No Grupo emeis Portugal e nas entidades que fazem parte do mesmo listadas no Anexo I desta política (doravante “emeis Portugal” ou simplesmente “emeis“), estamos empenhados em desenvolver a nossa atividade com o máximo respeito pela privacidade dos nossos funcionários, residentes e pacientes. Este compromisso está refletido no nosso Código de Conduta, cujo terceiro princípio estabelece que”O Grupo emeis compromete-se a respeitar rigorosamente os dados pessoais e a legislação vigente sobre proteção de dados”.
Neste sentido, desde a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), foram estabelecidas uma série de obrigações que devem ser cumpridas para nos adaptarmos ao que o novo enquadramento exige de nós.
Uma das principais novidades que o Regulamento inclui é o princípio da responsabilidade proativa (accountability). Este princípio exige que apliquemos medidas de segurança técnicas e organizacionais para garantir o cumprimento das normas e proteger os dados pessoais.
Portanto, todos que fazemos parte da emeis devemos promover ativamente a cultura de proteção de dados, garantindo que conhecemos os nossos direitos e obrigações.
O objetivo desta Política é estabelecer os objetivos de gestão da privacidade, orientar e informar acerca dos vários aspetos que devemos conhecer sobre a proteção de dados pessoais na emeis.
As regras e diretrizes contidas e desenvolvidas nesta política são aplicáveis a todo o pessoal, às equipas e aos sistemas relacionados com tratamentos, utilizações ou meios do Grupo emeis Portugal que contenham dados pessoais.
Estão particularmente vinculados a esta política:
a. todos os funcionários ou pessoas que ajam em nome e em representação da emeis que se encontrem envolvidos em qualquer operação ou conjunto de operações realizadas em dados pessoais ou conjuntos de dados pessoais, seja através de procedimentos automatizados ou não, envolvendo recolha, registo, organização, estruturação, conservação, adaptação ou alteração, extração, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de autorização de acesso, recolha ou interligação, limitação, supressão ou destruição de dados pessoais.
b. todos os recursos dos sistemas de informação através dos quais se pode aceder aos ficheiros, tratamentos ou utilizações que contêm dados pessoais, bem como todos os dispositivos que realizam qualquer processo de tratamento ou armazenamento de dados pessoais.
Qualquer violação desta política pode expor a emeis, os seus funcionários e/ou terceiros que ajam em seu nome a importantes sanções administrativas, criminais e/ou disciplinares.
Dado pessoal: Um dado pessoal é qualquer informação que identifique ou torne um indivíduo identificável.
Pessoa física identificável: Qualquer pessoa cuja identidade possa ser determinada, direta ou indiretamente, através de um identificador como um nome, um número de identificação, dados de localização, um identificador online, elementos da identidade física, fisiológica, mental, económica, cultural ou social dessa pessoa.
Dado de saúde: Os dados de saúde ou “dados sanitários” são todos os dados relativos ao estado de saúde física ou mental, presente, passada ou futura, de um indivíduo. Alguns exemplos são:
Afetado/interessado É o indivíduo titular dos dados que são objeto de tratamento.
Tratamento: Um tratamento é qualquer operação ou conjunto de operações realizadas em dados pessoais, por exemplo: a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a extração, a consulta, o uso, a comunicação por transmissão, a divulgação ou qualquer outra forma de autorização de acesso, recolha ou interligação, limitação, supressão ou destruição.
Histórico clínico: É o documento ou conjunto de documentos que contém toda a informação clinicamente útil relativa a um residente, paciente e/ou cliente do centro. O Histórico Clínico tem como principal objetivo possibilitar e facilitar a assistência à saúde ao residente, paciente e/ou cliente, recolhendo nele toda a informação clínica necessária para garantir, sob critério médico, o conhecimento verdadeiro, exato e atualizado do seu estado de saúde por parte dos profissionais de saúde que o cuidam, bem como a monitorização do processo de cuidados. Os registros clínicos de pacientes, residentes e/ou clientes estão sujeitos à regulamentação em documento interno diverso desta Política.
Responsável pelo tratamento: A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;
Subcontratante: Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
Destinatário: Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários;
Cessão ou comunicação de dados: Qualquer divulgação de dados feita a uma pessoa que não seja o interessado.
Transferência internacional: Transmissão de dados que implique uma transmissão de dados para fora do território da União Europeia e/ou do Espaço Económico Europeu (EEE), quer constitua uma transferência ou comunicação de dados, quer tenha por finalidade realizar o tratamento de dados por conta do responsável pelo tratamento em território português.
