Política e Privacidade de dados

OBJETIVO

A Política Interna de Proteção de Dados Pessoais do Hospital da Cruz Vermelha (HCV), tem como objetivo apresentar e orientar a todos, sobre as regras aplicáveis para o tratamento de dados pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), alterada pela Lei Federal nº 13.853/2019, bem como organizar todos os pontos necessários para a construção de um programa de privacidade que garanta a conformidade com a legislação.

Todas as operações envolvendo atividades de tratamento de dados de titulares internos e externos deverão observar os termos de privacidade e esta Política Interna, demonstrando comprometimento em:

  1. Proteger os direitos dos titulares;
  2. Adotar processos e regras que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  3. Promover a transparência na forma em que o HCV, trata dados pessoais; e
  4. Proteger o HCV, bem como seus colaboradores, clientes, fornecedores e parceiros, de riscos envolvendo incidentes de segurança acerca de dados pessoais.

Para que esta Política se mostre efetiva e produza resultados positivos, é importante que os critérios e procedimentos abaixo sejam constantemente observados durante as operações de tratamento de dados pessoais. Para isso O Hospital da Cruz Vermelha estabelece diretrizes através da revisão de operações e consolidação de fluxos para as atividades em conformidade com a Lei que prezam pela privacidade, proteção e segurança de dados pessoais como também a minimização de riscos e incidentes de segurança das informações.

O HCV, adota os termos de uso do sistema e tratamento de dados, bem como outros documentos utilizados pela instituição adequados a LGPD para todos os fins relacionados a utilização de dados como:

  1. Contratos de trabalho dos colaboradores e contratos firmados com qualquer outro terceiro;
  2. Políticas e normas de procedimentos de segurança da informação, termos e condições de uso que tratem sobre confidencialidade, integridade e disponibilidade das informações da instituição;
  3. Termos e cláusulas de consentimento;
  4. Normas internas que tratem da proteção de dados pessoais;
  5. Termos de uso de imagem.

ÂMBITO

Esta política deve ser aplicada ao HCV, bem como a todos os profissionais da saúde, colaboradores, médicos, estagiários, residentes, voluntários, doadores, terceiros, entre outros, que possam ter contato com dados pessoais tratados pela, ou em nome da HCV.

DEFINIÇÕES (Art. 5º da LGPD, Incisos I ao XIX)

  • HCV

Hospital da Cruz Vermelha

  • LGPD

“Lei Geral de Proteção de Dados” – Lei nº 13.709/18

  • Dados Pessoais

Entende-se por dados pessoais qualquer informação relacionada a uma pessoa natural identificada ou identificável (“titular” dos dados).

  • Dados Pessoais Sensíveis

Os dados pessoais poderão ter uma natureza mais sensível em determinadas situações, classificando-os a LGPD como “categorias especiais de dados”. Estes podem versar sobre a origem racial ou étnica do seu titular, filiação a Sindicatos, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.

  • Agentes de Tratamento

Controlador e o operador

  • Tratamento

Operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como o armazenamento, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

  • Titular dos dados

Pessoa singular identificada ou identificável a quem os dados pessoais dizem respeito. No HCV, refere-se aos pacientes, funcionários, médicos, residentes, acadêmicos, voluntários, membros do conselho e terceiros que podem vir a prestar serviços na instituição e que os dados sejam coletados de alguma forma.

  • Controlador

Pessoa física ou jurídica, de direito publico ou privado, que administra e toma decisões sobre o tratamento de dados pessoais da instituição; (Inciso VIII do art. 5º da LGPD).

  • Dado anonimizado

Dado relativo ao titular que não possa ser identificado;

  1. Banco de Dados

Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

  • Consentimento

Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

  • Eliminação

Exclusão de dado ou conjunto de dados armazenados no banco de dados Oracle, referente aos sistemas: TASY e SENIOR.

  • Uso compartilhado de dados

Compartilhamento de dados pessoais com outros órgãos ou terceiros que prestam serviços à instituição.

  • Relatório de impacto a proteção de dados pessoais

Documentação do Controlador que contém descrição dos processos de tratamento de dados pessoais do HCV.

