Política de privacidade

ENDOCARD CLINICA MEDICA D. B. F. LTDA.

1. INTRODUÇÃO.

O presente documento traduz a política de privacidade de dados da empresa ENDOCARD CLINICA MEDICA D.B.F. LTDA, pessoa jurídica de direito privado, inscrita sob o CNPJ CNPJ nº: 03.255.292/0001-00, domiciliada na Av John Fitzgerald Kennedy, 991, Jd. das Nações, Taubaté – SP, que está comprometida com a proteção de dados de todos com quem se relaciona, sejam pacientes, profissionais, prestadores, fornecedores, terceiros e demais pessoas. Essa política apresenta, de forma objetiva e clara, como os dados são tratados e protegidos, sendo sua elaboração, definição, revisão e aplicação realizada para além da Lei 13.709 de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

O objetivo desta Política é de definir e divulgar as regras de tratamento de dados pessoais, em consonância com a legislação aplicável e com os regulamentos e orientações das entidades e órgãos competentes.

As disposições desta Política se referem a dados pessoais contidos em qualquer suporte, seja físico ou eletrônico.

Este documento serve como diretriz mínima a ser observada pela instituição no tratamento de dados, sendo recomendada a leitura por todos que com esta se relacionem.

2. GLOSSÁRIO.

Para o correto entendimento do presente documento, considera-se:

· Dado pessoal: informação relacionada a pessoa natural identificada  ou identificável;

· Dado pessoal sensível: dado pessoal sobre origem racial ou étnica,  convicção   religiosa,   opinião   política,   filiação   a   sindicato   ou   a  organização de caráter religioso, filosófico ou político, dado referente à  saúde ou à vida sexual, dado genético ou biométrico, quando vinculado  a uma pessoa natural;

· Dado anonimizado: dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

· Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

· Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

· Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

· Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

· Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

· Agentes de tratamento: o controlador e o operador;

· Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,  acesso, reprodução, transmissão, distribuição, processamento,  arquivamento, armazenamento, eliminação, avaliação ou controle da  informação, modificação, comunicação,   transferência, difusão ou  extração;

· Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

· Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

· Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

· Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

· Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

·Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

· Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional;

· Base legal: critério estabelecido pela LGPD para descrever em quais  situações o tratamento de dados é permitido sem necessidade de  consentimento do usuário;

· Finalidade:   realização   do   tratamento   para   propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de  tratamento posterior de forma incompatível com essas finalidades;

· Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

· Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

· Disponibilidade: propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada;

· Confidencialidade: propriedade de que as informações não são disponibilizadas ou divulgadas a indivíduos, entidades ou processos não autorizados.

3.   DA ENCARREGADA DE TRATAMENTO DE DADOS PESSOAIS.

Nos termos do disposto na LGPD, a controladora ENDOCARD indica como encarregada pelo tratamento de dados pessoais a sócia: JULIANA CRISTINA REZENDE FORTES, que pode ser contactada através do formulário de Contato LGDPbem como por meio de atendimento na sede da empresa através de horário marcado para esta finalidade, conforme disponibilidade de atendimento pela encarregada.

4.   DO TRATAMENTO DE DADOS.

Os dados tratados pela empresa são:

· Catalogados e sistematizados através de mapeamento onde se verifica quais dados são tratados e a metodologia utilizada no tratamento, bem como o responsável pelo tratamento;

· Protegidos por procedimentos internos padronizados, elaborados por equipes técnicas e aprovados pelos sócios administradores;

· Mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva;

· Compartilhados apenas com controladores e operadores somente para o exercício das funções primordiais da empresa e ou para atendimento de disposições legais, sendo regra a confidencialidade dos dados; e

· Revistos em periodicidade mínima trienal, sendo de imediato eliminados aqueles que já não forem necessários, por terem cumprido sua finalidade ou por ter se encerrado o seu prazo de retenção.

A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara e simples, com concisão, transparência, inteligibilidade e acessibilidade, na forma da lei.

A responsabilidade da empresa pelo tratamento de dados pessoais estará circunscrita ao dever de se ater ao exercício de suas atividades regulamentas e de empregar boas práticas de governança e de segurança.

4.1. Do tratamento de dados de pacientes.

O tratamento de dados pessoais de pacientes pela empresa é realizado para o atendimento de sua finalidade de empresa prestadora de serviços na área da saúde, na persecução do interesse médico, com pauta no princípio do máximo zelo e da atenção integral ao indivíduo, com o objetivo de executar suas competências legais e a prestação de serviço de forma técnica, atualizada, ética e eficiente.

