Política de Privacidade
1. OBJETIVO
Estabelecer as diretrizes e orientações necessárias para proteção de Dados Pessoais no HOSPITAL ESPECIAL, visando:
- Estar em conformidade com a Lei Geral de Proteção de Dados - LGPD (Lei Federal nº 13.709/2018);
- Proteger os direitos dos Titulares de dados: pacientes, acompanhantes, colaboradores, visitantes, clientes,
parceiros ou fornecedores contra os riscos de violações de Dados Pessoais;
- Transparência com relação aos procedimentos da empresa no tratamento de dados pessoais;
- Promover conscientização para colaboradores em relação à proteção e a privacidade dos Dados Pessoais;
- Adotar processos e regas que assegurem o cumprimento de normas e boas práticas de proteção de dados pessoais.
2. ABRANGÊNCIA
Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores, parceiros, fornecedores e prestadores de serviços do HOSPITAL ESPECIAL.
3. DOCUMENTAÇÃO COMPLEMENTAR
- Lei Federal nº 13.709/2018, conforme alterada;
- Procedimento de Mesa e Tela Limpa;
- Política para Manuseio de Dados Pessoais;
- Plano de Resposta a Incidentes de Violação de Dados.
4. CONCEITOS E SIGLAS
- Anonimização: Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento.
- ANPD: Autoridade Nacional de Proteção de Dados;
- Base Legal: A Lei Geral de Proteção de Dados traz 10 hipóteses em que o tratamento de dados pessoais é possível. O consentimento é uma dessas bases legais, dentre outras.
- Embaixadores: Neste contexto, são colaboradores do HOSPITAL ESPECIAL escolhidos para disseminar a cultura de privacidade e proteção de dados pessoais em suas respectivas áreas;
- Dados Pessoais: Qualquer informação relativa a uma pessoa física identificada ou identificável. É considerada identificável uma pessoa física que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular;
- Dados Sensíveis: Qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico;
- Dados Simples: Exemplos: RG; CPF; endereço; gênero, idade, profissão, ID, nacionalidade, estado civil, data de nascimento;
- Titular: Pessoa física a quem os dados pessoais se referem;
- LGPD: Lei Federal nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais;
- Medidas de Segurança: Medidas, físicas, técnicas e organizacionais aptas a garantir a integridade e a confidencialidade dos dados pessoais contra a ocorrência de incidentes;
- Terceiro: Neste contexto, trata-se de qualquer pessoa jurídica, inclusive aquelas pertencentes a um mesmo grupo econômico, bem como qualquer pessoa física que utilize ou possa utilizar os respectivos dados pessoais com finalidade econômica (“Terceiro(s)”);
- Tratamento: Qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a eliminação ou a destruição;
5. DISPOSIÇÕES GERAIS
Os colaboradores, parceiros, fornecedores e prestadores de serviço do HOSPITAL ESPECIAL são responsáveis por conhecer, compreender e aplicar esta política, bem como todos os documentos complementares relacionados à proteção e privacidade de dados, quando no seu relacionamento com o HOSPITAL ESPECIAL ou desempenho de atividades em seu interesse.
Todas as áreas são responsáveis em adequar seus normativos (políticas, normas e procedimentos) em observância ao tema relacionado à proteção de dados e privacidade, para que as atividades de tratamento de dados pessoais ocorram de maneira correta e nos termos pretendidos pelo HOSPITAL ESPECIAL.
A violação de qualquer uma das políticas de proteção e privacidade de dados pode resultar em consequências graves ao HOSPITAL ESPECIAL, aos colaboradores envolvidos, aos pacientes, visitantes, fornecedores e terceiros que se relacionam com a instituição. Portanto, a falha em cumprir esta Política poderá resultar em ação disciplinar para qualquer colaborador envolvido, bem como apuração de responsabilidade das demais partes.
