top of page

Política de Privacidade

Este documento serve para determinar boas práticas para a privacidade e os direitos de proteção dos dados de nossos clientes. O público-alvo são as pessoas que atuam em nossa empresa, que contratam nossos serviços ou que estão sob o nosso cuidado. 
Somos um serviço de saúde que atua exclusivamente em benefício do interesse das pessoas na tutela da saúde.

O tratamento de dados pessoais em nosso serviço tem as finalidades de: 

 

1.    interagir via WhatsApp para identificar as necessidades de saúde de cada pessoa 
2.    prover orientações no cuidado de saúde para as pessoas que estão sob nosso cuidado
3.    indicar profissionais e serviços de saúde que atendem as suas necessidades 
4.    apoiar o agendamento, consulta e seguimento nos profissionais e serviços e de saúde. 

Os dados pessoais de contato das pessoas são fornecidos pelas empresas que nos contratam. Após o contato inicial, atualizamos os dados cadastrais e coletamos dados sensíveis relacionados à saúde para entender as necessidades das pessoas e direcionar profissionais e serviços adequados. Estes dados são considerados sensíveis pois podem revelar a intimidade das pessoas e exigem maior cuidado no tratamento.

Tabela 1. Tipo de dado tratado, categoria e finalidade

Por exigência da lei, mantemos os registros dos dados de saúde das pessoas que cuidamos por até 20 anos após o atendimento. Após este período os dados são anonimizados para melhorar a capacidade de entender as necessidades e indicar orientações, profissionais e serviços de saúde.


Nossos clientes têm o direito de:
1.    saber quais dados pessoais utilizamos no cuidado de sua saúde 
2.    expressar que concordam com o acesso de nossa equipe de saúde a estes dados
3.    solicitar os dados pessoais de contato e de saúde armazenados em nossa plataforma
4.    consentir com o compartilhamento dos dados com os profissionais que os atenderão. 
5.    manifestar que desejam o bloqueio do acesso dos nossos profissionais a seus dados
6.    solicitar informações, apresentar dúvidas ou queixas sobre sua privacidade através do lgpd@mediterraneosaude.com

Estratégia de proteção de dados pessoais
Nós temos o dever de proteger os dados das pessoas que cuidamos. Em nossa empresa, matemos um comitê de privacidade e proteção de dados atualmente formado por:

Rogério S. Ribeiro, controlador de dados, rsribeiro@mediterraneosaude.com
Renata L. Monteiro, encarregada de dados, renatamonteiro@mediterraneosaude.com
Cassia Pires, suporte administrativo, cassiapires@mediterraneosaude.com


O controlador de dados é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O encarregado pelo tratamento de dados pessoais possui a função de atuar como canal de comunicação entre instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Nossa estratégia de proteção é baseada em:
A.    Mapeamento do tratamento de dados em nossa rotina
B.    Identificação de riscos relacionados a privacidade dos dados
C.    Definição de estratégias preventivas para redução de risco
D.    Comunicar e tratar os incidentes de segurança
 

A.  Mapeamento do tratamento de dados
O tratamento dos dados acontece na seguinte rotina:
1)    consulta de dados pessoais de contato na base da empresa contratante
2)    inserção de dados de contato dos clientes na plataforma de trabalho
3)    interação com os clientes para atualização e enriquecimento dos dados pessoais
4)    coleta dos dados pessoais de saúde e armazenamento na plataforma de trabalho
5)    indicação de profissionais, serviços e orientações de saúde para os clientes
6)    consentimento para compartilhamento dos dados com os profissionais e serviços
7)    envio de dados pessoais para os profissionais e serviços de saúde indicados

B.    Identificação de riscos relacionados a privacidade dos dados
Risco é um cenário que descreve um evento e suas consequências em termos de gravidade e chance de ocorrência. Os riscos de nossas atividades estão listados na tabela abaixo:

Tabela 2. Classificação de riscos de privacidade e segurança segundo probabilidade e gravidade

Esta lista tem caráter não exaustivo e se aprimora à medida que discutimos novos desafios em nossa operação que surgem a cada semana nas reuniões de qualidade e segurança.

