POLÍTICA DE PRIVACIDADE

INTRODUÇÃO

A Política de Proteção de Dados Pessoais da Fisiomovimento, pretende dar a conhecer a todos

os clientes, colaboradores, prestadores de serviços, ou qualquer entidade que direta ou

indiretamente se relacione com esta no âmbito do desenvolvimento da sua atividade, as

regras e princípios da organização relativos à proteção de dados pessoais.

Desta forma, pretende-se partilhar com as partes interessadas os dados que recolhemos e a

sua finalidade, dando ainda a conhecer as medidas que tomamos para proteger a sua

privacidade.

A Fisiomovimento assume assim uma política rigorosa para a Proteção dos Dados, assegurando

que todos os que nos confiam os seus dados pessoais, conhecem a forma como os dados são

tratados e quais os seus direitos nesta matéria.

A informação criada, processada e armazenada pela Fisiomovimento, independentemente do

seu suporte ou formato, e utilizada durante as atividades operacionais e administrativas do

negócio, tem que ser protegida. Deste modo, a Segurança da Informação assenta em três

fatores essenciais:

Confidencialidade significa que a informação está protegida contra o acesso ou exposição a

entidades não autorizadas. Basicamente, significa que um utente deve ser capaz de confiar

que a informação pessoal confidencial não é acedida por ninguém que não tenha os direitos e

uma finalidade concreta para aceder a essa mesma informação. Devido à informação sensível

nas aplicações clínicas e da quantidade de dados partilhados através do ecossistema de saúde,

a confidencialidade assume-se como um dos pilares cruciais.

Integridade significa que a informação mantém todas as características definidas pelo seu

responsável, incluindo o controlo das alterações ao longo do seu ciclo de vida. Os utentes

devem ser capazes de confiar que os dados a que os profissionais de saúde têm acesso são

precisos e completos e que o tratamento prescrito se baseie nesses mesmos dados. Na

prestação de cuidados de saúde a integridade ganha um peso ainda mais relevante na medida

em que uma falha na integridade dos dados pode ter como resultado danos diretos para a

saúde do utente.

Disponibilidade significa que a informação está acessível ao pessoal autorizado sempre que for

relevante. Trata-se de dar acesso à informação quando ela é necessária e, muitas vezes, num

determinado contexto.

É também objetivo do presente documento garantir o cumprimento com as disposições legais

aplicáveis dobre a proteção de Dados, nomeadamente no Regulamento Europeu de Proteção

de Dados (Regulamento nº 2016/679 de 27 de abril de 2016).

DEFINIÇÕES

Para efeitos da presente política e do Regulamento Geral de Proteção de Dados (RGPD),

entenda-se por:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável

(«titular dos dados»); é considerada identificável uma pessoa singular que possa ser

identificada, direta ou indiretamente, em especial por referência a um identificador, como por

exemplo um nome, um número de identificação, dados de localização, identificadores por via

eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética,

mental, económica, cultural ou social dessa pessoa singular;

«Tratamento», é qualquer operação ou um conjunto de operações efetuadas sobre dados

pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não

automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a

adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão,

difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a

limitação, o apagamento ou a destruição.

 

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência

ou outro organismo que, individualmente ou em conjunto com outras, determina as

finalidades e os meios de tratamento de dados pessoais;

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica,

informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo

inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma

pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o

seu estado de saúde.

«Minimização dos dados». Princípio que impõe que os dados pessoais recolhidos devem ser

limitados ao que é necessário relativamente às finalidades para os quais são tratados.

«Violação de Dados Pessoais» Violação da segurança que provoque, de modo acidental, ou

ilícito, a destruição, a perda, a alteração ou o acesso não autorizado a dados pessoais

transmitidos ou sujeitos a qualquer outro tipo de tratamento.

POLÍTICA DE PROTEÇÃO DE DADOS

Responsabilidade pela Recolha e Tratamento

A Fisiomovimento é a responsável pela recolha e tratamento dos dados pessoais.