  • Operador

Pessoa física ou jurídica, de direito publico ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. São operadores: empregados, prestadores de serviço e demais parceiros que participam do tratamento de dados pessoais dentro da empresa. São operadores também escritórios de contabilidade e assessorias que atendem a instituição.

  • Encarregado (DPO – Data Protection Officer)

Pessoa nomeada para garantir na instituição, a conformidade do tratamento de dados pessoais com o LGPD, assegurando a comunicação eficiente com os titulares dos dados e a cooperação com a autoridade Nacional de Proteção de Dados (ANDP) fazendo ainda a ponte com as diferentes áreas de atividade dentro da instituição.

  • Manual sobre a Política Interna de Proteção de Dados Pessoais

Documento que contém a descrição dos processos de tratamento de dados pessoais, instruções para inclusão e exclusão de dados, forma de registro de dados pessoais, descrição e utilização de termos de consentimento, descrição de relatórios e informações sobre processos para garantir o sigilo de dados.

  • Terceiros

Pessoa singular ou coletiva, autoridade pública, serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

  • Subcontratante

Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

  • RESPONSÁVEIS PELO PROGRAMA DE PRIVACIDADE DE DADOS

O HCV como controladora de Dados Pessoais, designará um Encarregado para proteção de dados dos titulares e que ajudará da seguinte forma:

  1. Na instalação e gestão do programa de privacidade;
  2. Emissão de relatórios de Impacto a Proteção de Dados Pessoais, com apuração e revisão dos riscos;
  3. Desenvolvimento, manutenção e revisão anual das normas e políticas de privacidade de dados;
  4. Ser o intermediário para tratar de assuntos de qualquer tratamento de dados entre o Controlador, Titulares e a Autoridade (ANPD).
  5. Fiscalização do cumprimento das normas e políticas de privacidade da instituição;
  6. Definição de Planos de Ação para melhorar o treinamento e a clareza da política de privacidade.
  • Encarregado (DPO – Data Protection Officer)

O Encarregado de Proteção de Dados ou DPO deve possuir conhecimentos jurídicos e técnicos, relacionados à proteção de dados pessoais e deve auxiliar a esclarecer dúvidas e orientar demais membros e titulares do HCV, durante a execução de suas atividades, quando envolverem operações de tratamento de dados pessoais.

  • Treinamentos

Todos os membros do HCV, envolvidos nas atividades de tratamento de dados pessoais deverão receber treinamentos sobre:

  • Conceitos gerais de Privacidade e Proteção de Dados, incluindo a apresentação desta Política e a Lei Geral de Proteção de Dados.

As informações sobre a presente política devem fazer parte do procedimento de integração dos colaboradores da instituição.

  • Conceitos específicos de Privacidade e Proteção de Dados aplicados às atividades de cada área.
  • LEGISLAÇÃO E NORMAS

A presente política foi elaborada com base na Lei abaixo:

  • Lei Federal nº 13709/2018 – Lei Geral de Proteção de Dados Pessoais, “LGPD”. PL 1.179/2020 – Entrou em vigor a partir de 01/08/2021.
  • PRINCÍPIOS NORTEADORES DA LEI DE PROTEÇÃO DE DADOS E TAMBÉM DESTA POLÍTICA INTERNA.

O HCV se compromete para que todas as atividades de tratamento de dados pessoais estejam em conformidade com os 10 (dez) princípios norteados pela legislação sobre privacidade e proteção de dados, conforme preceitua o Art. 6º da LGPD, listados abaixo;

