-
INTRODUÇÃO
A Política de Proteção de Dados Pessoais da Clínica MIM, adiante designada por MIM, pretende dar a conhecer a todos os clientes, colaboradores, prestadores de serviços, ou qualquer entidade que direta ou indiretamente se relacione com esta no âmbito do desenvolvimento da sua atividade, as regras e princípios da organização relativos à proteção de dados pessoais.
Desta forma, pretende-se partilhar com as partes interessadas os dados que recolhemos e a sua finalidade, dando ainda a conhecer as medidas que tomamos para proteger a sua privacidade.
A informação criada, processada e armazenada pela MIM, independentemente do seu suporte ou formato, e utilizada durante as atividades operacionais e administrativas do negócio, tem que ser protegida. Deste modo, a Segurança da Informação assenta em três fatores essenciais:
Confidencialidade significa que a informação está protegida contra o acesso ou exposição a entidades não autorizadas. Basicamente, significa que um utente deve ser capaz de confiar que a informação pessoal confidencial não é acedida por ninguém que não tenha os direitos e uma finalidade concreta para aceder a essa mesma informação. Devido à informação sensível nas aplicações clínicas e da quantidade de dados partilhados através do ecossistema de saúde, a confidencialidade assume-se como um dos pilares cruciais.
Integridade significa que a informação mantém todas as características definidas pelo seu responsável, incluindo o controlo das alterações ao longo do seu ciclo de vida. Os utentes devem ser capazes de confiar que os dados a que os profissionais de saúde têm acesso são precisos e completos e que o tratamento prescrito se baseie nesses mesmos dados. Na prestação de cuidados de saúde a integridade ganha um peso ainda mais relevante na medida em que uma falha na integridade dos dados pode ter como resultado danos diretos para a saúde do utente.
Disponibilidade significa que a informação está acessível ao pessoal autorizado sempre que for relevante. Trata-se de dar acesso à informação quando ela é necessária e, muitas vezes, num determinado contexto.
É também objetivo do presente documento garantir o cumprimento com as disposições legais aplicáveis dobre a proteção de Dados, nomeadamente no Regulamento Europeu de Proteção de Dados (Regulamento nº 2016/679 de 27 de abril de 2016).
-
DEFINIÇÕES
Para efeitos da presente política e do Regulamento Geral de Proteção de Dados (RGPD), entenda-se por:
Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
Tratamento: é qualquer operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Responsável pelo tratamento: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;
Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
Dados relativos à saúde: dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
Minimização dos dados: Princípio que impõe que os dados pessoais recolhidos devem ser limitados ao que é necessário relativamente às finalidades para os quais são tratados;
Violação de Dados Pessoais: Violação da segurança que provoque, de modo acidental, ou ilícito, a destruição, a perda, a alteração ou o acesso não autorizado a dados pessoais transmitidos ou sujeitos a qualquer outro tipo de tratamento.
-
POLÍTICA DE PROTEÇÃO DE DADOS
Responsabilidade pela Recolha e Tratamento
A MIM é a responsável pela recolha e tratamento dos dados pessoais.
Os profissionais da MIM (colaboradores ou prestadores de serviços) são um importante elemento no ciclo de vida do tratamento de dados dos clientes, na medida em que, em regra, serão estes que recolhem e tratam dados. Os profissionais deverão, assim, adotar um conjunto de procedimentos e cautelas na forma como manuseiam os dados, de forma a garantir a confidencialidade dos dados e, consequentemente, evitar falhas de segurança e acessos não autorizados.
Finalidade da Recolha de Dados Pessoais
A MIM recolhe dados pessoais com fins precisos, explícitos e legítimos, e nunca tratará esses dados de forma incompatível com esses objetivos.
A MIM utiliza os dados pessoais para a identificação dos clientes, agendamento e realização de serviços médicos, faturação e cobrança dos serviços prestados, avaliação da satisfação, resposta a reclamações e sugestões bem como para outros fins decorrentes de imposição legal.
Recolha de Dados Pessoais
Ao recolher dados pessoais, a MIM informa o titular dos mesmos da finalidade para o qual são recolhidos.
No momento da recolha os profissionais da MIM asseguram o princípio da minimização, assegurando-se de que apenas são recolhidos os dados pessoais estritamente necessários para o ato em questão. Deverá ainda ser garantida a prestação de informação acerca dos termos em que os dados pessoais irão ser utilizados, através dos seguintes elementos:
- Entidade e contactos do responsável pelo tratamento (MIM);
- Finalidade do tratamento;
- Eventuais destinatários dos dados;
- Transferência internacionais de dados e informações a esse respeito (se aplicável);
- Prazo de conservação dos dados;
- Condições de acesso, retificação e eliminação dos dados;
- Possibilidade de o titular retirar o consentimento;
- Direito a apresentar reclamação perante a Autoridade de Proteção de Dados (CNPD)
- Se o titular está ou não obrigado a fornecer os dados, e consequências do não fornecimento;
- Existência de decisões automatizadas (i.e. indicação se o titular dos dados fica sujeito a qualquer decisão tomada exclusivamente com base no tratamento automatizado dos seus dados).
