Clínica Integradas

Entenda a Política

Introdução

A Política de Privacidade e Proteção de Dados Pessoais, tem por finalidade, fornecer orientações sobre como gerenciar as atividades e operações de tratamento de dados pessoais existentes na CLÍNICA MULTIDISCIPLINAR SÃO JOSÉ LTDA., pessoa jurídica de direito privado, inscrita no Cadastro de Pessoas Jurídicas do Ministério da Fazenda – CNPJ/MF sob o nº CNPJ 04.111.799/0001-44, com sede na Rua Paulino Siqueira Cortes, nº 2175, bairro São Pedro, na cidade de São José dos Pinhais, estado do Paraná, CEP 83005-030, doravante nominada tão somente como CLÍNICAS INTEGRADAS, em observância à Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 — “LGPD”).

A CLÍNICAS INTEGRADAS, como instituição de saúde, realiza operações de coleta e processamento de dados pessoais, podendo atuar tanto como Controladora quanto como Operadora, segundo as definições da LGPD. Em todas as posições que ocupa, a CLÍNICAS INTEGRADAS mantém seu compromisso com a privacidade e a proteção dos dados pessoais dos pacientes, colaboradores, visitantes e demais titulares de dados, assegurando a conformidade com todas as normas e regulamentações aplicáveis em matéria de proteção de dados pessoais.

Definições

Tratamento de dados: Qualquer ação realizada com dados pessoais, como coleta, armazenamento, uso, compartilhamento e outras operações relacionadas.

Titular: é a pessoa a quem as informações pessoais pertencem ou estão relacionadas.

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões, especialmente relativas às finalidades e os meios de tratamento dos dados pessoais.

Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais conforme as instruções do Controlador.

Encarregado de Dados Pessoais (DPO): Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Comitê de Privacidade e Proteção de Dados: Comitê interno que tem a finalidade de apoiar o Encarregado de Dados em assuntos relacionados à proteção de dados e de incentivar a participação dos colaboradores no Programa de Privacidade e Proteção de Dados.

Autoridade Nacional de Proteção de Dados (“ANPD”): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Objetivos

São objetivos da Política de Privacidade e Proteção de Dados Pessoais da CLÍNICAS INTEGRADAS:

Estabelecer diretrizes e responsabilidades que assegurem e reforcem o compromisso da empresa com o cumprimento das legislações de proteção de dados pessoais aplicáveis;
Orientar colaboradores e terceiros quanto à adoção de controles técnicos e administrativos para atender aos requisitos de proteção de dados pessoais, conforme a legislação vigente;
Resguardar os titulares dos dados pessoais tratados pela CLÍNICAS INTEGRADAS, garantindo seus direitos fundamentais à liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoa natural, especialmente no contexto do setor de saúde;
Prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais pela CLÍNICAS INTEGRADAS, com ênfase nas informações sensíveis de saúde;
Minimizar os riscos de perdas financeiras, da confiança dos pacientes ou de qualquer outro impacto negativo para CLÍNICAS INTEGRADAS, decorrentes de violações de dados.

