POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS DO GRUPO PACIENTEGRAVEUTI
A PGUTI está comprometida com a Lei Geral de Proteção de Dados (LGPD). Consideramos que é primordial aos nosso clientes, colaboradores e terceiros terem ciência da maneira como os seus dados são coletados, utilizados e protegidos. Esta política apresenta as diretrizes para segurança nos processos de tratamento de dados em ambiente virtual ou físico.
CONSIDERANDO a estrita observância da legislação nacional pertinente à proteção de Dados Pessoais, em especial a Lei nº 13.709 de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), os deveres impostos pelo Código de Ética Médica (Resolução CFM nº 2.217/2018, nº 2.222/2018 e nº 2.226/2019) e a Lei nº 12.527, de 18.11.2011 (LAI), a Lei nº 12.965, de 23.04.2014 (Marco Civil da Internet).
CONSIDERANDO que a disciplina da proteção de dados pessoais tem, por princípios e de acordo com o art. 6º da LGPD, a realização do tratamento para propósitos legítimos (finalidade), compatibilidade do tratamento com as finalidades informadas ao titular, a minimização da coleta e do tratamento dos dados, o livre acesso aos titulares, a transparência, a segurança e a prevenção, dentre outros;
CONSIDERANDO a necessidade de proteção dos dados pessoais, a necessidade de deixar claro as limitações do uso e compartilhamento dos Dados, a necessidade de segurança da informação, a necessidade de prestação de contas junto ao titular e a necessidade de confidencialidade;
CONSIDERANDO os direitos dos titulares previstos no art. 18 da LGPD, quais sejam, confirmação da existência de tratamento, acesso aos dados, correção dos dados, anonimização/bloqueio/eliminação de dados desnecessários, portabilidade, eliminação dos dados pessoais tratados com o consentimento do titular e a necessidade de informar as entidades públicas e privadas com as quais o controlador compartilhou dados; de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, e, revogação do consentimento;
CONSIDERANDO que esta Política é aplicável às seguintes sociedades: (i) PACIENTE GRAVE PARTICIPAÇÕES LTDA. sociedade empresária limitada, inscrita no CNPJ/MF sob nº 19.163.556/0001-27 e inscrita no NIRE sob nº 3523061335-6; (ii) PG STA CRUZ MEDICINA INTENSIVA LTDA., sociedade empresária limitada, inscrita no CNPJ/MF sob nº 36.818.988/0001-48 e inscrita no NIRE sob nº 35235974381; (iii) PG HRIM II MEDICINA INTENSIVA LTDA., sociedade empresária limitada, inscrita no CNPJ/MF sob nº37.644.810/0001-90 e inscrita no NIRE sob nº 35236128042; (iv) PG BQ MEDICINA INTENSIVA LTDA., sociedade empresária limitada, inscrita no CNPJ/MF sob nº36.572.747/0001-61 e inscrita no NIRE sob nº 35235927448; (v) PG LUZ MEDICINA INTENSIVA LTDA., sociedade empresária limitada, inscrita no CNPJ/MF sob nº37.348.769/0001-05 e inscrita no NIRE sob nº 35236060219; e (vi) PG PAR MEDICINA INTENSIVA LTDA., sociedade empresária limitada, inscrita no CNPJ/MF sob nº41.810.700/0001-29 e inscrita no NIRE sob nº 35237149400, todas com sede e domicílio na Cidade de São Paulo, Estado de São Paulo, na Rua Ouvidor Peleja, nº 585, Apto. 32, Vila Mariana, CEP 04128-001, sem prejuízo de sociedades que vierem a ser constituídas e controladas pela PACIENTE GRAVE PARTICIPACOES LTDA (“Grupo”) e aos médicos que integram o quadro de sócios das empresas do GRUPO PACIENTEGRAVEUTI (“Sócios”);
CONSIDERANDO que é objetivo do GRUPO, promover a criação, desenvolvimento e o aprimoramento contínuo de processos internos, investindo em sistemas e na qualificação dos colaboradores, sócios e prestadores de serviços;
CONSIDERANDO que, para garantir a implementação e o fiel cumprimento do seu objetivo e no contexto do Programa de Governança em privacidade e Proteção de Dados já aprovado, o GRUPO desenvolveu a presente Política de Privacidade e Proteção de Dados Pessoais (“Política”), para a transparência, prevenção, proteção, detecção, e recuperação de dados, assim compreendidos os dados pessoais e dados pessoais sensíveis (“Dados”) de colaboradores, sócios e pacientes;
É a presente Política aplicada para tornar transparente as diretrizes adotadas pelo GRUPO quanto ao armazenamento e tratamento dos Dados, bem como, os meios para o titular exercer de forma plena os direitos assegurados pela legislação em vigor.
