INTRODUÇÃO
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (“Regulamento Geral sobre a Proteção de Dados” ou “RGPD”) veio introduzir significativas alterações no regime de proteção de dados, a nível da União Europeia, acompanhando o aumento da capacidade e necessidade de tratamento de dados pessoais e a, igualmente crescente, preocupação com a proteção destes dados.
O Grupo Trofa Saúde (“Trofa Saúde Hospital”) atribui grande importância à privacidade e segurança dos seus Clientes. Neste sentido, laboramos intensamente para garantir o respeito pelas melhores práticas em matéria de segurança e proteção de dados pessoais, através da promoção de ações para o efeito e melhoria contínua dos nossos sistemas, de forma a acautelar a proteção dos dados que nos são disponibilizados pelos nossos Clientes.
O Trofa Saúde Hospital caracteriza-se pela prestação de cuidados de saúde de reconhecida qualidade, acompanhando a tecnologia e o estado da arte. Como tal, para corresponder às expectativas dos nossos Clientes e, também, para cumprimento das nossas obrigações legais, no contexto da prestação de serviços que lhes prestamos, as Unidades Hospitalares do Trofa Saúde Hospital (doravante, “Unidades Hospitalares”), melhor identificadas em www.trofasaude.pt/apoio-ao-cliente/proteção-de-dados-pessoais, tratam dados pessoais dos seus Clientes. O tratamento de dados é essencial para continuarmos a assegurar padrões de serviço de elevada qualidade em áreas como o diagnóstico médico, a medicina preventiva e a gestão dos serviços de saúde.
Porque, no mundo atual, é essencial que o Cliente tenha ao seu dispor meios alternativos e tecnologicamente adequados para interagir com as Unidades Hospitalares, desenvolvemos um conjunto de websites e aplicações (conjuntamente, as “Plataformas”). Como é prática comum neste tipo de recursos, também nas nossas Plataformas a recolha de algumas informações pessoais do utilizador é necessária para que as nossas Unidades Hospitalares lhe possam prestar os serviços requeridos. Ademais, a recolha também se mostra necessária para o desenvolvimento e melhoria das funcionalidades das mesmas, contando para tal com a utilização de ficheiros designados por cookies e com outras funcionalidades inerentes à tecnologia, como permissões do sistema para recolher os dados.
De acordo com o RGPD, a cada tratamento deve corresponder uma finalidade e a cada finalidade um fundamento. Se quiser que tratemos os seus dados para determinadas finalidades, como o envio de comunicações informativas e de marketing que sejam consideradas relevantes para a promoção da sua saúde e para a prestação do serviço de saúde de qualidade reconhecida que caracteriza as Unidades Hospitalares, através dos diferentes canais de comunicação, quer físicos, quer digitais, nomeadamente carta, SMS ou e-mail, precisaremos de obter o seu consentimento prévio e expresso. Nesta Política de Privacidade, encontra-se disponível uma secção onde poderá explorar de forma mais aprofundada esta questão, denominada de “FUNDAMENTOS LEGAIS PARA O TRATAMENTO”.
O QUE SE ENTENDE POR DADOS PESSOAIS?
De acordo com o RGPD, deve ser considerado dado pessoal qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (titular dos dados). Considera-se identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.
Os dados pessoais poderão ter uma natureza mais sensível em determinadas situações, classificando-os, o RGPD, como “categorias especiais de dados”. Estes podem versar sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.
São “dados relativos à saúde” dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro.
DEFINIÇÕES RELEVANTES
Titular dos dados – pessoa singular identificada ou identificável a quem os dados pessoais dizem respeito;
Tratamento – operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
Responsável pelo tratamento – pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo Direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo Direito da União ou de um Estado-Membro;
Consentimento do titular dos dados – manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
Subcontratante – pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
Autoridade de controlo – uma autoridade pública independente criada por um Estado-Membro, com a responsabilidade pela fiscalização da aplicação do RGPD, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação dos dados na União. Em Portugal, a autoridade de controlo será a Comissão Nacional de Proteção de Dados (“CNPD”);
Encarregado da proteção de dados (data protection officer – “DPO”) – pessoa ou entidade nomeada para garantir, numa organização, a conformidade do tratamento de dados pessoais com o RGPD, assegurando a comunicação eficiente com os titulares dos dados e a cooperação com as autoridades de controlo em causa, fazendo ainda a ponte com as unidades de negócio dentro da organização. O DPO não recebe instruções relativamente ao exercício das suas funções, respondendo diretamente aos órgãos de direção da entidade que o nomeou (do responsável pelo tratamento ou do subcontratante);
Terceiro – pessoa singular ou coletiva, autoridade pública, serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
Definição de perfis – qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
Violação de dados pessoais – violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
Pseudonimização – o tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
Anonimização – técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível. Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando «o conjunto dos meios suscetíveis de serem razoavelmente utilizados», seja pelo responsável pelo tratamento, seja por terceiros. As principais técnicas de anonimização de dados pessoais são a aleatorização e a generalização;
Avaliação de impacto sobre a proteção de dados (data protection impact assessment – “DPIA”) – o tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
Transferências internacionais de dados – transferências de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro (localizado fora da União Europeia) ou para uma organização internacional, podendo a transferência ocorrer entre dois ou mais responsáveis pelo tratamento ou entre responsáveis pelo tratamento e subcontratantes.
