Política de Privacidade
Este documento serve para determinar boas práticas para a privacidade e os direitos de proteção dos dados de nossos clientes. O público-alvo são as pessoas que atuam em nossa empresa, que contratam nossos serviços ou que estão sob o nosso cuidado.
Somos um serviço de saúde que atua exclusivamente em benefício do interesse das pessoas na tutela da saúde.
O tratamento de dados pessoais em nosso serviço tem as finalidades de:
1. interagir via WhatsApp para identificar as necessidades de saúde de cada pessoa
2. prover orientações no cuidado de saúde para as pessoas que estão sob nosso cuidado
3. indicar profissionais e serviços de saúde que atendem as suas necessidades
4. apoiar o agendamento, consulta e seguimento nos profissionais e serviços e de saúde.
Os dados pessoais de contato das pessoas são fornecidos pelas empresas que nos contratam. Após o contato inicial, atualizamos os dados cadastrais e coletamos dados sensíveis relacionados à saúde para entender as necessidades das pessoas e direcionar profissionais e serviços adequados. Estes dados são considerados sensíveis pois podem revelar a intimidade das pessoas e exigem maior cuidado no tratamento.
Tabela 1. Tipo de dado tratado, categoria e finalidade
Por exigência da lei, mantemos os registros dos dados de saúde das pessoas que cuidamos por até 20 anos após o atendimento. Após este período os dados são anonimizados para melhorar a capacidade de entender as necessidades e indicar orientações, profissionais e serviços de saúde.
Nossos clientes têm o direito de:
1. saber quais dados pessoais utilizamos no cuidado de sua saúde
2. expressar que concordam com o acesso de nossa equipe de saúde a estes dados
3. solicitar os dados pessoais de contato e de saúde armazenados em nossa plataforma
4. consentir com o compartilhamento dos dados com os profissionais que os atenderão.
5. manifestar que desejam o bloqueio do acesso dos nossos profissionais a seus dados
6. solicitar informações, apresentar dúvidas ou queixas sobre sua privacidade através do lgpd@mediterraneosaude.com
Estratégia de proteção de dados pessoais
Nós temos o dever de proteger os dados das pessoas que cuidamos. Em nossa empresa, matemos um comitê de privacidade e proteção de dados atualmente formado por:
Rogério S. Ribeiro, controlador de dados, rsribeiro@mediterraneosaude.com
Renata L. Monteiro, encarregada de dados, renatamonteiro@mediterraneosaude.com
Cassia Pires, suporte administrativo, cassiapires@mediterraneosaude.com
O controlador de dados é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O encarregado pelo tratamento de dados pessoais possui a função de atuar como canal de comunicação entre instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Nossa estratégia de proteção é baseada em:
A. Mapeamento do tratamento de dados em nossa rotina
B. Identificação de riscos relacionados a privacidade dos dados
C. Definição de estratégias preventivas para redução de risco
D. Comunicar e tratar os incidentes de segurança
A. Mapeamento do tratamento de dados
O tratamento dos dados acontece na seguinte rotina:
1) consulta de dados pessoais de contato na base da empresa contratante
2) inserção de dados de contato dos clientes na plataforma de trabalho
3) interação com os clientes para atualização e enriquecimento dos dados pessoais
4) coleta dos dados pessoais de saúde e armazenamento na plataforma de trabalho
5) indicação de profissionais, serviços e orientações de saúde para os clientes
6) consentimento para compartilhamento dos dados com os profissionais e serviços
7) envio de dados pessoais para os profissionais e serviços de saúde indicados
B. Identificação de riscos relacionados a privacidade dos dados
Risco é um cenário que descreve um evento e suas consequências em termos de gravidade e chance de ocorrência. Os riscos de nossas atividades estão listados na tabela abaixo:
Tabela 2. Classificação de riscos de privacidade e segurança segundo probabilidade e gravidade
Esta lista tem caráter não exaustivo e se aprimora à medida que discutimos novos desafios em nossa operação que surgem a cada semana nas reuniões de qualidade e segurança.
C. Definição de estratégias preventivas para redução de risco
O gerenciamento de risco é um conjunto de padrões e práticas para direcionar e controlar nossa organização quanto ao armazenamento e tratamento de dados em nossa plataforma. A Lei Geral de Proteção de Dados (LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Para garantir a segurança e direito à privacidade das pessoas, é importante saber que:
1. Todas as pessoas da empresa devem conhecer esta política
2. Todas as pessoas da empresa devem ser treinadas quanto a estas práticas
3. Todos os acessos a plataforma se dão mediante registro de usuário, senha e dupla verificação por email
4. Todo o armazenamento de dados deve ser feito em nossa plataforma que usa o Google Cloud, ambiente que possui proteção contra os ataques de DDoS, certificação ISO27001, ISO27017 e ISO27018 e é aderente ao padrão HIPAA
5. Todos os acessos ao banco de dados se dão mediante autenticação por dois fatores
6. O acesso aos dados é restrito segundo as funções de cada usuário (promotor de saúde, gestor, administrativo, suporte de TI)
7. Todas as pessoas podem manifestar-se sobre a privacidade e segurança de dados, tirar dúvidas, informar situações de risco, tirar dúvidas, através do email lgpd@mediterraneosaude.com
Além disso, as pessoas que trabalham conosco devem tomar alguns cuidados como:
1. Não compartilhar o nome e senha de usuário dos programas que usamos para evitar que outras pessoas acessem o sistema usando uma identidade roubada
2. Não armazenar o nome e senha de usuário em um meio de acesso aberto físico ou virtual para evitar que outras pessoas possam acessar o sistema com a identidade falsa
3. Restringir a exploração de dados às pessoas sob o seu cuidado
4. Manter os registros de dados pessoais nas plataformas de trabalho da empresa
5. Fechar ou bloquear o acesso ao ambiente da plataforma quando estiver em intervalos ou fora do horário de trabalho
6. Não fotografar, coletar ou armazenar informações sobre as pessoas que cuidamos fora dos sistemas e programas que usamos para evitar o risco de expor os dados
D. Comunicar e tratar os incidentes de segurança
O incidente de segurança é um evento que leva à violação na segurança de dados pessoais. São considerados incidentes:
1. acesso não autorizado, acidental ou ilícito a base de dados
2. destruição, perda, alteração, vazamento de dados
3. tratamento de dados inadequada ou ilícita com risco para os direitos e liberdades do titular
Toda suspeita de incidente deve ser comunicada a liderança imediata. Ao saber de um incidente, a pessoa envolvida e a liderança devem avaliar e documentar o evento, avaliar a natureza, categoria e quantidade de titulares de dados pessoais afetados usando o modelo disponível em: https://www.gov.br/anpd/pt-br/assuntos/atual-formulario-de-comunicacao-de-incidentes-de-seguranca-com-dados-pessoais_01-03-2021-4.docx
Este relatório deve ser compartilhado com o controlador e o comitê de privacidade e segurança de dados internamente no email: lgpd@mediterraneosaude.com
O controlador ou o encarregado devem comunicar:
• à ANPD e ao titular de dados pessoais se houver risco ou dano relevante aos titulares
• à Equipes de Tratamento de Incidentes de Redes das empresas envolvidas
• ao CTIR GOV caso a entidade faça parte da administração pública federal
O controlador deve elaborar o relatório final, rever a documentação e revisar o treinamento interno para melhorias com base na avaliação interna do incidente, detalhando as medidas tomadas e a análise de risco entre todos os envolvidos, para fins de cumprimento do princípio de responsabilização e prestação de contas.