1. OBJETIVO
A Política de Privacidade apresenta como ocorre o Tratamento (coleta, utilização, armazenamento, avaliação, compartilhamento etc.) dos Dados Pessoais e Cookies dos Titulares que acessem o Website, os Aplicativos ou qualquer outra forma de relacionamento com a UNILASER, sendo o principal intuito, proteger e resguardar a privacidade e a proteção dos dados dos pacientes.
Esta Política atende à legislação referente à privacidade e proteção de dados pessoais no Brasil, especialmente a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18), assim como outras leis e normas setoriais, como a Lei nº 12.965/14 (Marco Civil da Internet), o Decreto nº 8.771/16, bem como as Resoluções da Agência Nacional de Saúde Suplementar – ANS e o Conselho Federal de Medicina – CFM.
2. INTRODUÇÃO
A UNILASER é um prestador privado de serviços de saúde, com especialidade na Oftalmologia e em suas subespecialidades.
Para prestar os serviços médicos e hospitalares é necessário utilizar dados pessoais fornecidos pelos pacientes ou pelas Operadoras de Planos de Saúde.
3. CONCEITOS
LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Marco Civil da Internet: Lei nº 12.965, de 23 de abril de 2014, que estabelece os princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Banco de Dados: conjunto de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico.
Dados Pessoais: informações relacionadas a pessoa natural identificada ou identificável (ex.: nome, endereço, CPF, e-mail etc.). Também são considerados dados pessoais aqueles utilizados para a formação do perfil comportamental de determinada pessoa natural, se identificada.
Dados Pessoais Sensíveis: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular dos Dados Pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Nosso compromisso com o Titular é pautado na transparência das informações e na privacidade dos seus Dados Pessoais e Cookies. Para tanto, nos comprometemos a limitar a coleta e o Tratamento ao mínimo necessário para as finalidades pretendidas.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Website: o domínio www.unilaseroftalmo.com
Aplicativos: aplicativos para smartphones, tablets, computadores ou outros dispositivos, licenciados ou de titularidade da UNILASER.
Cookies: pequenos arquivos de texto que ficam armazenados no navegador do computador ou outro dispositivo (smartphones, tablets etc.) do usuário ao acessar o Website e que servem para registrar o seu comportamento durante a navegação. As informações dos Cookies que, eventualmente, permitam essa identificação serão consideradas Dados Pessoais.
Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus Dados Pessoais para uma finalidade determinada.
4. COMO FUNCIONA A POLÍTICA DE PRIVACIDADE NA UNILASER
4.1. Quais são os dados pessoais coletados de pacientes:
Para a prestação de nossos serviços médico/hospitalares, coletamos dados pessoais e dados pessoais sensíveis fornecidos diretamente por nossos pacientes (titular dos dados), de forma automática (extraídos de resultados de exames ou após o atendimento médico), ou através de cadastros oriundos das Operadoras de Planos de Saúde.
A coleta de dados pessoais e dados sensíveis para tratamento é realizada com base em medidas necessárias para assegurar a exatidão, integridade, confidencialidade, e anonimização, bem como garantir o respeito à liberdade, privacidade, inviolabilidade da intimidade, imagem e todos os direitos dos titulares, inclusive o exercício do direito de solicitar acesso, correção e eliminação de dados pessoais e sensíveis armazenados em banco de dados e sistema digital da UNILASER.
Os principais dados coletados são: nome, CPF, identidade, endereço, data de nascimento, naturalidade, nacionalidade, estado civil, escolaridade, religião, etnia, nacionalidade, nome do pai, mãe, cônjuge, e-mail, telefone, cartão de saúde, dados biométricos, telefones para contato, dados sobre o estado de saúde, alergias, imagens de ferimentos, resultados de exames, medicação em uso e histórico familiar de doenças.
Também, poderemos manter gravadas e armazenadas suas mensagens e ligações, inclusive para cumprimento de obrigação legal.
Além dos referentes aos nossos colaboradores, também tratamos dados dos profissionais de saúde que prestam serviços nas dependências da UNILASER, que podem envolver nome completo, e-mail, foto, data de nascimento, CPF, RG, gênero, telefones de contato, currículo, dados de pagamento, endereço, certidão de ética, dados do registro nos órgãos de classe e outras informações necessárias à prestação dos nossos serviços.
4.2. Com quem a UNILASER compartilha os dados pessoais de pacientes e com qual finalidade:
a. Médicos, para a tutela da saúde, em procedimentos que, pelas suas particularidades, dispensam a coleta de consentimento, como por exemplo, nos casos de consultas médicas, procedimentos cirúrgicos, anestésicos etc., quando são coletados, por exemplo, dados como altura, peso, hábitos alimentares, pressão arterial entre outras informações.
b. Podemos compartilhar dados pessoais com fornecedores de outros serviços essenciais às nossas atividades, tais como provedores de hospedagem, plataformas de prescrição digital e meios de pagamento, bem como anunciantes ou agências.
c. Também somos obrigados a compartilhar dados com Autoridades/órgãos governamentais em decorrência de exigência legal ou regulatória, tais como:
• Notificação compulsória em caso de suspeita de maus tratos de crianças, conforme artigo 13 do Estatuto da Criança e Adolescente;
• Coleta de consentimento do paciente para realização de procedimento médico indicando os riscos inerentes ao referido procedimento, conforme art. 22 do Código de Ética Médica.
• Compartilhamento de dados com o Ministério da Saúde, para formação do conjunto mínimo de dados, consoante artigo 47 da Lei nº 8.080/1990 e artigo 4º do Decreto 29/2017.
