^POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS (LGPD)

EXATO LABORATÓRIO

 

A presente Política de Privacidade é aplicável ao Grupo Exato, e expressa o compromisso com o tratamento de dados pessoais de forma ética, alinhada aos nossos princípios e valores e, inclusive, de acordo com as regras da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”) e demais legislações vigentes aplicáveis.

Esta se aplica a toda atividade de tratamento de dados pessoais realizada pelas empresas do Grupo Exato, as quais oferecem serviços voltados ao setor da saúde.

A direção do Exato Laboratório designou a Sra. Fernanda de Alarcão Lima Araújo como encarregado pelo tratamento de dados pessoais (DPO – Data Protection Officer). Em caso de dúvidas, entre em contato enviando uma mensagem por meio do seguinte e-mail: fernanda.alarcao@exatomedicina.com.br.

 

GLOSSÁRIO

Para a correta leitura e interpretação deste documento, ressaltam-se as seguintes definições:

Dados de crianças: alguns dos nossos serviços poderão ser prestados a crianças, ou seja, pessoas menores de 12 anos. Nessas oportunidades, é necessária a autorização de seus representantes legais, conforme estabelece o art. 14, §1° da Lei Geral de Proteção de Dados.

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável, por exemplo: nome, endereço, e-mail, CPF, RG, título de eleitor, telefone (s), profissão, sexo, data de nascimento, estado civil, nacionalidade, entre outros;

Dado pessoal sensível: também se refere à pessoa natural, mas, devido à sua especificidade e potencial discriminatório, requer cuidados especiais e goza de esfera diferenciada na tutela de proteção de dados. Estes dados podem revelar origem racial ou étnica, convicção religiosa, informações de saúde ou vida sexual, dado genético e/ou biométrico, quando vinculado à pessoa natural;

LGPD: Lei Geral de Proteção de Dados, legislação que dispõe sobre o tratamento de dados pessoais, inclusive, nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural (Art. 1°, Lei 13.709/18);

Titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;

Tratamento: toda atividade realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

 

COMO, QUAIS DADOS E PARA QUE UTILIZAMOS DADOS PESSOAIS?

A quantidade e o tipo de informações coletadas podem variar conforme o uso que o titular de dados faz dos nossos serviços. Coletamos diferentes dados, por exemplo, caso o titular esteja fazendo um exame de saúde em nossas unidades, visitando nossos sites, ou acessando de forma online resultados de exames. Considerando a importância da transparência e a acessibilidade na relação entre titular de dados e o tratamento desses, listamos a seguir o modo e a finalidade pelos quais realizamos a coleta de dados:

Realização de Exames: podemos coletar dados fornecidos pelo titular para a realização e entrega de resultados de exames. Essas coletas de dados irão ocorrer, basicamente, para que possamos prestar adequadamente os serviços ofertados. No caso de exames de análises clínicas, de anatomia patológica e citologia, por exemplo, podemos coletar seu nome completo, RG, CPF, data de nascimento, nome do responsável (se o paciente for menor de idade ou incapaz), e-mail, telefone, sexo, peso, altura, data e hora da última refeição, data da última menstruação, medicamentos de uso, ou dados de saúde (ex.: vasectomia), informações sobre seu plano de saúde (se houver), endereço completo, informações associadas ao pedido médico do seu exame e/ou qualquer outra informação ou observação que o titular nos forneça voluntariamente.

Administração de vacinas: recolhe-se o cadastro nacional de saúde (CNS), informação que, segundo a ANS, constitui dado indireto não sensível. Além disso, podemos coletar os seguintes dados pessoais: nome completo, RG, CPF, data de nascimento, nome do responsável (se o paciente for menor de 12 anos de idade ou incapaz), e-mail, números de contato, sexo, doses aplicadas anteriormente, medicações de uso, doenças pré-existentes (ex.: neoplasia, HIV, entre outras), gestação, lactação, alergias pré-existentes. Ademais, é possível que haja demanda por demais dados clínicos necessários à prestação do serviço: febre, sintomas respiratórios, entre outros;

Manter o titular de dados informado (a): alguns dados podem ser coletados por meio de nossos canais para manter o titular informado a respeito do andamento ou agendamento dos serviços contratados. Nossos canais de atendimento podem variar de acordo com a preferência do titular. Podemos atender através de canais como telefone, e-mail, SMS, WhatsApp, redes sociais e website. Para a realização destes atendimentos, podemos coletar os seguintes dados: nome completo, CPF, RG, data de nascimento, sexo, informações sobre seu plano de saúde (se houver), endereço completo, informações associadas ao pedido médico do seu exame ou qualquer outro dado clínico necessário à prestação dos serviços informados pelo titular, durante as interações. Podemos enviar informações via WhatsApp e e-mail sobre serviços vigentes ou novos serviços, unidades de atendimento e seus horários de funcionamento.