RESPONSÁVEL PELO TRATAMENTO DOS SEUS DADOS PESSOAIS
Por regra, quando um Cliente se dirige ao Trofa Saúde Hospital fá-lo através das nossas Unidades Hospitalares. São as Unidades Hospitalares, melhor identificadas em www.trofasaude.pt/apoio-ao-cliente/proteção-de-dados-pessoais, que têm a relação de maior proximidade consigo, que lhe prestam serviços e são igualmente elas que determinam as finalidades e meios de tratamento dos seus dados, no contexto dessa prestação. Como tal, e nos termos do RGPD, estas deverão ser consideradas como as entidades Responsáveis pelo Tratamento dos dados pessoais do Cliente.
Através desta Política de Privacidade queremos garantir que os nossos Clientes compreendem como procedemos ao tratamento dos seus dados pessoais no contexto das diversas atividades de tratamento levadas a cabo pelo Trofa Saúde Hospital. No entanto, pela especial importância das nossas Unidades Hospitalares na relação com o Cliente, será nelas colocado o destaque.
Desta forma, quando for atendido numa das Unidades Hospitalares, a entidade Responsável pelo Tratamento dos dados necessários à prestação dos serviços de saúde (p.ex., para efeitos de medicina preventiva, diagnóstico médico, gestão administrativa das fichas clínicas, marcações de consultas e exames, admissão e entrega de exames, prescrição eletrónica de medicamentos e de exames complementares de diagnóstico) será a Unidade Hospitalar que lhe preste tais serviços.
Quando o Cliente visitar uma das nossas restantes Unidades Hospitalares, não será onerado com a necessidade de fornecer, novamente, os seus dados pessoais para viabilizar a prestação de cuidados de saúde. Com recurso ao nosso sistema informático, que é equipado com as devidas medidas de segurança e salvaguardas a nível de proteção de dados, é possível aos profissionais de saúde da Unidade consultar a informação recolhida na Unidade Hospitalar original.
De acordo com o regime legal aplicável, estes dados serão de acesso reservado aos médicos e profissionais de saúde adstritos à prestação dos seus cuidados de saúde. Nos casos em que assim não seja, quando os seus dados de saúde e outras categorias especiais de dados forem acedidos por colaboradores não adstritos a obrigações de sigilo profissional, asseguraremos que tais colaboradores assumem obrigações contratuais de confidencialidade adequadas e, em certos casos, que tais pessoas tratarão os seus dados sob a responsabilidade e supervisão de um profissional sujeito a obrigação de sigilo profissional. Para mais informação relativamente a quem pode aceder aos seus dados pessoais, consulte a secção “QUEM ESTÁ AUTORIZADO A ACEDER AOS SEUS DADOS”, abaixo.
As Unidades Hospitalares serão, ainda, responsáveis pelo tratamento de dados realizado para as finalidades relacionadas com a auditoria interna e compliance dos sistemas e processos das Unidades Hospitalares, proteção de pessoas e bens e segurança das instalações das Unidades Hospitalares (através de videovigilância).
O nosso centro de serviços corporativos que agrega todas as Unidades Hospitalares, o GHT– Gestão Hospitalar, ACE, será o responsável pelo tratamento no âmbito do marketing de produtos e serviços das Unidades Hospitalares – como a análise de tendências de consumo, definição de novos serviços/produtos, segmentação e análise de perfis de clientes e envio de comunicações de marketing direto, através dos diferentes canais de comunicação, quer físicos quer digitais –, bem como para efeitos da comunicação externa com os média e a realização de eventos do Trofa Saúde Hospital.
CATEGORIAS DE DADOS PESSOAIS, MEIOS E MOMENTOS DE RECOLHA
Procedemos à recolha dos seus dados diretamente, designadamente, quando marca uma consulta ou exame, quando vai a uma consulta/faz um exame, quando nos contacta ou quando utiliza uma das nossas Plataformas. Ademais, podemos receber os seus dados pessoais de forma indireta, através dos nossos prestadores de serviços que lhe prestam serviços em nosso nome ou dos nossos parceiros. Poderá encontrar mais informações sobre os dados que partilhamos com outras entidades na secção “COMUNICAÇÕES DE DADOS A TERCEIROS”, abaixo.