Diretrizes Da Clínicas Integradas Para Tratamento De Dados Pessoais

Garantir que o tratamento de dados pessoais esteja em conformidade integral com a legislação vigente e de acordo com uma base legal permitida.
Comunicar claramente ao titular o uso de dados pessoais antes da coleta ou de novo propósito.
Notificar o titular sobre mudanças significativas no tratamento de seus dados.
Fornecer ao titular explicações adequadas sobre o tratamento de seus dados pessoais, quando necessário, conforme a legislação vigente.
Disponibilizar aos titulares informações claras e de fácil acesso acerca das políticas, procedimentos e práticas relacionados ao tratamento de seus dados pessoais.
Limitar a coleta, uso, retenção, divulgação, transferência e processamento de dados pessoais ao mínimo necessário, em conformidade com a legislação vigente e/ou com os objetivos específicos definidos no consentimento do titular, buscando sempre minimizar a quantidade de dados coletados, quando possível.
Manter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados, exceto quando a legislação vigente exigir retenção, podendo considerar medidas como bloqueio, interrupção ou anonimização após o término dos propósitos.
Assegurar ao titular a possibilidade de conceder ou negar consentimento para o tratamento de seus dados pessoais, exceto quando a legislação aplicável autorizar explicitamente o processamento de dados pessoais sem o consentimento do titular.
Garantir a ausência de qualquer forma de discriminação no tratamento de dados pessoais, prevenindo seu uso para propósitos discriminatórios, ilícitos ou abusivos.
Assegurar a precisão e qualidade dos dados pessoais tratados, a menos que haja uma base legal para manter dados desatualizados.
Manter um registro completo e transparente de como os dados pessoais são tratados e compartilhados, para garantir a conformidade com regulamentos de proteção de dados e para fins de responsabilidade e responsabilização.
Fornecer treinamento e manter uma cultura de conscientização sobre a importância da segurança e privacidade dos dados pessoais, garantindo que todos os envolvidos estejam bem-informados e preparados para cumprir as políticas de proteção de dados da empresa.
Documentar, disponibilizar e comunicar de maneira adequada todas as políticas, procedimentos e práticas que dizem respeito à privacidade e proteção de dados, garantindo que todos os envolvidos no processo conheçam e entendam essas políticas e procedimentos.
Implementar medidas de segurança da informação, incluindo controles técnicos e administrativos, que sejam suficientes para proteger adequadamente os dados pessoais que estão sob responsabilidade da empresa, garantindo a segurança e a privacidade dos dados pessoais.
Tratar integralmente violações de dados, garantindo que sejam devidamente registradas, classificadas, investigadas, corrigidas e documentadas.
Comunicar de forma apropriada e oportuna a violação aos afetados, às autoridades reguladoras e a outras partes relevantes, conforme exigido pelas regulamentações de privacidade de dados.

Regras Gerais Para Tratamento De Dados

Registro das Operações de Tratamento de Dados Pessoais (ROTD)

A CLÍNICAS INTEGRADAS tem a obrigação legal de elaborar e manter atualizado o registro das operações de tratamento de dados pessoais que realiza, conforme estabelecido no Artigo 37 da Lei Geral de Proteção de Dados (LGPD).

Todos os envolvidos nas operações devem colaborar na atualização deste registro, informando qualquer suspeita de inconsistências, a criação de novos processos e o encerramento de atividades antigas ao Encarregado de Dados. O Encarregado de Dados é o responsável por manter este registro atualizado e revisto periodicamente.

Tratamento de Dados Pessoais

Todas as operações de tratamento de dados realizadas pela CLÍNICAS INTEGRADAS, seguem as diretrizes estabelecidas nessa política, e estão em conformidade com os princípios, regras e bases legais previstas na LGPD.

Em situações específicas, o Encarregado de Dados deverá elaborar um Relatório de Impacto à Proteção de Dados (“RIPD”), documento que contém informações sobre como os dados pessoais são usados, quais possíveis riscos existentes para a privacidade e proteção dos dados e quais medidas são adotadas para garantir que os direitos dos titulares não sejam prejudicados.

Compartilhamento de Dados

Ao compartilhar dados com terceiros, deve-se restringir as informações enviadas ao mínimo necessário para realização da atividade, adotando medidas de segurança cabíveis para evitar incidentes. Em casos de compartilhamento internacional de dados, é necessário considerar as leis do país de destino.

Visando assegurar o cumprimento das medidas de prevenção de riscos e a correta aplicação desta Política, é recomendado que todos os contratos com terceiros incluam cláusulas relacionadas à proteção de dados pessoais, estabelecendo responsabilidades e obrigações envolvendo a temática, e demonstrando o compromisso dos terceiros com as legislações de proteção de dados pessoais.

Retenção dos dados pessoais

A CLÍNICAS INTEGRADAS não manterá os dados pessoais dos titulares por mais tempo do que o necessário para cumprir os objetivos pelos quais foram coletados, conforme estabelecido na Política de Retenção e Descarte.