Direitos dos Titulares dos Dados Pessoais
Nos termos do Regulamento Geral de Proteção de Dados, é garantido ao titular dos dados, o direito de acesso, atualização, retificação, limitação do tratamento ou eliminação dos seus dados pessoais, mediante pedido endereçado à MIM, através do email:
geral.braga@clinicamim.com
ou carta para a morada:
Rua António Cândido Pinto, nº57,
4715-400 Fraião, Braga.
Acesso aos Sistemas de Informação/Plataformas
Os profissionais de saúde devem garantir o acesso reservado aos sistemas de informação e plataformas nos quais são registados dados de saúde dos utentes. Os profissionais de saúde devem ainda abster-se de duplicar as bases de dados da clínica, criando, por exemplo, ficheiros próprios com a informação da base de dados/aplicação a que acede.
Registo e Acesso à Informação Clínica
O registo da informação clínica dos clientes deve ser efetuado, diretamente, pelo profissional da área de saúde. Apenas devem ser recolhidos e, consequentemente, registados os dados estritamente necessários para assegurar a prestação de cuidados médicos. O profissional de saúde deverá apenas aceder à informação clínica do cliente, no Processo Clínico ou outro, na medida em que tal seja necessário para a prossecução das suas funções.
A informação clínica não deve ser partilhada com terceiros, exceto para assegurar a continuidade da prestação de cuidados de saúde. Nessa situação, o profissional deve garantir que a partilha é efetuada, de forma segura e confidencial, a outro profissional sujeito à obrigação de confidencialidade e sigilo e que se tem todos os cuidados com esta partilha de informação.
Transporte da Informação Clínica
Os profissionais de saúde devem abster-se de, de alguma forma, transportar informação clínica constante do Processo Clínico ou outro, para fora da clínica, exceto nos casos autorizados pelos responsáveis da Instituição e para efeitos de garantia da continuidade da prestação de cuidados médios. Sempre que tal suceda, deverão ser adotadas medidas de segurança especiais, de forma a assegurar que a informação não é acedida por terceiros de forma indevida (em particular, a informação deverá ser anonimizada e/ou encriptada).
Utilização de Dispositivos Pessoais
O profissional da área da saúde não deve utilizar ou, de alguma forma, ligar dispositivos pessoais aos sistemas e plataformas da MIM, exceto nos casos em que exista aprovação prévia dos responsáveis da Clínica. Caso tal suceda, e atenta à natureza da informação, o profissional deve ter em consideração que o acesso à rede através de dispositivos móveis pessoais acarreta riscos de segurança e confidencialidade, pelo que deve adotar as medidas de segurança necessárias para proteger os dados a que aceda, através do seu dispositivo, contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito dos mesmos. Deve ainda, em qualquer situação, manter a informação confidencial em regime de sigilo e estrita confidencialidade, não permitindo o acesso a terceiros.
Utilização dos Dados para Finalidades Próprias
O profissional da área da saúde não pode tratar os dados recolhidos no âmbito da prestação de cuidados de saúde para finalidades próprias. Caso pretenda utilizar os dados para fins académicos ou de investigação, deverá obter a aprovação dos responsáveis da Clínica, devendo recolher o consentimento do cliente para o efeito, prestando-lhe a informação necessária acerca dos termos em que os dados irão ser utilizados. Nesta situação, o profissional será considerado responsável pelo tratamento dos dados.
Comunicação de Violações de Dados Pessoais
Caso ocorra qualquer falha ou incidente que envolva dados pessoais, o profissional de saúde deverá proceder à comunicação do mesmo, de acordo com os procedimentos estabelecidos para o efeito. Na medida em que tenham informação acerca do incidente, deverão disponibilizá-la aquando da comunicação. Em particular, deverão comunicar a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa.
Comunicação dos Dados a outras Entidades
A MIM apenas transmitirá dados a terceiros, quando o seu titular o solicite ou autorize ou quando se tratar de uma imposição legal.
Sempre que haja a necessidade de transmissão de determinados dados pessoais a subcontratantes, a MIM irá adotar medidas adequadas de forma a garantir que as entidades com quem os dados são partilhados têm implementadas medidas de segurança e proteção dos dados que permitam preservar os seus dados pessoais, assegurando ainda que os mesmos são utilizados de acordo com a finalidade previamente estabelecida.
Em caso de exigência de dados pessoais por auditores ou autoridades externas, o seu fornecimento será limitado ao estritamente necessário para que essas entidades possam executar adequadamente as tarefas e funções que por via da lei ou de contrato lhes estão cometidas.
