1. ESCOPO
1.1. A presente Política de Privacidade tem por objetivo descrever os métodos de segurança utilizados no tratamento de dados pessoais, o comportamento exigido, e os direitos e obrigações, dos sócios, administradores, conselheiros, diretores, representantes legais, colaboradores, prestadores de serviço, fornecedores e clientes do HOSPITAL ORTO SERVIÇOS MÉDICOS E CIRURGICOS LTDA., pessoa jurídica inscrita no CNPJ/MF sob o nº 46.642.658/0001-06, doravante denominado CONTROLADOR, que tratam ou tratarão, ou tenham tratados, sob qualquer modalidade, dados pessoais, de acordo com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), e legislação correlata, visando, mas não se limitando, a proteger a integridade, confidencialidade, disponibilidade, intimidade e autodeterminação informativa dos dados do(a) TITULAR.
2. DEFINIÇÕES
2.1. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; 2.2. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
2.3. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
2.4. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
2.5. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
2.6. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
2.7. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
2.8. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional de proteção de dados (ANPD);
2.9. Agentes de tratamento: o controlador e o operador;
2.10. Tratamento/processamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
2.11. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a
um indivíduo;
2.12. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
2.13. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
2.14. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
2.15. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por
órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de
tratamento permitidas por esses entes públicos, ou entre entes privados;
2.16. Incidente de segurança: situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, compartilhamento ou difusão, bem como qualquer forma de tratamento irregular ou
ilícito, contrário às recomendações do Controlador, que acarrete risco ou dano relevante aos titulares de dados pessoais;
2.17. Cookies: são registros/arquivos de conexão feitos pelo navegador de internet, que contêm informações que servem para identificar o visitante, seja para personalizar a página de acordo com
o seu perfil, para facilitar o transporte de dados entre as páginas do site, ou identificá-lo em acessos futuros.
3. DO ENCARREGADO
3.1. O encarregado pelo tratamento dos dados do(a) TITULAR é o sr. Ronie Roberto Silva, com domicílio na sede do CONTROLADOR, telefones (12) 3946-4966 ou (12) 98149-9063, e e-mail
supervisor.lgpd@hospitalorto.com.br.
3.2. No sítio eletrônico da empresa (https://hospitalorto.com.br/) constará o nome e contatos atualizados do ENCARREGADO pelo tratamento dos dados descritos neste instrumento.
3.3. O ENCARREGADO será responsável por aceitar reclamações e comunicações, prestar esclarecimentos e adotar providências ao(a) TITULAR, sobretudo para o esclarecimento de
quaisquer dúvidas sobre as bases legais para coleta, tratamento e armazenamento dos dados pessoais, bem como o exercício dos direitos do(a) TITULAR indicados no item 10.
3.4. No caso de acesso ou uso irregular dos dados, o ENCARREGADO contatará, em até 5 (cinco) dias, a conta da ciência do fato pelo CONTROLADOR, o(a) TITULAR dos dados, para informar quais
dados foram obtidos ilicitamente por terceiros e as providências tomadas para sua recuperação ou eliminação de eventuais prejuízos ao(à) TITULAR.
4. DA FINALIDADE
4.1. Os dados coletados serão utilizados para o cadastro regular do(a) TITULAR no banco de dados, e softwares utilizado pelo CONTROLADOR, e torná-lo apto a utilizar os serviços/produtos de
saúde especializados em ortopedia contratados, ou respectivo negócio jurídico celebrado com o CONTROLADOR (legítimo interesse).
4.2. Com o presente consentimento outorgado pelo(a) TITULAR o CONTROLADOR poderá tratar, através de seus sócios, representantes legais, administradores, funcionários, encarregado, e
operadores, os dados pessoais, inclusive os sensíveis:
(i) Para cumprimento do negócio/ato/vínculo jurídico existente entre o(a) TITULAR e o CONTROLADOR;
(ii) Para realização de auditorias/perícias por terceiros;
(iii) Análises e estudos por prestadores de serviços/fornecedores do CONTROLADOR em relação ao perfil dos seus clientes;
(iv) Análises e estudos por prestadores de serviços/fornecedores do CONTROLADOR de novos serviços ou produtos;
(v) Publicidade, propaganda, e envio de anúncios/promoções e informações sobre novos serviços/produtos;
(vi) Envio de comunicações relevantes e atualizações desta Política de Privacidade.