CONCEITOS
Para fins de interpretação da presente Política de Privacidade e Proteção de Dados Pessoais, os termos e expressões abaixo relacionados, terão o significado a eles atribuídos por lei, conforme segue:
Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Tratamento: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Uso compartilhado de dados: Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Eliminação: Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
OBJETIVO
A presente política tem por objetivo informar como dados pessoais serão tratados, armazenados e transmitidos para atender às necessidades do GRUPO e da legislação aplicável e definirá todos os aspectos relativos à proteção de dados.
Os médicos que integram o corpo clínico das empresas do GRUPO deverão proteger os dados tratados em conformidade com a LGPD, com o Código de Ética Médica e com esta Política.
Esta Política de privacidade será considerada por todo GRUPO e deve ser compreensível, acessível a todos os Sócios, funcionários, colaboradores e prestadores de serviços.
COLETA E TRATAMENTO DE DADOS PESSOAIS
Escopo. O GRUPO trata dados de titularidade dos pacientes e dos Sócios.
Dados de Pacientes. Em relação aos dados dos pacientes, o GRUPO recebe dos seus contratantes dados dos pacientes a serem por eles assistidos.
Os contratantes das empresas do GRUPO, notadamente hospitais, obtêm Informações mediante análise de documentos pessoais dos pacientes e documentos relacionados à operadora de plano de saúde (ex. carteirinha).
Nesse contexto, usualmente os contratantes das empresas do GRUPO coletam e compartilham com o GRUPO: (i) dados pessoais do paciente, relacionados à qualificação, tais como nome, endereço completo, RG e CPF, bem como dados atrelados à eventual relacionamento de assistência mantido por operadoras de planos de saúde, tais como características do plano de saúde e nº do contrato; (ii) dados pessoais sensíveis relacionados à saúde do paciente, colhidos em processo popularmente denominado “triagem”.
No contexto da evolução médica, as empresas do GRUPO, no âmbito e nos limites da assistência médica: (i) produzem dados sensíveis específicos relacionados à saúde dos pacientes sob seus cuidados; (ii) acessam informações constantes em prontuários confeccionados por outros profissionais da área da saúde; (iii) analisam dados relacionados a exames já realizados pelos pacientes; (iv) analisam dados relacionados a exames realizados nas dependências do estabelecimento onde atuam; (v) imputam em prontuário eletrônico dados e informações relacionadas à evolução do paciente e condutas médicas adotadas; e (iv) compartilham dados, conforme capítulo IV abaixo.
Os dados de paciente tratados pelo GRUPO são armazenados por seus contratantes que os mantém registrados em sistema próprio (prontuário eletrônico), ou seja, o GRUPO não é titular de sistema de prontuário eletrônico, e por este motivo não armazena dados de pacientes e não mantém banco de dados relacionado.
Considerando as características da assistência dada pelo GRUPO, não é obtido consentimento específico de pacientes que não tenham condições de consentir com o tratamento de seus dados, sendo certo que o GRUPO tratará dados com a finalidade de tutelar a saúde e a proteção da vida dos pacientes submetidos aos seus cuidados.
O GRUPO realiza o tratamento de dados de saúde dos pacientes quando realiza as seguintes atividades: (i) preenchimento de prontuário médico; (ii) acesso a dados pessoais e exames médicos; (iii) preenchimento de atestados de óbito; (vi) compartilhamento de dados, nos termos do Capítulo 4.
