A. Enquanto Encarregado E Responsável pelo Tratamento de Dados
O Encarregado da protecção de dados (data protection officer – “DPO”) é a pessoa ou entidade nomeada para garantir, a conformidade do tratamento de dados pessoais com o RGPD. Assegurando a comunicação eficiente com os titulares dos dados e a cooperação com as autoridades de controlo em causa, fazendo ainda a ponte com as unidades de negócio dentro da organização. O DPO não recebe instruções relativamente ao exercício das suas funções, respondendo directamente aos órgãos de direcção da entidade que o nomeou (responsável pelo tratamento ou do subcontratante).
O Responsável pelo tratamento é a pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
B. Enquanto Subcontratante
Subcontratante é pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
Um Terceiro é pessoa singular ou colectiva, autoridade pública, serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
Caso a Clínica Dr. Luís Couto se encontre na posição de subcontratante a entidade que atuará como Responsável pelo Tratamento dos seus dados pessoais, por regra, será a entidade promotora do estudo ou evento, sendo que, por regra, a promotora será uma entidade externa à Clínica Dr. Luís Couto, pelo que esta, os seus médicos, investigadores, e funcionários ao abrigo de protocolos celebrados com as promotoras, actuarão meramente como Subcontratantes para efeito do tratamento dos seus dados pessoais nesse contexto.
A. Identificar Dados Pessoais e Operações de Tratamento
B. FUNDAMENTO DO TRATAMENTO
C. DURAÇÃO E FINALIDADE DO TRATAMENTO
Os Dados Pessoais recolhidos são tratados no estrito cumprimento da legislação aplicável. Tais dados são conservados num formato que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.
O período de tempo durante o qual os dados são armazenados e conservados varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período de tempo.
Tomamos por referencial, para determinação do período de conservação adequado, as várias deliberações das autoridades de controlo de protecção de dados, nomeadamente da CNPD (Comissão Nacional de Protecção de Dados).
Nessa medida e em particular:
1) Os dados relativos à sua saúde são conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar; (em anexo)
2) Os dados decorrentes dos inquéritos de satisfação serão conservados pelo período de tempo necessário para a prossecução das finalidades que motivaram a sua recolha, e após o mesmo serão anonimizados;
3) Os dados de facturação (incluindo facturas emitidas e recebidas por via eletrónica) serão conservados pelo prazo de 10 anos para cumprimento de obrigações legais em matéria fiscal;
4) Os dados utilizados para efeitos de envio de comunicações informativas e de marketing serão conservados enquanto mantiver interesse em receber as referidas comunicações e não retirar o seu consentimento;
5) Os demais dados administrativos (incluindo de identificação e contacto) serão conservados apenas durante o período necessário para as finalidades no âmbito das quais são tratados, desde que não seja necessário mantê-los para efeito de cumprimento de obrigações legais do Responsável.
D. CATEGORIAS DE DADOS PESSOAIS
Existem, todavia, requisitos acrescidos para o tratamento de categorias especiais de dados pessoais, como os dados relativos à sua saúde. Assim, o tratamento desses dados particularmente sensíveis só poderá ter lugar em determinados casos, nomeadamente quando o titular tenha prestado o seu consentimento explícito, quando o tratamento seja necessário para a defesa de interesses vitais de um titular dos dados incapacitado de dar o seu consentimento, para a declaração, exercício ou defesa de um direito num processo judicial, quando o tratamento for necessário para efeitos de medicina preventiva, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de gestão de sistemas e serviços de saúde, ou ainda, quando o tratamento for necessário por motivos de interesse público no domínio da saúde pública.
Assim, os tratamentos de dados necessários para a prestação de cuidados de saúde aos Clientes, bem como para comunicar e gerir a relação da Clínica Dr. Luís Couto com os mesmos (como, por exemplo, os dados de contacto, como o telefone ou e-mail), terão fundamento na execução do contrato de prestação de serviços de saúde celebrado com os Clientes, ou na execução de diligências pré-contratuais a pedido dos mesmos.
Quando tais tratamentos implicarem o tratamento de dados relativos à saúde dos Clientes ou de outras categorias especiais de dados (tais como dados genéticos ou dados relativos à vida sexual dos Clientes), aqueles basear-se-ão na necessidade do tratamento para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos de saúde.
Quanto aos tratamentos de Dados Pessoais realizados, nomeadamente, para informar o Cliente sobre novidades na prestação dos serviços, produtos ou serviços do seu interesse, e para personalizar e melhorar a sua experiência enquanto Cliente (através de inquéritos de avaliação da satisfação dos clientes), o fundamento de licitude de tais tratamentos será o consentimento dos titulares dos dados, ou seja, dos Clientes.
No que concerne aos tratamentos dos dados efectuados para melhorar os serviços, auditá-los, e cumprir os objectivos administrativos e comerciais, o fundamento adequado será a prossecução de interesses legítimos da Clínica Dr. Luís Couto.
Relativamente ao tratamento de dados realizado no contexto do cumprimento de obrigações legais, o fundamento de licitude para a realização de tais tratamentos – na sua maioria, comunicações de dados para entidades externas – será a necessidade do tratamento para o efeito do cumprimento de obrigações jurídicas.
O tratamento de dados pessoais no contexto da participação em Ensaios clínicos e estudos não intervencionais terá como fundamento de licitude o consentimento dos titulares dos dados, ou seja, dos Clientes.
O tratamento de dados decorrente da videovigilância será efectuado na prossecução de interesses legítimos da Unidade de Saúde para protecção das pessoas e bens nas suas instalações.