  • Princípio da boa-fé: todas as operações de tratamento de dados do HCV deverão ser pautadas em boas intenções, na moral e bons costumes aceitos pela sociedade.
  • Princípio da finalidade: O tratamento de dados pessoais no HCV deve se limitar aos propósitos legítimos, específicos, explícitos e informados ao Titular, e somente deve ocorrer de formas compatíveis com estas finalidades.
  • Princípio da Adequação: Dados pessoais não poderão ser coletados/obtidos para uma finalidade, e depois utilizados para outra.
    • A utilização dos dados do HCV deve ser compatível com o motivo original da coleta/obtenção e com o mínimo de campos necessários para prestação do serviço.
    • O usuário poderá apenas acessar aos dados que precisa (dados clínicos, administrativos)
    • Preparar o usuário para responder questionamentos do titular a respeito do processamento dos dados.
    • Designar um Encarregado na instituição (DPO) para ser responsável pela comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
  • Princípio da necessidade: a coleta e utilização de dados pessoais deverão ser limitadas ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, garantindo também, que tais informações sejam armazenadas pelo menor tempo possível/necessário.
  • Princípio do livre acesso e qualidade dos dados: aos titulares deverá ser garantida a consulta facilitada e gratuita quanto à forma e duração do tratamento e integralidade de seus dados pessoais, estando assegurada a exatidão, clareza, relevância e atualização destes.
  • Princípio da transparência: serão garantidas, aos titulares dos dados, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
  • Princípio da segurança: a segurança e confidencialidade dos dados pessoais devem ser garantidas por meio de medidas técnicas e organizacionais, a fim de prevenir a ocorrência de incidentes de segurança envolvendo dados pessoais no HCV.
  • Princípio da não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios, ilícitos ou abusivos.
  • Princípio da responsabilização: o HCV deverá armazenar registros de todas as atividades de tratamento de dados pessoais e as respectivas medidas tomadas para adequar tais atividades às normas relativas à privacidade e à proteção de dados pessoais, comprovando a eficácia e eficiência de tais medidas.

A responsabilidade pelo correto tratamento de dados pessoais na instituição é compartilhada entre todos aqueles que atuam como operadores, sendo fundamental a cooperação para que a instituição esteja em conformidade com a lei, oferecendo segurança aos titulares de dados pessoais sob seu controle.

ACESSO, COLETA, TRATAMENTO, ARMAZENAMENTO E COMPARTILHAMENTO DE DADOS.

O HOSPITAL DA CRUZ VERMELHA, necessita armazenar e tratar dados pessoais dos titulares no âmbito da prestação de serviços de saúde e assistência social, visando o cumprimento de obrigações em leis ou normas de órgãos reguladores. O tratamento de dados e pessoas envolvidas nestes processos é indispensável.

É importante que os responsáveis pelo tratamento, estejam cientes de qual a obrigação legal fundamenta o tratamento (lei, norma, regulação, decisão ou acordo judicial etc.). Caso haja alguma alteração nestas regras, é possível que a atividade ou tratamento também deva ser alterado.

Os dados poderão ser coletados diretamente, ou podemos receber dados pessoais de forma indireta através dos nossos prestadores de serviços que prestam serviços em nosso nome ou dos nossos parceiros.

Em caso de dúvidas quanto à necessidade de se tratar dados para o cumprimento das obrigações legais ou regulatórios, é recomendado que o responsável pela atividade entre em contato com o Departamento Jurídico ou com o “Encarregado” (DPO-Data Protection Officer).

  • Acesso aos dados pessoais

Os dados pessoais somente podem ser compartilhados com pessoas cuja função na instituição exija que tenham acesso a eles.

Para garantir a segurança o acesso ao banco de dados da HCV, os operadores de serviços possuem acesso individual e protegido por senha própria e intransferível. Assim somente as pessoas autorizadas a manipular dados pessoais identificáveis dos titulares poderão acessá-los.

  • Critérios para Coleta de Dados Pessoais

As informações referentes a pessoas físicas somente devem ser coletadas na medida da necessidade para prestação de serviços e em todas as hipóteses cabíveis o consentimento para o tratamento de dados deverá ser obtido em conformidade com a Lei Geral de Proteção de Dados.

O preenchimento dos formulários de recolhimento de dados e o fornecimento de dados direta ou indiretamente, implicam o conhecimento das condições desta Política, e de quaisquer outros termos, políticas e condições específicas referentes aos serviços prestados.

Os dados pessoais dos titulares são tratados para a prestação de serviços da instituição, incluindo para a gestão dos sistemas e serviços do HCV, auditoria e melhoria contínua dos mesmos.