Dados de Sócios. Para a execução de atividades que requeiram o tratamento de Dados relacionados a Sócios e qualquer titular de Dados tratados pelo GRUPO, será aplicado o termo de consentimento específico do titular para a coleta e tratamento destes Dados, necessário para conformidade do negócio em que seja parte.
Em razão das atividades e serviços prestados pelo GRUPO, serão coletados e armazenados apenas os Dados imprescindíveis para prestação dos serviços, seja para fins societários, seja para prestação dos serviços médicos.
Em relação aos dados dos Sócios, usualmente são coletados: (i) dados pessoais relacionados à qualificação, ou seja, nome, nacionalidade, estado civil, endereço completo, RG e CPF, bem como número de registro no Conselho Regional de Medicina; (ii) documentos relacionados à formação médica; e (iii) dados de contato, tais como e-mail e número de celular.
Os dados são coletados por link, sendo que as empresas do GRUPO utilizam o programa “Google Forms” para coleta de tais informações.
Independente de consentimento do titular, poderá ocorrer o tratamento dos Dados Pessoais do Titular para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, e para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, especialmente pertencentes a hospitais e operadoras de planos de saúde.
São exemplos de possíveis tratamento de dados pessoais relacionados aos Sócios do GRUPO: (i) Avaliação curricular profissional; (ii) elaboração e formalização da participação nos contratos de prestação de serviços ou em que possuo participação societária; (iii) Cumprir as obrigações contratuais, legais e regulatórias; (iv) Execução dos contratos de prestação de serviços médicos, incluindo cadastros junto aos contratantes da empresa no qual figuro como sócio; (v) Instrução de prontuários e laudos médicos relacionados a casos em que atuei; (vi) Controle das atividades em sistemas de gestão das escalas de plantão; (vii) Realizar a comunicação junto à administração das sociedades do GRUPO e/ou prestadores de serviço, por meio de quaisquer canais de comunicação (telefone, e-mail, SMS, WhatsApp, etc.); (viii) Elaboração de relatórios e desenvolvimento de produtos e serviços; (ix) Cadastro em instituição bancária para recebimento de pagamento; (x) Produção de peças de comunicação; (xi) Emissão de notas fiscais e documentos correlatos; (xii) Compartilhamento junto a terceiros que podem oferecer produtos e serviços que sejam do meu interesse ou que podem ser do meu interesse; (xiii) Manutenção em banco de dados de profissionais para facilitar contato em caso de futuros projetos profissionais; (xiv) compartilhamento, nos termos do Capítulo 4.
COMPARTILHAMENTO DOS DADOS
O tratamento médico tem um início um meio e um fim e envolve diversos profissionais, de maneira que é de suma importância que os registros sejam claros, completos e detalhados para que permitam portabilidade.
Dados de Pacientes. Exceção feita ao compartilhamento de informações no curso normal da assistência e dentro dos limites legais e do Código de Ética Médica, o GRUPO e seus colaboradores não transmite, divulga ou publica Dados.
Os Dados dos pacientes submetidos a segredo médico não serão compartilhados com operadoras de planos de saúde, companhias seguradoras ou autoridades judiciárias e policiais.
Observadas as restrições impostas ao sigilo médico, os Sócios sempre que necessário e no contexto do tratamento médico realizado pela equipe médica, compartilham com profissionais da área da saúde envolvidos na assistência dados sensíveis relacionados à saúde do paciente, suas condições, evolução, prescrições médicas e quaisquer eventos relevantes.
Os Dados Pessoais dos pacientes serão compartilhados: (i) com qualquer interessado, desde que por solicitação do próprio paciente; (ii) com familiares, em caso de paciente menor de idade, caso o paciente não tenha condições de consentir ou tenha ido a óbito.
O compartilhamento de dados do paciente pode acontecer de diversas maneiras. Dados de saúde poderão ser compartilhados entre médicos, por exemplo, por meio do aplicativo de mensagens instantâneas whatsapp. Vale destacar que estes mesmos dados poderão ser compartilhados entre médicos por telefone ou e-mail.