A. Dados pessoais dos Colaboradores , Trabalhadores e Clientes
Os dados pessoais dos Colaboradores e funcionários são recolhidos:
1) No âmbito de recrutamento e contratação
2) No cumprimento de obrigações legais
3) No âmbito da gestão dos serviços de segurança, higiene e saúde no trabalho
4) No seguimento da boa gestão dos recursos humanos e da relação contratual
– Colaboradores e Trabalhadores
Relativamente aos seus trabalhadores e colaboradores, os dados pessoais são tratados com a finalidade de preparar e / ou desenvolver a relação laboral entre estes e a respectiva entidade patronal (nomeadamente para efeitos de elaboração de contratos; processamento de salários; tratamento de todos os assuntos relacionados com a Segurança Social, a Autoridade Tributária e Aduaneira, a inspecção do trabalho, os departamentos de estatística laboral, sindicatos, instituições bancárias e seguradoras; identificação dos trabalhadores perante a entidade patronal e perante terceiros; e para outras situações relacionadas com o exercício das suas funções que esporadicamente surjam, como por exemplo inscrição em acções de formação, consultas médicas, actividades de higiene e segurança no trabalho, ou marcação de viagens).
Para o efeito, a entidade responsável trata apenas os seguintes dados pessoais e profissionais: nome, morada, data de nascimento, naturalidade, nacionalidade, fotografias tipo passe ou em contexto de trabalho, habilitações literárias e profissionais, experiência profissional, conhecimentos de línguas estrangeiras, número de telefone e/ou de telemóvel, correio eletrónico, número de Cartão de Cidadão ou número de Título de Residência, Número de Identificação Fiscal, Número de Inscrição na Segurança Social, Número de Identificação Bancária, estado civil e outras informações susceptíveis de determinar a atribuição de complementos de retribuição, horário e local de trabalho, número de identificação interno, data de admissão, antiguidade, categoria profissional, antiguidade na categoria, nível / escalão salarial, natureza do contrato, retribuição base, outras prestações certas ou variáveis, subsídios, assiduidade e absentismo, licenças, número de dependentes e identificação fiscal dos dependentes, outros elementos relativos à atribuição de complementos de retribuição, montante ou taxa em relação aos descontos obrigatórios ou facultativos, local de pagamento, número de conta bancária e identificação da instituição, se possuem carta de condução e veículo automóvel próprio, e, se for caso disso, grau de incapacidade respectiva e incapacidade temporária resultante de acidente de trabalho ou de doença profissional.
O fornecimento destes dados pessoais é obrigatório, uma vez que são necessários para a execução do contrato de trabalho ou de prestação de serviços no qual o titular dos dados é parte, ou para a realização de diligências pré-contratuais a pedido e no interesse do titular dos dados; além disso, os titulares dos dados dão o seu consentimento expresso para o tratamento dos seus dados pessoais para a finalidade referida, o que assegura a licitude do tratamento, nos termos do disposto no artigo 6.º, n.º 1, alíneas a) e b) do RGPD, e fundamenta juridicamente o seu tratamento.
Na eventualidade de vir a ser necessário tratar quaisquer dados pessoais adicionais para esta ou quaisquer outras finalidades, as entidades responsáveis terão sempre o cuidado de o comunicar aos seus trabalhadores ou candidatos a trabalhadores, solicitando o seu consentimento quando aplicável, e prestando-lhes novamente toda a informação necessária para que possam compreender o motivo e as condições do tratamento.
– Clientes
A entidade responsável trata os dados pessoais dos seus clientes com a finalidade de registar o seu historial médico e clínico, os exames complementares e de diagnóstico que tenham realizado, os serviços médicos ou de enfermagem que lhes tenham sido prestados, e as terapêuticas e recomendações que lhes tenham sido transmitidas; para proceder à facturação dos serviços prestados; para o processamento e envio de informações aos clientes; para a realização de campanhas publicitárias e promocionais junto dos seus clientes; recolhem também dados de opinião e de satisfação dos clientes, para avaliação e melhoria dos seus serviços.
Para os fins indicados, a entidade responsável recolhe apenas o nome, o Número de Identificação Fiscal, o número de inscrição na Segurança Social e / ou num subsistema de saúde; regista os exames médicos, complementares e de diagnóstico que tenham sido realizados, bem como os dados referentes a todas as consultas, terapêuticas, intervenções médicas ou de enfermagem que tenham sido prestados ao cliente; e recolhe os contactos dos seus clientes, nomeadamente a morada, o número de telefone e / ou de telemóvel e o endereço de correio electrónico, bem como as suas opiniões e o seu grau de satisfação acerca dos serviços prestados.
Estes dados são fornecidos voluntária e diretamente pelos titulares dos dados, que dão o seu consentimento expresso para o tratamento dos seus dados pessoais para as finalidades referidas, o que assegura a licitude do tratamento, nos termos do disposto no artigo 6º, n.º 1, alínea a) do RGPD, e fundamenta juridicamente o seu tratamento.
Na eventualidade de vir a ser necessário tratar quaisquer dados pessoais adicionais para estas ou quaisquer outras finalidades, a entidade responsável terá sempre o cuidado de o comunicar aos seus clientes, solicitando o seu consentimento quando aplicável, e prestando-lhes novamente toda a informação necessária para que possam compreender o motivo e as condições do tratamento.
B. Prazo de Conservação dos Dados Pessoais
– Trabalhadores e Colaboradores /Prestadores de Serviços
Os dados pessoais recolhidos serão conservados durante o prazo máximo de dez anos após a cessação da relação laboral ou prestacional entre a entidade responsável e os seus trabalhadores ou colaboradores, e que justificou o tratamento dos dados, uma vez que a sua conservação após o término do contrato de trabalho é imposta legalmente, sendo este prazo adequado para o cumprimento dessas obrigações. Por outro lado, estes dados continuarão a fazer parte da bolsa de candidatos da empresa responsável por esse mesmo período de tempo, pelo que os trabalhadores ou prestadores de serviços poderão voltar a ser contratados pela mesma ou por outra sociedade comercial com a mesma titularidade que venha a ser constituída.
