentos anteriores a esta etapa, como
definido em suas atribuições correspondentes ou quando entender pertinente o Encarregado de Dados.

Para situações nas quais não seja possível acionar o participante titular do time de resposta, será definido
suplente que exercerá suas atribuições, ambos identificados no Anexo I deste procedimento.

6.6. NOTIFICAÇÃO
A comunicação da ocorrência de um incidente será obrigatória nos casos em que o incidente seja classificado
como de gravidade média ou alta, e o impacto às informações envolvidas puder gerar riscos ou danos relevantes
aos Titulares dos Dados (conforme item 6.4, tabela 01).

O Encarregado de Dados deverá listar, além da classificação dos dados pessoais, quais os possíveis riscos e danos
que os titulares impactados pelo incidente poderão sofrer e indicar se há o entendimento de que estes são
relevantes, considerando os parâmetros dispostos no Anexo III - Relatório de Impacto à Proteção de Dados
Pessoais. Tanto a listagem dos riscos e danos quanto sua decisão sobre a relevância dos mesmos devem ser
evidenciados, possibilitando sua auditoria e checagem, quando e se necessário.

Entendido que os riscos e danos aos titulares são relevantes, será necessário notificá-los, além da a Autoridade
Nacional de Proteção de Dados. Estas notificações devem conter, no mínimo, as seguintes informações:

 Descrição da natureza dos dados afetados (sensíveis ou não);

 Informações sobre os titulares impactados (envolvendo clientes/parceiros/funcionários);

Página 7 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

 A indicação de medidas técnicas e de segurança utilizadas para a proteção dos dados impactados,
observados os segredos comercial e industrial;
 Os riscos relacionados ao incidente;
 Os motivos da demora do envio da notificação, caso a comunicação não tenha sido imediata ao
conhecimento do incidente;
 As medidas adotadas pela empresa para reverter ou mitigar os efeitos do prejuízo.
 As eventuais medidas que possam ser tomadas pelos próprios titulares dos Dados Pessoais afetados para
mitigar riscos; e
 Os canais de contato para sanar dúvidas.

Identificada a viabilidade de tentativa de conciliação com os titulares, deverá ser comunicada, igualmente, a
Autoridade Nacional de Proteção de Dados.

A notificação deve ser enviada tão logo se tenha informações confiáveis sobre o incidente, capazes de abordar os
tópicos mencionados acima.

6.7. MEDIDAS PÓS-INCIDENTE

Encerrada a resposta ao incidente, o Encarregado de Dados deverá elaborar um relatório, com o auxílio do time

de resposta, destinado à apresentação no Comitê de Privacidade e ao Comitê Executivo, indicando:

 O canal pelo qual se conheceu o incidente.

 A causa raiz do incidente.
 Medidas adotadas para resposta ao incidente.
 Pontos do plano de resposta que não funcionaram adequadamente e medidas a serem adotadas para
introduzir melhorias.
 Tempo de reação entre a descoberta do incidente e o início do gerenciamento do incidente.
 Se houve notificações e comunicações sobre o incidente e para quais pessoas ou instituições.
 Impacto financeiro, operacional e estimativa de impacto reputacional do incidente para a empresa .

6.8 INTEGRANTES DO TIME DE RESPOSTA A INCIDENTES DE PRIVACIDADE E SUPLENTES

Encarregado de Dados: Januária Sá Barreto Lopes Contato:

Página 8 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

privacidade@unimedrio.com.br
Suplente do Encarregado Contato:

Em situações nas quais seja necessário o acionamento do time de respostas, o Encarregado de Dados, ou aquele
sob a responsabilidade de suas atribuições, deverá contatar os seguintes colaboradores da Unimed-Rio:

Jurídico Contato:
Suplente Jurídico Contato:
Comunicação e Marketing Contato:
Suplente Comunicação e Marketing Contato:
Gente e Gestão Contato:
Suplente Gente e Gestão Contato:
Área de Regulação Contato:
Suplente Área de Regulação Contato:
Superintendente Geral Contato:
Suplente Superintendente Geral Contato:

Caso não seja possível o acionamento dos membros acima indicados, deverá ser envolvido no plano de resposta
integrante das respectivas áreas, disponíveis no momento, que tenham maior senioridade na empresa.

7. RESPONSABILIDADES
Possuem responsabilidades mencionadas neste documento:

Área de Compliance, Auditoria e Riscos/Privacidade/Segurança da Informação, Gente e Gestão, Jurídico,

Comunicação e Marketing, Área de Regulação e Superintendência Geral.

7.1. Encarregado de Dados

Envolvimento: O Encarregado de Dados deve ser envolvido e coordenar as atividades de resposta em todos os
incidentes que envolvam dados pessoais, independentemente de sua criticidade.

Papéis e responsabilidades:
 Receber e Analisar Reportes de Incidentes.
 Determinar se há Indícios suficientes da existência do incidente, o envolvimento de dados pessoais, e
acionar o plano de resposta.
 Definir medidas mitigadoras preliminares.
 Manter as evidências de todos os passos adotados para resposta ao incidente.
 Classificar o nível de criticidade do incidente e risco ou danos aos titulares envolvidos.

