POLÍTICA DE USO E PROTEÇÃO DE DADOS
1 – INTRODUÇÃO
O Hospital Ana Nery (HAN) está comprometido em proteger a privacidade e a segurança dos dados pessoais dos pacientes, funcionários e outros envolvidos nos serviços prestados por nossa Instituição. Esta política estabelece diretrizes para a coleta, uso, armazenamento e proteção de dados, conforme estabelecido pela legislação aplicável, incluindo a Lei nº 13.709/2018 Lei Geral de Proteção de Dados (LGPD).
2 – OBJETIVOS
Esta política define a proteção nos processos de tratamento de dados que incluem coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais de nossos clientes, colaboradores e terceiros, de acordo com o que determina a Lei nº 13.709/2018 Lei Geral de Proteção de Dados (LGPD).
3 – ABRANGÊNCIA
Todos os colaboradores da Instituição.
4 – RESPONSABILIDADE
COMITÊ GESTOR DE PROTEÇÃO DE DADOS (CGPD)
- a) Propor e implementar a Política de Privacidade e de Proteção de Dados, cronogramas e planos com objetivo de regulamentar a privacidade e a proteção dos dados pessoais no âmbito da Hospital Ana Nery;
- b) Avaliar os procedimentos de tratamento e proteção dos dados existentes e propor estratégias e metas em observância à LGPD;
- c) Revisar a Política de Privacidade e de Proteção de Dados a cada 2 (dois) anos;
- d) Promover ações de sensibilização junto aos seus colaboradores, à comunidade médica e hospitalar, e aos parceiros sobre a aplicação da política e normas relacionadas à privacidade e proteção de dados;
- e) Planejar, coordenar e acompanhar a implantação do plano de ação para regularização de Gaps eventualmente identificados, e ações e projetos necessários para a adequação à LGPD;
- f) Desenvolver treinamentos e estratégias para a disseminação da Política de Privacidade e de Proteção de Dados e a sua edificação interna, como ainda das normativas vigentes;
- g) Receber comunicações de descumprimento das normas referentes à Política de Privacidade e de Proteção de Dados, e instruí-las com os elementos necessários à sua análise e notificar os responsáveis;
- h) Articular o intercâmbio de informação sobre a proteção de dados pessoais com os órgãos públicos e parceiros;
- i) Promover ações de sensibilização e ações de acompanhamento junto aos colaboradores, à comunidade médica e hospitalar, e aos parceiros em relação ao cumprimento das políticas, normas e diretrizes aprovadas;
- j) Ao menos 3 vezes ao ano, apresentar o tema à Diretoria Executiva ou sempre que se fizer necessário.
5 – MATERIAIS
Não se aplica.
6 – DEFINIÇÕES
LGPD: Lei nº 13.709/2018 (Lei Geral de Proteção de Dados).
Dado Pessoal: Qualquer informação relacionada à pessoa física identificada ou identificável. Isto é, dado pessoal será qualquer informação que possa identificar uma pessoa física, bem como informações utilizadas para formação de perfil comportamental. São exemplos de dados pessoais: nome, endereço, e-mail, identidade, CPF, bem como dados de localização (função de dados de localização em telefones ou GPS), endereço de IP (protocolo de internet); testemunhos de conexão (cookies), etc.
Dado Pessoal Sensível: Qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física. São exemplos: biometria do ponto eletrônico, atestados médicos, filiação a sindicato, entre outros.
Banco de dados: Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Titular: Pessoa natural a quem se refere os dados pessoais que são objeto de tratamento;
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
Tratamento: Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Relatório de impacto à proteção de dados pessoais: Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Base Legal: São critérios estabelecidos pela LGPD, para descrever em quais situações o tratamento de dados é permitido sem necessidade de consentimento do usuário.
7 – DESCRIÇÃO
7.1. TRATAMENTO DE DADOS PESSOAIS
O Hospital Ana Nery tratará dados pessoais para atender às necessidades de seus usuários da melhor forma possível. Além disso, o tratamento de dados é necessário para personalização de serviços, provendo uma experiência mais satisfatória ao usuário.
Como uma instituição de saúde, o Hospital Ana Nery é respaldado por um processo legislativo que em consonância com a LGPD para tratar dados pessoais para atividades que sejam de inerentes à tutela de saúde, proteção a vida e outras ações que sejam de legítimo interesse da instituição.
Em casos em que o tratamento de dados não se enquadre em nenhuma base legal, será solicitado o consentimento do titular de dados. No termo de consentimento, estão claras as ações de tratamento a serem realizadas com o dado. Caso o titular de dados não aceite assinar o termo de consentimento, o Hospital Ana Nery não pode se negar a prestar o serviço em questão.
O tratamento de dados deve sempre ser tratado com boa fé e a eventual dispensa de consentimento não desobriga os agentes das obrigações previstas na Lei, sempre se baseando na garantia dos direitos do titular.
7.2. RESPONSABILIDADES E BOAS PRÁTICAS
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional, que variam desde advertência até multa pecuniária.
7.3. SEGURANÇA DA INFORMAÇÃO (PRIVACY BY DESIGN) E TERMOS E DEFINIÇÕES
O Hospital Ana Nery se responsabiliza pelos dados fornecidos por seus colaboradores e clientes, mantendo controles de segurança para preservar a confidencialidade, integridade e disponibilidade dos dados por nós controlados.
Todas as ações e controles visam à manutenção da proteção dos dados e evitar acessos indevidos. O Hospital Ana Nery segue as melhores práticas de mercado quanto à segurança das informações e segue as legislações em vigência e as pertinentes ao segmento. Em caso de vazamento de dados, os titulares de dados serão informados, contudo uma vez públicos, não será possível garantir que estes não possam ser acessados indevidamente.