5.1. Papéis e Responsabilidades
5.1.1. Área de Tecnologia e Segurança da Informação
- Analisar violações e vazamentos de Dados Pessoais bem como efetuar a coleta de evidências técnicas;
- Reportar ao Comitê de Privacidade e Segurança da Informação e ao Encarregado de Proteção de Dados os eventos relacionados a vazamento de Dados Pessoais;
- Implementar e monitorar medidas de segurança para garantir o cumprimento da legislação e da regulamentação aplicáveis;
- Revisar e manter atualizadas políticas, normas e procedimentos relativos à Segurança da Informação;
- Prestar suporte e analisar novas ferramentas e sistemas com foco na exposição de Dados Pessoais;
- Garantir a aplicação das medidas de segurança da informação proporcionais ao risco gerado pelo Tratamento de Dados Pessoais e em linha com a expectativa de proteção do Titular do Dado Pessoal, garantindo a integridade, disponibilidade e confidencialidade destas informações.
5.1.2. Comitê de Privacidade e Segurança da Informação
- Propor a criação de novas políticas internas que se mostrem necessárias, sempre que relacionadas ao tema de privacidade e proteção de dados, ou que se mostrarem imprescindíveis para a conformidade sobre o tema;
- Avaliar, quando provocado, os relatórios de impacto à proteção de dados pessoais e sugerir alterações que sejam necessárias para adequação do risco ao aceitável pelo HOSPITAL ESPECIAL;
- Avaliar, quando provocado, os relatórios de impacto à proteção de dados pessoais e sugerir alterações que sejam necessárias para adequação do risco ao aceitável pelo HOSPITAL ESPECIAL;
- Discutir e endereçar situações relacionadas ao atendimento de direitos de titulares de dados.
5.1.3. Encarregado de Proteção de Dados
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicados da Autoridade Nacional de Proteção de Dados – ANPD e adotar providencias;
- Orientar os colaboradores e os contratados do HOSPITAL ESPECIAL a respeito das práticas a serem tomadas em relação a proteção de dados pessoais;
- Propor a revisão e atualização desta Política;
- Elaborar e manter atualizada políticas, normas e procedimentos relativos à privacidade que estejam na sua competência;
- Efetuar a análise de impacto de privacidade de dados (“Relatório de Impacto à Proteção de Dados”);
- Definir, revisar e atualizar avisos de privacidade;
- Conduzir periodicamente avaliações de maturidade do HOSPITAL ESPECIAL em relação às iniciativas de privacidade, identificando melhorias assim como a sua evolução;
- Acompanhar e apoiar a implementação dos planos de ação para correção de gaps das iniciativas de privacidade;
- Reportar ao Comitê de Privacidade e Segurança da Informação, à Segurança da Informação e à Diretoria os eventos relacionados a vazamento de Dados Pessoais;
- Participar e orientar sob a ótica de privacidade os projetos que envolvam Tratamento de Dados Pessoais a fim de validar a aderência aos requisitos da legislação e da regulamentação aplicáveis.
5.1.4. Embaixadores
- Prestar suporte às áreas com relação à privacidade de dados pessoais a partir de treinamentos e trabalhos de conscientização;
- Facilitar a coleta de evidências sobre a aplicação das regras internas de privacidade e proteção de Dados Pessoais; e disseminar a cultura de privacidade e proteção de Dados Pessoais nas respectivas áreas.
5.1.5. Jurídico
- Assegurar que os contratos que contemplem a cessão ou o Tratamento de Dados Pessoais contenham cláusulas de privacidade adequadas à legislação e regulamentação aplicáveis;
- Prestar apoio jurídico na ocorrência de vazamentos de Dados Pessoais;
- Prestar apoio jurídico na interpretação da legislação e regulamentação relativas à proteção de Dados Pessoais;
- Apoiar na renegociação de contratos/aditivos com fornecedores e clientes que realizam o Tratamento de Dados Pessoais;
- Apoiar o Encarregado de Proteção de Dados nas devolutivas no que se refere aos direitos dos Titulares;
- Apoiar na interface com Autoridades Nacionais de Proteção de Dados.
5.1.6. Colaboradores
- Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
- Cumprir a legislação e regulamentação aplicáveis, bem como as políticas, normas e procedimentos relativos à proteção de Dados Pessoais e aplicação das medidas adequadas de Segurança da Informação;
- Relatar ao Encarregado de Dados e Segurança da Informação a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade;
- Participar das atividades de treinamento em proteção de dados conforme orientado
5.2. Princípios de Proteção de Dados Pessoais
Esta seção descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de Dados Pessoais pelos os colaboradores do HOSPITAL ESPECIAL para atendimento aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis.