– Clientes
Os dados pessoais dos clientes serão conservados durante o prazo máximo de dez anos após a cessação da relação comercial entre as partes, considerando-se esta a data da última factura emitida em nome do respetivo titular dos dados.
– Direitos dos Titulares Destes Dados
Todos os titulares de dados pessoais disponibilizados no âmbito da presente Política de Privacidade e Protecção de Dados gozam dos seguintes direitos no que respeita ao tratamento dos seus dados pessoais:
Direito à informação: os titulares dos dados têm o direito de conhecer a identidade e os contactos das entidades responsáveis pelo tratamento dos dados pessoais, a finalidade e o fundamento jurídico do seu tratamento, o prazo de conservação dos dados e os seus destinatários, informações estas que constam da presente Política de Privacidade e Proteção de Dados.
Direito de acesso: sempre que o solicitar, o titular dos dados pode solicitar uma cópia gratuita dos seus dados pessoais em fase de tratamento; no entanto, se solicitar mais do que uma cópia, poderão ser-lhe cobradas despesas administrativas, a partir da segunda solicitação.
Direito de rectificação: sempre que considerar que os seus dados pessoais estão incompletos ou inexactos, o titular dos dados pode requerer a sua rectificação, actualização ou que os mesmos sejam completados, comprometendo-se as entidades responsáveis a proceder a essa rectificação ou actualização no prazo máximo de quinze dias.
Direito de oposição e direito ao apagamento: o titular dos dados pode-se opor a que os seus dados continuem a ser utilizados pelas entidades responsáveis, ou pode solicitar que os seus dados sejam apagados das respectivas bases de dados, desde que não sejam imprescindíveis ao desenvolvimento da relação laboral ou comercial, consoante os casos; uma vez que alguns dados são obrigatórios por lei para a prossecução da relação laboral, para efeitos fiscais ou para o relacionamento com a Segurança Social, o seu titular só pode opor-se à sua utilização ou exigir o seu apagamento após a cessação da relação laboral ou da relação comercial, consoante os casos, e após o decurso dos prazos legais para a manutenção dos dados ou dos documentos em causa, ou seja, quando os dados pessoais deixarem de ser necessários para a finalidade que motivou a sua recolha e tratamento.
Direito à limitação do tratamento: o titular dos dados pessoais pode requerer a limitação do seu tratamento se contestar a exactidão dos seus dados pessoais durante um período de tempo que permita à entidade responsável verificar a sua exactidão, se considerar que o tratamento é ilegal, se considerar que as entidades responsáveis já não precisam dos seus dados pessoais, ou se tiver apresentado oposição ao tratamento.
Direito de portabilidade: o titular dos dados poderá solicitar às entidades responsáveis pelo tratamento a entrega, a si próprio, dos dados pessoais por si fornecidos, num formato estruturado de uso corrente e de leitura automática, e/ou poderá solicitar que os seus dados sejam transmitidos a uma entidade terceira, desde que tal seja tecnicamente possível.
Direito a ser avisado em caso de violação dos seus dados pessoais: caso ocorra qualquer violação dos seus dados pessoais que possa configurar um elevado risco para os direitos e liberdades do titular dos dados, as entidades responsáveis comprometem-se a notificar o titular dos dados dessa ocorrência, com a maior brevidade possível.
Direito de apresentar reclamações junto da autoridade de controlo: caso pretenda apresentar alguma reclamação relativamente a matérias relacionadas com o tratamento dos seus dados pessoais, o titular dos dados poderá fazê-lo junto da Comissão Nacional de Protecção de Dados, autoridade de controlo competente em Portugal, acessível em www.cnpd.pt
D. Dados Pessoais de Utilizadores
– Utilização de Website
A presente Política de Privacidade aplica-se integralmente a todos os utilizadores das Plataformas da Clínica Dr. Luís Couto. No entanto, dada a especificidade inerente à utilização das referidas plataformas digitais (designadamente, website da clínica), importa regular algumas questões particularmente relevantes neste âmbito.
A Clínica Dr. Luís Couto tem consciência de que o envio de informação pessoal é uma grande preocupação para os Clientes que utilizam a Internet. Assim, em todos os nossos websites e aplicações, os formulários de recolha de dados pessoais obrigam a sessões encriptadas do browser, e todos os dados pessoais que nos disponibiliza ficam armazenados de forma segura nos sistemas da Clínica Dr. Luís Couto, sobre os quais são implementadas as melhores práticas de segurança técnicas e processuais visando a protecção dos seus dados pessoais.
A Clínica Dr. Luís Couto está empenhada em assegurar a confidencialidade, protecção e segurança dos dados pessoais dos seus Clientes, através da implementação das medidas técnicas e organizativas adequadas para proteger os seus dados contra qualquer forma de tratamento indevido ou ilegítimo e contra qualquer perda acidental ou destruição destes dados. Para o efeito, dispomos de sistemas e equipas destinados a garantir a segurança dos dados pessoais tratados, criando e actualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ ou destruição dos dados pessoais, comprometendo-se a respeitar a legislação relativa à protecção de dados pessoais dos Clientes e a tratar estes dados apenas para os fins para que foram recolhidos, assim como a garantir que estes dados são tratados com adequados níveis de segurança e confidencialidade.
