Privacy Policy
This document serves to establish best practices for privacy and data protection rights for our clients. The target audience includes individuals who work for our company, who contract our services, or who are under our care.
We are a healthcare service that operates exclusively in the best interests of people in protecting their health.
The processing of personal data in our service has the following purposes:
1. Interact via WhatsApp to identify each person's health needs.
2. To provide guidance on healthcare for the people under our care.
3. To indicate healthcare professionals and services that meet your needs.
4. To support scheduling, consultation, and follow-up appointments with healthcare professionals and services.
The personal contact information of individuals is provided by the companies that hire us. After the initial contact, we update registration data and collect sensitive health-related data to understand people's needs and direct them to appropriate professionals and services. This data is considered sensitive because it may reveal individuals' privacy and requires greater care in handling.
Table 1. Type of data processed, category and purpose.
As required by law, we retain health data records of the people we care for up to 20 years after their care. After this period, the data is anonymized to improve our ability to understand their needs and provide guidance on appropriate healthcare professionals and services.
Our customers have the right to:
1. To know what personal data we use in your healthcare.
2. Express your agreement to our healthcare team's access to this data.
3. Request personal contact and health information stored on our platform.
4. consent to the sharing of data with the professionals who will assist them.
5. To state that they wish to block our professionals' access to their data.
6. To request information, raise questions or complaints about your privacy, please contact lgpd@mediterraneosaude.com
Personal data protection strategy
We have a duty to protect the data of the people we care for. In our company, we maintain a privacy and data protection committee currently composed of:
Rogério S. Ribeiro, data controller, rsribeiro@mediterraneosaude.com
Renata L. Monteiro, Data Protection Officer, renatamonteiro@mediterraneosaude.com
Cassia Pires, administrative support, cassiapires@mediterraneosaude.com
The data controller is the natural or legal person, governed by public or private law, who is responsible for decisions regarding the processing of personal data. The data protection officer acts as a communication channel between the institution, the data subjects, and the National Data Protection Authority (ANPD).
Our protection strategy is based on:
A. Mapping data processing in our routine
B. Identification of risks related to data privacy.
C. Defining preventive strategies for risk reduction
D. Communicate and handle security incidents.
A. Mapping of data processing
The data processing takes place in the following routine:
1) Consultation of personal contact data in the contracting company's database.
2) Inserting customer contact information into the work platform.
3) Interaction with customers for updating and enriching personal data.
4) Collection of personal health data and storage on the work platform.
5) Referral to healthcare professionals, services, and guidance for clients.
6) Consent for sharing data with professionals and services
7) Sending personal data to the indicated healthcare professionals and services
B. Identification of risks related to data privacy.
Risk is a scenario that describes an event and its consequences in terms of severity and likelihood of occurrence. The risks of our activities are listed in the table below:
Table 2. Classification of privacy and security risks according to probability and severity.
This list is not exhaustive and is improved as we discuss new challenges in our operation that arise each week in our quality and safety meetings.
C. Definição de estratégias preventivas para redução de risco
O gerenciamento de risco é um conjunto de padrões e práticas para direcionar e controlar nossa organização quanto ao armazenamento e tratamento de dados em nossa plataforma. A Lei Geral de Proteção de Dados (LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Para garantir a segurança e direito à privacidade das pessoas, é importante saber que:
1. Todas as pessoas da empresa devem conhecer esta política
2. Todas as pessoas da empresa devem ser treinadas quanto a estas práticas
3. Todos os acessos a plataforma se dão mediante registro de usuário, senha e dupla verificação por email
4. Todo o armazenamento de dados deve ser feito em nossa plataforma que usa o Google Cloud, ambiente que possui proteção contra os ataques de DDoS, certificação ISO27001, ISO27017 e ISO27018 e é aderente ao padrão HIPAA
5. Todos os acessos ao banco de dados se dão mediante autenticação por dois fatores
6. O acesso aos dados é restrito segundo as funções de cada usuário (promotor de saúde, gestor, administrativo, suporte de TI)
7. Todas as pessoas podem manifestar-se sobre a privacidade e segurança de dados, tirar dúvidas, informar situações de risco, tirar dúvidas, através do email lgpd@mediterraneosaude.com
Além disso, as pessoas que trabalham conosco devem tomar alguns cuidados como:
1. Não compartilhar o nome e senha de usuário dos programas que usamos para evitar que outras pessoas acessem o sistema usando uma identidade roubada
2. Não armazenar o nome e senha de usuário em um meio de acesso aberto físico ou virtual para evitar que outras pessoas possam acessar o sistema com a identidade falsa
3. Restringir a exploração de dados às pessoas sob o seu cuidado
4. Manter os registros de dados pessoais nas plataformas de trabalho da empresa
5. Fechar ou bloquear o acesso ao ambiente da plataforma quando estiver em intervalos ou fora do horário de trabalho
6. Não fotografar, coletar ou armazenar informações sobre as pessoas que cuidamos fora dos sistemas e programas que usamos para evitar o risco de expor os dados
D. Comunicar e tratar os incidentes de segurança
O incidente de segurança é um evento que leva à violação na segurança de dados pessoais. São considerados incidentes:
1. acesso não autorizado, acidental ou ilícito a base de dados
2. destruição, perda, alteração, vazamento de dados
3. tratamento de dados inadequada ou ilícita com risco para os direitos e liberdades do titular
Toda suspeita de incidente deve ser comunicada a liderança imediata. Ao saber de um incidente, a pessoa envolvida e a liderança devem avaliar e documentar o evento, avaliar a natureza, categoria e quantidade de titulares de dados pessoais afetados usando o modelo disponível em: https://www.gov.br/anpd/pt-br/assuntos/atual-formulario-de-comunicacao-de-incidentes-de-seguranca-com-dados-pessoais_01-03-2021-4.docx
Este relatório deve ser compartilhado com o controlador e o comitê de privacidade e segurança de dados internamente no email: lgpd@mediterraneosaude.com
O controlador ou o encarregado devem comunicar:
• à ANPD e ao titular de dados pessoais se houver risco ou dano relevante aos titulares
• à Equipes de Tratamento de Incidentes de Redes das empresas envolvidas
• ao CTIR GOV caso a entidade faça parte da administração pública federal
O controlador deve elaborar o relatório final, rever a documentação e revisar o treinamento interno para melhorias com base na avaliação interna do incidente, detalhando as medidas tomadas e a análise de risco entre todos os envolvidos, para fins de cumprimento do princípio de responsabilização e prestação de contas.