Os profissionais da fisiomovimento (colaboradores ou prestadores de serviços) são um

importante elemento no ciclo de vida do tratamento de dados dos clientes, na medida em

que, em regra, serão estes que recolhem e tratam dados. Os profissionais deverão, assim,

adotar um conjunto de procedimentos e cautelas na forma como manuseiam os dados, de

forma a garantir a confidencialidade dos dados e, consequentemente, evitar falhas de

segurança e acessos não autorizados.

Finalidade da Recolha de Dados Pessoais

A Fisiomovimento recolhe dados pessoais com fins precisos, explícitos e legítimos, e nunca

tratará esses dados de forma incompatível com esses objetivos.

A Fisiomovimento utiliza os dados pessoais para a identificação dos clientes, agendamento e

realização de serviços médicos, faturação e cobrança dos serviços prestados, avaliação da

satisfação, resposta a reclamações e sugestões bem como para outros fins decorrentes de

imposição legal.

Recolha de Dados Pessoais

Ao recolher dados pessoais, a Fisiomovimento informa o titular dos mesmos da finalidade

para o qual são recolhidos.

No momento da recolha os profissionais da Fisiomovimento asseguram o princípio da

minimização, assegurando-se de que apenas são recolhidos os dados pessoais estritamente

necessários para o ato em questão. Deverá ainda ser garantida a prestação de informação

acerca dos termos em que os dados pessoais irão ser utilizados, através dos seguintes

elementos:

Entidade e contactos do responsável pelo tratamento (Fisiomovimento);

Finalidade do tratamento;

Eventuais destinatários dos dados;

Transferência internacionais de dados e informações a esse respeito (se aplicável);

Prazo de conservação dos dados;

Condições de acesso, retificação e eliminação dos dados;

Possibilidade de o titular retirar o consentimento;

Direito a apresentar reclamação perante a Autoridade de Proteção de Dados (CNPD)

Se o titular está ou não obrigado a fornecer os dados, e consequências do não fornecimento;

 

Existência de decisões automatizadas (i.e. indicação se o titular dos dados fica sujeito a

qualquer decisão tomada exclusivamente com base no tratamento automatizado dos seus

dados).

Direitos dos Titulares dos Dados Pessoais

Nos termos do Regulamento Geral de Proteção de Dados, é garantido ao titular dos dados, o

direito de acesso, atualização, retificação, limitação do tratamento ou eliminação dos seus

dados pessoais, mediante pedido endereçado Fisiomovimento pelas vias de contato.

Acesso aos Sistemas de Informação/Plataformas

Os profissionais de saúde devem garantir o acesso reservado aos sistemas de informação e

plataformas nos quais são registados dados de saúde dos utentes. Os profissionais de saúde

devem ainda abster-se de duplicar as bases de dados da clínica, criando, por exemplo, ficheiros

próprios com a informação da base de dados/aplicação a que acede.

Registo e Acesso à Informação Clínica

O registo da informação clínica dos clientes deve ser efetuado, diretamente, pelo profissional

da área de saúde. Apenas devem ser recolhidos e, consequentemente, registados os dados

estritamente necessários para assegurar a prestação de cuidados médicos. O profissional de

saúde deverá apenas aceder à informação clínica do cliente, no Processo Clínico ou outro, na

medida em que tal seja necessário para a prossecução das suas funções.

Partilha da Informação Clínica

A informação clínica não deve ser partilhada com terceiros, exceto para assegurar a

continuidade da prestação de cuidados de saúde. Nessa situação, o profissional deve garantir

que a partilha é efetuada, de forma segura e confidencial, a outro profissional sujeito à

obrigação de confidencialidade e sigilo e que se tem todos os cuidados com esta partilha de

informação.

Transporte da Informação Clínica

Os profissionais de saúde devem abster-se de, de alguma forma, transportar informação

clínica constante do Processo Clínico ou outro, para fora da empresa, exceto nos casos

autorizados pelos responsáveis da Instituição e para efeitos de garantia da continuidade da

prestação de cuidados médios. Sempre que tal suceda, deverão ser adotadas medidas de

segurança especiais, de forma a assegurar que a informação não é acedida por terceiros de

forma indevida (em particular, a informação deverá ser anonimizada e/ou encriptada).

