Política de privacidade e proteção de dados pessoais
1) INTRODUÇÃO:
O GRUPO IOV é especializado no tratamento oncológico, sendo constituído pelo CENTRO ONCOLÓGICO DO VALE LTDA (CNPJ Nº 00.745.887/0001-47), que atua no ramo de quimioterapia, e pelo INSTITUTO DE RADIOTERAPIA DO VALE DO PARAÍBA LTDA – CENON (CNPJ Nº 47.534.318/0001-16), em radioterapia.
A presente Política de Privacidade e Proteção de Dados Pessoais foi desenvolvida pelo GRUPO IOV em conformidade com a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) com o objetivo de esclarecer quando e como são coletados os Dados Pessoais de seus Usuários e como tais dados são tratados, bem como quais são as práticas adotadas para a proteção desses dados.
Para que os Usuários tenham boa compreensão acerca da Política de Privacidade e Proteção de Dados Pessoais do GRUPO IOV, recomendamos uma atenta leitura.
2) DEFINIÇÕES:
Objetivando um melhor entendimento da política ora apresentada, definimos:
Dado pessoal é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Exemplos: nº RG, nº CPF, nº Carteira de Motorista, E-mail, nº de telefone, endereço residencial e comercial, endereço de IP (Internet Protocol), geolocalização, curriculum vitae, dentre outros.
Dados sensíveis são tipos de Dados Pessoais que revelam dados de uma pessoa sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Exemplos: dados de saúde, atestado médico, identificadores biométricos, dados genéticos, opção religiosa, dentre outros.
Tratamento de dados é toda ação ou forma de manipulação de informações pessoais de determinado titular de dados, a exemplo coleta, classificação, utilização, acesso, reprodução, comunicação, transmissão/ compartilhamento, avaliação, armazenamento e descarte.
Usuário: qualquer pessoa física que se relacione com o GRUPO IOV em oportunidades que seus Dados Pessoais sofram tratamento. São considerados Usuários quaisquer pessoas que naveguem no website e redes sociais do GRUPO IOV, bem como seus pacientes, colaboradores, prestadores de serviços ou terceiros, dentre outros.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do controlador. É quem realiza/executa o tratamento de dados a mando do Controlador.
Criptografia: prática na qual um dado é codificado por meio de um algoritmo que trabalha de forma conjunta com uma chave, para definir como a mensagem será cifrada (codificada).
3) TIPOS DE DADOS PESSOAIS TRATADOS:
O GRUPO IOV, de forma segura e transparente, trata os Dados Pessoais que são necessários e compatíveis para uma adequada prestação dos seus serviços e que poderão estar direta ou indiretamente relacionados com a saúde do Usuário, atentando-se sempre para a finalidade que se busca ao tratar determinado dado pessoal.
Os Dados Pessoais poderão ser coletados através da disponibilização direta pelo próprio Titular dos Dados, para agendamento e confirmação de consulta, a exemplo de: nome completo, estado civil, data de nascimento, endereço, documento de identidade, CPF, número da carteira do plano de saúde, e-mail, número de telefone.
Além desses Dados Pessoais de identificação o GRUPO IOV coletará Dados Pessoais sensíveis do paciente, especialmente os atinentes à sua saúde (como sinais, sintomas, comorbidades, entre outros) para:
i. Efetivar a consulta (em regime presencial ou teleconsulta/telemedicina);
ii. Viabilizar a realização de exames/procedimentos/tratamentos terapêuticos;
iii. Alimentar e gerenciar o sistema de “Cuidado Coordenado” desenvolvido entre os profissionais médicos, farmacêuticos, enfermeiros internos das unidades, nutricionistas, psicólogos e assistentes sociais, com a utilização do aplicativo “IOVCARE”. O foco desse sistema é o cuidado integral dos pacientes e o manejo dos sintomas e efeitos colaterais para promoção do bem-estar.
O GRUPO IOV participa de pesquisas clínicas e auditorias. Somente se o paciente fizer parte de tais pesquisas e auditorias e mediante seu consentimento expresso é que seus Dados Pessoais serão tratados para viabilizar o desenvolvimento de tais trabalhos. Exemplos: nome completo, idade, telefone, CID, procedimento realizado, dados do prontuário, dentre outros.
Poderá, ainda, ocorrer o fornecimento dos Dados Pessoais dos pacientes por terceiros (outros profissionais da saúde parceiros e laboratórios) ao GRUPO IOV, para estudos de casos clínicos e análises de exames prévios.
Há, também, a coleta automática dos dados quando da utilização de nosso website e nossas redes sociais pelo Titular dos Dados, na posição de Usuário/visitante. Como dados coletados automaticamente, exemplifica-se: as características do dispositivo de acesso, do navegador, ou seja, origem / data / hora e o nº do IP (Internet Protocol).