5. DO COMPARTILHAMENTO
5.1. Além do descrito acima, os dados coletados pela empresa serão compartilhados, na medida necessária, e nos limites da lei, incluindo, mas não se limitando, com as seguintes pessoas:
(i) CONE LESTE SERVIÇOS EIRELI (CNPJ 02.034.846/0001-78), responsável pelo controle de acesso à sede e unidades do CONTROLADOR;
(ii) DE BIASI SERVIÇOS AUXILIARES LTDA. (CNPJ 05.353.930/0001-42), responsável pela escrituração contábil do CONTROLADOR;
(iii) KIKKO E JACQUES DE MORAES ADVOGADOS ASSOCIADOS (CNPJ 08.756.225/0001-84), responsável por assessorar juridicamente o CONTROLADOR;
(iv) CONTROL SERVIÇOS ESPECIALIZADOS LTDA (CNPJ 00.029.794/0001-16), responsável pelos serviços de limpeza do CONTROLADOR;
(v) LGN SERVICOS DE INFORMATICA E ADMINISTRATIVOS LTDA (CNPJ 20.916.931/0001), responsável pelos serviços de tecnologia da informação do CONTROLADOR;
(vi) ROGERIO CRIMINELLI DE OLIVEIRA ME (IMATEC COMERCIO E SERVICOS) (CNPJ 08.840.891/0001-04), responsável pelo armazenamento em nuvem (cloud) dos dados sob os
cuidados do CONTROLADOR;
(vii) LOCAWEB SERVIÇOS DE INTERNET S.A. (CNPJ 02.351.877/0001-52), responsável pelo provedor de e-mail do CONTROLADOR.
(viii) MICROSOFT INFORMÁTICA LTDA. (CNPJ 60.316.817/0001-03), responsável pelos aplicativos administrativos (processador de texto, planilha de cálculo, banco de dados, apresentação gráfica,
gerenciador de e-mails, entre outros) do CONTROLADOR;
(ix) FACEBOOK SERVICOS ONLINE DO BRASIL LTDA. (CNPJ 13.347.016/0001-17), responsável pelo aplicativo de mensagens e ligações, através de conexão à rede municipal de computadores
(aplicativo/software Whatsapp), utilizado pelo CONTROLADOR;
(x) PHILIPS CLINICAL INFORMATICS – SISTEMAS DE INFORMACAO LTDA. (CNPJ 01.950.338/0001-77), responsável por software utilizado pelo CONTROLADOR;
(xi) WTT TECNOLOGIA E CONSULTORIA LTDA. (Deviwe) (CNPJ 04.844.094/0001-3), responsável por software de gestão de documentos e exames utilizado pelo CONTROLADOR;
(xii) PIXEON MEDICAL SYSTEMS S.A (Arya) (CNPJ 05.662.773/0001-57), responsável por software de radiologia utilizado pelo CONTROLADOR;
(xiii) THIAGO DA SILVA CHAVES ME (T Medical) (CNPJ 10.812.007/0001-61), responsável pela prestação de serviços de engenharia clínica ao CONTROLADOR;
(xiv) PRONTO VIDA EMERGENCIAS MÉDICAS LTDA. (EMERCOR) (CNPJ 03.784.165.0001-90), responsável pela prestação de serviços de transporte médico ao CONTRLADOR;
(xv) CIPAX MEDICINA DIAGNÓSTICA LTDA. (CNPJ 50.011.949/0001-65), responsável pela realização de exames laboratoriais ao CONTROLADOR;
(xvi) SERVIÇO DE HEMOTERAPIA DE SÃO JOSÉ DOS CAMPOS LTDA. (CNPJ 50.459.395/0001-63), responsável pelo fornecimento de hemocomponentes ao CONTROLADOR;
(xvii) POLICLIN SAÚDE S/A (BIOCLIN) (CNPJ 45.184.066.0001-17), parceira do CONTROLADOR na realização de cirurgias;
(xviii) PLANI DIAGNÓSTICOS MÉDICOS LTDA. (CNPJ 48.963.698/0001-77), responsável por exames e diagnósticos do CONTROLADOR;
(xix) ARQUIVAR GESTÃO DE DOCUMENTOS LTDA. (CNPJ 07.840.361/0001-95), empresa responsável pela gestão de documentos do CONTROLADOR;
(xx) Com outras pessoas, sempre que necessário ao atendimento de interesses legítimos do CONTROLADOR ou de terceiros, em decorrência de obrigação legal, determinação de autoridade
competente, ou decisão judicial, inclusive para o exterior.
5.2 Nas hipóteses de compartilhamento de dados, todos os sujeitos mencionados acima estarão obrigados a utilizar os dados pessoais compartilhados de maneira consistente e de acordo com os
propósitos para os quais foram coletados, de acordo com o que for determinado por esta Política de Privacidade, e todas as leis de privacidade e proteção de dados aplicáveis.