Recolhemos os dados pessoais necessários para lhe podermos prestar cuidados de saúde de nível elevado. Neste âmbito, incluímos os dados necessários para a gestão de sistemas e serviços das Unidades Hospitalares, auditoria e melhoria dos mesmos.
Neste sentido, os seus dados pessoais podem incluir dados pessoais direta ou indiretamente relacionados com a sua saúde.
| Categorias de dados tratados | Meios e momentos de recolha |
|---|---|
| Nome, data de nascimento, sexo, número de telefone/telemóvel e NIF. Estes dados pessoais são de fornecimento obrigatório (sendo o Cliente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo). Restantes dados de identificação, tais como: número do cartão de Utente, País, Distrito e Concelho de nascimento, profissão, situação profissional, centro de saúde, médico de família, estado civil, nome do cônjuge, nome do pai, nome da mãe (caso Cliente seja menor), dados relacionados com o seu seguro ou subsistema de saúde (quando pretenda que os serviços prestados pela Unidade Hospitalar sejam abrangidos pelos mesmos). |
Quando é criada a ficha de Cliente, seja pessoalmente no balcão de uma das nossas Unidades Hospitalares, ou através de meios telefónicos ou informáticos. |
| Dados de identificação e de contacto, tais como: nome, morada, contacto telefónico, número de identificação fiscal e número de Cartão de Cidadão | Quando o cliente realize o seu check-in através da inserção do seu Cartão de Cidadão nos terminais eletrónicos disponibilizados nas Unidades (quiosques) ou através da leitura do Cartão de Cidadão na receção, de modo a que se possa proceder à confirmação da identidade do cliente, assegurar que os seus dados se encontram sempre exatos e atualizados, e habilitar a sua admissão ao ato médico. |
| Morada e endereço de correio eletrónico. Estes dados pessoais são de fornecimento obrigatório (sendo o Cliente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo). |
Para criação do Cartão Cliente Trofa Saúde Hospital. |
| Número de Cliente e hash (informação cifrada que permite ao sistema reconhecer a palavra-passe do utilizador). Estes dados pessoais são de fornecimento obrigatório (sendo o Cliente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo). |
No momento de criação de uma conta no Portal do Cliente ou na app Trofa Saúde Hospital. |
| Informações sobre as suas marcações, consultas ou exames (incluindo a Unidade Hospitalar, a data e hora da marcação, a especialidade do médico, o exame a realizar/realizado, dados constantes da prescrição médica, entre outros necessários à prestação dos serviços); gravação da chamada, caso a marcação/pedido de esclarecimento/reclamação seja feita através do Contact Center. | Quando efetua uma marcação/quando solicita informações através dos vários canais (e-mail, telefone e Plataformas do Trofa Saúde Hospital). |
| Informações sobre a sua saúde; incluindo: motivo da consulta/ato, antecedentes pessoais (doenças de infância, imunizações, hábitos, história ginecológica, alergias, medicação, doenças ativas, doenças inativas), antecedentes familiares (situações mais frequentes – diabetes, HTA, TP, cancro, vivo/falecido, causa de morte), exame clínico, diagnósticos, exames complementares, encaminhamento, alertas (diabetes, hipertensão, etc.), grupo sanguíneo; medicamentos prescritos, identificação do prescritor, código do local de prescrição e dados da receita e regime especial de comparticipação; ato e rúbrica do episódio realizado, data de início e fim do episódio, estado do episódio, profissional de saúde que executou o episódio, número de episódio, tipo de episódio, indicação se existem resultados do episódio e identificador desses resultados. Dados genéticos, origem racial ou étnica e dados relativos à vida sexual e orientação sexual. |
No decurso da prestação de cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços da Unidade Hospitalar. |
| A sua opinião sobre nós | Quando o Cliente participa nos nossos inquéritos/questionários de satisfação |
| Dados de identificação, contacto e de consumos, para efeitos de marketing de serviços e produtos das Unidades Hospitalares, tais como: faixa etária, área de residência, nº de telefone, nº de telemóvel, endereço de correio eletrónico, frequência das visitas às Unidades, Unidade e Serviço da Unidade (área funcional) visitada pelo Cliente, dados relativos aos consumos dos clientes (ato, Serviço, quantia, modo de pagamento, data), nome da Seguradora/Subsistema de Saúde. | Quando o Cliente tenha consentido no tratamento de dados para essa finalidade |
| Informações sobre como usa as nossas Plataformas, tais como: IP do dispositivo que utiliza para lhes aceder, a data e hora do início e fim da visita às Plataformas, histórico do browser do utilizador ou informação recolhida através de cookies e tracking pixels. | Quando utiliza as nossas Plataformas, nos termos das Políticas de Privacidade e de Cookies dessas Plataformas. |
| Imagem | Quando visita as nossas instalações e estejam instaladas câmaras de videovigilância, para garantir a segurança de pessoas e bens |
Categorias Especiais de Dados Pessoais
De acordo com o RGPD, são categorias especiais de dados pessoais os dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem
como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de um indivíduo.