Neste sentido, usamos os dados pessoais para os seguintes efeitos:

  • Para a prestação de cuidados de saúde integrados
    De forma a prestar os nossos serviços, utilizamos as informações acima referidas para marcar consultas, marcar exames, diagnóstico médico, para fornecer cuidados de saúde, para a gestão dos sistemas e serviços das várias unidades de saúde do SUS, auditoria e melhoria contínua. Os dados relativos à saúde apenas serão tratados por ou sob a responsabilidade de profissionais obrigados a sigilo, na estrita medida do necessário à prestação de cuidados de saúde, podendo ser comunicados aos seus familiares, apenas nas circunstâncias expressamente previstas na Lei em vigor.
  • Para comunicar e gerir a nossa relação com o cliente
    Podemos contatar via e-mail ou telefone, por motivos administrativos ou operacionais, por exemplo, de modo a enviar a confirmação das marcações e dos pagamentos, para informar sobre quaisquer alterações ou imprevistos acerca de agendamentos. Também vamos utilizar os dados pessoais para responder as solicitações, sugestões ou contatos, para melhoria de nossos serviços.
  • Para a realização de estudos e ensaios clínicos

Quando os estudos ou ensaios clínicos realizados no Hospital da Cruz Vermelha no âmbito dos quais a instituição atuará, por regra, como Subcontratante (sendo os Responsáveis pelo Tratamento as promotoras do estudo/ensaio), não puderem ser realizados com recurso a dados anonimizados ou pseudonimizados, o HCV solicitará o seu consentimento para o tratamento dos seus dados pessoais nesse contexto. Esse consentimento poderá ser pedido de forma mais abrangente, de forma a englobar diversas áreas de investigação, ou ser dado unicamente para determinados domínios ou projetos de investigação específicos. Em todo o caso, o HCV respeitará integralmente a decisão dos seus pacientes de se retirarem de um estudo ou ensaio, caso em que deixará de tratar os seus dados para esse efeito.

  • Para melhorar os nossos serviços e cumprir os nossos objetivos administrativos.

Os objetivos administrativos para os quais usamos as informações incluem contabilidade, faturamento e auditoria, nomeadamente para proteção de interesses vitais dos pacientes ou para efeitos de certificação, avaliação e medição dos níveis de serviço do HCV, detenção e análise de fraude, segurança, efeitos jurídicos e processuais, estudos estatísticos, bem como para o desenvolvimento e manutenção de sistemas.

  • Para registro de nossos voluntários.

Os dados coletados são registrados em sistema e arquivados fisicamente para que possamos identificar dentre as ações instituídas pelo HCV, qual o melhor perfil para que o voluntário possa participar dos eventos e ter facilidade ao acesso das informações pessoais como, telefone, endereço etc.

  • Para registro de nossos funcionários.

Os dados pessoais dos funcionários são coletados e registrados em sistema para o cumprimento de obrigações legais e contratuais, como a administração da folha de pagamento, a retenção de registros trabalhistas, a conformidade fiscal, a concessão de benefícios, a gestão de recursos humanos e a proteção da saúde e segurança do trabalhador.

  • Para registro dos membros do Conselho.

Os dados são coletados e arquivados fisicamente para que possamos utilizar as informações especificamente no que diz respeito aos interesses do HCV e o Órgão Central ou para designações judiciais.

  • Para cadastro de Pessoa Física (Fornecedores Prestadores de Serviço)

Os dados são coletados para realização de cadastro para efeitos contábeis e administrativos e para pesquisa de dados do Prestador de Serviços.

  • Categorias Especiais (Saúde)

Ao prestar serviços, o HCV terá necessariamente de recolher dados relativos à saúde e, em certos casos, dados genéticos, dados relativos à origem racial ou étnica e dados relativos à sua vida sexual ou orientação sexual. Tais informações são consideradas “categorias especiais de dados”, nos termos do LGPD, pelo que o HCV observará os requisitos de proteção mais exigentes dispostos na LGPD, relativamente ao tratamento desses dados, quer relativamente aos fundamentos de licitude adequados ao seu tratamento, implementando medidas técnicas e organizacionais adequadas à minimização do seu tratamento, à restrição do acesso a esses dados e à garantia da segurança dos mesmos. Para tanto deverá solicitar um termo de consentimento de uso de dados do titular.

