Política de privacidade de utentes 1. O compromisso da ADC A proteção da privacidade e dos dados pessoais constitui um compromisso fundamental da ADC para com os seus Utentes. Neste contexto, elaborou a presente Política de Privacidade, com a finalidade de afirmar o seu compromisso e respeito para com as regras de privacidade e de proteção de dados pessoais. Pretendemos que os nossos Utentes conheçam as regras gerais de privacidade e os termos de tratamento dos dados que recolhemos, no estrito respeito e cumprimento da legislação aplicável neste âmbito, nomeadamente do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 ( Regulamento Geral sobre a Proteção de Dados ou RGPD ). 2. O responsável pelo tratamento de dados e o encarregado da proteção de dados O responsável pela recolha e tratamento dos seus dados pessoais será a Clínica ADC Avenida Dr. Carlos Bacelar, Edifício Atlanta Park, r/c, Bloco 3, Loja 10, 4760-103 Vila Nova de Famalicão; Telefone nº 252377185 - que lhe presta o serviço e que nesse âmbito decide quais os dados recolhidos, meios de tratamento e finalidades para que os dados são usados. A ADC tem, também, um Encarregado da Proteção de Dados (Data Protection Officer ou DPO) Ludgero Lemos dpo.adc@gmail.com -, que (i) monitoriza a conformidade do tratamento de dados com as normas aplicáveis, (ii) é um ponto de contacto com o Utente para esclarecimento de questões relativas ao tratamento dos seus dados pela ADC, (iii) coopera com a autoridade de controlo, (iv) presta informação e aconselha o responsável pelo tratamento ou o subcontratante sobre as suas obrigações no âmbito da privacidade e proteção de dados. 3. Dados pessoais, titulares de dados pessoais e categorias de dados pessoais O que são dados pessoais? Dados Pessoais são qualquer informação, de qualquer natureza e em qualquer suporte (p. ex. som ou imagem), relativa a uma pessoa singular identificada ou identificável. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente por exemplo através do nome, do n.º de identificação, de um dado de localização, de um identificador eletrónico ou outros elementos que permitam chegar à identificação dessa pessoa singular. Os dados pessoais poderão ter uma natureza mais sensível em determinadas situações, classificando-os o RGPD como categorias especiais de dados. Estes podem versar sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde. São dados relativos à saúde dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro. Tal inclui, p. ex., (i) qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; (ii) quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro. Quem são os titulares de dados pessoais? Titulares dos dados pessoais são os utentes da ADC a quem os dados dizem respeito
Que categorias de dados pessoais tratamos? Dados Identificação e Contactos Outros dados de Identificação Serviço Informações sobre a sua saúde Exemplos Nome, números de identificação civil ou fiscal, dados para pagamento, a morada de faturação, o contacto telefónico ou endereço de correio eletrónico. Data de nascimento, o género ou a informação sobre o agregado familiar, o número de utente da segurança social, médico de família, centro de saúde, dados relacionados com o seu seguro ou subsistema de saúde. Marcação de consulta ou tratamento, a data e hora da marcação, o exame a realizar/realizado, dados constantes da prescrição médica, entre outros necessários à prestação do serviço. Motivo da consulta/ato, antecedentes pessoais (doenças de infância, imunizações, hábitos, antecedentes familiares, exame clínico, diagnósticos, exames complementares, encaminhamento, grupo sanguíneo, medicamentos prescritos, identificação do prescritor, código do local de prescrição e dados da receita e regime especial de comparticipação, ato e rúbrica do episódio realizado, data de início e fim do episódio, estado do episódio, profissional de saúde que executou o episódio, nº de episódio, tipo de episódio, indicação se existem resultados do episódio e identificador desses resultados. 4. Fundamento, Finalidades e Duração do Tratamento de Dados Pessoais Com que fundamento pode a ADC tratar os seus dados pessoais? A Clínica ADC apenas tratará os seus dados pessoais quando esteja devidamente habilitada para o fazer. O RGPD exige, para que o tratamento de dados pessoais seja lícito, que exista um fundamento de licitude adequado para cada tratamento específico. Tais fundamentos poderão ser de vária índole. Assim, o tratamento de dados pessoais poderá ter por base o consentimento do titular dos dados, a execução de um contrato no qual o titular dos dados seja parte, o cumprimento de obrigações jurídicas a que o Responsável pelo Tratamento esteja sujeito, a defesa de interesses vitais do titular dos dados ou, ainda, a prossecução de interesses legítimos do Responsável pelo Tratamento (exceto se prevalecerem os interesses