Política de Privacidade
Procedimentos gerais em matéria de tratamento de dados pessoais
1. PARTE GERAL
1.1. Responsável pelo tratamento
Nos termos do Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, adiante, simplesmente designado por “RGPD”), o responsável pelo tratamento é a pessoa singular ou coletiva que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
A miMed – Cuidados de Saúde, S.A. (“miMed”), com sede no Largo Monterroio Mascarenhas n.º 1, 9.º, 1099-081 Lisboa, NIPC/matrícula na Conservatória do Registo Comercial sob o número 509.925.332 e capital social de €163.000,00, empenhada na proteção e privacidade dos dados pessoais por si tratados, é a entidade responsável pela elaboração da presente Política de Privacidade, tendo designado um Encarregado para a Proteção de Dados Pessoais, o qual é responsável por implementar e verificar o cumprimento da mesma.
Os dados de contacto do Encarregado para a Proteção de Dados Pessoais da miMed são os seguintes: data.protection@mimed.pt
1.2. Conceitos e princípios gerais
No âmbito da sua atividade no setor da prestação de serviços e cuidados de saúde, incluindo a prestação de serviços de saúde no trabalho, a miMed recolhe e trata informação com a natureza de dados pessoais.
De acordo com o RGPD, entende-se por “dados pessoais”, a «informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».
Existem determinadas categorias de dados pessoais, de natureza mais sensível e que o RGPD classifica como “categorias especiais de dados pessoais”, cujo tratamento é, por defeito, proibido (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa), salvo se se verificar um fundamento que legitime o tratamento deste tipo de dados (como, por exemplo, a prestação de cuidados de saúde).
Significando isto que a mera recolha de dados de um cliente ou de um trabalhador/colaborador da empresa (nomeadamente, dados de contacto) – mesmo que seja através de meios não automatizados – configura um tratamento de dados pessoais, pelo que deve obedecer aos princípios e às regras estabelecidas no RGPD.
Em termos de princípios gerais relativos ao tratamento de dados, a miMed compromete-se a assegurar que os dados pessoais por si tratados são:
• Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
• Recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;
• Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
• Exatos e atualizados sempre que necessário, sendo adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
• Conservados de uma forma que permite a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
• Tratados de uma forma que garante a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, sendo adotadas as medidas técnicas ou organizativas adequadas.
Os tratamentos de dados efetuados pela miMed são lícitos quando se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento explícito para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas; ou
b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados; ou
c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que a miMed esteja sujeita; ou
d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; ou
e) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pela miMed ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
No que respeita às categorias especiais de dados pessoais, em especial, dados relativos à saúde e informação de saúde, o seu tratamento pela miMed é lícito nos seguintes casos:
a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas; ou
b) Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da miMed ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido por lei ou por uma convenção coletiva que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados; ou
c) Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento; ou
d) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular; ou
e) Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional; ou
f) Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base na lei ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no RGPD – desde que os dados pessoais sejam tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade, ao abrigo da lei ou de regulamentação específica; ou
g) Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o previsto no RGPD.
A miMed compromete-se a assegurar que o tratamento das categorias especiais de dados pessoais (no caso, dados relativos a saúde e informação de saúde) apenas é feito nas condições acima elencadas e com respeito pelos princípios acima mencionados.
Os dados pessoais recolhidos e tratados pela miMed consistem em informação relativa, nomeadamente, ao nome, morada, telefone, e-mail, data de nascimento, género, estado civil, profissão, filiação, número de documento de identificação civil, número de identificação fiscal, número de utente, subsistema de saúde, dados relativos à saúde, informação de saúde e informação bancária para efeitos de faturação, embora possam vir a ser recolhidos e tratados outros dados necessários à prestação de serviços e cuidados de saúde, incluindo saúde no trabalho, por parte da miMed.
Nos termos do RGPD, são considerados dados pessoais relativos à saúde todos os dados relativos ao titular que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro, o que inclui informações recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, nomeadamente: qualquer número, símbolo ou sinal particular atribuído ao titular para o identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.
