Mastellini
Declaração LGPD | GRUPO MASTELLINI LTDA
Privacidade e proteção de dados

Declaração Pública de Privacidade e Proteção de Dados - LGPD

Documento institucional para publicação no site, com informações gerais sobre governança, segurança da informação e atendimento aos titulares de dados pessoais.

Empresa GRUPO MASTELLINI LTDA
CNPJ 11.082.876/0001-40
Encarregado/DPO Gabriel Toma
Canal LGPD dpo@laboratoriomastellini.com.br

Resumo executivo

O GRUPO MASTELLINI LTDA adota práticas de privacidade, proteção de dados pessoais, segurança da informação e governança para conduzir suas atividades em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Esta página apresenta uma visão pública e geral das diretrizes adotadas pela empresa e informa o canal oficial para contato com o Encarregado pelo Tratamento de Dados Pessoais.

Finalidade informativa: este conteúdo possui finalidade institucional e não substitui contratos, termos específicos, avisos de privacidade aplicáveis a serviços determinados, documentos internos de segurança ou orientações jurídicas individualizadas.

1. Objetivo e escopo

Esta Declaração Pública de Privacidade e Proteção de Dados tem como objetivo informar clientes, pacientes, fornecedores, parceiros, colaboradores e demais titulares de dados sobre as diretrizes gerais adotadas pelo GRUPO MASTELLINI LTDA para o tratamento de dados pessoais, em observância à Lei Geral de Proteção de Dados Pessoais - Lei nº 13.709/2018.

O documento descreve, de forma objetiva, as práticas institucionais relacionadas à coleta, uso, armazenamento, proteção, compartilhamento, retenção e descarte de dados pessoais, bem como os canais disponíveis para exercício de direitos pelos titulares.

As práticas descritas aplicam-se às atividades presenciais e digitais da empresa, incluindo atendimento ao público, relacionamento comercial, execução de serviços, gestão administrativa, sistemas internos, canais eletrônicos, website e demais operações necessárias ao funcionamento da organização.

Compromisso institucional: a empresa se compromete a tratar dados pessoais com boa-fé, transparência, segurança, necessidade, finalidade definida e respeito aos direitos dos titulares.

2. Identificação do controlador e do encarregado

Para os fins da LGPD, o controlador é a pessoa jurídica responsável por tomar decisões sobre o tratamento de dados pessoais no contexto de suas atividades. A empresa abaixo identificada atua como controladora dos dados pessoais tratados em suas operações, salvo situações específicas em que possa atuar como operadora, conforme contrato ou obrigação aplicável.

Controlador
GRUPO MASTELLINI LTDA
CNPJ
11.082.876/0001-40
Encarregado/DPO
Gabriel Toma
E-mail oficial do DPO
dpo@laboratoriomastellini.com.br
Versão
1.0 - 27 de maio de 2026

O Encarregado pelo Tratamento de Dados Pessoais, também conhecido como DPO, é o canal de comunicação entre a empresa, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados - ANPD, observadas as atribuições previstas na legislação aplicável.

3. Dados pessoais tratados e finalidades

A empresa pode tratar dados pessoais de acordo com a finalidade da relação mantida com o titular, respeitando a necessidade, a adequação e a minimização de dados. Entre as categorias que podem ser tratadas, conforme o caso, estão:

  • Dados de identificação: nome, documento, data de nascimento, assinatura e demais informações cadastrais necessárias.
  • Dados de contato: telefone, e-mail, endereço e outros meios de comunicação informados pelo titular.
  • Dados de atendimento e relacionamento: protocolos, histórico de contato, solicitações, autorizações e registros necessários à prestação de serviços.
  • Dados de saúde ou dados sensíveis: quando aplicáveis aos serviços prestados e estritamente necessários para a finalidade contratada, obrigação legal, proteção da vida, tutela da saúde ou demais hipóteses permitidas pela LGPD.
  • Dados de navegação e uso de sistemas: endereço IP, logs de acesso, cookies necessários, registros de autenticação, data, hora e informações técnicas para segurança e funcionamento dos canais digitais.
  • Dados administrativos, financeiros, fiscais e contratuais: informações necessárias para faturamento, cobrança, emissão de documentos, cumprimento de obrigações legais e gestão da relação comercial.