  • Consentimento

O consentimento somente poderá embasar atividades de tratamento de dados pessoais em casos excepcionais. Nestes casos, o Encarregado deverá ser consultado para confirmação quanto à exigência de consentimento para a atividade, e a impossibilidade de seu enquadramento em outras bases legais.

  • Tratamento de dados pessoais de crianças e adolescentes

Da mesma forma, o tratamento de dados pessoais de “crianças” e “adolescentes”, conforme disposto no art. 14 da LGPD, deve ser situação excepcionalíssima. Nestes casos remotos, ele somente deverá ser realizado:

  • Visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta;
  • De forma clara e compreensível, de modo que informações destinadas a este público deverão ser prestadas de modo claro, acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado.

Quando do tratamento dos dados de “crianças”, deverá, necessariamente, haver a coleta do consentimento específico e em destaque dado por pelo menos por um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela lei.

  • Critérios para armazenamento de dados pessoais

Os dados pessoais dos titulares que a HCV armazena são tratados no estrito cumprimento da legislação aplicável. Tais dados são conservados num formato que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.

O período durante o qual os dados são armazenados e conservados varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período. Nessa medida, os dados relativos à saúde são conservados nos termos da legislação.

Também tomamos por referencial para determinação do período de conservação adequado as várias deliberações das autoridades de controle de proteção de dados brasileiros, nomeadamente da ANPD.

  • Compartilhamento de dados pessoais

O HCV recorre a outras entidades para a prestação de determinados serviços. Eventualmente essa prestação de serviços poderá implicar o acesso, por estas entidades, a dados pessoais dos seus titulares. Tal será o caso das entidades que prestem serviços de suporte dos sistemas informáticos da instituição, de certos fornecedores de equipamentos médicos, de prestadores de serviços clínicos em determinados Serviços, de empresas de consultoria, Operadoras de Planos de Saúde e sociedades de advogados, e do setor de Serviço de Prontuário Médico, responsável pela guarda e arquivamento de Documentos físicos no hospital e empresa terceirizada (Preservar).

Assim, qualquer entidade subcontratante do HCV deverá tratar os dados pessoais dos nossos titulares, em nosso nome na estrita obrigação de seguir nossa Política. Para tanto O HCV deverá celebrar instrumentos contratuais, capazes de garantir a integridade e a confiabilidade das informações compartilhadas com as entidades subcontratantes de modo que as mesmas ofereçam garantias suficientes de execução de medidas técnicas e organizativas adequadas aos requisitos da lei aplicável e assegure segurança e proteção dos direitos dos titulares dos dados. O HCV poderá, ainda, transmitir, dados pessoais dos seus titulares a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas:

  • à luz da lei aplicável, no cumprimento de obrigações jurídicas/ ordens judiciais;
  • nas transferências inter-hospitalares;
  • para responder a solicitações de autoridades públicas ou governamentais, ou;
  • para efeito de certificação, avaliação e medição dos níveis de serviço do HCV.

O HCV poderá ainda transmitir dados pessoais à Entidade Reguladora da Saúde, à ANS, à Entidade Pública Contratante ou às Administrações Regionais de Saúde, aos Tribunais, aos órgãos de polícia criminal ou ao Ministério Público, Ministério da Previdência Social – ESOCIAL, CRM, Operadoras de Saúde, ou qualquer outro órgão público, quando seja notificado para o efeito ou quando tal seja necessário para o cumprimento de obrigações jurídicas, civis ou trabalhistas, conforme legalmente previsto em Lei.

DIREITO DOS TITULARES (art. 9º da LGPD)

Todas as atividades de tratamento de dados pessoais do HCV deverão buscar garantir os direitos dos titulares. Em todos os casos, a identidade dos titulares requerentes deverá ser verificada e o atendimento deverá ocorrer sob a orientação do Encarregado.

  • Direito a Informação e ao acesso

Ao titular, mediante sua expressa requisição, é garantido o direito de confirmação da existência de tratamento de seus dados pessoais. O HCV utilizará meios eficazes, cuja gestão e operacionalização serão supervisionadas pelo Encarregado, para fornecer cópia dos dados pessoais, mediante requisição do titular, por meio eletrônico, seguro e idôneo para esse fim ou sob a forma impressa.