Utilização de Dispositivos Pessoais

O profissional da área da saúde não deve utilizar ou, de alguma forma, ligar dispositivos

pessoais aos sistemas e plataformas da Fisiomovimento, exceto nos casos em que exista

aprovação prévia dos responsáveis da empresa. Caso tal suceda, e atenta à natureza da

informação, o profissional deve ter em consideração que o acesso à rede através de

dispositivos móveis pessoais acarreta riscos de segurança e confidencialidade, pelo que deve

adotar as medidas de segurança necessárias para proteger os dados a que aceda, através do

seu dispositivo, contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a

difusão ou o acesso não autorizado, bem como contra qualquer outra forma de tratamento

ilícito dos mesmos. Deve ainda, em qualquer situação, manter a informação confidencial em

regime de sigilo e estrita confidencialidade, não permitindo o acesso a terceiros.

Utilização dos Dados para Finalidades Próprias

O profissional da área da saúde não pode tratar os dados recolhidos no âmbito da prestação

de cuidados de saúde para finalidades próprias. Caso pretenda utilizar os dados para fins

 

académicos ou de investigação, deverá obter a aprovação dos responsáveis da empresa,

devendo recolher o consentimento do cliente para o efeito, prestando-lhe a informação

necessária acerca dos termos em que os dados irão ser utilizados. Nesta situação, o

profissional será considerado responsável pelo tratamento dos dados

Comunicação de Violações de Dados Pessoais

Caso ocorra qualquer falha ou incidente que envolva dados pessoais, o profissional de saúde

deverá proceder à comunicação do mesmo, de acordo com os procedimentos estabelecidos

para o efeito. Na medida em que tenham informação acerca do incidente, deverão

disponibilizá-la aquando da comunicação. Em particular, deverão comunicar a natureza da

violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de

titulares de dados afetados, bem como as categorias e o número aproximado de registos de

dados pessoais em causa.

Comunicação dos Dados a outras Entidades

A Fisiomovimento apenas transmitirá dados a terceiros, quando o seu titular o solicite ou

autorize ou quando se tratar de uma imposição legal.

Sempre que haja a necessidade de transmissão de determinados dados pessoais a

subcontratantes, a Fisiomovimento irá adotar medidas adequadas de forma a garantir que as

entidades com quem os dados são partilhados têm implementadas medidas de segurança e

proteção dos dados que permitam preservar os seus dados pessoais, assegurando ainda que

os mesmos são utilizados de acordo com a finalidade previamente estabelecida.

Em caso de exigência de dados pessoais por auditores ou autoridades externas, o seu

fornecimento será limitado ao estritamente necessário para que essas entidades possam

executar adequadamente as tarefas e funções que por via da lei ou de contrato lhes estão

cometidas.

MEDIDAS DE SEGURANÇA E BOAS PRÁTICAS

A Fisiomovimento garante que colocará em prática as medidas técnicas e organizativas

adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda

acidental, a alteração, a difusão ou acessos não autorizados, bem como a adoção de medidas

que garantam um nível de proteção adequados em relação aos riscos inerentes ao tratamento

e à natureza dos dados a proteger.

A informação de saúde deverá ser de acesso restrito ao profissional de saúde responsável ou,

sob a sua direção e controlo, a outros profissionais de saúde obrigados a sigilo profissional.

Quando a recolha de dados pessoais referentes à saúde não for efetuada diretamente pelo

profissional de saúde (por exemplo, preenchimento de um questionário diretamente pelo

titular dos dados), têm de ser tomadas medidas concretas quanto à circulação dessa

informação, que impeçam a visualização dos dados por pessoa não autorizada,

designadamente mediante entrega direta ao profissional de saúde ou entrega nos serviços, em

envelope fechado, endereçado ao profissional de saúde.