5.3. Legalidade e Transparência
O HOSPITAL ESPECIAL trata os Dados Pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis.
Somente são tratados Dados Pessoais quando o propósito/finalidade do tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas:
- Necessidade para a execução de contrato;
- Exigência decorrente de lei ou regulamento ao qual a empresa está sujeita;
- Interesse legítimo pelo tratamento, hipótese na qual tal interesse legítimo será comunicado previamente;
- O exercício regular de direito em processo judicial, administrativo ou arbitral.
Como responsável por realizar a coleta dos dados pessoais, na condição de Controladora dos Dados, caso o tratamento dos dados não se enquadre nas bases legais elencadas acima, o HOSPITAL ESPECIAL deve obter o Consentimento dos Titulares dos Dados para o tratamento e assegurar que este consentimento seja obtido de forma livre, inequívoca informada. Os responsáveis pelas áreas que realizam tratamento dos dados pessoais devem coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, para que a comprovação de Consentimento possa ser fornecida quando necessário.
5.4. Treinamento e Aculturamento
O HOSPITAL ESPECIAL promoverá continua e planejadamente o treinamento e o aculturamento de seus colaboradores, os quais deverão ser organizados pelo Encarregado de Proteção de Dados e visam reforçar os conceitos gerais de privacidade e proteção de dados, notadamente aqueles constantes desta Política, bem como deverá tal treinamento fazer parte do procedimento de integração de novos colaboradores.
5.5. Limitação e Adequação da Finalidade
O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para quais as informações foram coletadas.
5.6. Princípio da Necessidade (Minimização de Dados)
O HOSPITAL ESPECIAL e todos seus colaboradores, parceiros e fornecedores somente podem tratar Dados Pessoais na exata medida em que sejam necessários para atingir propósito específico a que o tratamento se destina, este é o princípio da minimização de dados. O compartilhamento de Dados Pessoais com outras áreas, empresas e terceiros deve considerar este princípio, só podendo ser compartilhados quando tenham a base legal adequada e na exata medida em que sejam necessários ao cumprimento da finalidade originária.
5.7. Exatidão
O HOSPITAL ESPECIAL e todos seus colaboradores, parceiros e fornecedores devem adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser concedido ao Titular do Dado Pessoal a possibilidade de se requerer a exclusão ou correção de dados imprecisos ou desatualizados.
5.8. Retenção e Limitação do Armazenamento de Dados
O HOSPITAL ESPECIAL e todos seus colaboradores devem ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para atender às finalidades pretendidas.
5.9. Responsabilização e Prestação de contas
O HOSPITAL ESPECIAL e todos seus colaboradores são responsáveis e devem demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:
- Garantia de que os titulares dos dados pessoais possam exercer os seus direitos conforme descritos na Seção 5.14 deste Documento;
- Registro de Dados Pessoais, incluindo:
i. Registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a Companhia deve retê-los;
ii. Registro de incidentes de Dados Pessoais e violações de Dados Pessoais;
- Garantia de que os Terceiros que sejam Operadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
- Garantia de que o HOSPITAL ESPECIAL, quando requerido, registre junto à ANPD um Encarregado de Dados;
- Garantia de que o HOSPITAL ESPECIAL esteja cumprindo todas as exigências e solicitações da ANPD.
5.10. Segurança dos Dados Pessoais
O HOSPITAL ESPECIAL está comprometido com a implementação de padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação.
A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não repúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais.
O HOSPITAL ESPECIAL deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade.
5.11. Sigilo dos Dados Pessoais
O HOSPITAL ESPECIAL deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade.
5.12. Privacidade de Dados Pessoais por Concepção e por Padrão (by design and by default)
O HOSPITAL ESPECIAL deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade.
5.13. Compartilhamento de Dados Pessoais Com Terceiros
Os prestadores de serviços terceirizados que tratam Dados Pessoais sob as instruções do HOSPITAL ESPECIAL estão sujeitos às obrigações impostas aos Operadores de acordo com a Lei de proteção de Dados Pessoais aplicáveis. O HOSPITAL ESPECIAL deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Operador de Dados terceirizado adote medidas de segurança, bem como controles físicos, técnicos e organizacionais apropriados para garantir a disponibilidade, integridade, confidencialidade, e consequentemente a segurança dos Dados Pessoais, e especifiquem que o Operador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pelo HOSPITAL ESPECIAL para isto, sendo consultado o setor Jurídico, o Encarregado de Proteção de Dados e o Comitê de Privacidade e Segurança da Informação.