Se em formato simplificado, o conjunto de dados deve ser entregue imediatamente.

Se exigido de forma completa, deverá ser fornecido no prazo de até 15 (quinze) dias, contados a partir da data do requerimento do titular contendo as informações que seguem:

  • Inexistência de registro;
  • Origem dos dados;
  • Critérios utilizados;
  • Finalidade do tratamento.

Para os casos em que o tratamento tiver como origem o consentimento do titular ou contrato celebrado com o titular, este poderá solicitar cópia eletrônica integral de seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

  • Direito à exclusão, anonimização e ao bloqueio de dados pessoais

O titular terá o direito de obter, a qualquer momento e mediante requisição, a eliminação, a anonimização ou o bloqueio de seus dados pessoais, quando as informações objeto de requisição se mostrarem excessivas, ou o tratamento dado pelo controlador estiver em desconformidade com as determinações da LGPD.

Em hipótese de ocorrência de requisições de eliminação de dados pessoais, o HCV considerando que nenhum direito possui caráter absoluto, deverá verificar se o tratamento dos dados objeto de requisição se justifica em algumas das hipóteses abaixo, caso em que a solicitação e, por consequência, o direito do titular dos dados não deverá prevalecer:

  • Cumprimento de obrigação legal ou regulatória;
  • Estudo por órgão de pesquisa;
  • Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos em lei; ou
  • Uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que os dados sejam mantidos anonimizados.

Todas as atividades de tratamento de dados pessoais promovidas pelo HCV deverão ocorrer em respeito a esta política, estando sempre atribuídas a uma base legal especifica.

  • Direito à retificação

O titular terá o direito de obter, a qualquer momento e mediante requisição, a correção de seus dados pessoais, quando incompletos, inexatos ou desatualizados.

  • Direito a Oposição

É garantido ao titular o direito de, a qualquer momento e mediante requisição, opor-se ao tratamento de seus dados pessoais, quando a base legal que originou o tratamento não for o consentimento. Neste mesmo sentido, este direito só será garantido e exercível quando o HCV deixar de observar e cumprir algumas das disposições trazidas na legislação que trata sobre o tema.

  • Direito à Portabilidade

O titular tem direito de, a qualquer momento e mediante requisição, solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. Para tal, recomenda-se que os dados pessoais do titular requerente sejam desvinculados de dados de outros titulares.

  • Direitos atrelados ao consentimento

O titular tem direito de, a qualquer momento e mediante requisição, solicitar informação sobre a possibilidade de não fornecer consentimento e as consequências de sua negativa, bem como de revogar o consentimento anteriormente fornecido.

DISPOSIÇÕES FINAIS

  • Medidas de Segurança Adotadas pelo HCV

O HCV está empenhado em assegurar a confidencialidade, proteção e segurança dos dados pessoais dos seus pacientes, através da implementação das medidas técnicas e organizativas adequadas para proteger os seus dados contra qualquer forma de tratamento indevido ou ilegítimo e contra qualquer perda acidental ou destruição destes dados.

Para o efeito, dispomos de sistemas e equipes destinadas a garantir a segurança dos dados pessoais tratados, criando e atualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ ou destruição dos dados pessoais, comprometendo-se a respeitar a legislação relativa à proteção de dados pessoais dos titulares e a tratar estes dados apenas para os fins para que foram recolhidos.

Os sistemas utilizados para coleta, acesso e armazenamento de dados no HCV, estão implantados por empresas de software que possuem manual de procedimentos e política de privacidade que fazem parte do termo de contratualização. Sistemas de antivírus e outras prevenções de segurança são realizados para a segurança e proteção de dados.

O HCV, bem como todos os seus parceiros e provedores de serviço, não garantem que as informações pessoais não possam sofrer invasões de “hackers” ou vazamento de dados, por maiores que sejam os esforços para proteger a privacidade e a segurança da informação, que podem ocorrer por falhas de sistema, entretanto a instituição implanta mecanismos de identificação, rastreabilidade e responsabilização em casos de incidentes de segurança.

