1. Política de Privacidade 

A DOCTOR MEDICAL RD LTDA deve manter uma Política de Privacidade acessível e clara para seus usuários, clientes e colaboradores. Esta política deve abordar as práticas de coleta, armazenamento, tratamento e compartilhamento de dados pessoais, além de como os titulares dos dados podem exercer seus direitos. Evidência: A Política de Privacidade deve estar visível no site da empresa (www.rdmedonline.com.br) e ser revisada periodicamente, garantindo que esteja sempre atualizada com as práticas de tratamento de dados. 

2. Contratos e Termos de Consentimento 

A empresa deve garantir que todos os contratos, termos de uso e consentimentos obtidos de clientes ou usuários para o tratamento de dados pessoais sejam claros, objetivos e específicos. O termo de consentimento deve detalhar as finalidades para as quais os dados serão usados, o tempo de retenção dos dados e os direitos dos titulares. Evidência: Exemplares dos contratos de prestação de serviços, termos de consentimento e formulários de coleta de dados, todos com cláusulas específicas sobre a LGPD e o tratamento de dados pessoais. 

3. Mapeamento e Registro de Atividades de Tratamento de Dados 

A empresa deve manter um mapa de todas as atividades de tratamento de dados pessoais, detalhando os processos nos quais dados são coletados, armazenados, utilizados e compartilhados. Esse mapeamento deve ser atualizado constantemente e deve incluir todas as áreas que lidam com dados pessoais, como marketing, vendas, atendimento ao cliente e recursos humanos. Evidência: Relatórios ou documentos que detalham as atividades de tratamento de dados pessoais, como Registro de Atividades de Tratamento de Dados, com as finalidades, bases legais, prazos de retenção e medidas de segurança adotadas. 

4. Treinamento e Capacitação de Colaboradores 

A empresa deve oferecer treinamentos regulares para todos os colaboradores que lidam com dados pessoais, garantindo que eles estejam cientes de suas responsabilidades no cumprimento da LGPD. Isso inclui a conscientização sobre como proteger dados pessoais e sobre o que fazer em caso de incidentes de segurança. Evidência: Relatórios de Treinamentos realizados, listas de presença e conteúdos ministrados (como materiais educativos sobre a LGPD). Além disso, os registros de treinamentos realizados por áreas específicas, como TI, atendimento ao cliente e marketing, podem ser mantidos.

5. Implementação de Medidas de Segurança da Informação 

A DOCTOR MEDICAL RD LTDA deve adotar medidas de segurança técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, alteração, destruição ou qualquer outra forma de tratamento inadequado. Isso pode incluir o uso de criptografia, autenticação multifatorial, políticas de controle de acesso, entre outras. Evidência: Relatórios de Auditoria de Segurança, registros de testes de segurança e políticas internas de segurança da informação, incluindo as Normas de Controle de Acesso aos dados pessoais, políticas de backup e procedimentos de recuperação de dados em caso de incidentes de segurança. 

6. Análise de Impacto sobre a Proteção de Dados (DPIA) 

A empresa deve realizar Análises de Impacto sobre a Proteção de Dados (DPIA) sempre que realizar atividades de tratamento de dados pessoais que possam representar um risco elevado aos direitos e liberdades dos titulares dos dados. Isso inclui o uso de novas tecnologias, a criação de novos processos ou a manipulação de grandes volumes de dados sensíveis. Evidência: Relatório de Análise de Impacto de Proteção de Dados (DPIA), demonstrando como a empresa avaliou os riscos do tratamento de dados e quais medidas foram adotadas para mitigar os impactos negativos. 

7. Acesso ao Encarregado de Proteção de Dados (DPO) 

A empresa deve garantir que os titulares dos dados possam facilmente entrar em contato com o Encarregado de Proteção de Dados (DPO), caso tenham dúvidas ou queiram exercer seus direitos sob a LGPD, como solicitar acesso, correção ou exclusão dos seus dados pessoais. Evidência: A presença de um canal de contato direto com o DPO (como um e-mail específico: doctormedicalrd@hotmail.com) e informações sobre como os titulares podem exercer seus direitos na Política de Privacidade da empresa. 

8. Incidentes de Segurança e Relatório de Conformidade 

Caso a empresa sofra um incidente de segurança envolvendo dados pessoais, a empresa deve ter procedimentos claros para notificar os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas, conforme exigido pela LGPD. A empresa também deve manter um relatório de conformidade documentando como o incidente foi tratado e as ações corretivas tomadas. Evidência: Relatórios de Incidentes de Segurança, registros de notificações feitas à ANPD e aos titulares dos dados, e as ações corretivas ou mitigadoras que foram implementadas para evitar futuros incidentes. 

9. Política de Retenção de Dados 

A empresa deve estabelecer e manter uma política de retenção de dados que defina claramente por quanto tempo os dados pessoais serão armazenados, com base nas finalidades do tratamento. Os dados devem ser descartados ou anonimizados quando não forem mais necessários para os fins originais. Evidência: Documentos internos que descrevem a política de retenção de dados e os processos de descarte seguro ou anonimização de dados, com os prazos de retenção e as bases legais para o armazenamento dos dados. 

10. Consentimento e Revogação do Consentimento 

Quando a empresa utiliza o consentimento como base legal para o tratamento de dados pessoais, ela deve manter um registro claro e acessível do consentimento expresso dado pelos titulares e permitir que os mesmos possam revogar este consentimento a qualquer momento. Evidência: Registros de consentimento, incluindo data e hora do consentimento, informações detalhadas sobre os dados coletados e as finalidades, além de mecanismos claros e fáceis para a revogação do consentimento como o link para cancelar a assinatura ou a coleta de dados.