Não obstante as medidas de segurança adotadas pela Clínica Dr. Luís Couto, alertamos todos os nossos Clientes e utilizadores que aquando do acesso à Internet devem tomar regularmente precauções e adoptar medidas adicionais de segurança neste âmbito, designadamente através da utilização de um computador e um browser actualizados, com configuração segura, com firewall e antivírus actualizados e activos no nível adequado de protecção, e acautelar o uso de computadores públicos e/ou partilhados, bem como o acesso às suas contas pessoais, não partilhando com terceiros os seus dados de acesso, acrescida da não utilização de software de origem duvidosa.
Os dados pessoais são tratados e armazenados informaticamente pela Clínica Dr. Luís Couto ou pelas entidades por esta subcontratadas para a prossecução das finalidades aqui indicadas, em nome e por conta da Clínica Dr. Luís Couto.
Os dados são tratados única e exclusivamente para assegurar a gestão das funcionalidades disponibilizadas através do Website e para dar resposta a pedidos formulados pelo Utilizador, nomeadamente aos seguintes pedidos: (i) Pedidos de subscrição da newsletter Clínica Dr. Luís Couto; (ii) Pedidos efetuados através do Formulário de Contacto disponível no Website.
Os dados solicitados pela Clínica Dr. Luís Couto no âmbito dos pedidos mencionados em (ii) acima são de fornecimento obrigatório, sob pena de não ser possível processar os pedidos.
O fundamento legal para o tratamento de dados pessoais para efeitos de subscrição e gestão do envio da newsletter Clínica Dr. Luís Couto é o consentimento expresso e específico do Utilizador.
Caso pretenda subscrever a newsletter Clínica Dr. Luís Couto disponível através do Website serão recolhidos os seguintes dados pessoais: endereço de correio eletrónico;
Caso o Utilizador preencha o Formulário de Contacto disponibilizado neste Website serão recolhidos os seguintes dados pessoais: (i) Nome; (ii) Número de identificação fiscal ou número de identificação ou de passaporte caso o Utilizador não possua número de identificação fiscal; (iii) endereço de correio eletrónico.
No Formulário de Contacto é ainda solicitada a indicação do assunto que o pedido diz respeito, sendo disponibilizado um campo aberto onde o Utilizador poderá inserir a descrição relativa ao assunto e/ou outros dados pessoais, bem como a possibilidade de associar um ficheiro.
Os dados pessoais serão conservados de forma a permitir a identificação do Utilizador apenas durante o período necessário para a prossecução das finalidades de recolha ou do tratamento posterior (ou, se aplicável, até que o consentimento seja retirado), findo o qual os mesmos serão eliminados.
A Clínica Dr. Luís Couto assume que os dados pessoais disponibilizados pelo Utilizador foram inseridos pelo respetivo titular ou que a sua inserção foi autorizada pelo mesmo, sendo os mesmos verdadeiros e exactos.
– Comunicações Voluntárias de Titulares de Dados Pessoais
No seu website, que possibilita ao utilizador conhecer a Clínica e os serviços por ela promovidos, a Clínica Dr. Luís Couto fornece contactos que estão publicamente disponíveis aos utilizadores dos mesmos.
Estes contactos estarão devidamente identificados e limitados à medida do necessário, uma vez que poderão ser utilizados para a solicitação de informações, esclarecimentos, marcações de consultas, comunicações e sugestões relativamente aos serviços prestados, bem como para realização de reclamações e outras comunicações análogas.
Mais se informa que no website está disponível uma “DECLARAÇÃO DE PROTEÇÃO DE DADOS” sobre as operações de tratamento de dados pessoais realizados no mesmo, e uma “POLÍTICA DE COOKIES”, as quais poderão ser consultadas.
A todo tempo o titular dos dados poderá exercer os seus direitos relativamente aos mesmos, especialmente, damos ressalvada importância ao “direito ao esquecimento”, sendo que o exercício deste direito implica que sejam de imediato apagados os seus dados das bases de dados de acordo com os esforços que lhe são exigíveis, sem prejuízo de tal obrigação não lhe incumbir nos demais termos desta Política.
Prazos de Conservação em Função de Dados Recolhidos Através de Website
Os dados pessoais serão conservados de forma a permitir a identificação do Utilizador apenas durante o período necessário para a prossecução das finalidades de recolha ou do tratamento posterior (ou, se aplicável, até que o consentimento seja retirado), findo o qual os mesmos serão eliminados.
E. Sistema de Videovigilância
A instalação de um sistema de videovigilância implica que seja afixado um aviso informativo sobre a existência dos sistemas de videovigilância, nas instalações, o qual deverá conter o seguinte texto, seguido de símbolo identificativo (uma câmara):
“Para sua protecção este local encontra-se sob vigilância de um circuito fechado de televisão, procedendo-se à gravação de (imagens e de sons)”.
A gravação de imagens e sons só pode ser conservada pelo prazo de 30 (trinta) dias, período findo o qual terá que ser destruída.
A visualização e disponibilização das gravações está sujeita a regras específicas, devendo consultar o DPO (“Data Protection Officer” /Encarregado da Protecção de Dados) da Clínica Dr. Luís Couto para realizar um pedido de visualização ou de disponibilização de imagens e desde que preenchidos os requisitos legalmente aplicáveis
A Clínica Dr. Luís Couto poderá cooperar com parceiros ou prestadores de serviços susceptíveis de tratarem dados pessoais por sua conta (subcontratantes) ou de lidarem com eles de forma puramente incidental (terceiros).
Em todo o caso, a Clínica Dr. Luís Couto adotará as medidas adequadas a garantir que os seus parceiros cumprem todas as suas obrigações relativas à protecção dos dados pessoais objecto das operações de tratamento que conduzem, e em última linha, responsabilizar-se-á pela sua realização, nos termos desta POLÍTICA.