Em casos de óbito do paciente, os Sócios registram informações relacionadas em atestados de óbito, documento disponibilizado para familiares do paciente necessário para obtenção da certidão de óbito (expedida em cartório).
Em caso de óbito do paciente a Recomendação CFM nº 003/2014 estabelece que os médicos e instituições médicas devem fornecer os prontuários do paciente falecido, quando solicitados, ao cônjuge/companheiro e, sucessivamente, aos sucessores legítimos do paciente em linha reta e colateral até quarto grau. Além da determinação acima a recomendação referida determina que os médicos e instituições médicas informem aos pacientes que, se não quiserem a entrega de seu prontuário aos familiares, devem manifestar-se de forma expressa sua objeção.
Na hipótese de tratamento para o fim de proteção da vida ou da incolumidade física do titular ou de terceiros, a depender da situação, os dados poderão ser compartilhados com responsáveis identificados.
Dados dos Sócios. Já Dados Pessoais dos Sócios coletados e armazenados pelo GRUPO poderão ser compartilhados com terceiros para (i) cumprimento de obrigações legais e regulatórias; (ii) cumprimento de obrigações contratuais e societárias; (iii) realização de pagamentos, hipótese em que dados pessoais serão compartilhados com instituições financeiras; (iv) cadastro médico em hospitais.
Os dados dos sócios realizados poderão ser compartilhados no curso normal dos serviços prestados pelo Grupo nas seguintes hipóteses:
Com assessores de gestão administrativa, financeira, contábil e Jurídico do GRUPO, notadamente para o cumprimento de atividades relacionadas à gestão da sociedade e cumprimento de obrigações perante órgãos públicos;
Com contratantes das sociedades do GRUPO, os quais imputam dados em seus sistemas de acesso e softwares de gestão hospitar;
Com fornecedores de softwares específicos para gestão de escala médica e pagamento dos integrantes do corpo clínico;
Com instituições bancárias, para permitir pagamento aos Sócios;
Com fornecedores de produtos e serviços que, na visão do GRUPO, poderão interessar aos Sócios;
Com autoridades e entidades governamentais, especialmente em razão do vínculo societário existente entre os Sócios, motivo pelo qual dados pessoais precisam ser compartilhados para cumprimento de obrigações legais e regulatórias, especialmente frente à Receita Federal, Junta Comercial do Estado de São Paulo, Prefeitura Municipal, Caixa Econômica Federal e Conselho Regional de Medicina;
Com autoridades administrativas e judiciais.
O compartilhamento de dados pessoais com terceiros observará os limites da estrita necessidade, sendo certo que o terceiro destinatário deve ter condições de resguardar a confidencialidade e adequada proteção dos Dados.
PROTOCOLOS DE PROTEÇÃO E TRATAMENTO
O tratamento dos Dados Pessoais observará rígidos padrões de segurança mediante a utilização de processos, ferramentas e tecnologias razoáveis e disponíveis, o que inclui a adoção de medidas como:
- Acesso restrito de pessoas ao local onde são armazenadas os Dados;
- Assinatura de termo de conhecimento para que colaboradores internos ou prestadores de serviços que realizarem o Tratamento de Dados se comprometam a manter o sigilo absoluto das informações, adotando as boas práticas para manuseio desses dados;
- Inclusão de cláusula(s) protetiva(s) dos Dados nos contratos em que as empresas do GRUPO vierem a ser Parte;
- Revisão constante dos documentos utilizados para proteção dos Dados com base em informações obtidas a partir de monitoramento contínuo e avaliações anuais;
Os softwares utilizados pelo GRUPO devem garantir a segurança e privacidade de seus usuários, mediante tratamento de dados pessoais com segurança, conforme a seguir esclarece:
Coleta de informações: os formulários existentes têm a função de coletar dados do médico para tornar mais ágil o processo de realização de cadastro médico, agilizar a obtenção de login e senha para acesso aos sistemas de prontuário eletrônico, cadastro no sistema de gerenciamento de plantões e ingresso no quadro societário. Para que a informação não se perca, o GRUPO utiliza o software “Google Forms”;
Guarda de informações: O GRUPO mantém banco de dados que guarda informações pessoais dos médicos, tais como documentos de identificação pessoal, de capacidade profissional (diplomas e títulos de especialidade médica), comprovantes de endereço, carteira do Conselho Regional de Medicina entre outros. Estes documentos são armazenados na nuvem, em “Google Drive”.