Incidentes de Segurança com Dados Pessoais

Um incidente de segurança é qualquer evento adverso relacionado à violação da segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento ou em qualquer forma inadequada ou ilícita de tratamento de dados, podendo representar riscos para os direitos e liberdades do titular dos dados pessoais.

Em caso de suspeita de um incidente de segurança envolvendo dados pessoais, o Encarregado de Dados (DPO), deve ser imediatamente acionado para investigar a ocorrência e tomar as medidas necessárias. As notificações devem ser feitas através do e-mail lgpd@integradas.med.br.

Direitos dos Titulares de Dados Pessoais

É obrigação da CLÍNICAS INTEGRADAS permitir que os titulares de dados exerçam seus direitos de forma gratuita e simplificada. Dentre os pedidos que podem ser feitos estão: confirmação da existência de tratamento, acesso aos dados, correção de informações, restrição de dados excessivos, portabilidade de dados para outro fornecedor, recusa de dar consentimento, revogação do consentimento previamente dado, eliminação de dados tratados com base em consentimento anterior, informações sobre compartilhamentos já realizados e revisão de decisões automatizadas. Os outros direitos serão regulamentados posteriormente pela ANPD.

Papéis E Responsabilidades

Encarregado de Proteção de Dados

É responsabilidade do Encarregado de Proteção de Dados da CLÍNICAS INTEGRADAS:

Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
Receber comunicações da ANPD e adotar providências;
Orientar os colaboradores e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
Monitorar se a CLÍNICAS INTEGRADAS está em conformidade com as diretrizes da LGPD, ou disposições normativas que abordem a proteção de dados, bem como com as políticas da empresa, além de verificar a atribuição de responsabilidades, conscientização e treinamento dos colaboradores envolvidos em operações relacionadas ao tratamento de dados pessoais;
Analisar e aconselhar, quando solicitado, sobre o Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”), e monitorar seu desempenho;
Cooperar com a ANPD;
Ser responsável pela comunicação e contato com a ANPD a respeito de dúvidas relacionadas ao tratamento de dados pessoais, incluindo questionamentos sobre a interpretação da lei e suas competências em casos omissos, conforme prevê o artigo 55-J, inciso XX;
Responder às solicitações dos titulares de dados referentes ao tratamento de dados pessoais e exercício dos seus direitos em conformidade com a LGPD;
Executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Comitê de Privacidade e Proteção de Dados

Compete ao Comitê de Privacidade e Proteção de Dados:

Apoiar o Encarregado de Dados em assuntos relacionados à privacidade e proteção de Dados Pessoais, visando o atendimento à LGPD, às políticas e aos procedimentos internos estabelecidos;
Supervisionar a realização do treinamento dos colaboradores em relação às políticas e procedimentos internos que tratem sobre o tema de privacidade e proteção de dados pessoais;
Propor a criação de novas políticas internas que se mostrem necessárias, relacionadas ao tema de privacidade e proteção de dados pessoais, ou alterações e aprovações de novas versões dos documentos que se mostrarem imprescindíveis para a conformidade sobre o tema;
Avaliar periodicamente os relatórios de impacto à proteção de dados pessoais e sugerir alterações que sejam necessárias para a adequação do risco aceitável pela CLÍNICAS INTEGRADAS;
Realizar auditorias nos processos para identificar possíveis falhas e descumprimentos das políticas de Privacidade e Proteção de Dados;
Garantir a responsabilização dos colaboradores e parceiros de negócio que não observarem as políticas e procedimentos internos da CLÍNICAS INTEGRADAS relativos à privacidade e proteção de dados pessoais;
Discutir e endereçar situações relacionadas ao atendimento das requisições de direitos de titulares de dados pessoais;
Conduzir entrevistas internas com colaboradores da CLÍNICAS INTEGRADAS, a fim de que sejam levantadas informações necessárias para cumprimento das atribuições do Comitê.
O Comitê de Privacidade da CLÍNICAS INTEGRADAS é formado por 01 (um) representante do Setor de Relacionamento, 01 (um) representante do Setor de Atendimento, 01 (um) Representante do Setor de Administração e 01 (um) representante do Setor Clínico.