Terceiro: A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
Pseudonimização: O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
Definição de perfis: Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
Através de nossa própria atividade, a emeis trata “dados pessoais de saúde” que, de acordo com a regulamentação atual, são especialmente protegidos.
As funções e responsabilidades gerais associadas a cada função são definidas pela Direção da emeis e pelo seu Conselho de Administração.
Infra estão as funções do emeis RGPD. As funções e obrigações do DPD são as previstas no Regulamento do Encarregado da Proteção de Dados.
É quem decide sobre a finalidade, o conteúdo e a utilização do tratamento dos dados. Para efeitos do presente Documento, o Responsável final pelo tratamento dos dados é a emeis iberia, S.A.U. que inclui diversas empresas, entidades cujos dados constam do Anexo I: Empresas vinculadas à emeis.
A emeis nomeou um Data Protection Officer a nível de Grupo em conformidade com o art. 37 do Regulamento Europeu de Proteção de Dados. A fim de garantir que as partes interessadas (tanto dentro como fora da organização) e as autoridades de supervisão possam entrar facilmente em contacto com o DPO, de forma direta e confidencial, em conformidade com o Artigo 37 do RGPD, a emeis comunicou os dados de contacto do DPO às autoridades supervisoras correspondentes e publica a identidade e os dados de contacto do DPO:
O DPD é o garante do cumprimento dos regulamentos de Proteção de Dados dentro da entidade. Tem a missão de aconselhar, supervisionar e garantir proativamente o funcionamento eficaz do sistema de gestão da proteção de dados na entidade e no seu relacionamento com terceiros.
As funções do DDP são as constantes do RGPD.
A sua principal missão é coordenar a implementação e manutenção evolutiva e corretiva das medidas e procedimentos de segurança que sejam estabelecidos nos prazos acordados, além de verificar a aplicação das medidas de segurança descritas neste documento.
Funções do DPO em relação às medidas de segurança:
Manter registos referentes ao centro que dirige, com referência a provas de cumprimento e eficácia das medidas de segurança.
Responsável pela deteção e notificação nos diferentes locais ou centros onde são tratados os dados pessoais dos clientes para a oferta de serviços de atendimento direto ao cliente.
Todo o pessoal autorizado a aceder aos sistemas de informação ou ficheiros que contenham dados pessoais, é obrigado a cumprir os regulamentos de segurança incluídos nesta Política e qualquer outra que a emeis possa adotar.
Na emeis seguimos uma política de transparência, lealdade e legalidade dos dados:
a. Legalidade: Trataremos apenas dados pessoais para finalidades específicas, explícitas e legítimas, protegidos por algumas das bases legais permitidas pela legislação e sem poderem ser tratados posteriormente de forma incompatível com os referidos fins.
b. Transparência: Só processaremos os dados pessoais se as partes interessadas foram informadas. Esta informação deverá cobrir o propósito do tratamento, a sua base legal e a possibilidade de exercer os seus direitos.
c. Minimização de dados e proporcionalidade: Temos que assegurar-nos que só tratamos os dados pessoais necessários, adequados e pertinentes e não excessivos para o objetivo do tratamento.
d. Precisão: os dados pessoais devem ser precisos e mantidos completos e atualizados de modo a permitir o cumprimento das finalidades para as quais foram recolhidos.
e. Retenção e eliminação: Manteremos os dados pessoais apenas pelo tempo necessário em relação aos propósitos do tratamento. Os dados pessoais que já não forem necessários, após os prazos legais ou estabelecidos para o tratamento, serão eliminados.
f. Confidencialidade e segurança de dados: Somos obrigados a aplicar as regras estabelecidas para proteger os dados pessoais que tratamos, tanto do ponto de vista da segurança técnica quanto da segurança da organização. Assim, aplica-se o princípio de “necessidade de saber” de modo que somente podemos aceder às informações pessoais que forem necessárias para o desempenho adequado das nossas funções, sendo proibido usar dados pessoais para fins particulares ou comerciais, para os divulgar ou disponibilizar a terceiros de qualquer outra forma. Esta obrigação permanecerá em vigor mesmo após o término da nossa relação profissional.
Regra geral, a emeis obriga-se a que toda a informação que presta aos interessados seja transmitida de forma concisa, transparente, inteligível e de fácil acesso, com linguagem clara e simples. Isto evita que os dados pessoais sejam recolhidos por meios ou métodos fraudulentos, injustos ou ilícitos e o interessado conhece o real alcance do consentimento dado, as finalidades da recolha e a forma de exercício dos direitos.