Responder Dúvidas, Solicitações e Fornecer Suporte: quando o titular entra em contato conosco, podemos tratar os dados pessoais para processar solicitações, fornecer as devidas informações e suporte para uso das nossas plataformas, bem como tirar dúvidas sobre nossos produtos e serviços. Para isso, podemos coletar os seguintes dados: nome completo, motivo do contato, e-mail e números de contato, informações sobre seu plano de saúde (se houver), informações associadas ao pedido médico do seu exame, bem como outras informações fornecidas pelo titular durante as interações com o Laboratório.

Cumprir obrigação legal ou ordem judicial: em algumas situações, será preciso compartilhar informações (que podem incluir dados pessoais e dados sensíveis) para fins de cumprimento demandas regulatórias, ordem legal ou judicial, previsão legal com Anvisa e outras entidades, quando legalmente requerido. Normalmente, essas situações demandam o tratamento de dados de saúde, como o compartilhamento de resultados de exames a autoridades sanitárias (em qualquer esfera) quando identificada doença infecciosa de notificação obrigatória, ou seja, que pode afetar a saúde da população. O compartilhamento dos dados de saúde, especialmente nestas circunstâncias, é expressamente autorizado no artigo 11, II, “f” da Lei Geral de Proteção de Dados.

Analisar a utilização de nossas plataformas: quando o titular navega e acessa nossas plataformas, coletamos algumas informações que podem incluir dados pessoais, tais como IP, data e hora, localização geográfica, cookies, informações do dispositivo, fonte de referência, tipo de navegador, duração da visita e páginas visitadas. Se for o caso, podemos solicitar consentimento para a coleta e processamento de tais informações, que, inclusive, podem ser coletadas por meio de tecnologias como cookies e similares ou até mesmo necessários para a contrapartida da oferta gratuita de Wi-Fi. Destacamos que o Laboratório cumpre com todas as recomendações de segurança ditadas pela LGPD, e, igualmente, com tecnologias voltadas à proteção de dados.

Dados de pagamento: podemos coletar determinados dados relativos a cartões de crédito e débito, cheques, e outros meios de pagamento utilizados pelo titular para quitação de produtos e serviços contratados. Esta atividade pode abarcar a obtenção dos dados cadastrais completos para emissão de nota fiscal de venda direta de serviços. Tais informações são importantes para o cumprimento de obrigações acessórias, tais como Escrituração Contábil Digital e declarações obrigatórias para a Receita Federal (DMED, DIRF, etc.).

 

COM QUEM COMPARTILHAMOS DADOS COLETADOS?

A Lei Geral de Proteção de Dados autoriza o compartilhamento de dados referentes à saúde (Art. 11º, II, “f”). Cientes desta autorização, e, sempre no compromisso de melhores esforços com a tutela dos dados, a depender do modo de utilização de nossos serviços e funcionalidades, podemos compartilhar dados com:

Operadores: para fornecer nossos serviços, podemos compartilhar dados pessoais com outras empresas: iniciativa privada (meios de pagamento, fornecedores de suporte técnicos, sistemas informatizados, provedores de internet e armazenamento de dados em meio digital, laboratórios de apoio, operadoras de saúde, entre outros), hospitais e entidades públicas (Prefeituras, SUS e SISREQ – conforme permite o Art. 7°, §5° da LGPD). Ademais, destaca-se que nossos parceiros são devidamente autorizados por nós a utilizar os dados pessoais para fins específicos de suas contratações, em contratos nos quais imperam cláusulas de privacidade.

Autoridades em procedimentos judiciais ou administrativos: esse tipo de compartilhamento de dados pode ser necessário para se cumprimento de obrigação legal, regulatória, ordem judicial ou resguardar direitos.

Médicos e terceiros indicados pelos próprios titulares de dados: podemos compartilhar dados de saúde das nossas plataformas digitais com médicos e demais profissionais de saúde, que podem eventualmente acessá-los em um canal específico para facilitar o atendimento em consultório. Este compartilhamento de dados somente ocorrerá mediante anuência e permissão do titular de dados, com a identificação das pessoas que terão acesso às informações.

Empresas privadas que nos contratam para executar exames, vinculados aos periódicos de saúde e segurança ocupacional.

Médicos ou familiares: mediante resultados de exames considerados críticos, e, sempre que não for possível contato direto com o titular de dados, para fins de proteção da vida e incolumidade física, podemos comunicar a terceiros previamente indicados. Tal compartilhamento está previsto na RDC 302 de 13 de outubro de 2005 – ANVISA.

 

POR QUANTO TEMPO RETEMOS DADOS PESSOAIS?