Como dispõe de canal para comunicação com o cliente em seu website, correio eletrônico (e-mail) e sistemas de trocas de mensagens (WhatsApp) para que possa responder a eventuais dúvidas, solicitações, fornecer suporte e receber críticas ou elogios, o GRUPO IOV trata os Dados Pessoais coletados nessa oportunidade, tais como: nome completo, motivo do contato, e-mail, números de contato, entre outros.
Em nosso Serviço de Atendimento ao Consumidor as ligações poderão ser gravadas, desde que previamente informado, de acordo com as leis aplicáveis, para nossas necessidades operacionais.
No canal “Trabalhe Conosco” o GRUPO IOV coleta dados como nome, e-mail e área pretendida, sendo que o currículo a ser enviado pelo Usuário interessado permanecerá retido em banco de talentos por prazo determinado e desde que devidamente consentido pelo titular.
Na hipótese dado tratado referir-se a menores de idade é indispensável que um dos genitores ou o responsável legal forneça consentimento inequívoco e informado para tanto, sendo certo que o GRUPO IOV atentar-se-á para o estrito cumprimento da necessidade de proteção especial da privacidade da criança e do adolescente.
4) DIREITOS DO TITULAR DOS DADOS:
Em atenção à legislação pertinente, a posição de Titular dos Dados garante ao Usuário direitos relativos à privacidade e à proteção dos seus dados.
Comprometido com o cumprimento de seus deveres e no atendimento ao disposto no art.18 da LGPD, o GRUPO IOV, quando ocupar a posição de controlador de dados oportunizará ao Usuário ou terceiros autorizados (por consentimento escrito do titular ou por previsão legal), sempre que for por esse solicitado, por meio de requerimento expresso dirigido ao e-mail [email protected]:
✓ O acesso aos dados que lhe digam respeito;
✓ A confirmação da existência de tratamento;
✓ A retificação de dados incompletos, inexatos ou desatualizados;
✓ A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
✓ A portabilidade de seus dados a outro fornecedor de serviço ou produto, em formato estruturado e funcional de acordo com a regulamentação da Autoridade Nacional de Proteção de Dados - ANPD, observada a obrigatoriedade de conservação do prontuário médico pelo prazo legal;
✓ A eliminação dos dados tratados com consentimento do Usuário, salvo se houver razão legal para a manutenção destes objetivando resguardo de direitos a exemplo da obrigação legal ou regulatória pelo controlador de conservação dos Dados, estudo por órgão de pesquisa;
✓ A informação das entidades públicas e privadas com as quais houve o compartilhamento de seus dados;
✓ A informação sobre a possibilidade de não fornecer o seu consentimento, bem como de ser avisado sobre as consequências, em caso de negativa;
✓ A revogação do consentimento que irá interromper o tratamento dos dados objeto da autorização sem afetar a legalidade dos tratamentos de dados realizados anteriormente ao consentimento manifestado; e,
✓ Opor-se a tratamento realizado respaldado em qualquer das hipóteses de dispensa de consentimento, desde que tal tratamento tenha eventualmente ocorrido mediante ofensa à LGPD.
5) TRATAMENTO DOS DADOS PESSOAIS:
Para que Dados Pessoais sejam tratados resta necessária a existência de uma base legal que se constitua em fundamento jurídico para tanto.
5.1) Tratamento:
O GRUPO IOV trata os Dados Pessoais de seus Usuários nas seguintes hipóteses:
a) Mediante o consentimento do titular dos Dados Pessoais, quando aplicável;
b) Para a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde, em procedimentos que, pelas suas particularidades, dispensam a coleta de consentimento. Exemplo: consultas, exames e determinados tratamentos terapêuticos;
c) Para a proteção da vida ou da incolumidade física do Titular dos Dados ou de terceiros, em caso de eventuais atendimentos emergenciais;
d) Para a execução de contratos ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular de Dados;
e) Para o cumprimento de obrigação legal ou regulatória a exemplo de notificação compulsória de determinadas doenças e guarda de prontuário médico pelo período de 20 anos, a partir do último registro, a teor do art. 6º da Lei 13.787/2018;
f) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
g) Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, respeitando as expectativas do Usuário e garantindo a manutenção de seus interesses, direitos e liberdades fundamentais.
Também, o GRUPO IOV trata os Dados Pessoais sensíveis nas mesmas hipóteses acima elencadas para o tratamento dos Dados Pessoais, exceto naquelas dispostas nos itens d e g supra. Além das bases legais ora mencionadas para tratamento dos dados sensíveis admitir-se-á as elencadas abaixo:
a) Exercício regular de direitos na execução de contratos, para fazer cumprir ou aplicar os contratos do GRUPO IOV, principalmente os de prestação de serviços médicos oncológicos especializados;
b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) Garantia da prevenção à fraude e segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Exemplo: biometria.