Para este efeito, todos os parceiros devem concordar em manter um nível de protecção de dados pessoais, equivalente ao plasmado nesta POLÍTICA. Sempre que os direitos, liberdades e interesses fundamentais dos titulares dos dados pessoais não consigam ser adequadamente salvaguardados – nomeadamente por não existirem garantias pertinentes e suficientes à protecção dos seus dados – tal transferência depende de consentimento expresso.
Quando estejamos perante a subcontratação de Prestadores de Serviços cujo objeto do contrato passe pela realização de operações de tratamento de dados pessoais, a Clínica Dr. Luís Couto poderá transferir os dados pessoais que trata para essas pessoas ou entidades, que poderão ser: instituições financeiras, seguradoras, serviços de assessoria técnica ou de auditoria, entidades de detecção e prevenção de fraude ou de prestação de serviços de segurança, medicina no trabalho ou empresas de formação profissional (entre outros).
Nos termos do Art.º 5.º do RGPD a Clínica Dr. Luís Couto prossegue aplica e está vinculada aos princípios previstos no artigo 5.º do RGPD, a saber:
– Licitude , Lealdade e Transparência
A Clínica Dr. Luís Couto deverá dar a conhecer ao Titular dos Dados a realização do tratamento de dados que lhe respeite, indicando, nomeadamente, os seus fundamentos de legitimidade, finalidades, categorias de dados tratados, período de conservação dos dados e outras informações relevantes relativas ao Tratamento de Dados Pessoais.
A eventual realização de operações de Tratamento de Dados Pessoais em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o Subcontratante ao Responsável e que estipule, designadamente, obrigações de confidencialidade e de segurança do tratamento, e que o Subcontratante apenas actua mediante instruções do Responsável, incumbindo-lhe igualmente o cumprimento das obrigações referidas no artigo 28.º do RGPD RGPD (Regulamento Geral sobre a Protecção de Dados).
– Limitação das Finaliadades e Tratamento
Os Dados Pessoais tratados pela Clínica Dr. Luís Couto deverão ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades, sendo que realizará operações de tratamento de Dados Pessoais dos seus Clientes, nomeadamente, para as seguintes finalidades:
1) Prestação de cuidados de saúde, incluindo serviços de medicina preventiva, de diagnóstico médico e terapêutica e gestão de serviços de saúde, incluindo as operações e procedimentos de facturação a terceiros financeiramente responsáveis pelo pagamento dos cuidados;
2) Auditoria e melhoria contínua dos serviços prestados, acreditação da Clinica ou certificação dos seus serviços, bem como para a avaliação e medição dos níveis de serviço.
3) Gestão da relação com os Clientes, incluindo gestão dos canais de contacto com o mesmo, online, presenciais e telefónicos (incluindo comunicações por telefone, SMS, WhatsApp e-mail ou correio, nomeadamente sobre agendamento de consultas e meios complementares de diagnóstico ou faturação);
4) Envio de resposta a reclamações e sugestões;
5) Envio de comunicações informativas e de marketing, mediante consentimento prévio;
6) Realização de inquéritos de avaliação da satisfação dos clientes, mediante o seu consentimento prévio;
7) Emissão e envio de facturas electrónicas, mediante aceitação;
8) Realização de estudos e ensaios clínicos;
9) Segurança e videovigilância.
– Adequação, Pertinência e Proporcionalidade
Os Dados Pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para os quais foram recolhidos e posteriormente tratados, devendo a Clínica Dr. Luís Couto apenas deverá proceder ao tratamento de Dados Pessoais se os mesmos forem necessários para a prossecução da sua actividade, cumprimento de obrigações legais, para a execução de um contrato ou contratos em que o Titular dos Dados seja parte ou de diligências prévias à formação do contrato ou declaração da vontade negocial efectuadas a seu pedido. Para determinadas finalidades, apenas poderá tratar os Dados Pessoais dos seus Clientes se obtiver o seu consentimento prévio e expresso. Tal será o caso, por exemplo, do tratamento para o envio de comunicações informativas e de marketing que sejam consideradas relevantes para a promoção da sua saúde e para a prestação de um serviço de saúde de excelência, através dos diferentes canais de comunicação, nomeadamente SMS, correio eletrónico, WhatsApp ou notificações push.
– Exatidão
Os Dados Pessoais devem ser exactos e, se necessário, atualizados, tomando a Clínica Dr. Luís Couto as medidas adequadas para assegurar que os dados inexactos ou incompletos sejam apagados ou rectificados sem demora, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente.
– Limitação da Conservação
1) Os Dados Pessoais recolhidos são tratados no estrito cumprimento da legislação aplicável. Tais dados são conservados num formato que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.
2) O período de tempo durante o qual os dados são armazenados e conservados varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período de tempo, sendo tomado como referencia, para determinação do período de conservação adequado, as várias deliberações das autoridades de controlo de protecção de dados, nomeadamente da CNPD (Comissão Nacional de Protecção de Dados):
a) Os dados relativos à sua saúde são conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar;
b) Os dados decorrentes dos inquéritos de satisfação serão conservados pelo período de tempo necessário para a prossecução das finalidades que motivaram a sua recolha, e após o mesmo serão anonimizados;
c) Os dados de facturação (incluindo facturas emitidas e recebidas por via eletrónica) serão conservados pelo prazo de 10 anos para cumprimento de obrigações legais em matéria fiscal;
d) Os dados utilizados para efeitos de envio de comunicações informativas e de marketing serão conservados enquanto mantiver interesse em receber as referidas comunicações e não retirar o seu consentimento;
e) Os demais dados administrativos (incluindo de identificação e contacto) serão conservados apenas durante o período necessário para as finalidades no âmbito das quais são tratados, desde que não seja necessário mantê-los para efeito de cumprimento de obrigações legais do Responsável.