e liberdades fundamentais do titular). Existem, todavia, requisitos acrescidos para o tratamento de categorias especiais de dados pessoais, como os dados relativos à sua saúde. Assim, o tratamento desses dados particularmente sensíveis só poderá ter lugar em determinados casos, nomeadamente quando o titular tenha prestado o seu consentimento explícito, quando o tratamento seja necessário para a defesa de interesses vitais de um titular dos dados incapacitado de dar o seu consentimento, para a declaração, exercício ou defesa de um direito num processo judicial ou, ainda, quando o tratamento for necessário para efeitos de medicina preventiva, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de gestão de sistemas e serviços de saúde. Execução de contrato e diligências pré-contratuais: quando o tratamento de dados pessoais seja necessário para a celebração, execução e gestão do contrato celebrado com a ADC, como por exemplo, quando esteja em causa a marcação e a realização de uma consulta ou ato clínico, nomeadamente, uma consulta de fisiatria ou um tratamento de fisioterapia, bem como para comunicar e gerir a relação da ADC com o Utente. Necessidade do tratamento para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos de saúde: quando tais tratamentos implicarem o tratamento de dados relativos à saúde dos Utentes ou de outras categorias especiais de dados.
Consentimento: quando tiver o seu consentimento expresso, por escrito e prévio e se esse consentimento for livre, informado, específico e inequívoco. São exemplos, o seu consentimento para a ADC tratar os seus dados pessoais no âmbito de estudos de investigação. Nestes casos a ADC atuará em regra como subcontratante, sendo os Responsáveis pelo Tratamento as entidades promotoras do estudo/ensaio de investigação. Nos termos do RGPD, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, não comprometendo a retirada do consentimento a licitude do tratamento efetuado com base no consentimento previamente dado. Cumprimento de obrigação legal: quando o tratamento de dados pessoais seja necessário para cumprir uma obrigação legal a que a ADC esteja sujeita, como por exemplo, para prestar informações à Administração Central do Sistema de Saúde ou à Administração Tributária. Interesse legítimo: quando o tratamento de dados pessoais corresponda a um interesse legítimo da ADC ou de terceiros, como por exemplo o tratamento de dados para melhoria de qualidade de serviço, a intervenção num processo judicial e, em geral, quando os motivos para o tratamento devam prevalecer sobre os direitos do titular dos dados. Consentimento por menores No caso de tratamento de dados pessoais de menores, que possam estar sujeitos a consentimento prévio, a ADC exigirá que seja prestado consentimento por parte dos detentores das responsabilidades parentais. Para que finalidades e por quanto tempo a ADC trata os seus dados pessoais? Os seus dados pessoais são tratados pela ADC para a prestação de cuidados de saúde, bem como para a gestão dos sistemas e serviços da Clínica, auditoria e melhoria contínua dos mesmos e apenas pelo período de tempo necessário para a realização da finalidade definida ou, consoante o que for aplicável, pelo período legalmente determinado, até que exerça o seu direito de oposição, direito a ser esquecido ou retire o consentimento. Depois de decorrido o respetivo período de conservação, a ADC eliminará ou anonimizará os dados. Finalidades Exemplos de finalidades (não exaustivo) Prestação de cuidados de saúde Marcar consultas Marcar exames Diagnóstico médico Fornecer cuidados de saúde Gestão dos sistemas e serviços Auditoria e melhoria contínua Comunicar e gerir a nossa relação consigo Gestão de contactos, informações, sugestões ou pedidos Motivos administrativos ou operacionais Enviar-lhe a confirmação das suas marcações e dos seus pagamentos Informar sobre quaisquer alterações ou imprevistos acerca das suas marcações Contabilidade, faturação Melhorar os nossos serviços Auditoria Certificação, avaliação e medição dos níveis de serviço Deteção e análise de fraude, segurança, efeitos jurídicos e processuais Cumprir obrigações legais Fornecimento dos dados à Administração Central do Sistema de Saúde ou a outras entidades públicas da área da saúde Fornecimento dos dados a tribunais, solicitadores, ou a órgãos de polícia criminal, no exercício dos seus poderes e atribuições Gestão Contabilística, Fiscal e Administrativa Contabilidade, faturação Informação Fiscal, incluindo envio de informação à Administração Tributária