É ainda afiançado pelo GRUPO IOV que os Dados Pessoais de seus pacientes serão de acesso limitado às pessoas que tenham necessidade de os conhecer no exercício das suas funções e apenas quando essencial para o alcance das finalidades de tratamento.
5.1.1) Compartilhamento:
O GRUPO IOV somente compartilha informações/Dados Pessoais quando necessário e sempre observa os princípios da proteção desses dados desde a sua concepção.
Quando, então, há a necessidade de compartilhamento dos dados coletados pelo GRUPO IOV, tal compartilhamento ocorre apenas em circunstâncias limitadas, a saber:
✓ Mediante o consentimento do Titular dos Dados, quando se fizer necessário;
✓ Para empresas que compõem o GRUPO IOV e entre matriz e filiais de cada unidade, sendo que todas elas estão comprometidas a tratar os Dados Pessoais com extrema segurança, tudo conforme os ditames do programa de governança em privacidade e em observância à legislação aplicável;
✓ Com terceiros que para o GRUPO IOV prestam serviços, exemplificativamente, serviços médicos subcontratados, jurídicos, contábeis, de auditorias em geral, e de hospedagem de dados em nuvem. Nesse caso o GRUPO IOV firma contratos com tais terceiros que contenham cláusulas retratando a relevância da proteção de Dados Pessoais. Inclui-se aí a exigência de que seu prestador de serviços esteja comprometido ao máximo com a privacidade e a segurança da informação do Titular dos Dados e adote as melhores práticas de segurança da informação.
✓ Para cumprir obrigação legal ou ordem judicial, apenas na medida do que for autorizado legalmente;
✓ Para fazer cumprir ou executar os contratos do GRUPO IOV, especialmente com as Operadoras de Planos de Saúde e contratos de trabalho.
6) PERÍODO DE ARMAZENAMENTO DOS DADOS PESSOAIS:
Os Dados Pessoais que o GRUPO IOV armazena são conservados apenas pelo tempo que for preciso para o cumprimento das finalidades relacionadas à prestação de seus serviços ou, ainda, de obrigações contratuais e legais.
Tais obrigações inclui o atendimento a eventuais requisições de autoridades, no limite do que a lei autoriza e em se tratando de ações judiciais os dados poderão ser armazenados até a finalização do processo.
7) DESCARTE DOS DADOS PESSOAIS:
O GRUPO IOV se compromete a descartar e/ou anonimizar os dados quando houver encerrado o cumprimento das finalidades que justificaram seu tratamento, atentando-se, quando aplicável, para o cumprimento dos prazos legais vigentes que determinam o dever de guarda de determinados documentos.
Referido descarte se dará de forma segura, observando-se os melhores meios técnicos a serem empregados, sempre, em atendimento aos termos da LGPD.
8) POLÍTICA DE COOKIES:
8.1) Conceito de cookie:
Os cookies são arquivos que podem ser armazenados no computador do Usuário ou outros dispositivos similares e são usados para coletar informações sobre como ele utiliza a internet, seus hábitos e preferências, quando da sua navegação em websites e redes sociais.
Embora coletem determinadas informações do Usuário, os cookies não permitem que qualquer arquivo ou informação sejam extraídos do seu disco rígido, não sendo possível o acesso a informações pessoais que não tenham sido disponibilizadas pelo próprio Usuário.
8.2) Tipos de cookies:
Em razão do tempo de permanência no computador e outros dispositivos, os cookies podem ser:
✓ Permanentes: São mantidos no dispositivo do Usuário após encerrar a sessão, até que seja excluído.
✓ Temporários: São coletados apenas enquanto o Usuário acessa o site ou rede social, expirando-se automaticamente após o fechamento da sessão.
Já em relação à sua função, poderão ser os cookies:
✓ Necessários: São os cookies que permitem/garantem as corretas funcionalidades do site ou rede social, não sendo possível a recusa destes. Eles também armazenam dados sobre as áreas acessadas das páginas, o tempo da visita e eventuais problemas deparados.
✓ Analíticos: São os cookies que coletam e analisam dados estatísticos, a exemplo de quais páginas e quantas vezes foram essas acessadas pelo Usuário, com o escopo de aprimorar o funcionamento do website.
✓ Funcionais: São os cookies responsáveis por disponibilizar funcionalidades aprimoradas no site ou rede social, como a visualização de vídeos, campos de fóruns e comentários, utilização de ferramentas sociais e memória de preferências dos Usuários na utilização do site.
✓ De Publicidade/Marketing: São cookies que atuam para oferecer publicidade de produtos e serviços mais direcionadas aos interesses dos Usuários, constatados pelo seu histórico de navegação.
8.3) Como usamos os cookies:
O GRUPO IOV utiliza somente os cookies necessários e temporários para permitir as corretas funcionalidades de seu website ou redes sociais e, eventualmente, para otimizar o seu uso/desempenho.
9) SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DOS DADOS PESSOAIS:
Empenhado em respeitar os preceitos da LGPD, o GRUPO IOV trata os Dados Pessoais dos Usuários apenas para os fins para os quais foram coletados e garante que esses sejam tratados com adequados níveis de segurança.
Os princípios da segurança da informação, especificamente os da confidencialidade, integridade e disponibilidade, são estritamente observados.
O GRUPO IOV é totalmente engajado na proteção dos dados de seus Usuários, tendo implantado e mantido um rígido programa de governança em privacidade que tem como principal propósito empregar medidas técnicas e organizativas aptas a imprimir as melhores práticas em segurança da informação para a proteção de dados e que busca, exemplificativamente:
• prevenir/impedir acessos não autorizados a sistemas e informações, limitando tais acessos àqueles que efetivamente necessitam conhecê-las para tratá-las;
• restringir o acesso à determinadas pessoas aos ambientes em que são armazenadas as informações pessoais;
• evitar perdas e/ou destruição, extravio, alterações, divulgação ou vazamento dos Dados Pessoais.
• treinar/conscientizar os colaboradores e parceiros externos que realizem tratamento de Dados Pessoais para que esses se comprometam com a confidencialidade dos dados que lhes sejam confiados.
As medidas utilizadas no propósito de buscar maior segurança da informação levam em consideração a natureza dos dados tratados, o contexto e a finalidade do tratamento, bem como os riscos que uma eventual violação geraria para os direitos e liberdades do Usuário.
Dentre as medidas de segurança adotadas, o GRUPO IOV segue os mais elevados padrões técnicos de segurança da informação para o tráfego, armazenamento e descarte de dados e informações, destacando-se as seguintes:
• A adoção de boas práticas de segurança, descritas na Política de Segurança da Informação do GRUPO IOV;
• A gestão de riscos, incluindo o mapeamento de interfaces de troca de informações e Dados entre os usuários do GRUPO IOV, e demais medidas previstas na Política de Segurança da Informação do GRUPO IOV;
• Proteção contra acesso não autorizado aos sistemas;
• O monitoramento e alerta de segurança de cybersecurity;
• A segregação de perfis de acesso, de forma que o acesso às informações e Dados será restrito a certos perfis de acesso definidos pela Gerência de Infraestrutura.
• Controle das pessoas que acessam os locais onde há armazenamento de dados pessoais;
• Acordos e compromissos de confidencialidade com as pessoas que acessam dados pessoais;
• Medidas institucionais como governança em privacidade atualizadas.
A proteção de dados realizada pelo GRUPO IOV, além das medidas mencionadas acima, inclui as demais medidas e procedimentos de proteção de segurança de dados pormenorizados na Política de Segurança da Informação, Política de Segurança em Redes e Política de Segurança do Ambiente Físico do GRUPO IOV.
Entretanto, mesmo com todo o empenho do GRUPO IOV no concernente à adoção das melhores práticas de segurança da informação é possível, ainda que remotamente, a ocorrência de incidentes de segurança por algum problema motivado principalmente por um terceiro, como em caso de ataques de hackers ou crackers, falhas técnicas ou vírus.
Na eventualidade de ocorrer qualquer tipo de incidente de segurança que possa gerar risco ou dano relevante para qualquer de seus Usuários, o GRUPO IOV garante que não poupará esforços para remediar os possíveis impactos de tal incidente, adotando imediatamente as medidas de contingência recomendadas no seu plano de resposta a incidentes, responsabilizando-se na forma legal.
10) TRANSFERÊNCIA INTERNACIONAL DE DADOS:
O GRUPO IOV tem sua sede no Brasil, Estado de São Paulo, onde está localizada toda a sua estrutura que contempla servidores e armazenamento, mas eventualmente poderá ocorrer a transferência de dados para outro país em razão da específica celebração de algum tipo de contrato com entidades internacionais.
11) ATUALIZAÇÕES DA POLÍTICA DE PRIVACIDADE:
Considerando que o GRUPO IOV está em constante aprimoramento, a presente Política de Privacidade e Proteção de Dados Pessoais poderá sofrer atualizações para prover ao Usuário maior segurança, conveniência e, ainda, para a melhor adequação dessa à LGPD e às normativas da Agência Nacional de Proteção de Dados.
Tais atualizações serão disponibilizadas em nosso site, pelo que sugerimos sejam realizadas consultas regulares para tal averiguação.
12) CONTATO:
Para reportarem assuntos que considerem convenientes no âmbito desta política ou, ainda, esclarecerem eventuais dúvidas acerca das questões a ela relativas, os Usuários podem entrar em contato através do seguinte endereço de e-mail: [email protected].
Publicado em 20/4/2023.