Integridade e Confidencialidade
Impõe que os dados pessoais sejam tratados de uma forma que garanta a sua segurança, incluindo a protecção contra o tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, devendo o responsável pelo tratamento adotar medidas técnicas e organizativas adequadas a evitar o acesso indevido e a utilização dos dados por pessoas não autorizadas.
– Direito de Acesso
O direito de acesso à informação de saúde por parte do titular (ou de terceiros com o seu consentimento ou nos termos da lei) pode ser exercido directamente, ou por intermédio de um médico se o titular da informação o solicitar, mediante pedido escrito realizado presencialmente na Clínica Dr. Luís Couto, após exibição de documento identificativo (Cartão do Cidadão e/ou Procuração).
Poderá obter a confirmação dos dados pessoais que lhe dizem respeito que são objecto de tratamento, bem como o acesso aos mesmos, sendo-lhe disponibilizada, caso requeira e não existam restrições legais, uma cópia dos dados objecto de tratamento por parte da Clínica Dr. Luís Couto. Neste sentido, o direito de acesso aos seus dados pessoais não é irrestrito, podendo a Clínica Dr. Luís Couto recusar fornecer-lhe uma cópia dos seus dados pessoais em fase de tratamento se o seu acesso prejudicar os direitos e as liberdades de terceiros, inclusivamente da própria Clínica Dr. Luís Couto.
Por essa via poderiam, por exemplo, ser revelados segredos de negócio da Clínica Dr. Luís Couto ou serem violados direitos de propriedade intelectual da mesma. Nesses casos, a entidade Responsável pelo Tratamento poderá solicitar-lhe que especifique a que informações ou a que actividades de tratamento se refere o seu pedido de acesso, para que aquela possa prestar-lhe as informações solicitadas.
– Direito de Rectificação
Os titulares dos dados têm o direito de, nos termos da legislação aplicável, solicitar a rectificação dos seus dados pessoais, a limitação do tratamento, de se opor ao tratamento ou de obter a portabilidade dos seus dados, verificadas as condições legalmente previstas, ao abrigo do RGPD, caso apresentem motivos válidos relacionados com a sua situação particular. Para o efeito, deverá submeter um pedido para os contactos acima referidos. Em tal eventualidade, o Responsável pelo Tratamento poderá apresentar razões imperiosas e legítimas que justifiquem a continuação desse tratamento, caso em que se reserva o direito de continuar a tratar os seus dados para esses efeitos, tal como nos casos em que tal tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
– Direito Limitação e ao Apagamento (Direito ao Esquecimento)
O Cliente pode ainda, a qualquer momento, solicitar a eliminação dos seus dados pessoais, incluindo a eliminação da Clínica Dr. Luís Couto, nos termos legalmente previstos. Ainda assim, a entidade Responsável pelo Tratamento em cada caso poderá recusar-se a dar provimento ao seu pedido de apagamento dos dados em determinadas situações, nomeadamente quando:
(i) Os dados ainda sejam necessários para a finalidade que motivou a sua recolha,
(ii) O tratamento não tenha por base o consentimento nem a prossecução de interesses legítimos do Responsável pelo Tratamento, quando
(iii) Os dados não tenham sido tratados ilicitamente,
(iv) O tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial ou, ainda,
(v) Os dados sejam necessários para efeitos de medicina preventiva, para o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou a gestão de sistemas e serviços de saúde.
– Direito de Retirar Consentimento
Nos termos da lei, é-lhe ainda garantido o direito de, através dos meios acima referidos, retirar o seu consentimento para os tratamentos de dados relativamente aos quais o consentimento constitui o fundamento de legitimidade. Para o efeito, tem o direito de retirar o seu consentimento a qualquer momento, o que não invalida, no entanto, o tratamento efectuado até essa data com base no consentimento previamente dado.
Caso não queira receber mais comunicações de marketing, basta comunicar tal intenção de cancelamento de subscrição.
– Direito de Oposição e Portabilidade
Os titulares dos dados têm o direito de, nos termos da legislação aplicável, solicitar a rectificação dos seus dados pessoais, a limitação do tratamento, de se opor ao tratamento ou de obter a portabilidade dos seus dados, verificadas as condições legalmente previstas, ao abrigo do RGPD, caso apresentem motivos válidos relacionados com a sua situação particular. Para o efeito, deverá submeter um pedido para o Responsável pelo Tratamento que poderá apresentar razões imperiosas e legítimas que justifiquem a continuação desse tratamento, caso em que se reserva o direito de continuar a tratar os seus dados para esses efeitos, tal como nos casos em que tal tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o titular dos dados tem direito a apresentar uma reclamação à CNPD ou a outra autoridade de controlo competente nos termos da lei, caso considere que os seus dados não estão a ser objecto de tratamento legítimo, nos termos da legislação aplicável e da presente Política.
Pode ainda contactar a Clínica Dr. Luís Couto para o correio eletrónico: [email protected].
A Clínica Dr. Luís Couto reserva o direito de, a todo o momento e sem aviso prévio e com efeitos imediatos, alterar, acrescentar ou revogar, parcial ou totalmente, a presente Política de Privacidade.
Quaisquer alterações serão imediatamente divulgadas no Website. Caso as alterações sejam substanciais quanto à forma como os dados são tratados, o Titular será informado das mesmas, para os dados de contacto disponibilizados.
