Institui-se a seguir a Política de Privacidade e Segurança da Informação da CINTIVALI – CLÍNICA DE MEDICINA NUCLEAR LTDA, inscrita no CNPJ sob nº 79.371.639/0001-33, com nome fantasia NUCLEAR LITORAL, situada na Rua João Angelino Lopes Junior, nº 68, Bairro Centro, Itajaí/SC, que é aplicável a todos os dados pessoais de seus clientes, pacientes, colaboradores e fornecedores tratados no âmbito da clínica médica. Com isso, esta política reafirma o compromisso da clínica em proteger a privacidade dos dados pessoais tratados, nos termos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), bem como as demais legislações aplicáveis ao tema.
Esta política deve ser observada por todos aqueles que se relacionam com a Nuclear Litoral, bem como por aqueles que venham a executar, em algum momento, atividades de tratamento de dados pessoais por conta deste relacionamento.
Dado pessoal: toda informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a oranização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Agentes de tratamento: o controlador e o operador;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado de proteção de dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Base legal: fundamentação legal que torna legítimo o tratamento de dados pessoais para uma determinada finalidade;
Compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Autoridade nacional de proteção de dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
A aplicação desta Política será pautada pelo dever de boa-fé, o intuito de proteger os dados pessoais de acessos indevidos ou do uso irregular e pela observância dos princípios previstos no artigo 6° da Lei n° 13.709/2018 (Lei Geral de Proteção de Dados – LGPD):
Finalidade: Realizar o tratamento dos dados somente para os fins legítimos, específicos e informados ao titular;
Necessidade: Limitar o tratamento ao mínimo indispensável para a execução das finalidades;
Livre acesso: Garantir ao titular o acesso gratuito e prático sobre a forma e a duração do tratamento de todos os seus dados pessoais sob os cuidados da clínica;
Qualidade dos dados: Garantir aos titulares que seus dados armazenados estejam corretos e atualizados, de modo a cumprir adequadamente com as finalidades para as quais se destinam;
Transparência: Fornecer informações claras e precisas a respeito dos tratamentos realizados e dos controladores e operadores de dados, respeitados os segredos comerciais e industriais;
Segurança: Adotar as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda ou divulgação indevida deles, nos limites técnicos razoáveis e no âmbito de suas responsabilidades;
Prevenção: Adotar medidas preventivas a fim de diminuir a ocorrência de danos aos dados pessoais tratados;
Não discriminação: Recusar-se terminantemente a realizar tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A Nuclear Litoral está ciente de todos os direitos assegurados aos titulares de dados pessoais, previstos no artigo 18, da Lei Geral de Proteção de Dados, quais sejam:
I – Confirmação da existência de tratamento de dados de sua titularidade;
II – Acesso aos seus dados pessoais tratados;
III – Correção de dados incompletos, inexatos ou desatualizados;
IV – Anonimização dos dados, bloqueio ou eliminação de dados desnecessários ou em desacordo com a legislação;
V – Portabilidade de seus dados, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – Revogação do consentimento e consequente eliminação dos dados tratados mediante consentimento do titular;
VII – Obtenção de informações sobre o compartilhamento dos dados;
VIII – Fazer reclamação contra o controlador, com relação aos seus dados, para a autoridade nacional de proteção de dados.
4.1 A Nuclear Litoral dispõe de um canal de comunicação específico voltado para o atendimento dos titulares de dados pessoais (lgpd@elementarconsultoria.com.br), onde estes poderão solicitar todas e quaisquer informações ao Encarregado de Dados Pessoais, inclusive podendo elaborar requisição expressa acerca de informações sobre os seus dados.
A clínica, em razão da própria natureza de sua atividade, realiza o tratamento tanto de dados pessoais comuns, quanto dados pessoais sensíveis de colaboradores e seus dependentes, pacientes, prestadores de serviços, terceiros autorizados, entre outros. Não se olvidando que, o tratamento de dados classificados como “sensíveis” exige maior cuidado e atenção.