A ficha clínica não deve conter dados sobre a raça, a nacionalidade, a origem étnica ou

informação sobre hábitos pessoais do trabalhador, salvo quando estes últimos estejam

relacionados com patologias específicas ou com outros dados de saúde. (cf. n.º 3 do artigo

109.º da Lei n.º 102/2009, de 10 de Setembro).

No caso da Medicina Ocupacional, o empregador apenas deverá ser informado dos resultados

necessários à tomada de decisão em matéria de emprego, através da “ficha de aptidão”. A

informação de saúde em caso algum poderá ser comunicada ao empregador.

Sempre que haja circulação da informação de saúde em rede, a transmissão dos dados deve

ser cifrada.

O sistema informatizado deve estar estruturado, de modo a permitir o acesso à informação de

acordo com os diferentes níveis de acesso dos utilizadores, sendo atribuídas palavras passe de

 

acesso ao software que disciplinem as autorizações de acesso. Tais palavras passe devem ser

periodicamente alteradas e eliminado o utilizador logo que estes deixem de ter permissões de

acesso.

Deve ser garantido o acesso restrito, sob ponto de vista físico e lógico, aos servidores do

sistema, que devem manter um registo de auditoria à informação sensível.

As cópias de segurança, devem ser mantidas em local apenas acessível ao administrador de

sistemas.

No que diz respeito aos dados contidos em suporte de papel, serão adotadas medidas

organizativas, que garantam um nível de segurança idêntico, impedindo o acesso e

manuseamento indevidos.

A ficha clínica só pode ser facultada às autoridades de saúde e aos médicos da Autoridade para

as condições de trabalho (cf. n.º 2 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).

Nos termos do disposto na alínea e) do artigo 5.º do RGPD os dados apenas podem ser

conservados durante o período necessário para a prossecução das finalidades da recolha ou

tratamento posterior.

Nos termos do artigo 46.º da Lei n.º 102/2009, cabe à entidade patronal o dever de conservar

os registos referentes aos aspetos subjacentes à medicina no trabalho por, pelo menos, 40

anos após terminada a exposição dos trabalhadores a que digam respeito.

O direito de informação é corolário dos princípios da boa-fé, da lealdade e da transparência.

Neste sentido, o titular dos dados deve ser informado de todas as operações de tratamento de

dados de dados pessoais e de obter, no momento da recolha desses dados, uma informação

rigorosa e completa das circunstâncias dessa recolha, tal como estabelecido nos artigos 12.º e

13.º do Regulamento Geral de Proteção de Dados.

O direito de acesso aos seus dados por parte do titular, bem como o direito de retificar ou

solicitar o apagamento dos seus dados pessoais, se aplicável, são estabelecidos pela legislação

de proteção de dados pessoais. A efetivação destes direitos é essencial para a verificação dos

princípios da minimização, exatidão e atualização, adequação e da limitação da conservação.

Nos termos do artigo 15.º do RGPD, o titular dos dados tem o direito de obter o acesso aos

dados pessoais tratados. No caso de dados relacionados com saúde, o direito de acesso deverá

ser exercido por intermédio do médico responsável pelas operações de tratamento de dados.

O mesmo se aplica ao direito de retificação (previsto no artigo 16.º). Dada a especificidade do

tratamento de dados de saúde, estes direitos deverão ser exercidos diretamente junto de um

médico ou profissional de saúde sujeito a segredo profissional, uma vez que o conhecimento

destes dados está limitado a estas pessoas.

A base legal para o tratamento de dados pessoais na área da medicina no trabalho é a alínea h)

do nº2 do artigo 9.º do RGPD.

O direito ao apagamento da informação não se aplica a esta operação de tratamento por força

do artigo 9. alínea h) e alínea c) do nº3 do artigo 17.º.b do RGPD.

ALTERAÇÕES À POLÍTICA DE PRIVACIDADE

A Fisiomovimento reserva-se ao direito de, a qualquer altura, proceder a ajustamentos ou

alterações à presente “Política de Privacidade”, sendo tais alterações devidamente divulgadas

no seu website.