6. DA COLETA
6.1. O(A) TITULAR fornecerá, ou o CONTROLADOR coletará, mediante o preenchimento de formulário em papel ou eletrônico pelo(a) TITULAR, ou envio por convênios/seguros médicos, os
seguintes dados pessoais:
(i) Clientes e representantes legais: nome, imagem, data de nascimento, nacionalidade, nome dos genitores, estado civil, sexo, religião, profissão, biometria digital e facial, voz, número do registro
geral (RG), número de inscrição do cadastro de pessoas físicas (CPF) do Ministério da Fazenda, número de passaporte, endereço residencial, endereço eletrônico (e-mail), telefone, cookies, e
dados bancários ou do cartão de crédito/débito.
(ii) Sócios/diretores/colaboradores/prestadores de serviço/ fornecedores: nome, imagem, data de nascimento, nacionalidade, nome dos genitores, estado civil, sexo, número do registro geral (RG),
número de inscrição no registro nacional de estrangeiro (RNE), número de inscrição do cadastro de pessoas físicas (CPF) do Ministério da Fazenda, número da Carteira de Trabalho e Previdência Social
– CTPS, número de registro no Programa de Integração Social – PIS, formação acadêmica, número do registro profissional em conselho de classe, dados bancários, endereço de sua residência,
endereço comercial, endereço eletrônico (e-mail), telefone e dados bancários.
6.2. A coleta e tratamento de dados pessoais de crianças/adolescentes somente será realizada mediante o consentimento outorgado por seu responsável legal.
6.3. O(A) TITULAR, ou seu representante legal, responsabiliza-se pela precisão e veracidade dos dados informados e reconhece que a inconsistência destes poderá implicar em restrição ou
impossibilidade do uso serviços/produtos do CONTROLADOR.
6.4. Com exceção dos dados pessoais mencionados acima, o(a) TITULAR não está obrigado a fornecer quaisquer outros dados o CONTROLADOR.
6.5. Ao acessar nosso website ocorre a coleta automática de cookies pelo navegador utilizado. É possível alterar as configurações para bloquear esses cookies ou para alertá-lo quando os cookies
são enviados para o dispositivo.
7. DO TRATAMENTO/PROCESSAMENTO
7.1. O tratamento dos dados coletados será efetuado pelos sócios, representantes legais, administradores, diretores, conselheiros, colaboradores, prestadores de serviço e fornecedores do
CONTROLADOR, conforme descrito na no item 4. 7.2. Independentemente do consentimento do(a) TITULAR, conforme autoriza o artigo 7º, da LGPD, o CONTROLADOR poderá/deverá utilizar os dados, inclusive sensíveis, fornecidos pelo(a) TITULAR, na medida necessária, para:
(i) A execução ou de procedimentos preliminares relacionados ao contrato firmado entre as PARTES;
(ii) Cumprir obrigação legal ou regulatória;
(iii) Cumprir ordem judicial;
(iv) Proteger à vida ou integridade física do(a) TITULAR ou terceiros;
(v) Tutelar a saúde do(a) TITULAR ou terceiros;
(vi) Por solicitação do Estado (União, Estados, Distrito Federal e Municípios), para a realização de políticas públicas;
(vii) Promover ações judiciais, extrajudiciais e administrativas;
(viii) Realização de estudos por órgão de pesquisa;
(ix) Em caso de venda, compra, fusão, reorganização, liquidação ou dissolução do CONTROLADOR;
(x) Quando necessário para atender aos interesses legítimos do CONTROLADOR ou de terceiros;
(xi) De forma anonimizada.
7.3. Salvo em processos em que o próprio CONTROLADOR seja parte, este comunicará o TITULAR sobre eventuais demandas legais que resultem na divulgação de seus dados pessoais, a
menos que tal comunicação seja vedada por lei ou proibida por mandado judicial.
8. DO ARMAZENAMENTO E SEGURANÇA DOS DADOS PESSOAIS
8.1. Para garantir o armazenamento e tratamento adequado, e efetiva proteção dos dados do(a) TITULAR, sobretudo a fim de evitar ou mitigar a divulgação não autorizada, mau uso ou alteração
desses dados, o CONTROLADOR adotará medidas de segurança técnicas e administrativas, conforme o estado da técnica, aptas a proteger os dados pessoais, valendo-se, mas não se limitando, ao:
(i) Treinamento e conscientização, através de Manual de Conduta/Ética, dos sócios, diretores, administradores, conselheiros, funcionários, prestadores de serviço e fornecedores do CONTROLADOR, sobre o tratamento de dados pessoais de acordo com esta Política de Privacidade;
(ii) Armazenamento de documentos físicos em local específico situado na sede ou filial do CONTROLADOR, monitorado 24h por câmeras de segurança, e, que somente poderão ser acessados por pessoas autorizadas, mediante identificação por crachá/biometria;
(iii) Armazenamento de documentos eletrônicos no servidor do CONTROLADOR, cujo acesso somente ocorrerá por sócios, representantes legais, administradores, prestadores de serviços, fornecedores e funcionários do CONTROLADOR, mediante autenticação;
(iv) Política de senha que possua uma padronização alfanumérica, com a obrigação de trocas de senhas periodicamente, impedindo a reutilização das senhas anteriores e bloqueio por tentativas
sem sucesso;
(v) A “rede de dados” da empresa se valerá do antivírus da empresa SECURISOFT DO BRASIL – EIRELI (CNPJ 07.760.258/0001-35) e firewall do sistema Windows para coibir, impedir ou mitigar o
ataque de códigos maliciosos;
(vi) A transmissão, interna e externa, dos dados dar-se-á por Virtual Private Network (VPN);
(vii) Proibição da extração de cópias, imagens, vídeos e gravações de qualquer tipo por parte dos sócios, representantes legais, administradores ou funcionários do CONTROLADOR;
(viii) Existência de níveis hierárquicos diferentes para o acesso e modificação dos dados;
(ix) O sítio eletrônico (site) do CONTROLADOR será protegido pela criptografia “https”;
(x) O acesso ao software será registrado de acordo com o login e o endereço de IP (internet protocol).