As medidas de segurança, técnicas e administrativas para proteção de dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução, conceito denominado Privacidade desde a Concepção (Privacy by Design).
Para efeito desta Política, entende-se que:
I – Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – Titular: pessoa natural a quem se refere os dados pessoais que são objeto de tratamento;
IV – Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
V – Compartilhamento de dados pessoais: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
VI – Controlador: no âmbito interno da Hospital Ana Nery, o Controlador é o Jurídico ou o Diretor-Técnico, a quem compete as decisões referentes ao tratamento de dados pessoais e que, por meio dos seus poderes e atribuições, delega as ações necessárias para operacionalizar a Política de Proteção de Dados Pessoais dentro da estrutura organizacional;
VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador;
VIII – Agentes de Tratamento: o controlador e o operador;
IX – Encarregado: pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
X – O Controlador é o responsável pelas alterações nos normativos, estabelecendo as competências relativas às diferentes áreas, inclusive quanto aos procedimentos na condução da proteção dos dados pessoais e sensíveis, observando doravante os requisitos da Política e da legislação em vigor;
XI – O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) representa o documento fundamental que demonstra como os dados pessoais são coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados. O documento deve ser mantido pelo Controlador.
7.4. O QUE SÃO COOKIES E COMO SÃO TRATADOS
Cookies são pequenos arquivos que podem ser armazenados em seus dispositivos sempre que um usuário acessa o site e serviços online do Hospital Ana Nery. Esses arquivos contêm informações sobre a navegação do usuário e são utilizados para melhorar a experiência dos usuários durante a visita ao site. A coleta de cookies pelo Hospital Ana Nery, pode ser aceita ou revogada sempre que o usuário visita a página.
7.5. COMPARTILHAMENTO DE DADOS PESSOAIS
Todo compartilhamento de dados pessoais realizado é para compor a melhor experiência e prestação dos serviços aos nossos clientes. Com isso, pode haver compartilhamentos entre departamentos internos, além de compartilhamento de dados com parceiros do Hospital Ana Nery, como operadoras de saúde, laboratórios e conselhos de classes sempre seguindo as exigências regulamentadoras e legislações vigentes.
O compartilhamento de dados interno ou externo deverá seguir protocolos seguros de troca de informações.
7.6. DIREITOS DOS USUÁRIOS
Qualquer titular de dados tem direito a solicitar ao Hospital Ana Nery informações relacionadas ao tratamento de seus dados. Segundo a LGPD, os direitos dos titulares de dados são:
– Confirmação da existência de tratamento;
– Acesso aos dados;
– Correção de dados incompletos, inexatos ou desatualizados;
– Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação vigente;
– Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
– Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas em Lei;
– Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
– Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
– Revogação do consentimento.
7.7. SOLICITAÇÕES E RECLAMAÇÕES
Para qualquer uma das solicitações referentes aos direitos dos titulares, o mesmo pode entrar em contato com o Hospital Ana Nery através do endereço e-mail ouvidoria@han.net.br.
Além disso, os titulares de dados podem apresentar reclamações diretamente à Agência Nacional de Proteção de Dados conforme previsto na LGPD.
7.8. DIVULGAÇÃO LEGAL DOS DADOS
Em certas circunstâncias, O Hospital Ana Nery poderá divulgar Dados Pessoais, na medida necessária ou apropriada, para órgãos governamentais, com o objetivo de cumprir com a legislação aplicável ou com uma ordem ou intimação judicial ou, ainda, se o Hospital Ana Nery acreditar de boa-fé que tal ação seja necessária para:
– Cumprir com uma legislação que exija tal divulgação;
– Investigar, impedir ou tomar medidas relacionadas a atividades ilegais suspeitas ou reais ou para cooperar com órgãos públicos ou para proteger a segurança nacional;
– Execução de seus contratos;
– Investigar e se defender contra quaisquer reivindicações ou alegações de terceiros;
– Proteger a segurança ou a integridade dos serviços (por exemplo, o compartilhamento com empresas que estão sofrendo ameaças semelhantes);
– Exercer ou proteger os direitos, a propriedade e a segurança do Hospital Ana Nery e suas empresas coligadas;
– Proteger os direitos e a segurança pessoal de seus funcionários, usuários ou do público.
7.9. TÉRMINO DE TRATAMENTO DE DADOS
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
– Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
– Fim do período legal de tratamento;
– Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público;
– Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Os dados pessoais serão eliminados após o término de seu tratamento assegurando o cumprimento de obrigação legal ou regulatória, mediante fragmentação dos dados tratados fisicamente e exclusão dos dados eletrônicos.
7.10. COMITÊ DE PROTEÇÃO DE DADOS
O Comitê de Proteção de Dados foi criado conforme determinação legal e é composto por gestores da assistência, do financeiro, qualidade, suprimentos, tecnologia da informação, gestão de pessoas, comunicação e jurídico, com a finalidade de:
– Inventariar as informações;
– Mapear dos dados e processos por quais os dados circulam;
– Mapear os riscos e criar barreiras;
– Treinar pessoas;
– Criar, analisar e adaptar Termos de Consentimento;
– Demais ações para cumprimento da LGPD.
7.11. ALTERAÇÕES A POLÍTICA DE USO E PROTEÇÃO DE DADOS
A Política de Uso e Proteção de Dados pode ser alterada a qualquer momento mediante análise e solicitação do Comitê de Proteção de Dados. Tais alterações serão devidamente disponibilizadas e, caso represente uma alteração substancial relativamente à forma como os seus dados serão tratados, o Hospital Ana Nery manterá contato conforme dados disponibilizados.