Nos casos em que o prestador de serviços estiver localizado fora do território nacional, medidas adequadas e legais que autorizem tratamento internacional de dados pessoais devem ser adotadas.
5.14. Direitos dos Titulares de Dados Pessoais
- Confirmação da existência de tratamento;
- Acesso aos dados;
- A correção de seus Dados Pessoais se estiverem desatualizados, imprecisos, incorretos ou incompletos;
- A exclusão, bloqueio e/ou anonimização de seus Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com o exposto na legislação. Em caso de solicitação de EXCLUS O, deve-se observar as bases legais para o tratamento do dado em questão, tendo em vista a guarda para cumprimento de obrigação legal ou regulatória pelo HOSPITAL ESPECIAL;
- A exclusão, bloqueio e/ou anonimização de seus Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com o exposto na legislação. Em caso de solicitação de EXCLUS O, deve-se observar as bases legais para o tratamento do dado em questão, tendo em vista a guarda para cumprimento de obrigação legal ou regulatória pelo HOSPITAL ESPECIAL;
- Eliminação dos dados pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas no art. 16 da Lei Geral de Proteção de Dados – LGPD;
- Informações das entidades públicas e privadas com as quais o HOSPITAL ESPECIAL efetuou uso compartilhado de Dados;
- Opor-se ao Tratamento, se o Tratamento for baseado em legítimo interesse;
- A revogação do Consentimento a qualquer momento, se o Tratamento dos Dados Pessoais se basear no Consentimento do Titular para um propósito específico;
- A revisão das decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais;
- A apresentação de queixa ao HOSPITAL ESPECIAL ou à Autoridade Nacional, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado.
5.15. Gerenciamento de Violação de Dados
Todos os incidentes e potenciais violações de dados devem ser reportados ao Encarregado de Proteção de Dados, conforme descrito no Plano de Resposta a Incidentes de Violação de Dados. Todos os colaboradores devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva.
Violações de Dados incluem, mas não se limita a, qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pelo HOSPITAL ESPECIAL.
5.16. Auditoria Interna
O HOSPITAL ESPECIAL deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de Dados Pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.
6. DISPOSIÇÕES GERAIS
Todos os colaboradores do HOSPITAL ESPECIAL devem ser capazes de identificar e documentar o propósito específico (finalidade) pelo qual os dados pessoais são usados e coletados.
6.1. Identificação e Documentação da Finalidade da Coleta e/ou uso de Dados Pessoais
A documentação de registro das operações de coleta e uso de dados pessoais deve ser suficientemente clara e detalhada para ser utilizável como informações necessárias a serem fornecidas ao titular dos dados no caso de requerimento do titular dos dados, e para tanto, devem observar os termos da presente Política.
Em todo tempo, e sempre que julgar necessário, o Encarregado de Proteção de Dados poderá solicitar informações adicionais à área responsável pela coleta e uso dos dados pessoais, especialmente, mas não se limitando, para realização de monitoramento e fiscalização.
7.COLETA DE DADOS PESSOAIS
7.1. Regras Gerais
- A coleta de dados pessoais deverá ser realizada nos termos desta Política e das demais políticas e procedimentos internos relacionados à proteção de dados pessoais;
- A coleta de dados pessoais deverá ser realizada unicamente para o cumprimento de uma finalidade específica e pré-determinada. Não é permitida a coleta de dados para um uso futuro incerto;
- A coleta de dados pessoais deverá ser restrita ao mínimo necessário para cumprimento da finalidade;
- A coleta de dados pessoais deverá ser realizada de fonte lícita e idônea.
7.2. Dados coletados Diretamente de Titulares
O titular dos dados pessoais coletados deverá ser devidamente informado e orientado sobre a atividade de tratamento que o HOSPITAL ESPECIAL pretende realizar. Referida comunicação deverá ser realizada, idealmente, antes da coleta dos dados pessoais, por meio de:
- Avisos de privacidade, e outros meios que garantam a transparência do tratamento;
- Comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.).