Colaboradores e Terceiros

É responsabilidade dos colaboradores e terceiros:

Ler, compreender e cumprir todos os termos estabelecidos na Política de Privacidade, bem como aderir às demais regulamentações e procedimentos destinados à proteção de dados pessoais em vigor;
Notificar o Encarregado de Dados (DPO), acerca de qualquer incidente que infrinja esta Política ou que possa comprometer a segurança dos Dados Pessoais sob responsabilidade da CLÍNICAS INTEGRADAS;
Responder pela inobservância da Política de Privacidade, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições;
Garantir a integridade, disponibilidade e confidencialidade dos dados pessoais tratados no exercício de suas funções;
Armazenar os dados tratados em locais seguros e previamente autorizados pela CLÍNICAS INTEGRADAS, sendo terminantemente proibido o armazenamento em dispositivos pessoais, como notebooks, smartphones ou similar;
Não enviar ou armazenar os dados pessoais tratados no exercício da função, para endereços de e-mail pessoal ou dispositivos remotos como pen drives, celulares, HDs Externos ou outro meio capaz de gravar e distribuir tais dados.

Melhoria Contínua

Para garantir a disseminação do conhecimento entre todos envolvidos nas atividades relacionadas à proteção de dados, a CLÍNICAS INTEGRADAS compromete-se em:

Fornecer treinamentos e orientações para os colaboradores e terceiros, incluindo, mas não se limitando a workshops, reuniões internas, palestras, dentre outras iniciativas, disponibilizando conteúdo em formato digital e presencial;
Identificar e aprofundar a avaliação dos riscos que podem comprometer os controles na área de privacidade e proteção de dados pessoais, implementando planos de ação e políticas para mitigar os riscos identificados;
Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas corporativas;
Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes quando requisitado;
Revisitar, periodicamente, as políticas internas relacionadas à privacidade de dados, implementando melhorias.

Sanções e Penalidades

A aplicação de penalidades será feita conforme a análise conjunta do Encarregado de Dados (DPO), Comitê de Privacidade, Diretoria e Recursos Humanos, considerando a gravidade da infração, efeito alcançado, danos causados e recorrência.

Para colaboradores, as violações desta política, mesmo que por mera omissão ou tentativa não consumada, bem como demais normas e procedimentos de proteção de dados pessoais, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão.

No caso de terceiros, fornecedores e prestadores de serviço, deve-se analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.

Para o caso de violações que impliquem em atividades ilegais, ou que incorram em riscos aos titulares de dados pessoais, ou danos a CLÍNICAS INTEGRADAS, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.

Casos Omissos

Os casos omissos serão avaliados pelo Encarregado de Dados (DPO) em conjunto com o Comitê de Privacidade, para posterior deliberação do Controlador.

As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de proteção de dados pessoais, não se esgotam em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos.

Desta forma, não se constitui rol enumerativo, sendo obrigação de todos os envolvidos, adotar, sempre que possível, outras medidas de segurança além das aqui previstas, visando garantir proteção de dados pessoais tratados pela CLÍNICAS INTEGRADAS.

Documentos Relacionados

Política de Retenção e Descarte
Registro das Operações de Tratamento de Dados Pessoais (ROT)
Política de Resposta a Incidentes de Segurança com Dados Pessoais
Protocolo de Resposta aos Titulares de Dados
Papeis e Responsabilidades do Encarregado
Regimento Interno Comitê de Privacidade

Histórico De Versões E Revisões

Versão: 01

Elaborado em: Janeiro/2024

Elaborada por: Equipe Áurea Cruz & Advogados

Aprovada por: Gisele Cristina Saqueto

Rua Paulino de Siqueira Cortes, 2175, Centro
São José dos Pinhais, PR

+55 41 3147 9090

Política De Privacidade E Proteção De Dados Pessoais

Introdução

Definições

Objetivos

Diretrizes Da Clínicas Integradas Para Tratamento De Dados Pessoais