Gestão de contencioso Cobrança judicial e extra judicial Gestão de outros conflitos Deteção de fraude, proteção de receita e Deteção de fraude e práticas ilícitas auditoria Proteção e controlo de receita Auditoria e investigação internas Controlo da segurança da informação Gestão de acessos, logs Gestão de backups Gestão de incidentes de segurança Quais os prazos de tratamento e conservação de dados pessoais? A ADC trata e conserva os seus dados pessoais conforme as finalidades para que os mesmos são tratados. O período de tempo durante o qual os dados são armazenados e conservados varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período de tempo. Nessa medida, os dados relativos à sua saúde são conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar. Para efeitos contabilísticos ou fiscais a lei exige que os dados sejam conservados por um período de dez anos para informação à Autoridade Tributária. Mas, sempre que não exista uma obrigação legal específica, então os dados serão tratados apenas pelo período necessário para o cumprimento das finalidades que motivaram a sua recolha e preservação e sempre de acordo com a lei, as orientações e decisões da CNPD. A ADC poderá manter outros dados pessoais por períodos superiores à duração da relação contratual subjacente à prestação dos serviços respetivos, seja com base no seu consentimento, seja para assegurar direitos ou deveres relacionados com o contrato, seja ainda porque tem interesses legítimos que o fundamentam, mas sempre pelo período estritamente necessário à realização das respetivas finalidades e de acordo com as orientações e decisões da CNPD. São exemplos, a preservação de dados no âmbito de processos de reclamação de faturas, ou processos judiciais, pelo prazo em que os mesmos estiverem pendentes. 5. A forma e o momento da recolha dos dados pessoais Quando e como recolhemos os seus dados pessoais? Recolhemos os dados pessoais quando preenche a ficha de cliente, quando marca uma consulta ou um tratamento, quando solicita informações ou no decurso da prestação dos cuidados de saúde. 6. Direitos do titular de dados pessoais Quais os seus direitos? Direito de Acesso Direito a obter a confirmação de quais são os seus dados pessoais que são tratados e informação sobre os mesmos, como por exemplo, quais as finalidades do tratamento, quais os prazos de conservação, entre outros.
Direito a ver ou obter cópia, por exemplo, caso requeira e não existam restrições legais, uma cópia dos dados objeto de tratamento por parte da ADC. Direito de Retificação Direito de solicitar a correção dos seus dados pessoais que se encontrem inexatos ou solicitar que os dados pessoais incompletos sejam completados, como por exemplo a morada, o NIF, o email, os contactos telefónicos, ou outros. Direito ao Apagamento dos dados ou direito a ser esquecido Direito de obter o apagamento dos seus dados pessoais, desde que não se verifiquem fundamentos válidos para a sua conservação, como por exemplo, quando (i) os dados ainda sejam necessários para a finalidade que motivou a sua recolha, quando (ii) o tratamento não tenha por base o consentimento nem a prossecução de interesses legítimos do Titular dos Dados, quando (iii) os dados não tenham sido tratados ilicitamente, quando (iv) o tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial ou, ainda, quando (v) os dados sejam necessários para efeitos de medicina preventiva, para o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou a gestão de sistemas e serviços de saúde. Direito à Portabilidade Direito de receber os dados que nos forneceu em formato digital de uso corrente e de leitura automática ou de solicitar a transmissão direta dos seus dados para outra entidade que passe a ser o novo responsável pelos seus dados pessoais, como por exemplo, receber as suas faturas ou transmitir os seus contactos para o novo responsável, mas neste caso apenas se for tecnicamente possível. Direito a Retirar o Consentimento ou Direito de Oposição Direito de se opor ou retirar o seu consentimento, a qualquer momento a um tratamento de dados, como por exemplo no caso de tratamento de dados para fins de estudos de investigação, desde que não se verifiquem interesses legítimos que prevaleçam sobre os seus interesses, direitos e liberdades. Direito de Limitação Direito a solicitar a limitação do tratamento dos seus dados pessoais, sob a forma de: (i) suspensão do tratamento ou (ii) limitação do âmbito do tratamento a certas categorias de dados ou finalidades de tratamento. Direito a reclamar Direito de apresentar reclamação à autoridade de controlo, a CNPD, para além da empresa ou do DPO, caso considere que os seus dados não estão a ser objeto de tratamento legítimo por parte da ADC. Como pode exercer os seus direitos? O exercício dos direitos é gratuito, exceto se se tratar de um pedido manifestamente infundado ou excessivo, caso em que poderá ser cobrada uma taxa razoável tendo em conta os custos. As informações serão prestadas por escrito no prazo máximo de 30 dias, salvo se for um pedido especialmente complexo. Estes direitos poderão ser exercidos junto do DPO da ADC através do seguinte endereço de correio eletrónico: dpo.adc@gmail.com.