• Notificação compulsória de doenças, conforme Lei nº 6.259/1975.
• Transmissão de dados para Operadoras de Planos de Saúde, para fins de elegibilidade, autorização, faturamento, pagamento e auditoria dos serviços prestados.
• Transmissão de dados à Agência Nacional de Saúde Suplementar – ANS, através do padrão TISS, para fins de acompanhamento regulatório.
d. Podemos tratar e compartilhar dados para, em caso de emergência, preservar a vida e incolumidade física do paciente, uma vez que em tais hipóteses a coleta do consentimento seria bastante arriscada ou inviável.
e. Mediante ordem judicial ou pelo requerimento de autoridades administrativas que detenham competência legal para a sua requisição.
4.3. Cuidados no Tratamento dos Dados Pessoais:
A UNILASER adota mecanismos de controle interno para restringir o acesso aos seus Dados Pessoais apenas aos colaboradores que necessitem daquela informação para o desempenho das suas funções.
Todos os acessos são monitorados e registrados para conferir maior segurança e mitigar os riscos de acesso não autorizado ou de perda, destruição, alteração ou qualquer outra forma de Tratamento indevido.
Os processos de tratamento de dados envolvem alguns sujeitos principais, a saber:
a. Titular dos dados – É a pessoa a quem os dados se referem, no caso, o paciente. Mas aqui também pode ser os colaboradores e os parceiros.
b. Controlador – É a pessoa física ou jurídica que toma as decisões sobre o tratamento de dados.
c. Operador – É a pessoa física ou jurídica que, de fato, realiza o tratamento de dados pessoais (em nome do controlador).
d. Agentes de tratamento – Denominação utilizada pela LGPD para se referir, conjuntamente ao controlador e ao operador.
e. Encarregado – pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Também chamado de DPO – Data Protection Officer.
Critérios observados no tratamento de dados pessoais na UNILASER:
a. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
b. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
c. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
d. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
e. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
f. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
g. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
h. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
i. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
j. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Quanto aos dados sensíveis a LGPD em seu artigo 11, determina que só poderá haver o tratamento desses dados quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
Se não houver o consentimento do paciente, os dados sensíveis somente poderão ser tratados para:
a. o cumprimento de obrigação legal ou regulatória pelo controlador;
b. o tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c. a realização de estudos por órgão de pesquisa; o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
d. a proteção da vida ou da incolumidade física do titular ou de terceiros; a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviço de saúde ou autoridade sanitária;
e. ou a prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, salvo se prevalecerem direitos e liberdades fundamentais do titular.
Nesse contexto, a LGPD proíbe a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica.
Portanto, seja para o tratamento de dados pessoais ou sensíveis, ambos exigem o consentimento do paciente, daí a importância do termo de consentimento de proteção de dados. Ressalta-se que tal consentimento poderá ser revogado a qualquer momento por parte de seu titular, desde que seja por manifestação expressa (artigo 8º, §5º).
Também importante destacar, que o paciente poderá requerer a portabilidade de seus dados para outra clínica médica, mediante requisição expressa e comprovação dos dados pessoais (artigo 18, V).
4.4. Medidas de segurança são tomadas para a proteção dos dados pessoais:
A UNILASER mantém sistemáticas de controle que ajudam a evitar a perda, uso indevido ou acesso não autorizado, divulgação, alteração ou destruição dos dados pessoais fornecidos por seus pacientes, colaboradores e stakeholders. Dentre as medidas adotadas, destacam-se o armazenamento em servidores próprios, controle de acesso, dentre outras.
4.5. Por quanto tempo os dados pessoais são armazenados:
Somente pelo tempo que for necessário para cumprir as finalidades às quais os dados foram coletados ou para atendimento de obrigações legais ou regulatórias que estamos sujeitos. Por exemplo, os dados de saúde deverão ser guardados por, no mínimo, 20 anos, contados de seu último registro, conforme Resolução CFM no 1638/02 e do Parecer CFM no 10/09 e Lei 13.787/2018.
4.6. Quais são os direitos dos titulares dos dados:
A UNILASER assegura aos titulares dos dados pessoais todos os direitos previstos na Lei Geral de Proteção de Dados Pessoais, a saber:
• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade de seus dados a outro fornecedor de serviço, mediante requisição expressa pelo Titular;
• Eliminação dos dados tratados com consentimento do Titular dos dados;
• Obtenção de informações sobre as entidades públicas ou privadas com as quais o UNILASER compartilhou seus dados;
• Informação sobre a possibilidade de não fornecer o seu consentimento, bem como de ser informado sobre as consequências, em caso de negativa;
• Revogação do consentimento.
4.7. Como falar com o Encarregado de proteção de dados na UNILASER:
Caso o paciente julgar que seus dados pessoais foram usados de maneira incompatível com esta Política ou com as suas escolhas, ou, ainda, se tiver outras dúvidas, requisições, comentários ou sugestões relacionadas à gestão de seus dados pela UNILASER, para exercer seus direitos entrar em contato com a Diretoria da UNILASER através do e-mail: unilaser@unilaseroftalmo.com . Nos comprometemos a responder todas as requisições no prazo previsto em legislação.
Em alguns casos, os quais serão devidamente fundamentados, a UNILASER poderá ter motivos legítimos para deixar de atender a uma solicitação de exercício de direitos. Essas situações incluem, por exemplo, casos em que pedidos de exclusão de dados não possam ser atendidos em razão da existência de um interesse legítimo na retenção de dados pessoais, seja para cumprir obrigações legais, regulatórias ou para possibilitar a defesa da UNILASER ou de terceiros, em disputas de qualquer natureza.