7.3. Dados coletados de forma indireta (através de Terceiros)
Comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.).
- Comunicar, sempre que for preciso, a coleta e sua finalidade aos titulares dos dados pessoais;
- Verificar a idoneidade do terceiro que lhe fornece os dados e as medidas adotadas por este para garantir a licitude da coleta e tratamento dos dados pessoais objeto do compartilhamento;
- Adotar cláusulas contratuais específicas que resguardem juridicamente a entidade nos contratos firmados com os terceiros fornecedores dos dados pessoais.
7.4. Uso de Dados Pessoais
O uso de dados pessoais deverá ser realizado em observância à esta Política e às demais políticas e procedimentos internos relacionados à proteção de dados pessoais. Seu uso não poderá ser realizado para atendimento de finalidade diversa da originalmente registrada e informada ao titular destas informações.
O Encarregado pela proteção de dados pessoais deverá ser informado em caso de eventual hipótese de alteração da finalidade do tratamento previamente informada ao titular. Caso a alteração da finalidade seja lícita e necessária, o Encarregado deverá garantir que os titulares dos dados sejam informados sobre tal alteração, o que poderá ocorrer por meio do Aviso de Privacidade, ou outro meio eficaz que garanta a transparência.
7.5. Dados Pessoais Sensíveis
Dados pessoais inseridos em uma das categorias listadas abaixo, ou que por ventura venham a ser apontados pelo encarregado de dados, devem ser considerados dados sensíveis, nos termos da Lei Geral de Proteção de Dados, ou que merecem atenção especial:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato;
- Organização de carácter religioso, filosófico ou político;
- Saúde ou à vida sexual;
- Dado genético ou biométrico;
- Demais dados considerados sensíveis/protegidos.
O Encarregado pela proteção de dados deverá garantir que todos os cuidados necessários sejam observados, em consonância com a Lei 13.709/2018.
7.6. Coleta de Dados Pessoais de Crianças
Em decorrência da vulnerabilidade de indivíduos menores de 12 (doze) anos de idade, o tratamento de suas informações pessoais deverá se dar mediante situações específicas e com cuidados especiais. Nesses casos, a atividade deverá ser conduzida:
- Visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta;
- De forma transparente, de modo que informações destinadas a este público deverão ser prestadas de maneira simples, clara e acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança;
- Ainda, não obstante o cumprimento dos requisitos acima, o tratamento de dados pessoais de crianças necessita da prévia coleta do consentimento específico e em destaque, de pelo menos um dos pais ou responsável legal, mantendo-se públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela legislação de proteção de dados.
Quando do consentimento de responsável legal, este deverá anexar documento comprobatório da respectiva responsabilidade reconhecida pelos órgãos oficiais brasileiros.
Poderão os dados de menores de 12 anos serem coletados sem o consentimento de um dos pais ou seu responsável apenas e tão somente quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.
7.7. Transparência
Para todas as atividades de tratamento de dados pessoais, deve ser apresentado ao Titular um Aviso de Privacidade que traga transparência em relação ao uso de seus dados. Este Aviso de Privacidade deve conter, no geral, as seguintes informações, sobre as atividades de tratamento de dados pessoais:
- A quais atividades de tratamento de dados o Aviso de Privacidade se refere;
- Quais são os dados envolvidos nas respectivas atividades de tratamento e como são coletados, indicando a fonte, quando a coleta ocorrer por meio indireto;
- Finalidade a que as atividades de tratamento pretendem atender;
- Como os dados pessoais estão sendo tratados (por exemplo, uso de algoritmo para criar profile de consumo; uso de processador de planilhas para limpar dados incorretos etc.);
- Por quanto tempo os dados serão tratados e o que ocorre após o término deste prazo;
- Identificação e informações de contato do HOSPITAL ESPECIAL;
- Indicação sobre o compartilhamento dos dados com terceiros, listando o nome destes terceiros e para qual finalidade os dados são compartilhados. Caso a indicação do nome destes terceiros possa comprometer segredo de negócio do HOSPITAL ESPECIAL, deverão ser reveladas categoria, perfil e território do terceiro;
- Indicação de quais são as responsabilidades do controlador e do operador, quando houver, em relação às operações de tratamento em questão;
- Indicação de como o titular pode exercer cada um dos seus direitos;
- Data em que o Aviso de Privacidade foi publicado e das revisões subsequentes;
- Existência de decisões tomadas de maneira automatizada com base nos dados pessoais tratados.