Os serviços prestados pelas nossas Unidades Hospitalares dependem da recolha de dados relativos à sua saúde e, em certos casos, dados genéticos, dados relativos à sua origem racial ou étnica e dados relativos à sua vida sexual ou orientação sexual.
Quando recolhemos este tipo de dados, aplicamos um padrão de exigência especialmente elevado para garantir que os dados do Cliente se encontram devidamente protegidos. Assim sendo, teremos especial atenção e cuidado na seleção do fundamento de licitude adequado ao tratamento, na implementação de medidas técnicas e organizativas adequadas à minimização do seu tratamento, na restrição do acesso a esses dados e nos procedimentos adequados a garantir a segurança dos mesmos. Poderá encontrar mais informações nas secções “FUNDAMENTOS LEGAIS PARA O TRATAMENTO”, “QUEM ESTÁ AUTORIZADO A ACEDER AOS SEUS DADOS?” e “MEDIDAS DE SEGURANÇA ADOTADAS”.
FINALIDADES DE TRATAMENTO DOS SEUS DADOS
Os dados pessoais dos Clientes são tratados para a prestação de cuidados de saúde de elevada qualidade, incluindo para a gestão dos sistemas e serviços das Unidade Hospitalares.
No entanto, e caso o Cliente decida disponibilizar os seus dados pessoais para outras finalidades, bem como se as Unidades Hospitalares estiverem adstritas ao cumprimento de obrigações legais que exijam o tratamento dos seus dados pessoais, poderemos tratar esses dados para os efeitos relevantes.
Neste sentido, usamos os seus dados pessoais para os seguintes efeitos:
Finalidade
Prestação de serviços de saúde
De forma a podermos prestar os nossos serviços, utilizamos as suas informações, acima referidas, para efeitos de medicina preventiva, marcação de consultas, marcação de exames, diagnóstico médico, para fornecer cuidados de saúde, para prescrição eletrónica de medicamentos e exames complementares e para a gestão dos sistemas e serviços das várias Unidades Hospitalares.
Comunicação e gestão da relação com o Cliente
Podemos contactá-lo por carta, e-mail, SMS ou através das nossas Plataformas, por motivos administrativos ou operacionais, por exemplo, de modo a enviar-lhe a confirmação das suas marcações e dos seus pagamentos ou para o informar sobre quaisquer alterações ou imprevistos acerca das suas marcações. Dado que estas comunicações não são realizadas para efeitos de marketing, continuará a recebê-las ainda que tenha optado por não receber comunicações de marketing. Também vamos utilizar os seus dados pessoais para responder aos seus pedidos, sugestões, contactos ou reclamações.
Informar o Cliente sobre notícias e ofertas do seu interesse
DO GHT – Gestão Hospitalar, ACE poderá enviar ao cliente comunicações de marketing, caso este tenha indicado que as deseja receber.
Se aceitar receber comunicações de marketing, enviar-lhe-emos as nossas newsletters, bem como comunicações informativas e de marketing que sejam consideradas relevantes para a promoção da sua saúde e para a prestação de um serviço do mais alto nível nas Unidades Hospitalares.
Não partilhamos os seus dados pessoais com outras empresas para efeitos de marketing, exceto se tivermos o seu consentimento para o efeito.
Caso não queira receber mais comunicações de marketing da nossa parte, basta clicar no link de cancelamento de subscrição na parte inferior de qualquer comunicação de marketing por parte do Trofa Saúde Hospital.
Fornecer ao cliente uma experiência individualizada e melhorada
Os seus dados pessoais podem ser tratados de forma a adaptar os nossos serviços às suas necessidades e preferências, proporcionando-lhe uma experiência individualizada. Nomeadamente, caso nisso consinta, poderemos utilizar os seus dados de perfil para ajustar os nossos serviços em função dos seus interesses e preferências, prestando-lhe um serviço individualizado e de alto nível. O seu perfil será criado com base em dados pessoais como a sua faixa etária, o seu género, a sua área de residência, as consultas e atos clínicos marcados ou realizados por si. Assim, será agrupado, para efeito do envio de comunicações de marketing e oferta de produtos e serviços das Unidades Hospitalares, com outros clientes que vivam perto de si ou que visitem os mesmos Serviços.
A perfilagem levada a cabo pelo GHT – Gestão Hospitalar, ACE poderá ter como consequência, por exemplo, o envio de sugestões de médicos especialistas ou campanhas das Unidades Hospitalares que mais visita, com foco nas especialidades mais visitadas por si.
Se assim for, adotaremos as medidas adequadas a salvaguardar os seus direitos, liberdades e interesses legítimos, nomeadamente o direito de obter intervenção humana no tratamento dos seus dados, manifestar o seu ponto de vista e contestar a decisão em causa de assim o entender (para mais informações, ver secção “OS SEUS DIREITOS”, abaixo).