Neste sentido, o tratamento pessoal só será lícito se ocorrer algum dos seguintes casos:
A necessidade de informar os interessados sobre as circunstâncias relativas ao tratamento dos seus dados deve ser concretizada no momento em que os dados são solicitados, antes da sua recolha ou registo, caso sejam obtidos diretamente do interessado.
Caso os dados não sejam obtidos diretamente do interessado, por provirem de uma transferência legítima ou mesmo de fontes publicamente acessíveis, a emeis informará os interessados antes de qualquer comunicação que venha a ser feita ou no prazo de um mês a partir da data da sua obtenção. Esta obrigação deve ser cumprida sem necessidade de qualquer exigência e a emeis deve poder comprovar que o fez. Tudo isto será realizado, desde que não seja impossível ou exija um esforço desproporcional.
Deve ficar claro que, quando são tratadas categorias especiais de dados pessoais, não se pode alegar que o interesse legítimo é a base jurídica para o seu tratamento. Isto aplica-se quando o tratamento envolve os seguintes dados: origem étnica ou racial, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde, dados relativos à vida ou orientação sexual.
Todos estes dados são considerados dados sensíveis, especialmente protegidos, e, após a publicação do RGPD, como uma categoria especial de dados pessoais.
Portanto, os dados pessoais existentes nas bases de dados de saúde são de dois tipos: aqueles que identificam a pessoa, como nome e apelido, endereço, telefone, cartão de cidadão, número de utente de saúde, etc.; e todas as informações sobre seu estado de saúde, como exames diagnósticos, cirurgias, medicamentos, histórico familiar, etc.
Toda esta informação pessoal e de saúde constitui o chamado “Histórico Clínico”.
O histórico clínico incorporará as informações consideradas essenciais para o conhecimento preciso e atualizado do estado de saúde do paciente. Todo paciente ou usuário tem o direito de registrar, por escrito ou no suporte técnico mais adequado, as informações obtidas em todos os seus processos assistenciais, realizados pelo serviço de saúde, tanto no âmbito dos cuidados primários quanto dos cuidados especializados.
O principal objetivo do histórico clínico é facilitar os cuidados de saúde, deixando registo de todos aqueles dados que, a critério médico, permitam um conhecimento verdadeiro e atualizado do estado de saúde referido no número anterior.
A emeis, enquanto responsável pelo histórico clínico, tem a obrigação de o salvaguardar e implementar as medidas técnicas e organizativas necessárias de forma a garantir a sua segurança, confidencialidade, integridade e disponibilidade. O paciente/utente tem o direito de solicitar uma cópia do seu historial médico, com a qual poderá dirigir-se a outro centro ou a outro especialista; Ao revê-la, pode solicitar a retificação ou exclusão de alguns dados, etc.
Cada um dos centros que integram a emeis informa os seus colaboradores de todos os assuntos legalmente exigidos, nomeadamente: (i) que a recolha de dados pessoais tem por finalidade o cumprimento da relação contratual e o cumprimento das obrigações legais impostas à empresa; (ii) que o tratamento é legitimado pela execução do contrato; (iii) que os seus dados pessoais poderão ser comunicados a empresas do mesmo grupo empresarial, empresas coligadas e entidades necessárias ao cumprimento das finalidades pretendidas, especialmente as previstas no Anexo I.
Cada um dos centros que integram a emeis informa os seus clientes, pacientes e residentes de todos os assuntos legalmente exigidos, nomeadamente: (i) que a recolha de dados pessoais se destina ao cumprimento da relação contratual e à prestação de serviços de estadia e tratamento de saúde, bem como à execução dos serviços administrativos relacionados com os referidos serviços, tais como faturação, gestão e cobranças; (ii) que o tratamento é legitimado pela execução do contrato e pelas obrigações legais impostas às empresas do mesmo grupo e/ou empresas relacionadas; especialmente, aqueles previstos no Anexo I; (iii) que os seus dados pessoais poderão ser comunicados a empresas do mesmo grupo e/ou empresas relacionadas, bem como a centros de saúde e/ou profissionais de saúde que necessitem da informação para cumprimento do contrato e de obrigações ou requisitos públicos ou privados; especialmente, aqueles previstos no Anexo I.
A emeis informa que nos centros e instalações onde tenha implementado um sistema de vigilância através de câmaras esse sistema será usado para garantir a segurança dos trabalhadores, residentes, pacientes, clientes, visitantes e todos aqueles que no seu interior frequentam, bem como para poder exercer a função de controlo da empresa, em conformidade com todos os regulamentos em vigor.
