AS PARTES DECIDEM ADITAR O CONTRATO PRINCIPAL, CONSOANTE CLÁUSULAS E COMPROMISSOS ORA FIRMADOS
Há diversas definições listadas na LGDP - Lei Geral de Proteção de Dados Pessoais, lei nº 13.709/2018. Listamos abaixo, as definições mais relevantes para este AVISO DE PRIVACIDADE:
- > Dados pessoais: informação relacionada a pessoa natural identificada ou identificável, ou seja, quaisquer dados que possam identificar uma pessoa.
- > Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- > Titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, ou seja, é VOCÊ!
- > Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- > Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- > Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
- > Encarregado dos Dados (sigla DPO – Data Protection Officer): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
1 DEFINIÇÕES
- 1.1. Para os fins deste Contrato:
- (a) “CONTROLADOR”: a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente relativas às finalidades, base legal e os meios de tratamento de dados pessoais;
- (b) “OPERADOR”: parte que trata dados pessoais de acordo com as instruções do Controlador;
- (c) “DADOS PESSOAIS”: qualquer informação obtida em razão do presente contrato, relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, CPF, RG, CNH, registro de classe, endereço postal, número de telefone fixo ou móvel, endereço de e-mail, informações de geolocalização, IP do usuário, entre outros;
- (d) “DADOS PESSOAIS SENSÍVEIS”: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- (e) “DADO ANONIMIZADO”: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- (f) “TITULAR DOS DADOS”: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- (g) “TRATAMENTO”: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a eliminação ou a destruição;
- (h) “AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS”: órgão responsável pela fiscalização do cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018 no território nacional.
2 O ÂMBITO E AS FUNÇÕES
- 2.1 Este contrato aplica-se ao tratamento de Dados Pessoais, dentro do âmbito da LGPD, pelo Operador em nome do Controlador.
- 2.2 Para os propósitos deste contrato, as partes concordam que CONTRATANTE é o Controlador dos Dados Pessoais e a NINSAÚDE SOFTWARE LTDA é o Operador de tais dados.
- 2.3 Estes Termos não se aplicam quando a NINSAÚDE SOFTWARE LTDA é um Controlador de Dados Pessoais.
3 DO TRATAMENTO DE DADOS PESSOAIS
- 3.1 Como Operador, a NINSAÚDE tratará os dados pessoais somente para executar as suas obrigações contratuais descritas no contrato principal. Colocar desta maneira se a cláusula se referir a aditivo de contrato. Se for o contrato principal, colocar da seguinte maneira:
3.1 O assunto, duração, natureza, propósito do tratamento e os tipos de Dados Pessoais serão definidos no Anexo 4 deste Contrato. - 3.2 A NINSAÚDE não coletará, usará, acessará, manterá, modificará, divulgará, transferirá ou, de outra forma, tratará dados pessoais, sem a ciência e autorização do Controlador.
- 3.3 A NINSAÚDE reconhece que os Dados Pessoais Sensíveis estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, quando o a NINSAÚDE realizar operações de Tratamento de Dados Pessoais Sensíveis, utilizará proteção técnica apropriada, apta a manter a integridade, confidencialidade e segurança destas informações.
4 DAS OBRIGAÇÕES E RESPONSABILIDADES DO CONTROLADOR
- 4.1 Tendo em conta a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos de variação da probabilidade e gravidade dos direitos e liberdades das pessoas, o Controlador deve implementar medidas técnicas e organizacionais apropriadas para assegurar e demonstrar que o tratamento é realizado de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD). Essas medidas devem ser revistas e atualizadas sempre que necessário.
- 4.2 Quando proporcionais em relação às atividades de Tratamento, as medidas referidas no parágrafo 4.1 deverão incluir a implementação de políticas apropriadas de proteção de dados pelo Controlador.
- 4.3 O Controlador deverá implementar medidas técnicas e organizacionais apropriadas para garantir que, somente os Dados Pessoais necessários para cada propósito específico sejam tratados. Essa obrigação se aplica à quantidade de dados pessoais coletados, à extensão do tratamento, ao período de armazenamento e à acessibilidade.
- 4.4 O Controlador é responsável pela precisão, veracidade e qualidade dos dados inseridos no sistema da NINSAÚDE.