As normas legais, Regimento Interno da instituição e demais normas emanadas pelas entidades e órgãos competentes (CFM, COFEN, Ministério da Saúde, ANS e outros) definem as funções e atividades que constituem as finalidades e balizadores do tratamento de dados pessoais para fins desta Política.

Em atendimento a suas competências legais, com fulcro, principalmente, no  artigo 7º, incisos, II, VIII e IX, da Lei Geral de Proteção de Dados, a instituição poderá, no estrito limite de suas atividades, tratar dados pessoais com dispensa de obtenção de consentimento pelos respectivos titulares. Eventuais atividades que  transcendam o escopo da prestação de serviços de saúde, cumprimento de dever legal ou regulatório, ou o legítimo interesse da empresa, estarão sujeitas à obtenção de consentimento dos interessados.

Tendo em vista que a atividade de prestação de serviços na área da saúde importa, obrigatoriamente no tratamento de dados pessoais sensíveis, com observação dos princípios apontados acima, dos princípios expostos na LGPD e das disposições normativas, os dados sensíveis serão tratados com base no artigo 11,  inciso II, alíneas “a” e “f”, da Lei Geral de Proteção de Dados. Eventuais atividades que transcendam o escopo da prestação de serviços de saúde, cumprimento de dever legal ou regulatório, ou o legítimo interesse da empresa, estarão sujeitas à obtenção de consentimento dos interessados.

4.2. Do tratamento de dados de prestadores, funcionários e demais pessoas.

Os dados de prestadores e funcionários serão tratados com base em legítimo interesse da instituição, sempre pautando o tratamento com observação do artigo 7º,  incisos II e IX, da Lei Geral de Proteção de Dados, em especial os dados de empregados sob o regime previsto na CLT.

O tratamento de dados de fornecedores, prestadores e demais pessoas que não se enquadrem nas possibilidades de dispensa de consentimento somente serão tratados após coleta deste de forma escrita e inequívoca. Sendo a obtenção do consentimento elemento essencial de qualquer negócio celebrado entre a empresa e o titular de dados na hipótese em comento.

4.3. Dos direitos dos titulares de dados.

Considerando o disposto na LGPD, bem como as atividades desempenhadas pela empresa e a sua necessidade de atendimento à outras normas, os titulares de dados possuem como direitos básicos em relação aos dados tratados:

· Confirmação da existência de tratamento;

· Acesso aos dados;

· Correção de dados incompletos, inexatos ou desatualizados;

· Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Política ou na LGPD;

· Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no tópico abaixo;

· Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

· Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

· Canal de comunicação com a empresa para tratar sobre seus dados, e

· Revogação do consentimento.

4.4. Da eliminação de dados.

Considerando o disposto no artigo 16 da Lei Geral de Proteção de Dados, em especial o contido nos incisos I e IV, os dados de pacientes somente serão eliminados quando a eliminação for de interesse da empresa, observado o prazo mínimo do disposto na Resolução CFM 2218/2018 e Lei 13.787/2018. Sendo que em situações excepcionais os dados poderão ser mantidos por prazo maior que o previsto nas normas mencionadas.

Os dados de empregados, prestadores, fornecedores e demais pessoas somente serão eliminados passados 10 anos desde o encerramento do vínculo entre empresa e titulares. Poderá a empresa, com fulcro no inciso IV do artigo 16 da LGPD manter os dados que detém.

Para segurança dos titulares de dados que serão eliminados, no processo de eliminação serão adotadas medidas estabelecidas em protocolos de segurança elaborados por equipes técnicas e aprovados pela administração da empresa.

Antes da eliminação será tentada a comunicação do titular com prazo mínimo de 6 meses antes da eliminação. A comunicação será realizada através dos contatos fornecidos pelo titular, não tendo a empresa obrigação de diligenciar em caso de alterações de contatos não informados pelos titulares de dados.

5. DOS AGENTES DE TRATAMENTO.

A empresa é a controladora dos dados por ela tratados, nos termos das suas competências legais e institucionais.

A empresa pode, a qualquer tempo, requisitar informações acerca dos dados pessoais confiados a seus, fornecedores, prestadores de serviços, operadores externos e demais pessoas com quem mantenha negócios que importem no tratamento de dados, particularmente no caso de serviços de Tecnologia da Informação e Comunicação (TIC).