5.1 A forma de coleta e armazenamento destes dados é realizada de diversas maneira, a depender de quais dados (se comuns ou sensíveis), do processo, da finalidade, entre outros motivos.
Os dados tratados pela clínica, divididos nas duas categorias mencionadas acima, bem como suas finalidades para o tratamento e as formas de coleta são os descritos abaixo:
Formas de coleta: WhatsApp, E-mail, Colaboradores, e sistemas específicos.
Dados Pessoais Comuns: Nome Completo; Nome Social (se necessário); CPF; RG; Data de Nascimento; Estado Civil; Endereço completo; Telefones para contato; Sexo; Qualificações acadêmicas; Histórico de emprego; Nº PIS; Nº Título de Eleitor; Nº Carteira de Motorista; E-mail; Cópia do Cartão Vale Transporte; Nº Cartão Convênio; Nº CRM, coletados para as seguintes finalidades:
Recrutamento e seleção; Admissão; Manter relação trabalhista; Atendimento; Agendamento de consultas, exames e cirurgias; Cadastro dos pacientes particulares; Cadastro dos pacientes convênios; Autorização de consultas, exames e procedimentos conforme orientação dos Planos de Saúde; Emissão de boletos, faturas e notas fiscais; Envio de comunicados e correspondências; Atendimento da legislação e normas vigentes e complementares; Faturamento dos exames contra Planos de Saúde conveniados; Anamnese/Avaliação médica; Uso em processos administrativos e/ou judiciais; Cumprimento de ordens judiciais e de órgãos de fiscalização; Gestão de contratos.
Dados Pessoais Sensíveis: Carteira de Vacinação; Certidão filhos menores; Fotos/Vídeos; Filiação Sindical; Dados clínicos; Biometria; Dados corporativos; Diagnósticos; Hipóteses Diagnósticas, coletados para as seguintes finalidades:
Registro de ponto biométrico; Controle de acesso e de segurança patrimonial; Apuração de responsabilidade em casos de furtos/roubos; Uso em processos administrativos e/ou judiciais; Atendimento da legislação e normas vigentes e complementares; Cumprimento de ordens judiciais e de órgãos de fiscalização; Registro histórico do paciente; Registro histórico do colaborador; Realização de atendimento, triagem, anamnese, diagnóstico e prescrição aos pacientes; Aplicação de medicações; Análise, autorização e realização de exames e procedimentos médicos; Controle da participação em programas de medicina preventiva e de assistência à saúde; Geração de declarações de comparecimento, receitas e atestados médicos; Identificação de doenças e/ou agravos;
O tratamento de dados de crianças e adolescentes deve se pautar pelo seu melhor interesse e por sua máxima proteção, devendo a Nuclear Litoral disponibilizar as informações sobre o tratamento realizado de maneira simples, clara e acessível, proporcionando o seu pleno entendimento por parte da criança, do adolescente, dos pais e dos responsáveis legais.
6.1 Para fins desta Política, considera-se criança os menores de 16 anos e adolescente aqueles entre 16 e 18 anos.
6.2 O tratamento de dados de adolescente seguirá adicionalmente as regras civis e penais aplicáveis.
6.3 O tratamento de dados de criança na atividade da clínica admite excepcionalmente a dispensa fundamentada do consentimento elencado no art. 14, §1º, da LGPD, quando tal medida for estritamente necessária para sua proteção e seu melhor interesse, assim como quando a coleta for necessária para contatar os pais ou responsáveis legais, de acordo com o art. 14, §3º, da LGPD.