Também podemos recolher informações sobre como utiliza os nossos websites e aplicações, de modo a compreender os seus interesses. Podemos utilizar estas informações para adaptar o conteúdo e ofertas que vê no nosso website e, se tiver concordado em receber comunicações de marketing, enviar-lhe mensagens que entendamos relevantes.
Outras atividades e suporte
Podemos ainda tratar os seus dados pessoais para efeitos de gestão administrativa e financeira, a proteção de pessoas e bens e segurança das instalações (videovigilância), a realização de auditorias, deteção e análise de fraude, para a declaração, exercício e defesa de direitos em processos judiciais, bem como para o desenvolvimento e manutenção de sistemas.
Cumprimento de obrigações legais
Nomeadamente, a obrigação de fornecer os seus dados pessoais à Administração Central do Sistema de Saúde (“ACSS”) e a outras entidades públicas da área da saúde, bem como aos Tribunais, Solicitadores e aos órgãos de polícia criminal, no exercício dos seus poderes e atribuições. Para saber mais acerca das categorias de destinatários dos seus dados pessoais, consulte a secção “COMUNICAÇÕES DE DADOS A TERCEIROS”, abaixo.
FUNDAMENTOS LEGAIS PARA O TRATAMENTO
Tratamos sempre os seus dados pessoais no estrito cumprimento da lei. De acordo com o RGPD, para que seja lícito tratar os dados, o Responsável pelo Tratamento deve ter sempre um fundamento de licitude adequado para tal.
Assim, em consonância com a legislação aplicável, o tratamento dos seus dados pessoais pelo Trofa Saúde Hospital poderá basear-se nos seguintes fundamentos:
A prossecução de interesses legítimos do Responsável pelo Tratamento apenas será um fundamento válido se não prevalecerem os interesses e liberdades fundamentais do titular.
Quando estejam em causa categoriais especiais de dados pessoais, como dados relativos à saúde ou dados genéticos, existem requisitos mais estritos para o seu tratamento também no que toca ao fundamento de licitude. Estes dados apenas serão tratados pelo Trofa Saúde Hospital com os seguintes fundamentos:
Procuramos, na tabela abaixo, esquematizar de forma simples as finalidades dos tratamentos realizados pelas entidades do Trofa Saúde Hospital e os fundamentos de licitude nos quais assentam.
| Finalidade | Fundamento |
|---|---|
| Prestação de cuidados de saúde aos nossos Clientes e gestão da comunicação e relação entre o Cliente e as Unidades Hospitalares. | Execução do contrato de prestação de serviços de saúde celebrado com os Clientes, ou execução de diligências pré-contratuais a pedido dos Clientes (p.ex., quando esteja em causa a marcação de uma consulta ou ato clínico). Quando o tratamento incidir sobre categorias especiais de dados, como os dados de saúde, o tratamento será baseado na sua necessidade para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos de saúde. Serão cumpridas as exigências do art.º 9.º, n.º 3 do RGPD. Assim sendo, estes dados serão de acesso reservado aos médicos e profissionais de saúde adstritos à prestação dos seus cuidados de saúde. Nos casos em que assim não seja, quando os seus dados de saúde e outras categorias especiais de dados forem acedidos por colaboradores não adstritos a obrigações de sigilo profissional, para efeitos da gestão dos sistemas e serviços das Unidades Hospitalares, asseguraremos que tais colaboradores assumem obrigações contratuais de confidencialidade adequadas e, em certos casos, que tais pessoas tratarão os seus dados sob a responsabilidade e supervisão de um profissional sujeito a obrigação de sigilo profissional. |
| Cumprimento de obrigações legais pelo GHT – Gestão Hospitalar, ACE. Na sua maioria, estes tratamentos consistem em comunicações a entidades externas. | Necessidade do tratamento para o efeito do cumprimento de obrigações jurídicas do Responsável pelo Tratamento. Caso tais tratamentos envolvam categorias especiais de dados pessoais – p.ex., informação relativa aos medicamentos prescritos a determinado Cliente das Unidades Hospitalares-, os tratamentos fundamentar-se-ão na gestão de sistemas e serviços das Unidades Hospitalares. |
| Informar o Cliente sobre notícias e ofertas do seu interesse e para personalizar e melhorar a sua experiência enquanto Cliente (através de inquéritos de avaliação da satisfação dos Clientes) | Estes tratamentos são efetuados pelo GHT – Gestão Hospitalar, ACE com fundamento no consentimento dos titulares dos dados, ou seja, dos Clientes. Poderá retirar o seu consentimento a qualquer momento. Chamamos, no entanto, a atenção para o facto de a retirada do consentimento não prejudicar a licitude do tratamento efetuado com base no consentimento previamente dado. Para mais informações acerca dos seus direitos à luz do RGPD, consulte a secção “OS SEUS DIREITOS”, abaixo. |
QUEM ESTÁ AUTORIZADO A ACEDER AOS SEUS DADOS?
