1. OBJETIVO

Apresentar aos colaboradores do CEAP as diretrizes da proteção aos dados pessoais além de estabelecer as suas responsabilidades e os limites de atuação com relação aos dados pessoais. A Diretoria do CEAP está comprometida e apoia as diretrizes estabelecidas nesta Política bem como na aplicável, fortalecendo os negócios, as parcerias e as relações com os titulares dos dados pessoais.

2. Aplicação

Todos.

3. DEFINIÇÕES

– Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

– Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

– Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

– Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

– Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

– Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

– Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

– Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

– Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

– Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

– Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

– Minimização: O princípio da minimização de dados estabelece que o controlador, deve coletar a menor quantidade de dados possíveis e de forma menos invasiva, primando pelos dados estritamente necessários para o fim a que se destina.

– Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

– Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

– Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

– Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

– Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

4.    DESCRIÇÃO

4.1 Implantação

Em cumprimento ao disposto na lei 13.709/2018 (LGPD), o CEAP, firma o compromisso de garantir o respeito a privacidade de dados de seus clientes e colaboradores, primando pela segurança de todos os dados aos quais tem acesso. Assim, em consonância a legislação em vigor aplicável e às mais rígidas normas de segurança da informação, estabelece-se a presente Política de privacidade.

Recomendamos que a política abaixo seja lida com atenção. Ela descreve como são tratados os seus dados pessoais quando você:

(I) utiliza os serviços do CEAP;

(II) está inserido no quadro de colaboradores;

(III) possui contrato de fornecedor ou prestador de serviços.

4.2 Bases legais para tratamento de dados pessoais

O tratamento dos dados pessoais, de acordo com a legislação vigente, somente pode ser realizado em caso de:

1. Consentimento do titular dos dados pessoais, sendo vedado o tratamento de dados pessoais mediante vício de consentimento;
2. Cumprimento de uma obrigação legal ou regulatória;

• Tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

1. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
2. Proteção da vida ou da segurança física da pessoa a quem os dados pessoais se referem;
3. Proteção da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

O tratamento de dados pessoais sensíveis deve ser precedido de relatório de impacto à proteção de dados pessoais e somente pode ser realizado em caso de:

1. Consentimento pelo titular ou seu responsável legal, de forma específica e destacada, para finalidades específicas;
2. Cumprimento de obrigação legal ou regulatória;

• Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

1. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
2. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
3. Proteção da vida ou da incolumidade física do titular ou de terceiro;

• Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos

4.3 Finalidade

O CEAP tem por finalidade na coleta de dados, prestar serviços em saúde, oferecendo a seus clientes a segurança de resultado de exames clínicos laboratoriais.

Todos os dados coletados tem por finalidade a prestação deste serviço, uma vez que possibilitam a correta identificação dos pacientes e suas amostras, ou ainda podem se tornar dados relacionais com fatores indispensáveis, como por exemplo, a idade e sexo. Neste sentido, somente serão coletados os dados necessários, não sendo armazenado nenhum dado que não seja utilizado, ou seja, dispensável, como por exemplo, convicções políticas e/ou religiosas, primando pelo princípio da minimização dos dados.

Ainda, poderá ocorrer o processamento de dados com a finalidade de manutenção de vínculo empregatício, onde serão coletados, processados e armazenados, dados de todos os colaboradores.

Os dados coletados poderão vir a ser o CPF, RG, NOME CIVIL, NOME SOCIAL, GÊNERO, DATA DE NASCIMENTO, NOME DA MÃE, ENDEREÇO E TELEFONE DE CONTATO entre outros dados pertinentes para cadastros, com a finalidade de garantir total rastreabilidade da amostra.

4.4 Compartilhamento de dados

Todos os dados coletados e processados pelo CEAP, poderão vir a ser compartilhados com ou sem o consentimento de seu titular, a depender do caso específico e da situação em ensejadora.