6.4 É vedado o repasse de dados pessoais de criança a terceiro sem o consentimento específico e destacado de um de seus pais ou responsáveis legais, neste último caso com a obrigação de a clínica realizar esforços razoáveis e tecnologicamente possíveis para verificação da higidez do consentimento fornecido e da veracidade do responsável, mantendo pública a informação acerca dos dados coletados, da forma de sua utilização e dos procedimentos para o pleno exercício dos direitos do titular dos dados, nos termos do art. 14, §2º c/c art. 18 da LGPD.
O titular de dados está ciente de que fornece informações de forma consciente e voluntária e que as finalidades de uso de tais dados pessoais fornecidos enquadram-se em alguma das razões legais estabelecidas na Lei Geral de Proteção de Dados.
7.1 A Nuclear Litoral, como controladora destes dados pessoais, cumpre rigorosamente os princípios da legalidade, finalidade, necessidade e boa-fé, somente coletando e tratando dados pessoais que se encontrem cobertos por alguma das seguintes hipóteses legais de tratamento:
a) Para o cumprimento de obrigação legal ou regulatória, notadamente aquelas relacionadas às obrigações fiscais, tributárias, setoriais, trabalhistas, entre outras;
b) Para a execução ou preparação preliminar de contrato, necessário para regular as relações de terceiros e pacientes com a clínica;
c) Para o exercício de direitos em processo judicial, administrativo ou arbitral;
d) Para a proteção da vida ou da incolumidade física do titular ou de terceiros, em situações de urgência/ emergência de atendimento;
e) Tutela da saúde, quando o tratamento dos dados pessoais for essencial para a execução dos serviços médicos e de enfermagem;
f) Para atender interesses legítimos do controlador;
g) Para proteção do crédito; ou
h) Mediante consentimento do titular de dados.
7.2 A Nuclear Litoral poderá, nas atividades voltadas ao estrito exercício de suas funções e de acordo com as hipóteses de tratamento estipuladas pela LGPD, proceder ao tratamento de dados pessoais independentemente de consentimento dos titulares.
7.3 Os contratos firmados pela Nuclear Litoral com terceiros serão, gradativamente, adaptados para, no que couber, alinharem-se a esta Política.
Parágrafo Único: Os contratos em vigor poderão ser revistos para adaptação e adequação a esta Política, e, dentro de suas particularidades, serem aditados ou regidos por disciplina própria para a consecução dessa reformulação.
É operador, no âmbito da Nuclear Litoral, a pessoa natural ou jurídica, de direito público ou privado, que realizar tratamento de dados pessoais em nome da clínica (Controlador).
8.1 Nos limites exigidos e autorizados por lei, a clínica fará o compartilhamento de dados pessoais de seus titulares com terceiros, considerando sempre os princípios da necessidade, transparência e segurança de tais operações:
a) Quando necessário em decorrência de obrigação legal, determinação de autoridade competente ou decisão judicial;
b) Com as empresas e indivíduos contratados para a execução de determinadas atividades e serviços em nome da clínica (como empresa de consultoria, médicos, instrumentadores(as), entre outros);
c) Com fornecedores e parceiros para execução dos serviços contratados (como tecnologia da informação, contabilidade, entre outros);
d) Com estabelecimentos de saúde (hospitais e laboratórios) para a realização de determinados atendimentos e procedimentos, com a ciência do paciente (Termo de Consentimento);
e) Com os colaboradores para a realização do tratamento de dados em nome do Controlador;
f) Empresas de auditoria externa, para conferência e certificação de conformidade;
g) Empresas de auditoria médica;
h) Empresas de planos de saúde e convênios, para cobrança das consultas, procedimentos, exames e outras atividades necessárias à realização do objeto contratual firmado entre o paciente beneficiário do plano de saúde/convênio e este último, propriamente dito;
i) Agências de publicidade, para a realização de propaganda, campanhas publicitárias e realização de eventos;
j) Bancos e cooperativas de crédito, para a execução de transações financeiras, como recebimentos e reembolsos;
8.2 Os operadores conforme mencionado acima deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos.
8.3 A Nuclear Litoral deixará ciente os respectivos Titulares sobre eventuais demandas legais que resultem na divulgação de informações pessoais, a menos que esta divulgação seja vedada por lei ou proibida por mandado judicial ou, ainda, se a requisição for emergencial.