7. Transmissão de Dados Pessoais Em que circunstâncias existe comunicação dos seus dados pessoais a outras entidades, subcontratantes ou terceiros? Os seus dados podem ser transmitidos a subcontratantes para que estes os tratem em nome e por conta da ADC, como, por exemplo, será o caso das entidades que prestem serviços de suporte dos sistemas informáticos da ADC, de certos fornecedores de equipamentos médicos, de prestadores de serviços clínicos. Neste caso a ADC tomará as medidas contratuais necessárias para garantir que os subcontratantes respeitam e protegem os dados pessoais do titular. A ADC poderá, ainda, transmitir, dados pessoais dos seus Utentes a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais, (iii) para responder a solicitações de autoridades públicas ou governamentais ou (iv) para efeito de certificação, avaliação e medição dos níveis de serviço da Clínica (v) quando devidamente autorizada pelos titulares dos dados. Neste sentido, a ADC poderá transmitir os seus dados pessoais à Entidade Reguladora da Saúde, à ACSS, aos Serviços Partilhados do Ministério da Saúde (SPMS), ao INFARMED ou às Administrações Regionais de Saúde, aos Tribunais, Solicitadores, aos Órgãos de Polícia Criminal ou ao Ministério Público quando seja notificado para o efeito ou quando tal seja necessário para o cumprimento de obrigações jurídicas, conforme legalmente previsto. Em qualquer das situações acima mencionadas, a ADC compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos dados pessoais que trata. Em que circunstâncias a ADC transfere os seus dados para um país terceiro? A ADC pode, para efeitos da obtenção de certificações, bem como para a avaliação e medição dos níveis de serviço, ter de transferir os seus dados pessoais para um país terceiro fora do espaço da União Europeia e que não integre a lista de países que a EU já considerou reunir níveis de proteção dos dados pessoais adequados. Nesses casos, a ADC assegurará que as transferências de dados se realizam no estrito cumprimento das normas legais aplicáveis. 8. Medidas Processuais e técnicas de Segurança De que modo a ADC protege a sua informação pessoal? A ADC tem implementadas as medidas lógicas, físicas, organizativas e de segurança adequadas, necessárias e suficientes para proteger os seus dados pessoais contra a destruição, a perda, a alteração, a difusão, o acesso não autorizado ou qualquer outra forma de tratamento acidental ou ilícito. A ADC tem implementados: requisitos e medidas de segurança lógicos, como a existência de uma política rigorosa sobre os acessos a sistemas e à informação, a criação de backups, bem como o registo das ações efetuadas pelos colaboradores da ADC sobre dados pessoais dos utentes (logging) requisitos e medidas que asseguram a manutenção de cópias de segurança (backups), de modo a assegurar a disponibilidade da informação em caso de necessidade medidas de segurança física, entre as quais se destacam o controlo de acessos às instalações físicas da ADC, por parte de colaboradores, parceiros e visitantes, bem como um acesso muito restrito às infraestruturas tecnológicas essenciais da ADC meios de proteção dos dados desde a conceção ( privacy by design ) utilizando meios técnicos e, ainda, um conjunto de medidas preventivas favoráveis à privacidade ( privacy by default ) procedimentos que previnam acessos não autorizados, perdas acidentais e/ ou destruição dos dados pessoais um programa de informação e formação dos colaboradores da ADC
9. Alterações à Política de Privacidade A ADC reserva-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas neste site. CONTACTE-NOS Poderá contactar o Encarregado de Proteção de Dados ( DPO ) da ADC para mais informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, através dos seguintes contactos: e-mail: dpo.adc@gmail.com