Finalidades de tratamento

As finalidades de tratamento podem incluir atendimento ao cliente, execução de serviços, cumprimento de obrigações legais e regulatórias, comunicação com titulares, prevenção a fraudes, segurança da informação, auditoria, gestão interna, proteção de direitos e melhoria contínua dos processos e canais de atendimento.

Bases legais de tratamento

O tratamento de dados pessoais é realizado com fundamento nas hipóteses legais previstas na LGPD, conforme a natureza do dado e a finalidade do tratamento. Entre as bases legais que podem ser utilizadas pela empresa estão: execução de contrato ou procedimentos preliminares, cumprimento de obrigação legal ou regulatória, exercício regular de direitos, legítimo interesse, proteção da vida, tutela da saúde e consentimento, quando aplicável.

Quando o consentimento for necessário, a empresa buscará coletá-lo de forma livre, informada e inequívoca, mantendo meios razoáveis de registro e permitindo sua revogação, nos termos da legislação aplicável.

4. Princípios de privacidade adotados

O tratamento de dados pessoais pela empresa observa princípios previstos na LGPD e boas práticas de governança, incluindo:

FinalidadeDados tratados para propósitos legítimos, específicos e informados ao titular.
AdequaçãoTratamento compatível com as finalidades informadas e com o contexto da relação mantida com o titular.
NecessidadeTratamento limitado aos dados necessários para a finalidade pretendida, evitando excessos.
Livre acessoPossibilidade de solicitar informações sobre o tratamento de dados, conforme procedimentos internos e limites legais.
Qualidade dos dadosMedidas razoáveis para manter dados relevantes, atualizados e exatos, conforme a necessidade do tratamento.
TransparênciaInformações sobre práticas de tratamento disponibilizadas de forma clara e acessível.
Segurança e prevençãoMedidas técnicas e administrativas para proteção contra acessos não autorizados, perda, alteração, divulgação indevida ou uso inadequado.
ResponsabilizaçãoControles, registros e medidas compatíveis com as atividades da empresa para demonstrar atuação responsável.

5. Segurança da informação e governança

A empresa adota medidas técnicas, administrativas e organizacionais destinadas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão indevida. As medidas são compatíveis com o porte, natureza das atividades, riscos envolvidos e recursos disponíveis.

De modo geral, as práticas de segurança e governança incluem:

  • Controle de acesso a sistemas, ambientes e informações, com concessão de permissões conforme necessidade de trabalho.
  • Uso de credenciais individuais e mecanismos de autenticação, quando aplicáveis, para reduzir riscos de acesso indevido.
  • Registro de logs e trilhas de auditoria em sistemas e serviços relevantes, conforme viabilidade técnica e necessidade operacional.
  • Segurança de rede, segmentação, monitoramento e proteção de serviços publicados, de acordo com a arquitetura tecnológica da empresa.
  • Rotinas de backup, redundância e restauração para apoio à continuidade operacional e à recuperação de informações.
  • Procedimentos internos para tratamento de incidentes de segurança e privacidade, com avaliação de risco e adoção de providências corretivas.
  • Orientações internas e conscientização de colaboradores sobre sigilo, confidencialidade e boas práticas no uso de dados pessoais.
  • Avaliação de fornecedores e prestadores de serviço que tratam dados pessoais em nome da empresa, com exigência de responsabilidade, sigilo e proteção adequada.
Observação sobre segurança: nenhum ambiente tecnológico é totalmente imune a riscos. Por isso, a empresa mantém postura contínua de melhoria, revisão de controles, correção de vulnerabilidades e resposta a eventos de segurança.

6. Compartilhamento com terceiros e operadores

A empresa poderá compartilhar dados pessoais com terceiros somente quando houver finalidade legítima, necessidade operacional, obrigação legal ou autorização aplicável. O compartilhamento poderá ocorrer com fornecedores de tecnologia, hospedagem, suporte, sistemas, auditoria, contabilidade, meios de pagamento, parceiros operacionais, autoridades públicas e demais destinatários necessários à execução dos serviços ou ao cumprimento de obrigações legais.