Back Up: O GRUPO armazena os dados dos Sócios enquanto estes forem sócios das sociedades e se preocupam com a inviolabilidade dos dados coletados realizando backup das informações coletadas regularmente (a cada 90 dias).
Uso das Informações: O GRUPO, trata Dados de acordo com a presente Política e em hipótese alguma, comercializará ou repassará a terceiros sem prévia autorização, as informações oferecidas por nossos sócios, parceiros ou pacientes;
Segurança: Quando informações pessoais são transmitidas, especialmente via softwares descritos nesta frente, procuramos realizar a transferência em ambiente seguro, no qual os dados são protegidos. Os softwares utilizados para coleta e armazenamento dos dados dos Sócios possuem acesso restrito e são acessíveis apenas pela administração do GRUPO e prestadores de serviços que necessitam dos dados pessoais para cumprimento de obrigações legais e regulatórias. Os sistemas de informática adotados pelos contratantes das empresas do GRUPO (softwares de gestão hospitalar) são protegidos por login e chaves de acesso, permitindo identificar o usuário que efetuou o tratamento dos dados e as eventuais alterações realizadas.
Inobstante toda tomada de ação para proteção dos dados pessoais, na hipótese de haver incidentes de vazamentos ou violação dos dados armazenados, serão adotadas todas as medidas disponíveis para remediar as consequências do evento, sempre garantindo a devida transparência ao Titular.
O GRUPO conta com um encarregado pelo tratamento de dados pessoais, divulgado em seu site em conformidade com o Art. 41 da LGPD, o qual pessoalmente orientará funcionários e contratados, analisará e endereçará reclamações e comunicações dos titulares, prestará esclarecimentos e adotará providências.
DURAÇÃO
O tratamento do dado será pelo período imposto por lei, e a eliminação dos Dados Pessoais se dará quando verificado que é um dado excessivo, ou seja, não necessário para cumprimento de qualquer finalidade.
Os dados dos Sócios serão descartados quando (i) não mais figurarem no contrato social e nos contratos de prestação de serviços firmados com os contratantes da Sociedade; (ii) não forem necessários para cumprimento de obrigações legais e regulatórias, especialmente frente à Receita Federal, Junta Comercial do Estado de São Paulo e Conselho Regional de Medicina.
DIREITOS DO TITULAR
O GRUPO PACIENTEGRAVEUTI dispõe de canal de relacionamento ao titular dos dados pessoais, para solicitações, esclarecimentos e requerimentos relativos ao respectivo dado pessoal, os quais, serão atendidos pelo endereço eletrônico contato@pacientegraveuti.com.
- São direitos do titular dos dados pessoais, a qualquer momento e mediante requisição:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas na lei;
- Obter informação das entidades públicas e privadas com as quais o controlador compartilhou dados; e
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Ressalva-se que, em atendimento a norma legal ou contratual, os requerimentos apresentados pelo Titular podem ser rejeitados por motivos formais, como por exemplo, pela ausência de prova de identidade ou capacidade do requerente, ou por motivos legais, quando, por exemplo, o pedido de exclusão de dados contrariar obrigação legal do controlador, ou ainda, na hipótese de impossibilidade de atendimento dessas requisições, como por exemplo, na inexistência dos Dados reclamados.
VIGÊNCIA
A versão atual da Política de Privacidade e Proteção de Dados Pessoais da PACIENTEGRAVEUTI foi atualizada em 01/08/2021, podendo ser alterada e/ou atualizada a qualquer momento.