O Trofa Saúde Hospital atribui grande importância à privacidade e segurança dos seus Clientes. Neste sentido, trabalhamos, afincadamente, para acompanhar e garantir o respeito pelas melhores práticas em matéria de segurança e proteção de dados pessoais, através da promoção de ações para o efeito e melhoria dos nossos sistemas, de forma a acautelar a proteção dos dados que nos são disponibilizados pelos nossos Clientes. Reconhecemos, em linha com o prescrito pelo RGPD, a importância dos princípios da proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default), agindo sempre em conformidade com estes.
Implementamos um sistema robusto de controlo de acessos que permite garantir que os seus dados apenas serão acedidos na prossecução das finalidades e com os fundamentos elencados. O acesso acontece on a need-to-know basis (apenas por quem tenha efetiva necessidade).
Sabemos que os nossos Clientes confiam em nós para proteger os seus dados de saúde e outras categorias especiais de dados que são particularmente sensíveis. Como tal, e cumprindo sempre a legislação aplicável, o nosso sistema de controlo de acessos garante que apenas médicos e profissionais de saúde adstritos à prestação dos seus cuidados de saúde e sob obrigação de sigilo profissional acedem a estes dados. Nos casos em que assim não seja, quando os seus dados de saúde e outras categorias especiais de dados forem acedidos por colaboradores não adstritos a obrigações de sigilo profissional, asseguraremos que tais colaboradores assumem obrigações contratuais de confidencialidade adequadas e, em certos casos, que tais pessoas tratarão os seus dados sob a responsabilidade e supervisão de um profissional sujeito a obrigação de sigilo profissional.
Entre os casos em que o pessoal administrativo tem acesso aos seus dados de saúde e outras categorias especiais de dados, encontram-se o tratamento de dados para efeito de faturação dos serviços de saúde que lhe são prestados, para efeito da marcação de consultas e atos clínicos ou para gestão dos seus pedidos de informação ou reclamações.
PERÍODOS DE CONSERVAÇÃO DE DADOS
O período de conservação dos seus dados pessoais irá variar de acordo com a finalidade para que são tratados. Geralmente, os dados pessoais de Clientes que recolhemos são conservados em formato que possibilite a identificação dos titulares apenas durante o período estritamente necessário à prossecução das finalidades subjacentes ao seu tratamento. No entanto, em certos casos, poderão existir obrigações legais às quais estejamos vinculados e que nos obriguem a conservar os seus dados durante um período de tempo mais alargado. Particularmente no que concerne os dados de saúde, estes são conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar.
Também tomamos por referencial para determinação do período de conservação adequado as várias deliberações das autoridades de controlo de proteção de dados europeias, nomeadamente da CNPD, no que toca, p.ex., à conservação das chamadas que gravamos para prova de transações comerciais e para monitorização da qualidade de atendimento, para a conservação de logs de acesso às nossas Plataformas, para a conservação dos dados utilizados para efeito do envio de comunicações de marketing ou no contexto da videovigilância das nossas instalações.
OS SEUS DIREITOS
De acordo com o regime legal de proteção de dados aplicável, o titular dos dados poderá solicitar, a todo o tempo, o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação, eliminação ou a limitação do seu tratamento, a portabilidade dos seus dados, ou poderá opor-se ao seu tratamento. Poderá exercer estes direitos através do Portal do Cliente ou através de pedido escrito dirigido ao Encarregado da Proteção de Dados (DPO) do Grupo Trofa Saúde para
dpo@trofasaude.com, ou contacto presencial no balcão da Unidade Hospitalar em causa.
Os seus direitos à luz da legislação aplicável no âmbito da proteção de dados consistem em:
Direitos do Titular
Direito de Acesso
Direito de obter a confirmação de quais são os seus dados pessoais que são tratados, bem como de obter cópia dos seus dados pessoais em fase de tratamento.
O direito de obter a referida cópia não prejudica os direitos e liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o
software, nem inclui o acesso às anotações pessoais do médico ou a informações que, a serem conhecidas pelo Cliente, poriam em perigo a sua vida ou seriam suscetíveis de lhe causar grave dano à saúde, física ou psíquica.
Direito de Retificação
Direito de solicitar a retificação dos seus dados pessoais que se encontrem inexatos ou solicitar que os dados pessoais incompletos sejam completados.
Direito ao Apagamento
Direito de obter o apagamento dos seus dados pessoais.