C.    Definição de estratégias preventivas para redução de risco 
O gerenciamento de risco é um conjunto de padrões e práticas para direcionar e controlar nossa organização quanto ao armazenamento e tratamento de dados em nossa plataforma.  A Lei Geral de Proteção de Dados (LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Para garantir a segurança e direito à privacidade das pessoas, é importante saber que:
1.    Todas as pessoas da empresa devem conhecer esta política
2.    Todas as pessoas da empresa devem ser treinadas quanto a estas práticas
3.    Todos os acessos a plataforma se dão mediante registro de usuário, senha e dupla verificação por email
4.    Todo o armazenamento de dados deve ser feito em nossa plataforma que usa o Google Cloud, ambiente que possui proteção contra os ataques de DDoS, certificação ISO27001, ISO27017 e ISO27018 e é aderente ao padrão HIPAA 
5.    Todos os acessos ao banco de dados se dão mediante autenticação por dois fatores
6.    O acesso aos dados é restrito segundo as funções de cada usuário (promotor de saúde, gestor, administrativo, suporte de TI)
7.    Todas as pessoas podem manifestar-se sobre a privacidade e segurança de dados, tirar dúvidas, informar situações de risco, tirar dúvidas, através do email lgpd@mediterraneosaude.com


Além disso, as pessoas que trabalham conosco devem tomar alguns cuidados como:
1.    Não compartilhar o nome e senha de usuário dos programas que usamos para evitar que outras pessoas acessem o sistema usando uma identidade roubada
2.    Não armazenar o nome e senha de usuário em um meio de acesso aberto físico ou virtual para evitar que outras pessoas possam acessar o sistema com a identidade falsa
3.    Restringir a exploração de dados às pessoas sob o seu cuidado
4.    Manter os registros de dados pessoais nas plataformas de trabalho da empresa
5.    Fechar ou bloquear o acesso ao ambiente da plataforma quando estiver em intervalos ou fora do horário de trabalho
6.    Não fotografar, coletar ou armazenar informações sobre as pessoas que cuidamos fora dos sistemas e programas que usamos para evitar o risco de expor os dados


D.    Comunicar e tratar os incidentes de segurança
O incidente de segurança é um evento que leva à violação na segurança de dados pessoais. São considerados incidentes:
1.    acesso não autorizado, acidental ou ilícito a base de dados
2.    destruição, perda, alteração, vazamento de dados
3.    tratamento de dados inadequada ou ilícita com risco para os direitos e liberdades do titular


Toda suspeita de incidente deve ser comunicada a liderança imediata. Ao saber de um incidente, a pessoa envolvida e a liderança devem avaliar e documentar o evento, avaliar a natureza, categoria e quantidade de titulares de dados pessoais afetados usando o modelo disponível em: https://www.gov.br/anpd/pt-br/assuntos/atual-formulario-de-comunicacao-de-incidentes-de-seguranca-com-dados-pessoais_01-03-2021-4.docx 


Este relatório deve ser compartilhado com o controlador e o comitê de privacidade e segurança de dados internamente no email: lgpd@mediterraneosaude.com


O controlador ou o encarregado devem comunicar:
•    à ANPD e ao titular de dados pessoais se houver risco ou dano relevante aos titulares
•    à Equipes de Tratamento de Incidentes de Redes das empresas envolvidas
•    ao CTIR GOV caso a entidade faça parte da administração pública federal


O controlador deve elaborar o relatório final, rever a documentação e revisar o treinamento interno para melhorias com base na avaliação interna do incidente, detalhando as medidas tomadas e a análise de risco entre todos os envolvidos, para fins de cumprimento do princípio de responsabilização e prestação de contas.
 

bottom of page