No caso de adesão ao Programa de Saúde, poderão ser recolhidos e tratados dados pessoais de identificação e contato de membros do agregado familiar.
No caso de o titular dos dados ser menor de 18 anos ou incapaz, caberá ao titular da responsabilidade parental ou da tutoria a junção ao processo administrativo do menor ou incapaz de documento comprovativo, nos termos legalmente admissíveis, dessa titularidade. Feita essa prova, compete ao titular das responsabilidades parentais ou tutoria assinar a relevante documentação.
Quando esteja em causa a oferta de serviços da sociedade da informação a menores de 16 anos, o tratamento dos dados pessoais do menor para esse efeito só é lícito se e na medida em que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental ou da tutoria do menor. Para o efeito, aquando da recolha de dados de menores, será solicitado o e-mail dos respetivos pais/titulares da responsabilidade parental ou da tutoria do menor, para confirmação de que consentem no tratamento de dados pessoais dos menores em causa, quando aplicável.
Aquando da recolha dos dados pessoais, a miMed prestará ao titular dos dados informações detalhadas acerca da natureza dos dados recolhidos.
No âmbito do tratamento de dados pessoais, a miMed garante o cumprimento dos princípios da proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default). Tal compromisso implica que os dados pessoais dos titulares serão de acesso limitado às pessoas que tenham necessidade de os conhecer no exercício das suas funções, na estrita medida do necessário para a prossecução das finalidades indicadas na secção seguinte. Em especial quanto aos dados relativos a saúde, serão, em observância da lei aplicável, de acesso reservado aos médicos e profissionais de saúde adstritos à prestação dos serviços e cuidados de saúde ou a profissionais adstritos a obrigações de confidencialidade.
Quando um determinado tratamento de dados for realizado pela miMed com base apenas no consentimento do titular dos dados, este tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento, todavia, não compromete a licitude do tratamento efetuado com base no consentimento previamente dados.
1.3. Finalidades de tratamento dos dados pessoais
Em termos gerais, os dados recolhidos e tratados pela miMed destinam-se às seguintes finalidades:
• Gestão de clientes/utentes e da respetiva relação no âmbito da prestação de serviços e cuidados de saúde, incluindo medicina do trabalho;
• Adesão ao Programa de Saúde miMed e emissão do respetivo cartão de saúde;
• Gestão do processo clínico e prescrição medicamentosa eletrónica;
• Gestão de consultas;
• Contacto telefónico de acompanhamento do cliente/utente no seguimento da prestação de serviços e cuidados de saúde;
• Faturação e cobrança;
• Marketing, incluindo a receção de todas as novidades, campanhas, ofertas, eventos, rastreios, workshops, newsletters e informações gerais, através de qualquer meio de comunicação, inclusive suporte eletrónico;
• Envio de comunicações que sejam consideradas relevantes para a promoção da saúde e para a prestação de um serviço de excelência, através dos diferentes canais de comunicação, ajustadas aos interesses e preferências do titular, apurados com base no perfil de utilizador do titular. O perfil do titular será criado com base, nomeadamente, em variáveis demográficas como idade e sexo, zona de residência, preferências pessoais indicadas pelo titular, assim como os serviços disponibilizados nas unidades de saúde que o titular habitualmente frequenta;
• Se aplicável, registo no site da miMed (para efeitos de receção de newsletter, para efeitos de adesão ao Programa de Saúde e para efeitos de recrutamento);
• Se aplicável, gravação de chamadas telefónicas que venham a ser realizadas no âmbito da relação contratual, quer na fase de formação do contrato, quer durante a sua vigência (de todo o modo, sendo o caso, a miMed informará previamente o titular dos dados de que a chamada será gravada);
• Videovigilância, para efeitos de proteção de pessoas e bens;
• Para fins estatísticos (apenas com base em dados anonimizados).
Aquando da recolha dos dados pessoais junto do titular, a miMed presta informações detalhadas acerca da finalidade e do tratamento que é realizado relativamente aos dados pessoais, e, bem assim, as informações mencionadas na cláusula 2.1.