Página 9 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

 Avaliar todas os posicionamentos públicos sobre o incidente.

 Determinar quando o incidente deve ou não ser reportado aos titulares e/ou à ANPD, observando-se o
item 6.6 deste documento.
 Analisar Viabilidade E Definir Estratégia De Conciliação Com Titulares Em Caso De Vazamentos Ou Acessos
Não Autorizados.
 Contratar Assessoria Externa Para Apoio, Se Necessário.
 Avaliar Todas As Comunicações E Notificações Que Serão Feitas, Tanto Para Autoridades, Judiciário E
Órgãos Reguladores Quanto Para Clientes, Colaboradores, Imprensa Etc.
 Contratar Assessoria Externa Para Apoiar Em Questões Técnicas, Se Necessário.

7.2. Jurídico

Envolvimento: todos os incidentes, inclusive desde o momento de conhecimento quanto ao incidente,

especialmente aqueles que exijam a notificação dos titulares dos dados e da Autoridade Nacional de Proteção de
Dados (vide abaixo), de criticidade média e alta.

Papéis e responsabilidades:
 Auxiliar na elaboração das notificações para ANPD e titulares dos dados.
 Auxiliar na revisão de posicionamentos públicos sobre o incidente, tanto para imprensa e mercado
quanto para comunicações internas.
 Identificar obrigações contratuais e regulatórias de reporte sobre o incidente para ou por terceiros, para
órgãos reguladores/governamentais (que não a ANPD), além de elaborar e enviar as respectivas
notificações.
 Auxiliar na condução do processo de investigação do incidente, visando garantir a validade legal deste
procedimento e das evidências produzidas.
 Contratar assessoria externa jurídica, quando necessário, para apoiar na resposta ao incidente.

7.3. Gente e Gestão

Envolvimento: todos os incidentes que envolvam dados pessoais de colaboradores.

Papéis e responsabilidades:

 Identificar impacto do incidente no relacionamento com os colaboradores e processos de RH.

Página 10 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

 Auxiliar na elaboração e divulgação das comunicações internas.

7.4. Comunicação e Marketing

Envolvimento: todos os incidentes, inclusive desde o momento de conhecimento quanto ao incidente, que
envolvam a divulgação midiática, dados pessoais de clientes e/ou que seja necessária a notificação para os
titulares dos dados e para a ANPD.

Papéis e responsabilidades:

 Identificar, com auxílio do Encarregado e Departamento Jurídico, a necessidade de pronta

comunicação sobre o incidente.
 Definir qual será o “tom” institucional das comunicações realizadas ao mercado e aos titulares dos
dados.
 Definir o posicionamento oficial perante a imprensa, alinhado com as demais frentes de
comunicação.

 Centralizar a comunicação da empresa com veículos de imprensa

7.5. Área de Regulação

Envolvimento: todos os incidentes cuja comunicação do incidente para ANS - Agência Nacional de Saúde seja
necessária.

Papéis e responsabilidades:
 Definir o posicionamento oficial perante a ANS, alinhado com as demais frentes de comunicação.

7.6. Superintendência Geral

Envolvimento: todos os incidentes de criticidade média e alta, que resultam em comunicação para os titulares de
dados pessoais ou ANPD.

Papéis e responsabilidades:

 Definir o tom da empresa em como o incidente será comunicado em todas as frentes necessárias.
 Atuar como porta-voz da empresa sobre o incidente, quando necessário.
 Auxiliar na tomada de decisões de contratação de terceiros e/ou serviços e que necessitem de maior
alçada de decisão pelo valor ou urgência necessários.

Página 11 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

8- ANEXOS
 Anexo 01: Formulário Para Comunicação de Incidentes À Autoridade Nacional De Proteção De Dados

 Anexo 02: Termo de Comunicação de Incidentes Aos Titulares de Dados Pessoais

 Anexo 03: Anexo III: Relatório de Impacto à Proteção de Dados Pessoais

9- APROVAÇÕES
Elaborado por:
 Área de Compliance, Auditoria e Riscos – Januária Lopes

Verificado por:
 Área de Tecnologia da Informação - Paulo Macedo

 Área de Regulação – Eduardo Seraphico

 Assessor Jurídico - Rodrigo Valderez

 Área de Comunicação e Marketing – Rafael Oliveira

 Área de Segurança da Informação - Victor Souza

 Área de Gente e Gestão – Alessandra Cabral

 Gerência Corporativa de Operações– João Gomes

Aprovado por:
 Diretoria Médica – Drª Denise Durão

• Diretoria Administrativa –Drª Katia Bello

• Superintendência Geral – Mario Salomão

10- CONTROLE DE ALTERAÇÕES

Descrição da Última Revisão Revisão
Emissão Inicial. 00

Página 12 de 13
 Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX

Página 13 de 13