Podemos manter dados pessoais pelo tempo que for necessário para cumprir as finalidades para as quais os coletamos. Os principais critérios para determinar a retenção podem incluir, dentre outros (I) a duração do relacionamento com o titular de dados; (II) obrigação legal ou regulatória que exija a manutenção dos dados pessoais; (III) atendimento de prazos aplicáveis em lei ou regulamentos.

Sublinha-se que para determinar o período de retenção de dados pessoais consideram-se os propósitos pelos quais os dados serão tratados, o tipo de dado processado e a existência de legislação específica que exija sua guarda e manutenção.

 

DIREITOS DOS TITULARES

Os titulares de dados possuem direitos relativos à privacidade e à proteção de dados pessoais. Nesse sentido, ilustramos a seguir uma breve revisão destes direitos previstos na Lei Geral de Proteção de Dados Pessoais:

Direito Conceito

Requisição de acesso aos dados pessoais. Este direito permite que o titular possa requisitar e receber uma cópia dos dados pessoais;

Requisição de retificação dos dados pessoais. Este direito permite que o titular solicite a correção e/ou retificação dos dados pessoais, caso identifique estes estão incorretos ou desatualizados. Contudo, para ser efetivada a correção, possivelmente, precisamos checar a validade dos dados fornecidos. Outro ponto digno de nota, é que a correção deverá ocorrer da data de requisição para frente;

Requisição de exclusão ou cancelamento dos dados pessoais. Este direito permite que o titular solicite a exclusão dos seus dados pessoais, salvo se houver qualquer outra razão para a sua manutenção, como eventual obrigação legal de retenção de dados ou necessidade de preservação destes para resguardo de direitos. Podemos descartar todos os dados a partir do dia no qual o tempo de retenção legal expirar, mediante a solicitação formalizada pelo titular.

Direito de objeção ao tratamento de dados pessoais. O titular também tem o direito de contestar onde e em que contexto tratamos dados pessoais para diferentes finalidades. Em determinadas situações, podemos demonstrar que temos motivos legítimos para o tratamento de dados (hipóteses previstas na Lei Geral de Proteção de Dados), os quais se sobrepõem aos direitos do titular;

Solicitar a portabilidade : O titular tem o direito de solicitar que lhe sejam entregues, ou a terceiros devidamente indicados, seus dados pessoais.

Direito de retirar o consentimento: O titular tem o direito de retirar o consentimento. No entanto, isso não afeta a legalidade de qualquer processamento realizado anteriormente. Se for retirado o consentimento, determinados serviços podem ser interrompidos. Se for o caso, comunicamos essas ocorrências, desde que o tempo de retenção legal não for expirado, situação em que não podemos cancelar o tratamento dos dados;

Talvez seja necessário o fornecimento prévio de informações específicas do titular para nos ajudar na confirmação de sua identidade. Essa é uma medida de segurança para garantir que os dados pessoais não sejam divulgados a qualquer pessoa que não tenha direito de recebê-los.

 

COMO PROTEGEMOS DADOS PESSOAIS?

São implementadas medidas de segurança ao nosso alcance, as quais consideramos adequadas para proteger os seus dados pessoais. Com a finalidade de garantir a proteção dos dados pessoais, adotamos as seguintes práticas de segurança:

• Acesso à base de dados restrito aos profissionais autorizados.

• Monitoramento aos acessos e às ações realizadas em relação aos dados pessoais.

• Definição e distinção de funções e competências relativas às categorias de pessoas responsáveis ou envolvidas nos sistemas internos.

• Auditoria regular interna para garantir o cumprimento das medidas de proteção de dados.

• Adoção de procedimentos preventivos contra incidentes de segurança da informação, bem como técnicas de remediação e gerenciamento de crises.

Não poupamos esforços para proteger as informações dos titulares de dados, contudo, não podemos garantir que todos os dados estejam efetivamente imunes a acessos indevidos por parte de agentes mal-intencionados – considerando que parte da segurança de dados pessoais passa por atitudes dos próprios titulares. Por isso, alertamos para o risco de compartilhar a senha utilizada em nossos serviços, ainda que o titular julgue que o destinatário da senha é alguém de sua confiança. Não nos responsabilizamos por atos de terceiros, inclusive em caso de uso indevido de seus dados de login e senha. Caso o titular identifique ou tome conhecimento de algo que comprometa a segurança dos seus dados, recomendamos o contato imediato conosco, reportando o ocorrido.

 

MUDANÇAS NA POLÍTICA DE PRIVACIDADE

Estamos sempre buscando melhorar nossos serviços, logo, essa Política de Privacidade pode passar por atualizações. Caso sejam feitas alterações relevantes, vamos nos preocupar em nos certificar de que as novas informações estarão sempre neste canal disponíveis para livre acesso e conhecimento.

 

Atualizado pela última vez em 23 de janeiro de 2023.