-
MEDIDAS DE SEGURANÇA E BOAS PRÁTICAS
A MIM garante que colocará em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acessos não autorizados, bem como a adoção de medidas que garantam um nível de proteção adequados em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger.
- A informação de saúde deverá ser de acesso restrito ao médico ou, sob a sua direção e controlo, a outros profissionais de saúde obrigados a sigilo profissional.
- Quando a recolha de dados pessoais referentes à saúde não for efetuada diretamente pelo profissional de saúde (por exemplo, preenchimento de um questionário diretamente pelo titular dos dados), têm de ser tomadas medidas concretas quanto à circulação dessa informação, que impeçam a visualização dos dados por pessoa não autorizada, designadamente mediante entrega direta ao profissional de saúde ou entrega nos serviços, em envelope fechado, endereçado ao profissional de saúde.
- A ficha clínica não deve conter dados sobre a raça, a nacionalidade, a origem étnica ou informação sobre hábitos pessoais do trabalhador, salvo quando estes últimos estejam relacionados com patologias específicas ou com outros dados de saúde. (cf. n.º 3 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).
- No caso da Medicina Ocupacional, o empregador apenas deverá ser informado dos resultados necessários à tomada de decisão em matéria de emprego, através da “ficha de aptidão”. A informação de saúde em caso algum poderá ser comunicada ao empregador.
- Sempre que haja circulação da informação de saúde em rede, a transmissão dos dados deve ser cifrada.
- O sistema informatizado deve estar estruturado, de modo a permitir o acesso à informação de acordo com os diferentes níveis de acesso dos utilizadores, sendo atribuídas palavras passe de acesso ao software que disciplinem as autorizações de acesso. Tais palavras passe devem ser periodicamente alteradas e eliminado o utilizador logo que estes deixem de ter permissões de acesso.
- Deve ser garantido o acesso restrito, sob ponto de vista físico e lógico, aos servidores do sistema, que devem manter um registo de auditoria à informação sensível.
- As cópias de segurança, devem ser mantidas em local apenas acessível ao administrador de sistemas.
- No que diz respeito aos dados contidos em suporte de papel, serão adotadas medidas organizativas, que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos.
- A ficha clínica só pode ser facultada às autoridades de saúde e aos médicos da Autoridade para as condições de trabalho (cf. n.º 2 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).
- Nos termos do disposto na alínea e) do artigo 5.º do RGPD os dados apenas podem ser conservados durante o período necessário para a prossecução das finalidades da recolha ou tratamento posterior.
- Nos termos do artigo 46.º da Lei n.º 102/2009, cabe à entidade patronal o dever de conservar os registos referentes aos aspetos subjacentes à medicina no trabalho por, pelo menos, 40 anos após terminada a exposição dos trabalhadores a que digam respeito.
- O direito de informação é corolário dos princípios da boa-fé, da lealdade e da transparência. Neste sentido, o titular dos dados deve ser informado de todas as operações de tratamento de dados de dados pessoais e de obter, no momento da recolha desses dados, uma informação rigorosa e completa das circunstâncias dessa recolha, tal como estabelecido nos artigos 12.º e 13.º do Regulamento Geral de Proteção de Dados.
- O direito de acesso aos seus dados por parte do titular, bem como o direito de retificar ou solicitar o apagamento dos seus dados pessoais, se aplicável, são estabelecidos pela legislação de proteção de dados pessoais. A efetivação destes direitos é essencial para a verificação dos princípios da minimização, exatidão e atualização, adequação e da limitação da conservação.
- Nos termos do artigo 15.º do RGPD, o titular dos dados tem o direito de obter o acesso aos dados pessoais tratados. No caso de dados relacionados com saúde, o direito de acesso deverá ser exercido por intermédio do médico responsável pelas operações de tratamento de dados. O mesmo se aplica ao direito de retificação (previsto no artigo 16.º). Dada a especificidade do tratamento de dados de saúde, estes direitos deverão ser exercidos diretamente junto de um médico ou profissional de saúde sujeito a segredo profissional, uma vez que o conhecimento destes dados está limitado a estas pessoas.
- A base legal para o tratamento de dados pessoais na área da medicina no trabalho é a alínea h) do nº2 do artigo 9.º do RGPD.
- O direito ao apagamento da informação não se aplica a esta operação de tratamento por força do artigo 9. alínea h) e alínea c) do nº3 do artigo 17.º.b do RGPD.
-
ALTERAÇÕES À POLÍTICA DE PRIVACIDADE
A MIM reserva-se ao direito de, a qualquer altura, proceder a ajustamentos ou alterações à presente “Política de Privacidade”, sendo tais alterações devidamente divulgadas no seu website.