1.4. Canais de recolha dos dados
A miMed recolhe dados de forma direta (i.e., diretamente junto do titular dos dados) e de forma indireta (i.e., através de entidades parceiras ou terceiras). A recolha é feita através dos seguintes canais:
• Recolha direta: presencialmente, por telefone, por e-mail, através de impresso em papel e através do website da miMed. No que diz respeito aos dados relativos a saúde, os mesmos são recolhidos presencialmente ou remotamente (telemedicina), através de médico ou de profissional de saúde sujeito a sigilo. Quaisquer informações ou conteúdos que o titular transmita para o website (através de e-mail, mensagem para grupo de discussão, envio de ficheiros ou de outro modo) encontram-se sujeitos à política constante do Aviso Legal publicado no website da miMed.
• Em especial, no que respeita à telemedicina (teleconsultas e telemonitorização), os dados pessoais, incluindo os dados relativos a saúde, são recolhidos à distância mediante consentimento informado prestado pelo titular com recurso à utilização de tecnologias de informação e comunicação digitais, tal como webcams, colunas de som e dispositivos que permitem registar dados de saúde do titular (por exemplo, dispositivos que medem a tensão arterial, a oximetria, a temperatura e o número de passos dados).
• Recolha indireta: através de parceiros ou empresas do grupo, através de familiar, entidades oficiais, hospitais, unidades de saúde, seguradores e outras entidades com quem a MiMed tenha estabelecido relações contratuais no âmbito da prestação de serviços e cuidados de saúde.
1.5. Medidas técnicas e organizativas e de segurança implementadas
A miMed tem implementadas diversas medidas técnicas e organizativas com vista a assegurar um nível de segurança adequado dos dados pessoais, as quais são revistas e atualizadas periodicamente, consoante as necessidades.
Em função da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados, bem como dos riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, a miMed compromete-se a aplicar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas necessárias e adequadas à proteção dos dados e ao cumprimento dos requisitos do RGPD. Compromete-se ainda a assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento e que esses dados não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas.
Em termos de medidas gerais, a miMed adota as seguintes:
• Acesso restrito de pessoas às instalações, mediante controlo de acessos;
• Sensibilização e formação do pessoal implicado nas operações de tratamento de dados;
• Utilização de antivírus, firewall, anti-malware e outros mecanismos de deteção de intrusão;
• Utilização de VPN com encriptação de 1.024 bits;
• Perfis de acesso diferenciados consoante a função/cargo da pessoa que acede aos sistemas de informação (diferentes perfis de utilizador, que garantem a separação lógica entre os dados relativos a saúde e os restantes dados);
• Acesso aos sistemas de informação através de username e password;
• Implementação de regras de qualidade de password (tamanho mínimo, tipo de carateres e duração máxima de 30 dias);
• Eliminação mensal de perfis de utilizadores que cessem o seu vínculo (laboral ou outro) com a miMed, bem como de todos os privilégios ou direitos de acesso concedidos a tais utilizadores;
• Deteção de acessos não autorizados;
• Cifragem da base de dados pessoais;
• Realização de backups periódicos diários;
• Auditorias regulares com vista a aferir a eficácia das medidas técnicas e organizativas implementadas;
• Mecanismos capazes de assegurar a confidencialidade, disponibilidade e resiliência permanentes dos sistemas de informação;
• Mecanismos que asseguram o restabelecimento dos sistemas de informação e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico (no caso de um incidente físico ou técnico, a informação é recuperável, através de backup, em 2 horas).
1.6. Entidades subcontratadas
No âmbito dos tratamentos de dados pessoais que realiza, a miMed recorre ou poderá recorrer a subcontratantes, os quais consistem em pessoas singulares ou coletivas subcontratadas pela miMed para, em nome desta e de acordo com as suas instruções, procederem ao tratamento de dados pessoais em estrito cumprimento com o disposto na lei e na presente Política de Privacidade.
Estas entidades subcontratadas não poderão transmitir os dados pessoais do titular a outras entidades sem que a miMed tenha dado, previamente e por escrito, autorização para tal, estando também impedidas de contratar outras entidades sem autorização prévia da miMed.