O Aviso de Privacidade pode ser referente à uma única atividade de tratamento de dados ou pode englobar diversas atividades, desde que indique de maneira específica como os dados serão tratados, sendo vedada a apresentação de informações genéricas.
O Aviso de Privacidade deve ser apresentado, quando viável, antes da coleta dos dados pessoais ou, caso contrário, no primeiro momento possível após a coleta.
Ainda, os Avisos de Privacidade podem ser internos, direcionado exclusivamente aos colaboradores do HOSPITAL ESPECIAL ou externos, direcionado ao público externo que é impactado pelas atividades de tratamento de dados como, por exemplo, clientes, visitantes e fornecedores.
A transparência também poderá ser exercida por comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.).
As áreas responsáveis pelas atividades de tratamento devem garantir que qualquer alteração seja refletida nos Avisos de Privacidade.
O Encarregado de Dados deverá garantir que os Avisos de Privacidade sejam revisados periodicamente e que haja rastreabilidade das alterações e versões publicadas, bem como de que o mesmo seja apresentado ao titular do dado de maneira clara, em linguagem acessível e com acesso facilitado.
7.8. Bases Legais para o tratamento de Dados Pessoais
Para que uma atividade de tratamento seja lícita e adequada à LGPD, ela deve ser fundamentada em uma das hipóteses a seguir:
Existência de lei, norma, decisão judicial, convenção coletiva ou regulação vigente, pela qual o tratamento se torna obrigatório (e não opcional). Exemplos:
7.8.1. Cumprimento de Obrigação Legal ou Regulatória
- Manutenção de documentos conforme exigências do Banco Central, ANS e INSS;
- Controle de ponto de colaboradores;
- Guarda de prontuários médico;
- Envio de dados ao E-Social;
- Arquivamento de notas fiscais;
7.8.2. Execução de Contrato ou Procedimento preliminares ao contrato
Quando necessário o tratamento para a execução de contrato ou de procedimentos preliminares relacionados a um contrato, do qual o titular seja parte. Exemplos:
- Prestação de serviços aos clientes/pacientes;
- Atendimento a clientes;
- Recrutamento e seleção;
- Pagamento de colaboradores;
- Fornecimento de benefícios aos colaboradores.
7.8.3. Exercício Regular de Direito
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, em trâmite ou futuro. Exemplos:
- Arquivo de processos judiciais;
- Arquivo de documentos para defesa em processos trabalhistas;
- Procurações para atuação em processos judiciais ou administrativos;
- Documentos de comprovação para obtenção de benefícios fiscais.
Para o tratamento de dados sensíveis, a legislação prevê que o exercício regular de direito também será aplicável no âmbito contratual, quando então poderá fundamentar processos de controle e autorização de procedimentos para pacientes.
7.8.4. Tutela da Saúde
Para o tratamento de dados sensíveis, a legislação prevê que o exercício regular de direito também será aplicável no âmbito contratual, quando então poderá fundamentar processos de controle e autorização de procedimentos para pacientes.
- Atendimento médico;
- Procedimentos de Medicina do Trabalho;
- Procedimentos junto a operadoras de plano de saúde;
- Exames laboratoriais;
7.8.5. Proteção da Vida ou Incolumidade Física
Para garantir a proteção da vida ou incolumidade física do titular ou de terceiros, quando em iminente perigo. Como por exemplo:
- Procedimentos de segurança do trabalho;
- Atendimentos médicos de emergência;
7.8.6. Legítimo interesse
Para garantir a continuidade da atividade econômica/operação dos agentes de tratamento, desde que o titular dos dados tenha expectativa quanto à atividade de tratamento e que seja realizado e documentado procedimento de ponderação quanto à sua aplicação e incluído o processo no Relatório de Impacto à Proteção de Dados. Exemplos:
- Estudos e relatórios internos sobre as atividades do HOSPITAL ESPECIAL;
- Avaliações de desempenho de colaboradores;
- Oferta de serviços adicionais a titulares que já são clientes;
- Auditorias internas.