O HCV desestimula o uso de aparelhos pessoais para fins profissionais e recomenda a constante revisão das rotinas dos setores, que devem ser condicionadas à revisão de políticas internas, a fim de minimizar riscos de mau uso ou que tragam fatores de vulnerabilidade para eventuais incidentes de segurança da informação.

Na hipótese de utilização do meio informal de comunicação, o que inclui aplicativos de mensagens, aparelhos pessoais de computador ou de telefone, observa-se que, assim que ele cumprir seu objeto e suprir a finalidade emergencial para a qual tenha sido utilizado, os dados compartilhados deverão ser direcionados para os setores pertinentes, quando necessário seu registro, e posteriormente eliminados de quaisquer outros meios não oficiais que tenham sido utilizados. Qualquer compartilhamento destes dados que não tenham relação com a finalidade de tratamento hospitalar será passível de investigação interna através de procedimento administrativo a fim de responsabilizar e aplicar sanções ao agente transmissor.

O HCV proíbe aos profissionais de saúde ou estudantes que possuam acesso aos pacientes e suas informações pessoais qualquer tipo de uso e compartilhamento indevido de dados pessoais. Caso se verifique o compartilhamento indevido de dados de pacientes o aluno poderá ser responsabilizado e sofrer sanções em âmbito acadêmico.

Qualquer repasse de fotos, áudios e/ou documentos a respeito da condição de pacientes, que não guardem correlação com a estrita finalidade de tratamento hospitalar em caráter de urgência, será passível de investigação interna sob procedimento administrativo, a fim de que todas as medidas para responsabilização do agente e eventuais sanções sejam tomadas.

Pela sensibilidade das informações, elaboramos e divulgamos a todos os nossos colaboradores e parceiros uma política sobre Segurança da Informação (SI – Segurança da Informação), que define os procedimentos de proteção de dados pessoais, com vista a assegurar o seu conhecimento acerca das obrigações que lhes são impostas pela LGPD.

Para garantir a permanente sensibilização dos nossos colaboradores e terceiros, desenvolvemos ainda ações de formação e treinamento junto aos mesmos, os quais assumem o compromisso de não revelar a terceiros ou utilizar para fins contrários à lei, qualquer informação pessoal dos pacientes do HCV cujo conhecimento lhes advenha do exercício de suas funções.

  • Relatório de Impacto a Proteção de Dados

Os relatórios de impacto a proteção de dados pessoais são documentos que contêm a descrição dos processos que envolvem o tratamento de dados pessoais que são passíveis de gerar riscos às liberdades civis e individuais dos titulares. A elaboração será exigível em especial quando:

  • Da realização de operações de tratamento de dados pessoais sensíveis;
  • Da realização e condução de operações que, por sua natureza, realizem o tratamento de dados críticos, passíveis de gerar altos riscos aos titulares de dados pessoais em caso de ocorrência de incidentes envolvendo tais informações;
  • A operação de tratamento de dados pessoais estiver amparada na base legal do interesse legitimo

Em caso de necessidade de elaboração deste documento, a obrigatoriedade primária será do gestor da área responsável pela operação, tendo o Encarregado pela proteção de dados pessoais, o papel primordial de avaliar o documento e elaborar um parecer final sobre a atividade do tratamento.

  • Alterações da Política de Privacidade

O HCV reserva-se o direito de, a qualquer momento, proceder as modificações ou atualizações à presente Política de Privacidade, sendo essas alterações devidamente atualizadas nas nossas plataformas digitais e nos Manuais Internos.

  • Contato

Para maiores informações sobre o tratamento de dados pessoais bem como quaisquer incidentes, como falha na observância dos pontos descritos nesta política, que podem gerar risco de dano aos titulares ou quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, os envolvidos poderão exercer junto ao HCV os seus direitos à luz da LGPD, devendo entrar em contato com o Encarregado de Proteção de Dados (“DPO”) do HCV, que é a pessoa responsável pela comunicação entre a instituição e a Autoridade Nacional de Proteção de Dados (ANPD), através dos seguintes contatos:

Endereço: Av. Vicente Machado, 1243– Batel – Curitiba/PR.