Quando terceiros atuarem como operadores de dados pessoais, ou seja, tratando dados em nome da empresa, serão adotadas medidas contratuais e administrativas razoáveis para exigir confidencialidade, segurança, uso limitado à finalidade contratada e observância à LGPD.

A empresa não comercializa dados pessoais de clientes ou titulares. Eventuais compartilhamentos ocorrerão para atender finalidades legítimas e compatíveis com a relação mantida com o titular, observadas as normas aplicáveis.

Transferências internacionais

Caso haja uso de soluções tecnológicas, serviços em nuvem, hospedagem, suporte ou ferramentas que envolvam armazenamento ou tratamento fora do Brasil, a empresa adotará medidas para que a transferência internacional de dados pessoais observe as hipóteses legais e salvaguardas aplicáveis previstas na LGPD.

7. Direitos dos titulares de dados

Nos termos da LGPD, o titular de dados pessoais poderá solicitar, conforme aplicável e observados os limites legais:

  • Confirmação da existência de tratamento de seus dados pessoais.
  • Acesso aos dados pessoais tratados pela empresa.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade dos dados, quando aplicável e regulamentada.
  • Informações sobre compartilhamento de dados pessoais com terceiros.
  • Informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando o tratamento depender de consentimento.
  • Revogação do consentimento, quando essa for a base legal utilizada.
  • Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, quando aplicável.

As solicitações serão analisadas considerando a identidade do requerente, a relação existente com a empresa, a segurança das informações, a viabilidade técnica, os prazos aplicáveis e eventuais obrigações legais de retenção ou sigilo.

Como solicitar atendimento LGPD: envie a solicitação para dpo@laboratoriomastellini.com.br, informando nome completo, meio de contato e descrição clara do pedido. Para proteger o titular, a empresa poderá solicitar informações adicionais para confirmação de identidade antes de responder à demanda.

8. Retenção, descarte e gestão de incidentes

Retenção de dados

Os dados pessoais serão mantidos pelo período necessário ao cumprimento das finalidades que justificaram sua coleta, observados prazos legais, regulatórios, contratuais, fiscais, trabalhistas, sanitários, contábeis, de auditoria e de exercício regular de direitos.

Encerrada a finalidade do tratamento e inexistindo obrigação legal, regulatória ou justificativa legítima para retenção, os dados poderão ser eliminados, anonimizados ou arquivados de forma segura, conforme critérios técnicos e procedimentos internos.

Descarte seguro

A empresa busca realizar o descarte de documentos, registros e informações de forma compatível com a sensibilidade dos dados, utilizando procedimentos internos que reduzam o risco de acesso indevido, recuperação não autorizada ou divulgação acidental.

Gestão de incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a empresa avaliará a natureza do evento, os dados envolvidos, os titulares afetados, os riscos, as medidas técnicas e administrativas adotadas e as providências cabíveis. Quando aplicável, poderão ser realizadas comunicações aos titulares e à Autoridade Nacional de Proteção de Dados, conforme exigido pela legislação.

9. Canal de atendimento LGPD e assinatura do DPO

O canal oficial para dúvidas, solicitações, comunicações e exercício de direitos relacionados à LGPD é o e-mail do Encarregado pelo Tratamento de Dados Pessoais informado abaixo:

Canal oficial do Encarregado/DPO

Encarregado/DPO: Gabriel Toma

E-mail: dpo@laboratoriomastellini.com.br

Empresa: GRUPO MASTELLINI LTDA

CNPJ: 11.082.876/0001-40

Assinatura do DPO

Gabriel Toma

Encarregado pelo Tratamento de Dados Pessoais - DPO

dpo@laboratoriomastellini.com.br

GRUPO MASTELLINI LTDA

10. Referências normativas

Este documento foi elaborado com base na Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), nas orientações públicas da Autoridade Nacional de Proteção de Dados - ANPD e em boas práticas de segurança da informação, governança, controle de acesso, gestão de incidentes e proteção da confidencialidade.

Documento aprovado para publicação institucional em 27 de maio de 2026.