8.2 Os terceiros indicados no item 5 também adotarão procedimentos de segurança para proteger a confidencialidade, segurança e integridade de dos dados pessoais do(a) TITULAR,
mitigando e prevenindo a ocorrência de eventuais danos em virtude do tratamento desses dados.
8.3 Apesar das supracitadas medidas de segurança e verificação periódica de vulnerabilidades a ataques aos dados pessoais do(a) TITULAR, este está cinte de que não é possível prevenir
totalmente o acesso, divulgação, alteração ou destruição dos dados pessoais por violação das proteções físicas e tecnológicas.
9. DA ELIMINAÇÃO
9.1. Por imposição legal (Lei n. 13.787/18), os dados pessoais que constem no prontuário dos pacientes deverão ser armazenados pelo prazo de no mínimo 20 (vinte) anos, a contar do último
registro.
9.2. Os demais dados pessoais necessários para efetivação das finalidades do negócio jurídico firmado entre o CONTROLADOR e o(a) TITULAR dos dados deverão ser mantidos no banco de dados
durante toda a relação jurídica.
9.3. Solicitada a exclusão (ou findo tal prazo), os dados serão excluídos/apagados do banco de dados do CONTROLADOR e seus suportes físicos destruídos.
9.4. Após receber o pedido de exclusão pelo TITULAR, mediante justificativa, o CONTROLADOR poderá manter os dados pessoais caso sejam necessários para cumprimento de legítimo interesse,
obrigações legais, resolver disputas judiciais/administrativas/arbitrais, manter a segurança, evitar fraudes e abuso e garantir o cumprimento de contratos.
10. DOS DIREITOS DO(A) TITULAR
10.1. O(A) TITULAR dos dados terá o direito de, a qualquer tempo:
(i) Revogar o consentimento para o tratamento;
(ii) Confirmar a existência de tratamento;
(iii) Acessar os dados;
(iv) Corrigir dados incompletos, inexatos ou desatualizados;
(v) Anonimizar, bloquear ou eliminar de dados desnecessários, excessivos ou tratados em desconformidade com a legislação e este instrumento;
(vi) À portabilidade dos dados a outro fornecedor de serviço ou produto;
(vii) Eliminar dos dados tratados com seu consentimento do(a) titular;
(viii) Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
10.2 O cancelamento da autorização para tratamento dos dados pessoais indicados no item 6 implicará a impossibilidade de cumprimento das obrigações contratuais do CONTROLADOR a(o)
TITULAR.
11. DAS COMUNICAÇÕES
11.1. As comunicações entre o(a) TITULAR e o CONTROLADOR dar-se-ão por correspondência nos logradouros de suas respectivas residência e sede, ou por mensagens eletrônicas através dos
endereços eletrônicos coletados.
12. DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD
12.1. A ANPD poderá ser contatada pelo seguinte sítio eletrônico: https://www.gov.br/anpd/ptbr/canais_atendimento/fale-conosco.
13. DAS DISPOSIÇÃO GERAIS
13.1. O CONTROLADOR reserva-se no direito de modificar esta Política de Privacidade a qualquer momento visando sua constante melhoria e aprimoramento.
13.2. Na hipótese de modificação desta Política de Privacidade, tais alterações serão publicadas de forma visível no sítio eletrônico do CONTROLADOR.
13.3. Esta Política de Privacidade está sujeita à legislação da República Federativa do Brasil.
13.4. Elege-se o foro da comarca de São José dos Campos/SP, com a exclusão de qualquer outro, por mais benéfico que seja, será o competente para dirimir quaisquer conflitos decorrente desta política.
HOSPITAL ORTO SERVIÇOS MÉDICOS E CIRURGICOS LTDA.
20 DE MAIO DE 2022.