Tal direito não se aplicará quando o tratamento dos dados for necessário para o cumprimento de uma obrigação legal a que as Unidades Hospitalares estejam sujeitas (p.ex., para o cumprimento de obrigações legais de conservação decorrentes da Regulamento Arquivístico para os Hospitais, preparado pelo Ministério da Saúde) ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Direito à Limitação do Tratamento
Direito de solicitar a limitação do tratamento dos seus dados pessoais, solicitando a suspensão do tratamento ou a limitação do âmbito do tratamento a certas categorias de dados ou finalidades de tratamento.
Direito à Portabilidade
Direito de receber os dados que forneceu às Unidades Hospitalares em formato digital de uso corrente e de leitura automática ou solicitar a transmissão direta dos seus dados para outra entidade que passe a ser o novo responsável pelos seus dados pessoais, se o tratamento dos seus dados tiver por base o seu consentimento ou a execução de um contrato.
Direito à Oposição
Direito de opor-se a um tratamento de dados, como, por exemplo, no caso de tratamento de dados para fins do envio de comunicações de marketing ou para o tratamento realizado para realizar publicidade direcionada online, com base nos interesses legítimos das Unidades Hospitalares.
Nos termos da lei, é-lhe, ainda, garantido o direito de, através dos meios acima referidos, retirar o seu consentimento para os tratamentos de dados relativamente aos quais o consentimento constitui o fundamento de legitimidade. Para o efeito, tem o direito de retirar o seu consentimento a qualquer momento, o que não invalida, no entanto, o tratamento efetuado até essa data com base no consentimento previamente dado. Relativamente ao tratamento dos seus dados para efeito do envio de comunicações de marketing direto, o GHT – Gestão Hospitalar, ACE disponibilizar-lhe-á um link, em cada uma dessas comunicações, através do qual poderá retirar o seu consentimento.
O acima disposto aplica-se, com as necessárias adaptações, ao exercício de direitos, por parte do titular das responsabilidades parentais ou tutor, em nome e por conta de titulares dos dados que sejam menores de 16 anos ou incapazes.
Caso considere que a maneira como tratamos os seus dados não se encontra em conformidade com a legislação de proteção de dados em vigor, informamos que, sem prejuízo de qualquer outra via de recurso administrativo ou judicial, tem a possibilidade de apresentar reclamação à Comissão Nacional de Proteção de Dados, ou a outra autoridade de controlo neste âmbito.
TRATAMENTO DE DADOS NAS PLATAFORMAS ELETRÓNICAS DO TROFA SAÚDE HOSPITAL
A presente Política de Privacidade aplica-se, integralmente, a todos os utilizadores das Plataformas do Trofa Saúde Hospital. No entanto, dada a especificidade inerente à utilização das referidas plataformas digitais (designadamente, o Website, Portal do Cliente e App Trofa Saúde Hospital), foram elaboradas Políticas de Privacidade específicas para as Plataformas, que poderão ser consultadas nos locais próprios.
COMUNICAÇÕES DE DADOS A TERCEIROS
As Unidades Hospitalares poderão transmitir os seus dados entre si, quando tal seja necessário para prestar ao Cliente cuidados ou tratamentos de saúde.
Poderemos recorrer a entidades subcontratadas para a prestação de determinados serviços. Todas as nossas relações com entidades subcontratadas estarão contratualmente formalizadas e respeitam todos os requisitos da legislação aplicável. Estas entidades poderão aceder e tratar dados dos nossos Clientes, em nosso nome e por nossa conta, e estão sempre vinculadas a seguir, de forma estrita, as nossas instruções. Ademais, asseguramos que estas entidades oferecem garantias suficientes de execução de medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos do regime de proteção de dados.
Poderemos, ainda, transmitir os dados pessoais dos nossos Clientes a entidades terceiras quando julguemos que tais comunicações de dados são necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais e (iii) para responder a solicitações de autoridades públicas ou governamentais.
Neste sentido, o Trofa Saúde Hospital poderá transmitir os seus dados pessoais à Entidade Reguladora da Saúde, à ACSS, aos Serviços Partilhados do Ministério da Saúde (SPMS), ao INFARMED ou às Administrações Regionais da Saúde, aos Tribunais, Solicitadores, aos órgãos de polícia criminal ou ao Ministério Público, quando seja notificado para o efeito, ou quando tal seja necessário para o cumprimento de obrigações jurídicas, conforme legalmente previsto.
As Unidades Hospitalares poderão comunicar os seus dados ao TSH – Serviços de Gestão e Marketing, ACE, caso tenha aderido ao Cartão Cliente Trofa Saúde Hospital, para efeitos da gestão do Cartão. O tratamento de dados pessoais realizado pelo TSH – Serviços de Gestão e Marketing, ACE encontra-se regulado por uma Política própria, contida nas Condições Gerais de adesão ao Cartão.
Igualmente, as Unidades Hospitalares poderão comunicar os seus dados pessoais à sua Seguradora ou Subsistema de Saúde (que serão autonomamente responsáveis pelo tratamento dos seus dados pessoais), se pretender que os serviços prestados pelas Unidades Hospitalares sejam cobertos pela Seguradora ou Subsistema.