5 DAS OBRIGAÇÕES E RESPONSABILIDADES DO OPERADOR
- 5.1.2 Garantir que as pessoas autorizadas para o tratamento dos Dados Pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação estatutária de confidencialidade;
- 5.1.3 Adotar todas as medidas necessárias em conformidade com a LGPD, implementar medidas técnicas e organizacionais apropriadas para assegurar um nível de segurança adequado ao risco aos direitos e liberdades das pessoas, incluindo, no mínimo, as medidas estabelecidas no Anexo 2 deste Contrato;
- 5.1.3 Respeitar as condições de contratação de terceiros, sendo que A NINSAÚDE não contratará Sub-Operador sem a prévia autorização do Controlador. Os Sub- Operadores que são autorizados pelo Controlador na data deste contrato estão listados no Anexo 3. Nos casos em que outro Operador estiver envolvido, este estará sujeito aos mesmos termos contratuais descritos neste Contrato;
- 5.1.4 Caso seja necessária a transferência internacional de Dados Pessoais para o cumprimento do presente Contrato, a NINSAÚDE informará previamente ao Controlador e tomará as medidas de segurança necessárias para a garantia da confidencialidade, integridade e disponibilidade dos dados pessoais transferidos;
- 5.1.5 Auxiliar o Controlador por medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Controlador de responder aos pedidos de exercício dos direitos do titular dos dados estabelecidos no Capítulo III da LGPD;
- 5.1.6 Excluir ou devolver, conforme opção do Controlador, todos os Dados Pessoais ao Controlador após o término da prestação dos serviços relacionados ao tratamento, e excluir as cópias existentes, a menos que a lei aplicável exija o armazenamento dos Dados Pessoais;
- 5.1.7 Disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Artigo 38 da LGPD e permitir e contribuir com auditorias conduzidas pelo Controlador ou outro autorizado pelo Controlador.
6 DURAÇÃO E LEI APLICÁVEL
- 6. 1 Este Contrato continuará em vigor enquanto a NINSAÚDE SOFTWARE LTDA estiver tratando Dados Pessoais em nome do Controlador.
- 6.2 Este Acordo será regido pelas leis brasileiras.
- Anexo 2 Medida Motivos Criptografia em repouso As informações em repouso são criptografadas automaticamente antes da gravação no disco. Cada chave de criptografia é criptografada com um conjunto de chaves mestras. As políticas de chaves e criptografias são gerenciadas do mesmo modo, na mesma keystore, que os serviços de produção do Google. Criptografia em movimento As informações em movimento são criptografadas com certificado SSL 2048 bits que muda suas chaves automaticamente a cada três meses. Testes de vulnerabilidade Testamos a segurança do SISTEMA utilizando a plataforma Nessus que possui uma bateria com mais de 40 mil testes de vulnerabilidade. Destruição de discos danificados Os discos danificados são destruídos antes da dispensação. Segurança armada, cartões de acesso, alarmes, cancelas que controlam o acesso de veículos, isolamento de perímetro, detectores de metais, biometria e sistema de detecção de intrusos por raio laser. Manter os equipamentos seguros de intrusos.