Importante salientar que serão compartilhados apenas e tão somente os dados necessários ao destinatário, seja para realização de exames em laboratórios terceiros, seja para faturamento em operadoras de saúde ou órgãos governamentais, não sendo em nenhuma hipótese, compartilhado dados de forma desnecessária, invasiva e sem qualquer relação com o serviço prestado.

Poderão ser compartilhados os respectivos dados:

• NOME;
• RG;
• CPF;
• SEXO;
• DATA DE NASCIMENTO;
• AMOSTRAS;
• RESULTADOS DE EXAMES;
• VALORES DE PROCEDIMENTOS REALIZADOS.

4.5 Backup e Segurança da Informação

O backup, termo inglês para cópia de segurança, visa não apenas garantir que dados se percam, mas também garantir que dados de clientes, colaboradores e de processos inerentes a atividade empresarial fiquem totalmente indisponíveis.

Visando pela disponibilidade, integridade e confidencialidade, adotou-se a presente política, inserindo em sua vigência modernos sistemas de segurança da informação, de forma a garantir a maior segurança a todos envolvidos quando do processamento de dados.

4.6 Dever e obrigação legal

O laboratório poderá coletar e compartilhar dados e informações sem consentimento expresso de seus colaboradores, quando necessário para cumprimento de obrigações inerentes a relações trabalhistas e cumprimento de deveres juntos à órgãos governamentais vinculados à previdência social.

Não obstante, o Laboratório tem o dever legal de realizar notificações compulsórias, a depender do resultado clínico do titular. Em tais casos, não se faz necessário o consentimento do titular para que tais notificações ocorram.

4.7 Normas de segurança da informação do titular de dados

O CEAP, primando pela segurança de seus clientes e parceiros, estabelece que:

• É vedado a todos, filmar, fotografar ou realizar gravações de áudios e vídeo dentro das dependências do laboratório, principalmente em áreas destinadas a realização de procedimentos e exames.
• Não será entregue resultados de exames à terceiros, salvo se portarem protocolo;
• Não serão repassados os resultados de exames por meios digitais sem autorização assinada pelo paciente;
• Todos os funcionários, que terão acesso à cadastros de pacientes ou a laudos de exames, deverão estar devidamente cadastrados, com termos de sigilo e conformidades assinados e ainda, munidos de login e senha individual para consulta aos dados que lhe são de direito;
• Fica também vedado o envio de laudos e informações sobre resultados via e-mail ou mídias sociais sem autorização assinada pelo paciente;
• O titular poderá solicitar vista aos seus dados, bem como solicitar alterações destes em canal específico, entre outras solicitações previstas na LGPD.

4.8 Agentes de tratamento

É vedado a utilização de dispositivos de armazenamento, sejam eles físicos ou virtuais, em computadores do CEAP.

Não é permitido aos colaboradores fornecer laudos de exames a pessoas de seu convívio como forma de prestação de favor;

É expressamente vedado o compartilhamento de senhas de acesso ao computador e aos sistemas utilizados;

É vedado a utilização de e-mails particulares nos computadores da rede;

É vedado, fotografar, filmar, gravar, expor, publicar, repassar ou qualquer outra forma de expor, imagens, vídeos, fotos, áudios e qualquer tipo de mídia ou informação obtida de clientes, prestadores de serviços, colaboradores e qualquer outra pessoa no âmbito corporativo.

Não será admitida em nenhuma hipótese, a utilização, obtenção, ou o compartilhamento de informações de colaboradores, clientes, fornecedores ou parceiros, para fins particulares.

É vedado revelar informações exclusivas obtidas no laboratório, seja por meio físico, digital e até mesmo verbal, com qualquer outra pessoa, ainda que colaborador.

Fica vedado a obtenção de laudo de colaboradores para terceiros, devendo sempre o titular fazê-lo.

5. REFERÊNCIAS BIBLIOGRÁFICAS

      Rol de requisitos de PACQ – V. 05

      Lei geral de Proteção de Dados 13.709/2018