A informação obtida e armazenada através do sistema de registo será utilizada exclusivamente para efeitos de prevenção, segurança e proteção de pessoas e bens que se encontrem no estabelecimento ou instalação objeto de proteção e para esclarecimento das responsabilidades legais e laborais que eventualmente possam surgir em caso de incumprimento dos deveres e obrigações legalmente impostos ao funcionário.
A emeis garante que as imagens obtidas respeitarão sempre os direitos fundamentais das pessoas e que em nenhum caso serão prejudiciais à honra e reputação, nem serão contrárias aos interesses das pessoas, respeitando sempre a legislação aplicável.
A emeis recolhe o consentimento adequado para a utilização de imagens (gravação de vídeos e/ou fotos) e ficheiros eletrónicos que contenham a imagem de pacientes, residentes, clientes, funcionários e terceiros para efeitos de publicação, exposição ou divulgação no local de trabalho das fotografias e/ou vídeos realizados em eventos internos do próprio centro, bem como para mostrar as diferentes residências, clínicas, centros de dia ou apartamentos e atividades realizadas nos mesmos no site www.emeis.pt, nas redes sociais. e/ou meios sociais. Neste caso, serão publicadas imagens e/ou vídeos nas redes sociais em que a emeis esteja ou possa estar presente, o que implica ou poderá implicar o acesso público aos mesmos, bem como a possibilidade da sua partilha por outras pessoas ou páginas, sobre as quais a emeis não tem qualquer controlo ou poder de vinculação.
A emeis compromete-se a que a utilização deste material não será em caso algum prejudicial à honra e à reputação, nem será contrária aos interesses das pessoas, respeitando sempre a legislação aplicável.
Os cookies são pequenos ficheiros de texto que se instalam no navegador informático do utilizador para registar a sua atividade, enviando uma identificação anónima que aí fica armazenada, com o objetivo de facilitar a navegação, permitindo, por exemplo, o acesso a áreas, serviços ou promoções aos utilizadores que se tenham registado previamente, evitando ter que se registar em cada visita. Também podem ser usados para medir audiência, parâmetros de tráfego e navegação, tempo de sessão e/ou monitorar o progresso e o número de entradas.
A emeis esforçar-se-á em todo o momento por estabelecer mecanismos adequados para obter o consentimento do Utilizador para a instalação de cookies que o requeiram.
Para mais informações sobre os Cookies utilizados pela emeis e as regras de Navegação Web, consulte a nossa Política de Cookies e Navegação.
Na emeis adotámos uma série de medidas técnicas e organizacionais para salvaguardar a confidencialidade e segurança da informação que tratamos.
O objetivo desta seção é estabelecer as medidas de segurança técnicas e organizacionais adequadas, a fim de salvaguardar a confidencialidade, integridade e disponibilidade da informação contendo dados pessoais sob a responsabilidade da emeis.
Estas medidas de segurança aplicam-se a todos os tratamentos de dados pessoais realizados na emeis, entendendo-se por tratamento, todas as operações, processos e atividades da emeis que de alguma forma participem no ciclo de vida dos dados pessoais sujeitos ao disposto no RGPD, tais como a recolha, armazenamento, tratamento, transferência e eliminação.
Tendo em conta que dados pessoais são quaisquer informações sobre uma pessoa singular identificada ou identificável.
Podemos definir os seguintes níveis de classificação da informação:
A emeis, uma vez analisado o tipo de informação e dados que trata, com que finalidade o faz e que tipo de ações de tratamento de dados realiza, determinará as medidas de segurança. É importante que as referidas medidas tomadas permitam reflecti-las, para que a emeis possa demonstrar aos interessados e às autoridades de supervisão que foram adoptadas. Assim, a emeis deve ter uma atitude consciente, diligente e proativa face ao tratamento de dados que realiza.
O Departamento de IT estabeleceu uma série de regras para garantir a segurança dos sistemas e meios informáticos da emeis que todos deverão cumprir. Algumas delas são:
O firme compromisso da emeis em salvaguardar os direitos das pessoas sobre os seus dados pessoais está refletido no próprio Código de Conduta, cujo terceiro princípio estabelece que “os nossos residentes, pacientes e pessoas assistidas em casa e suas famílias ou os nossos colaboradores têm direito à privacidade e ao respeito dos dados pessoais que processamos”. Assim, o Grupo emeis compromete-se a “garantir o cumprimento rigorosamente da legislação existente sobre a privacidade e proteção de dados de forma a garantir a todos o controlo dos seus dados”.