- Anexo 3 FORNECEDOR CONTEXTO GOOGLE CLOUD BRASIL COMPUTAÇÃO E SERVIÇOS DE DADOS LTDA, CNPJ 26.012.398.0001-07 Hosting de aplicação e banco de dados. NFE.io HUB, CNPJ 18.792.479/0001-01 Gateway de notas fiscais para consumidores do CONTROLADOR. IUGU SERVICOS NA INTERNET S/A, 15.111.975/0001-64 Gateway de notas fiscais do OPERADOR para o CONTROLADOR. NEXODATA DO BRASIL S/A, CNPJ 26.995.485/0001-94 Prescrição de medicamentos. NEXMO INC., NUMBER 201602130K API de tele atendimento. COMIGO TECNOLOGIA E LICENCIAMENTO DE SOFTWARE LTDA., CNPJ 29.728.517/0001-83 Prescrição de exames. GOOGLE BRASIL INTERNET LTDA., CNPJ 06.990.590/0001-23 Storage do aplicativo Google Drive
- Anexo 4 Formulário de compra DADOS OBRIGATÓRIOS(*) MOTIVOS Nome fantasia da clínica, e-mail, DDD, telefone, número de profissionais de saúde, número de secretarias Além dessas informações serem utilizadas para cadastrar o CONTROLADOR, utilizamos para pré-cadastrar uma unidade de atendimento do CONTROLADOR no SISTEMA. Essas informações de unidade de atendimento são utilizadas para fazer novos agendamentos, imprimir documentos com as informações no topo dos relatórios, entre outros. O número de profissionais de saúde é utilizado para contabilizar quanto o CONTROLADOR pagará por mês. O número de secretarias não é armazenado. Somente coletamos para mostrar ao cliente que ele está economizando se comparar com outros sistemas que cobram por usuário. Nome completo ou razão social, CPF ou CNPJ, CEP, cidade, estado, bairro, rua, número e complemento Utilizamos esses dados para emitir nota fiscal e também para précadastrar uma unidade de atendimento do CONTROLADOR no SISTEMA. Essas informações de unidade de atendimento são utilizadas para fazer novos agendamentos, imprimir documentos com as informações no topo dos relatórios, CONTROLADOR emitir suas próprias notas fiscais, CONTROLADOR usar a cidade para sugerir cidades próximas no cadastro de novos pacientes, entre outros. Recorrência de pagamento (mensal ou anual). Utilizamos para fazer a cobrança e geração de nota fiscal. DADOS NÃO OBRIGATÓRIOS MOTIVOS Escolha o sistema que deseja importar os dados Se preencher, o nosso customer success fará a tratativa para importar os dados do CONTRANTE que vem de outro sistema.
- Cadastros internos DADOS OBRIGATÓRIOS(*) NÃO OBRIGATÓRIOS MOTIVOS CADASTRO - PROFISSIONAIS DE SAÚDE Nome, ativo, conselho, especialidade, duração de agenda CPF, telefone fixo, telefone celular, e-mail, número do conselho, grade de horários, assinatura digital, grupos, link de agendamento online, TISS. Permissão de acesso, atendimento médico e prescrição de receitas médicas - sendo estes presenciais ou a distância, uso para comunicação interna e por parte do OPERADOR, estabelece os horários de trabalho do profissional, compartilhamento de prontuários entre profissionais de saúde do mesmo grupo, permite o agendamento por parte do paciente com o profissional por meio eletrônico, preenchimento automático de dados em Guias TISS. CADASTRO - USUÁRIOS Nome, e-mail, ativo, nível, usuário e senha Foto, data de nascimento, profissional, grupo, unidades Identificação por imagem (foto), identificação de acesso, permissões de acesso aos menus dentro do sistema, contato para recuperação/troca de senha . CADASTRO – PACIENTE Nome e ativo. E-mail, telefones, nome da mãe, nome do pai, endereço completo, CNS, data de nascimento, sexo, estado civil, raça/cor, profissão, observação e vínculo familiar. Atendimento médico, prescrição de receitas médicas - sendo estes presenciais ou a distância, permite o agendamento por parte do paciente com o profissional por meio eletrônico, preenchimento automático de dados em Guias TISS. CADASTRO – FORNECEDOR Nome fantasia e ativo. E-mail, telefones, CNPJ, IE, nome do contato, site, endereço completo e observação. Lançar produtos, enviar e-mail automáticos para reposição de estoque e manter informações de contato para negociações. CADASTRO – ENCAMINHADOR Nome e ativo. E-mail, telefone, endereço completo. Vincular aos agendamentos de pacientes para manter um histórico de encaminhamentos, desenvolver o relacionamento entre a equipe de profissionais de saúde e os encaminhadores.
- Anexo 5 DADOS NÃO OBRIGATÓRIOS MOTIVOS IP, data, hora, tempo em cada tela, inserções, alterações e exclusões Coletamos esses dados para gerar relatórios de acesso, exibir histórico de alterações de registros ao CONTROLADOR e entender o comportamento dos usuários do SISTEMA para desenvolver melhorias. Cookies Cookies são utilizados para sugerir idioma, usuário, unidade de atendimento, profissionais de saúde selecionados na tela de agendamento e checkup e manter a sessão ativa aos usuários autenticados.
×