Em qualquer das situações acima mencionadas, o Trofa Saúde Hospital compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos dados pessoais que trata.
MEDIDAS DE SEGURANÇA ADOTADAS
Desenvolvemos os nossos melhores esforços para proteger os dados pessoais dos Clientes contra acessos não autorizados. Para o efeito, temos equipas especializadas, utilizamos sistemas de segurança, implementamos regras e outros procedimentos, de modo a garantir a proteção dos dados pessoais, bem como para prevenir o acesso não autorizado aos dados, o uso impróprio, a sua divulgação, perda ou destruição. Os seus dados serão sempre tratados em conformidade com o regime legal em vigor e de acordo com standards adequados em termos de segurança e confidencialidade.
Sabemos que a maior fraqueza de qualquer sistema é o fator humano. Como tal, procuramos minimizar ao máximo qualquer vulnerabilidade que possa advir daí através da sensibilização e formação adequada dos nossos colaboradores. Procuramos garantir que os nossos colaboradores sabem as obrigações que lhes são impostas em matéria de proteção de dados. Ademais, garantimos que os nossos colaboradores assumem o compromisso de não revelar a terceiros ou utilizar para fins contrários à lei, qualquer informação da qual tenham tido conhecimento através do exercício das suas funções.
Neste sentido, e tomando em consideração o estado-da-arte, os custos de implementação associados e a natureza, escopo, contexto e finalidades do tratamento de dados, bem como os riscos de probabilidade e grau variáveis para os direitos e liberdades dos titulares dos dados, o Trofa Saúde Hospital adotou as medidas técnicas e organizacionais adequadas com vista a assegurar um nível de segurança ajustado a tais riscos, tais como:
• A pseudonimização e a cifragem dos dados pessoais, quando possível;
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
Para assegurar o pleno cumprimento das nossas obrigações legais, o Trofa Saúde Hospital designou um Encarregado da Proteção de Dados que pode ser contactado através do e-mail dpo@trofasaude.com, e que acompanha de forma constante o cumprimento das políticas e normas aplicáveis em matéria de proteção de dados pessoais no Trofa Saúde Hospital.
Conforme descrito na presente Política de Privacidade (ver secção “COMUNICAÇÕES DE DADOS A TERCEIROS”, acima), podemos nalguns casos transmitir os seus dados pessoais a terceiros. De acordo com o prescrito no RGPD e com as melhores práticas na matéria, definimos regras claras de contratualização do tratamento de dados pessoais com os nossos subcontratantes, e exigimos que estes adotem as medidas técnicas e organizativas apropriadas para proteger os dados pessoais dos nossos clientes. No entanto, excecionalmente, podemos ser obrigados por lei a divulgar os seus dados pessoais a terceiros (tais como autoridades de controlo) relativamente aos quais temos um controlo limitado relativamente à proteção dos dados pessoais.
TRANSFERÊNCIAS INTERNACIONAIS DE DADOS PESSOAIS
Caso, no âmbito da prestação de cuidados de saúde e da gestão de sistemas e serviços de saúde, uma Unidade Hospitalar, ou uma outra entidade do Trofa Saúde Hospital, transfira dados para entidades que se encontrem fora do Espaço Económico Europeu, em países que não assegurem um nível de proteção dos dados equivalente ao da União Europeia, serão implementadas medidas para a proteção dos dados transferidos, tendo em conta os mecanismos previstos na legislação, para garantir a segurança destas transferências de dados pessoais.
RECLAMAÇÕES
Caso considere que a maneira como as Unidades Hospitalares tratam os seus dados não se encontra em conformidade com a legislação de proteção de dados em vigor informamos que, sem prejuízo de qualquer outra via de recurso administrativo ou judicial, tem a possibilidade de apresentar reclamação à Comissão Nacional de Proteção de Dados ou a outra autoridade de controlo neste âmbito.
COMO PODE CONTACTAR-NOS?
Poderá contactar o Encarregado da Proteção de Dados (“DPO”) do Trofa Saúde Hospital para mais informações sobre o tratamento dos seus dados pessoais, bem como para colocar quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, através dos seguintes contactos:
e-mail: dpo@trofasaude.com | Morada: Rua Fernão de Magalhães, n.º 2, fração E, 4400-629 Vila Nova de Gaia.
ATUALIZAÇÕES À POLÍTICA DE PRIVACIDADE?
Poderemos implementar alterações ou atualizações à presente Política de Privacidade a qualquer momento. Qualquer alteração por nós implementada será devidamente atualizada nas nossas Plataformas. A consulta regular destas plataformas é recomendada para se manter a par de eventuais atualizações/alterações que ocorram.
Data da última atualização: 14 de dezembro de 2021