Embora a Lei Geral de Proteção de Dados Pessoais não elenque explicitamente a prevenção à fraude como uma base para o tratamento de dados pessoais, esta hipótese é abarcada pelo legítimo interesse.
O legítimo interesse não poderá fundamentar o tratamento de dados pessoais reputados como sensíveis.
Para a perfeita utilização do legítimo interesse faz-se necessário que um procedimento de balanceamento seja realizado, de maneira que se verifique os riscos envolvendo a escolha da referida base legal.
7.8.7. Consentimento
Pode ser utilizado para fundamentar qualquer atividade de tratamento, desde que seja livre, informado e inequívoco. Contudo, o tratamento realizado com base unicamente no consentimento fica restrito à vontade do titular, que pode, a qualquer tempo, revogar o consentimento concedido.
BASE LEGAL
|
PERMITE O TRATAMENTO DE DADOS PESSOAIS?
|
PERMITE O TRATAMENTO DE DADOS SENSÍVEIS?
|
PERMITE O TRATAMENTO DE DADOS DE CRIANÇA?
|
Cumprimento de Regulação Legal ou Obrigatória
|
SIM |
SIM |
NÃO |
Execução de Contrato ou Procedimentos Preliminares ao Contrato
|
SIM |
NÃO |
NÃO |
Exercício Regular de Direito
|
SIM |
SIM |
NÃO |
Tutela da Saúde
|
SIM |
SIM |
NÃO |
Proteção da Vida ou Incolumidade Física
|
SIM |
SIM |
NÃO
|
Proteção ao Crédito
|
SIM |
NÃO |
NÃO |
Prevenção a Fraude e a Segurança do Titular
|
NÃO
|
SIM |
NÃO
|
Legítimo Interesse |
SIM |
NÃO
|
NÃO
|
Legítimo Interesse |
SIM |
SIM |
SIM |
O HOSPITAL ESPECIAL também deverá observar a Política de Consentimento, de forma a garantir:
- O registro documentado do consentimento (por exemplo, a hora em que o consentimento foi fornecido, a identificação do titular de dados e declaração de consentimento), de modo a fornecer, mediante solicitação do titular dos dados, os detalhes do consentimento;
- Que será dado livremente;
- Será específico quanto à finalidade do processamento;
- e será obtido de forma inequívoca e explícita.
7.9. Descarte de Dados Pessoais
Os dados e informações utilizados pelo HOSPITAL ESPECIAL nos processos em que ela seja a Controlador e que estejam em unidades físicas, sejam locais ou em cloud (nuvem), ou em qualquer outro meio digital, bem como os dados registrados em papel, serão descartados tão logo finde o tratamento para o qual se destinou a coleta dos dados pessoais ou suas consequências legais e necessárias e/ou por solicitação do Titular, desde que não prevaleça nenhuma outra legislação e/ou regulação setorial que impeça, de maneira a preservar a confidencialidade das informações, de acordo com inciso XIV do artigo 5o. da LGPD.
8. DA LEI GERAL DA PROTEÇÃO DE DADOS
A Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados - LGPD, refere-se ao tratamento de dados pessoais realizado pelo HOSPITAL ESPECIAL, bem como por terceiros que o fazem em seu nome.
Os Colaboradores se obrigam a respeitar todos os Normativos do HOSPITAL ESPECIAL sempre que utilizarem dados pessoais acessados em razão da relação de trabalho, se abstendo de extrair, copiar, compartilhar, transmitir ou publicar qualquer dado relativo a pessoas naturais, inclusive dados pessoais relacionados a outros empregados, fornecedores, clientes, etc.
Esta política de privacidade em conjunto com as demais políticas relacionadas a proteção e privacidade de dados pessoais poderão sofrer alterações a qualquer momento, estas alterações serão devidamente comunicadas aos colaboradores, a fim de garantir máxima transparência.
Informações sobre a empresa e site
Esta é a política de privacidade www.hospitalespecial.com.br
O controlador responsável pelo processamento neste site é
HOSPITAL ESPICIAL DOMICILIAR
Requisição de Privacidade: dpo@hospitalespecial.com.br
Telefone - +55 (81) 9 9454-8193
DPO - Renata Berenguer de Queiroz