Os prestadores de serviço e funcionários, principalmente os da área de Tecnologia da Informação e Comunicação, serão considerados operadores e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão, mas não se limitarão aos seguintes:

· Assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais;

· Apresentar evidências e garantias suficientes de que aplica adequado conjunto de medidas técnicas e administrativas de segurança para a proteção dos dados pessoais, segundo a legislação, normas regulatórias, os instrumentos contratuais e de compromissos;

· Manter os registros de tratamento de dados pessoais que realizar, com condições de rastreabilidade e de prova a qualquer tempo;

· Seguir fielmente as diretrizes e instruções transmitidas pela empresa;

· Facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade respectiva e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo tal compromisso estar disponível em caráter permanente para exibição a empresa quando solicitado;

· Permitir a realização de auditorias, incluindo inspeções da empresa ou de auditor independente, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;

· Auxiliar, em toda providência que estiver ao seu alcance, no atendimento pela empresa de obrigações perante Titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;

· Comunicar formalmente e de imediato a empresa a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a Titular de dados, evitando atrasos por conta de verificações ou inspeções;

· Descartar de forma irrecuperável, ou devolver para a empresa, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual.

Considerando os aditivos contratuais fornecidos por operadoras de planos de saúde, estas são consideradas, nos termos da lei, como controladoras de dados. Dessa forma, como controladoras, possuem todas as obrigações decorrentes da LGPD, assim como alguns direitos em relação aos dados que controla. Todavia, não podem interferir no tratamento de dados relacionados pela empresa quando esse não estiver em desacordo com as normas vigentes e não estiverem expostos à riscos e ameaças ou incidentes de segurança.

Em todo processo que envolva o compartilhamento de dados entre controladores e operadores serão observados padrões e protocolos de segurança previamente estabelecidos. No caso de troca de informações entre agentes de saúde suplementar será observado o padrão TISS determinado pela ANS.

6. DOS DADOS TRATADOS ATRAVÉS DO SÍTIO ELETRÔNICO E REDE SEM FIO DA EMPRESA.

Os dados coletados pelo site podem ser eliminados periodicamente por meio de protocolos previamente estabelecidos e conforme interessa da empresa.

Também é disponibilizada política de privacidade e termo de uso específico para uso do sítio eletrônico. A versão contida no site é um resumo da presente Política.

A empresa também possui rede wi-fi, sendo que o acesso é permitido para todos que se encontrem no interior do estabelecimento.

Através do uso da rede wi-fi são coletados dados dos usuários, sendo a coleta limitada ao IP do usuário.

Os dados coletados através do wi-fi são eliminados periodicamente, com periodicidade de 6 meses.

7. DA SEGURANÇA E BOAS PRÁTICAS.

A ENDOCARD dispõe de protocolos de segurança de dados que especifica e determina a adoção de um conjunto de medidas técnicas e administrativas de segurança para a proteção de dados contra acessos não autorizados e situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.

Embora a empresa recorra à organização interna e à assessoria externa realizada por equipe multidisciplinar que segue padrões e critérios nacionais geralmente aceitos, tal precaução não implica em garantia contra a possibilidade de incidentes de segurança ou de violação da proteção de dados pessoais, haja vista, sobretudo, a contínua diversificação dos riscos cibernéticos.

Os protocolos de segurança dos dados, elaborados por equipe técnica e aprovados pela direção da empresa, objetiva assegurar que os ativos, possuídos ou custodiados, sejam utilizados e protegidos de forma a garantir sua confidencialidade, integridade e disponibilidade, de acordo com a lei.

Aos operadores, funcionários, fornecedores e terceirizados não é escusável o descumprimento dos protocolos de segurança de dados. A inobservância destas regras acarretará a apuração das responsabilidades conforme disposto no Regimento Interno da instituição e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.

As exceções, omissões e casos imprevistos nos protocolos de segurança devem ser comunicados por que os identifique e avaliados e documentados conjuntamente pela administração da empresa que poderá valer-se de assessoria para solução.

A Política de Privacidade deve ser revista em intervalos planejados não superiores a 12 (doze) meses, a partir da data de sua aprovação pelos sócios da empresa, ou ante a ocorrência de algumas das seguintes condições:

· Edição ou alteração de leis e/ou regulamentos relevantes;

8. DA FISCALIZAÇÃO.

A inobservância da presente Política acarretará a apuração das responsabilidades internas e externas previstas no Regimento Interno da empresa e na legislação em vigor, podendo haver responsabilização penal, civil e administrativa.

Compete à administração da empresa a fiscalização quanto ao cumprimento desta Política dos protocolos de segurança.

A ENDOCARD cooperará com fiscalizações promovidas por terceiros legitimamente interessados, devendo ser observadas as seguintes condições:

· Sejam informadas em tempo hábil;

· Tenham motivação objetiva e razoável;

· Não afetem a proteção de dados pessoais não abrangidos pelo propósito da fiscalização;

· Não causem impacto, dano ou interrupção nos equipamentos, pessoal ou atividades da empresa.