Além de outros deveres de informação plasmados nesta Política, os titulares de dados pessoais tratados pelaClínica Dr. Luís Couto, serão informados sobre:
1. A identidade e os contactos da Clínica Dr. Luís Couto;
2. Os contactos do Encarregado de Protecção de Dados;
3. As finalidades do tratamento a que os dados pessoais se destinam ou o fundamento jurídico para o tratamento;
4. Os destinatários ou categorias de destinatários dos dados pessoais;
5. A transferência dos dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão Europeia;
6. A existência de interesses legítimos da Clínica Dr. Luís Couto ou de entidade terceira, subjacentes ao tratamento de dados;
7. O prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
8. Os seus direitos e forma de exercício dos mesmos;
9. A existência de decisões automatizadas, incluindo a definição de perfis e das consequências que daí advém.
A Clínica Dr. Luís Couto a está sujeita a eventual responsabilidade civil pelos danos emergentes da violação de normas sobre a protecção de dados.
Deste modo, qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições do RGPD ou da lei nacional em matéria de protecção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido, mas apenas se tal facto que provocou a violação lhes for imputável.
A. Cooperação De Parceiros
Os dados pessoais recolhidos, tratados e utilizados pela entidade responsável não são disponibilizados sem intervenção humana a ninguém.
Os Parceiros e Prestadores de Serviços que com a Clínica Dr. Luís Couto se relacionem celebrarão com esta, acordos de regulação de responsabilidades em matéria de protecção de dados pessoais, reduzidos a escrito, devendo ainda fazer menção ao objeto do contrato, com especial incidência sobre a concreta operação de tratamento de dados a realizar, respectiva duração, finalidade do tratamento, tipo de dados pessoais tratados e categorias de titulares de dados pessoais envolvidos.
O titular dos dados poderá, a qualquer momento, solicitar informações acerca dos termos em que os seus dados são tratados pelos Parceiros e Prestadores de Serviços da Clínica Dr. Luís Couto. Clínica Dr. Luís Couto apenas aceitará relacionar-se com entidades que assegurem o cumprimento das suas obrigações nos termos desta POLÍTICA, (sem prejuízo de outras que as partes entendam ser mais vantajosas para o titular dos dados pessoais).
Não podem subcontratar uma outra entidade para tratar os dados objecto do acordo existente com a Clínica Dr. Luís Couto, sem o seu consentimento anterior e expresso, fornecido por escrito, sendo que, quando o façam, devem garantir que o subcontratante ulterior cumpre as demais obrigações do RGPD em iguais termos.
Não podem transferir os dados pessoais dos titulares para pessoas ou entidades fora da União Europeia, excepto quando tal for necessário por exigência legal ou perante a existência de interesse público prevalecente, devendo informClínica Dr. Luís Couto, bem como guardar sigilo sobre todas as informações a que tenham acesso na execução do acordo, devendo possuir e manter as medidas técnicas e organizativas adequadas e suficientes para que as operações de tratamento dos dados pessoais levadas a cabo cumpram os requisitos previstos no RGPD, nomeadamente, no que respeita à defesa dos direitos dos respectivos titulares e à segurança do referido tratamento, de forma a não colocar em risco os dados pessoais tratados.
Devem apagar ou devolver à Clínica Dr. Luís Couto os dados pessoais a que tenham acesso, aquando do término do acordo ente si celebrado, apagando todas as cópias existentes, a menos que exista uma obrigação legal ou um interesse público prioritário, devendo informar a Clínica Dr. Luís Couto quando tal se verifique, disponibilizando à Clínica Dr. Luís Couto todas as informações necessárias para que esta cumpra as obrigações a que esteja sujeita ao abrigo do RGPD, facilitando e contribuindo para as auditorias, inspecções e demais fiscalizações.
Devem igualmente conservar registos escritos das operações de tratamento de dados pessoais realizadas em nome da Clínica Dr. Luís Couto nos termos do RGPD, disponibilizando os registos das mesmas à CNPD, não podendo tratar dados pessoais para qualquer outra finalidade que não seja afim daquela que é objecto da prestação dos serviços, muito menos para prosseguir os próprios interesses.
Devem ainda disponibilizar a formação necessária em protecção de dados pessoais, ao pessoal autorizado a tratar dados pessoais, devendo quando necessário, designar um Encarregado de Protecção de Dados e divulgar os respetivos contactos à Clínica Dr. Luís Couto, informando-a quando considerarem que as suas instruções se mostram contrárias ao RGPD, ao direito da União Europeia ou dos Estados-Membros. Sempre que a Clínica Dr. Luís Couto figure na qualidade de Parceiro ou Prestador de Serviço num acordo celebrado com outra entidade, actuará segundo as orientações e instruções fornecidas por esse Responsável pelo Tratamento de dados e nos termos da presente POLÍTICA.
B. Transferência de Dados para Países Terceiros
Os dados pessoais recolhidos, tratados e utilizados pela entidade responsável não são, à partida, disponibilizados a terceiros estabelecidos fora da União Europeia.
Sem prejuízo, poderá haver transferência de dados – para países fora da União Europeia ou organizações internacionais –, por razões relacionadas:
(i) Com exigências legais sempre que estejam previstas decisões de adequação que o permitam, ou, outras regras que vinculem a Clínica Dr. Luís Couto.
(ii) Com a proteção dos titulares dos dados, por exemplo, para evitar spam ou tentativas de defraudar os utilizadores, ou para ajudar a evitar lesões graves ou a perda de vidas;
(iii) Com a operabilidade e manutenção da segurança dos serviços da empresa, incluindo evitar ou impedir um ataque nos nossos sistemas informáticos ou redes de utilizados;
(iv) Com a proteção dos direitos próprios das empresas, incluindo a aplicação dos termos que regem a utilização dos serviços – sendo que, nestas situações, vida privada do titular não pode ser investigada por conta própria da empresa ofendida, mas esta poderá denunciar a questão às autoridades competentes;
(v) Com exigências contratuais promovidas pelo próprio titular.