Os funcionários, residentes, pacientes e todas as outras pessoas cujos dados pessoais são processados pela emeis podem exercer os seus direitos de acesso, retificação, oposição, exclusão, limitação do tratamento, portabilidade no caso de não serem objeto de decisões individualizadas.
Os direitos existentes em matéria de proteção de dados que podem ser exercidos perante o Responsável pelo Tratamento são os seguintes:
Direito de aceso: A parte interessada tem o direito de solicitar e obter, gratuitamente, as informações sobre os dados pessoais submetidos ao tratamento, à origem desses dados, bem como às comunicações realizadas ou que se preveem fazer a partir deles. Deve-se informar:
a. Do propósito do tratamento dos seus dados
b. Das categorias (básicos, bancários, saúde… etc.)
c. Dos destinatários a quem se vai comunicar.
d. Do prazo da sua conservação.
e. Como solicitar ao responsável o exercício dos direitos.
f. Do direito de apresentar uma reclamação à autoridade de controlo.
g. Qualquer informação sobre a origem dos dados.
h. Transferências internacionais.
i. Dos tratamentos e decisões automatizadas sobre os seus dados.
Direito de retificação: O interessado tem o direito de obter a retificação dos dados pessoais que sejam imprecisos, sem atrasos injustificados.
Direito de oposição: O interessado tem o direito de se opor ao processamento dos seus dados em alguns casos avaliados.
Direito de supressão: O interessado tem o direito à eliminação dos dados pessoais quando ocorrer qualquer das circunstâncias legalmente avaliadas. Da mesma forma, todas as partes interessadas podem exercer os seus direitos sobre a portabilidade de dados, a limitação do tratamento ou para retirar o consentimento previamente concedido.
Para exercer os seus direitos, a parte interessada deverá enviar um correio eletrónico para protecaodedados@emeis.com, indicando o direito que pretende exercer e identificando-se inequivocamente através do seu documento de identificação ou documento semelhante, legalmente válido. Em todos os casos, as solicitações realizadas serão arquivadas com a data e cópia da resposta enviada ao interessado.
Se o interessado considera que o tratamento realizado aos seus dados pessoais não se encontra em conformidade com a lei ou que a sua solicitação não foi devidamente aceite, pode apresentar uma reclamação à Comissão Nacional de Proteção de Dados ( www.cnpd.pt/) nos termos indicados por esta.
Considera-se por incidência qualquer facto ou circunstância que, quando ocorre, gera ou pode gerar qualquer tipo de risco ou dano que afete a segurança, a confidencialidade ou a integridade dos dados pessoais processados pela emeis, como, por exemplo, hacking, roubo de informação, envio indevido de dados pessoais para terceiros, perda de dados pessoais, etc.
Devemos estar atentos a estas ocorrências e informar acerca delas o mais rápido possível. Qualquer funcionário que tenha conhecimento de qualquer incidente fica direta e pessoalmente responsabilizado de o notificar sem demora ao Delegado de Proteção de Dados, comunicando por escritro para o email dpo-pt@emeis.com e ao Departamento de IT.
O DPO documentará qualquer violação de segurança de dados, incluindo os factos relacionados com a mesma, os seus efeitos e as medidas de segurança implementadas. A referida documentação permitirá que a autoridade de controlo verifique o cumprimento do disposto no artigo 33 do RGPD.
Em caso de violação de segurança que afete seriamente os direitos e liberdades das partes interessadas, o DPO notificará sem demora a autoridade de controlo competente num prazo máximo de 72 horas. A comunicação aos afetados deve ser clara e simples.
Serão realizados controlos periódicos para a verificação correta do cumprimento das medidas, normas e procedimentos estabelecidos nesta Política, de tal forma que possam detetar qualquer anomalia que afete a segurança, integridade ou disponibilidade dos dados pessoais contidos nos ficheiros.
Esta política ou qualquer outra relacionada com a proteção de dados está acessível ao pessoal e será entregue uma cópia da mesma, nas matérias que lhes dizem respeito, a qualquer utilizador que a solicitar.
O pessoal deve ser sensibilizado nesta questão através da informação, de comunicações internas ou formação específica.
O não cumprimento das obrigações relativas à proteção de dados pode ser considerado como uma violação da boa-fé contratual.
Se o não cumprimento for de natureza fraudulenta, serão tomadas as ações legais correspondentes para o devido apuramentode responsabilidades.