A Nuclear Litoral adotará boas práticas e governança em segurança da informação visando adotar comportamentos adequados e mitigar os riscos de comprometimento e incidentes de dados pessoais tratados no âmbito de suas atividades.
9.1 A Nuclear Litoral dispõe de Política de Privacidade e Segurança da Informação, além de políticas internas, que determinam a adoção de medidas técnicas e administrativas de segurança para a proteção de dados pessoais contra acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
9.2 Além de procurar atender os requisitos mínimos exigidos pela legislação, a clínica fundamenta a proteção dos dados pessoais em três pilares, que envolvem:
Tecnologia: Possuímos controles voltados ao uso de antivírus, antimalwares, autenticação multifatores, gerenciamento de senhas, controle de acesso e outros instrumentos destinados à proteção das bases de dados. Também exigimos de nossos fornecedores de T.I. que ofereçam níveis de segurança adequados, de acordo com o que dispõe a legislação aplicável.
Processos: Possuímos políticas específicas para a segurança da informação e para a proteção de dados pessoais implementadas, que regulamentam a forma como os dados são tratados e armazenados na clínica e estabelecem as diretrizes de segurança necessárias e adequadas. Todos os processos que envolvem dados pessoais estão mapeados e possuímos procedimentos detalhados, voltados às melhores práticas no trato de dados pessoais. Realizamos periodicamente o gerenciamento de riscos, gerando ações para sua mitigação.
Pessoas: Acreditamos ser fundamental o estabelecimento de uma cultura de proteção de dados pessoais, integrando tecnologia, processos e pessoas. Para tal, possuímos um plano de comunicação voltado à disseminação de informações relacionadas à proteção de dados junto aos nossos colaboradores, promovemos eventos periódicos de capacitação interna, através de reuniões de conscientização e aplicamos regras rígidas com imposição de medidas disciplinares em caso de eventuais transgressões às nossas políticas de proteção de dados.
9.2.1 É importante ressaltar, que mesmo com todas essas medidas, ainda estamos sujeitos à ocorrência de incidentes com dados pessoais, sendo impossível oferecer uma garantia absoluta de proteção. Dessa forma, em observância aos princípios legais de responsabilidade e de transparência, a clínica se compromete a informar o titular de dados pessoais sobre qualquer incidente relacionado aos seus dados, tão logo tenha conhecimento, bem como a adotar as medidas de contingência necessárias, visando impedir e/ou minimizar eventuais problemas.
Para a boa execução das atividades da clínica e a correta prestação dos serviços oferecidos, faz-se necessário o tratamento de dados pessoais. Porém, comprometemo-nos, fundamentados no princípio da necessidade, a eliminar ou anonimizar, sempre que possível, os dados pessoais que deixarem de servir às finalidades para as quais foram coletados.
10.1 Na hipótese de revogação do consentimento (§ 5º do art. 8º, da LGPD), a clínica se obriga a parar de realizar o tratamento dos dados pessoais.
10.2 Em algumas situações, mesmo após o encerramento da relação contratual, da solicitação de revogação do consentimento ou do término da finalidade para qual o dados foram coletados, a clínica terá que manter os dados pessoais em sua base de dados, conforme períodos estabelecidos pela legislação ou para constituição de provas em defesa de seus direitos, em processos administrativos, judiciais ou arbitrais.
Esta Política de Privacidade está sujeita a alterações, em função de mudanças nos dados pessoais tratados, nos compartilhamentos efetuados ou para atendimento da legislação de proteção de dados e seus regulamentos.
Portanto, a clínica procederá a atualização periódica desta política, com a devida publicidade sempre que necessário.
Atualizada em: 18 de maio de 2022.