As transferências para países fora da União Europeia ou organizações internacionais que sejam realizadas no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de autoridade, são consideradas de interesse público.
A responsável pela recolha e tratamento de dados pessoais assume o compromisso de garantir a protecção, segurança e confidencialidade dos dados pessoais que lhe são disponibilizados, tendo aprovado e implementado rigorosas regras nesta matéria, de carácter técnico e organizativo, de forma a proteger os dados pessoais que lhe são disponibilizados contra a sua difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito.
Além disso, compromete-se a cumprir todas as disposições legais e regulamentares que regem, ou venham a reger, a privacidade e a protecção dos dados pessoais, comprometendo-se a manter actualizadas todas as suas regras, práticas e equipamentos informáticos, de forma a salvaguardar a integridade e a confidencialidade dos dados pessoais que tratam, e a adoptar todas as medidas técnicas e organizativas necessárias e adequadas à proteção destes.
O responsável pelo tratamento aplicará medidas adequadas para assegurar e comprovar a conformidade com o RGPD, tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis».
Existe obrigação de realizar uma AIPD quando existir uma situação de elevado risco, entendendo-se a mesma com sendo um tipo de tratamento «susceptível de implicar um elevado risco para os direitos e liberdades das pessoas singulares», aplicando-se, nos seus precisos termos e com as respectivas consequências, o referido no artigo 35º da RGPD.
Não é obrigatório realizar uma AIPD para todas as operações de tratamento, quando justificado e documentado com as razões da não realização da mesma, salvo quando implica um elevado risco do tratamento nas actividades de processamento de dados pessoais, sendo, aí sim, obrigatório a realização de uma AIPD às operações de tratamento existentes de forma a mitigar os riscos identificados.
A. Obrigação de Reportar Incidentes
Uma violação de dados pessoais ou data breach é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
É uma obrigação do responsável pelo tratamento notificar a CNPD de um data breach.
Assim, a menos que a violação de dados pessoais não seja susceptível de resultar num risco para os direitos e liberdades das pessoais singulares, a notificação deve ser feita no prazo de 72 horas após ter tido conhecimento da mesma.
O responsável pelo tratamento deve ter em prática uma Política interna que lhe permita detectar e gerir incidentes de segurança com impacto na protecção de dados pessoais e, quando o tratamento de dados for realizado por subcontratantes, ter mecanismos de controlo eficazes quanto à actuação dos subcontratantes, assegurando que aqueles não prejudicam o cumprimento das obrigações que recaem sobre o responsável neste domínio.
Mesmo que o responsável pelo tratamento considere que não é exigível a notificação à CNPD, está obrigado a documentar quaisquer violações de dados, nos termos do n.º 5 do artigo 33.º do RGPD.
O responsável pelo tratamento está ainda obrigado a dar conhecimento aos titulares dos dados da ocorrência de um data breach, se reunidos os requisitos legais e nas condições descritas no artigo 34.º do RGPD.
A Clínica Dr. Luís Couto desenvolve os seus melhores esforços para proteger os dados pessoais dos Utilizadores contra acessos não autorizados através da Internet. Para o efeito utiliza sistemas de segurança, regras e outros procedimentos, de modo a garantir a protecção dos dados pessoais e prevenir o acesso não autorizado aos dados, o uso impróprio, a sua divulgação, perda ou destruição.
Sempre que a recolha de dados seja realizada em redes abertas, como a Internet, os dados do Utilizador poderão circular sem condições de segurança, existindo o risco de serem vistos e utilizados por terceiros não autorizados.
B. Cooperação e Comunicação com a Autoridade de Controlo
A Clínica Dr. Luís Couto está em estreita e permanente cooperação com todas as Autoridades de Controlo, nacionais e internacionais, sendo em Portugal a Comissão Nacional de Protecção de Dados (CNPD).
Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o Utilizador tem direito a apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD) ou a outra autoridade de controlo competente nos termos da lei, caso entenda que o tratamento dos seus dados pela Clínica Dr. Luís Couto viola o regime legal em vigor a cada momento.
Caso tenha qualquer questão relacionada com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pela legislação aplicável e, em especial, referidos na presente Política, por favor envie pedido de esclarecimento mediante para o endereço de correio eletrónico [email protected] ou por carta para Travessa do Lisboano nº13 4580-439 Lordelo.
À Clínica Dr. Luís Couto e ao seu Encarregado de Proteção de Dados é atribuída a responsabilidade formal de assegurar que está devidamente de acordo com as regras de proteção de dados.
Nos termos do RGPD, o que o Encarregado de Protecção de Dados deve ser designado com base nas suas competências profissionais, entre as quais se considera essencial um adequado conhecimento da legislação e práticas nacionais e europeias de proteção de dados, conhecimento das operações de processamento realizadas e conhecimento das tecnologias de informação e de segurança dos dados, por forma a promover uma cultura de protecção de dados, colocando as tecnologias de informação e comunicação e implementando todas as medidas de segurança necessárias à correcta protecção de dados.
– Responsável Pelo Tratamento Dos Dados Pessoais
A entidade responsável pela recolha e tratamento dos dados pessoais no âmbito desta Política de Privacidade é a sociedade comercial Clínica Dr. Luís Couto, LDA., com sede na Travessa do Lisboano nº13 4580-439 Lordelo, com o número único de matrícula na Conservatória do Registo Comercial e de pessoa colectiva XXXXXXXXX.