A miMed assume o compromisso de subcontratar apenas entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas, de forma a assegurar a defesa dos direitos do titular dos dados. Todas as entidades subcontratadas pela miMed ficam vinculadas a esta última através de um contrato escrito no qual são regulados, nomeadamente, o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais, as categorias dos titulares dos dados e os direitos e obrigações das partes.
Caso pretenda obter informação detalhada acerca das entidades subcontratadas, por favor contate-nos através do e-mail data.protection@mimed.pt.
1.7. Comunicação de dados a terceiros
Nos termos legais aplicáveis, a miMed poderá transmitir ou comunicar dados pessoais a outras entidades no caso de o titular dos dados o consentir ou no caso de essa transmissão ou comunicação ser necessária para a execução de contrato estabelecido entre o titular dos dados e a miMed, ou para diligências pré-contratuais a pedido do titular dos dados, no caso de ser necessária para o cumprimento de uma obrigação jurídica a que a miMed esteja sujeita, no caso de ser necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular ou no caso de ser necessária para efeitos da prossecução de interesses legítimos da miMed ou de terceiro. Em particular, a miMed poderá transmitir ou comunicar dados pessoais aos familiares do titular, apenas nas circunstâncias previstas na legislação em vigor.
Aquando da recolha dos dados pessoais, a miMed presta ao titular dos dados informações acerca das categorias de entidades a quem, no caso concreto, os dados possam ser comunicados.
1.8. Transferência de dados para fora da União Europeia
Em determinados tipos de tratamento, os dados pessoais recolhidos pela miMed podem ser disponibilizados a terceiros, podendo envolver a sua transferência para fora da União Europeia. Em tal caso, a miMed compromete-se a assegurar que a transferência observa as disposições legais aplicáveis, nomeadamente quanto à determinação da adequabilidade de tal país no que respeita a proteção de dados e aos requisitos aplicáveis a tais transferências.
2. DIREITOS DOS TITULARES DOS DADOS
Nos termos legais, os titulares dos dados pessoais têm os seguintes direitos:
2.1. Direito à informação
2.1.1. Informações facultadas ao titular dos dados pela miMed (quando os dados pessoais são recolhidos diretamente junto do titular):
a) A identidade e os contactos da miMed, responsável pelo tratamento e, se aplicável, do seu representante;
b) Os contactos do Encarregado da Proteção de Dados;
c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
d) Se o tratamento dos dados se basear em interesses legítimos da miMed ou de um terceiro, indicação de tais interesses;
e) Se aplicável, os destinatários ou categorias de destinatários dos dados pessoais;
f) Se aplicável, indicação de que a miMed tenciona transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou a referência às garantias apropriadas ou adequadas;
g) Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
h) O direito de solicitar à miMed o acesso aos dados pessoais que digam respeito ao titular, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
i) Se o tratamento dos dados se basear no consentimento do titular, o direito de retirar o consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
j) O direito de apresentar reclamação junto da CNPD ou outra autoridade de controlo;
k) Indicação se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
l) Se aplicável, a existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
No caso de os dados pessoais não serem recolhidos diretamente pela miMed junto do titular dos dados, além das informações referidas acima, o titular é adicionalmente informado acerca das categorias de dados pessoais objeto de tratamento e, bem assim, acerca da origem dos dados e, eventualmente, se proveem de fontes acessíveis ao público.
Caso a miMed pretenda proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados foram recolhidos, antes desse tratamento a miMed fornecerá ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos acima referidos.
Nos termos legais, a miMed não tem a obrigação de prestar ao titular dos dados as informações acima mencionadas quando e na medida em que:
• O titular dos dados já tiver conhecimento das mesmas;
• Se comprove a impossibilidade de disponibilizar a informação, ou que o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, sob reserva das condições e garantias previstas no RGPD;
• A obtenção ou divulgação dos dados esteja expressamente prevista na lei;
• Os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional ou de confidencialidade prevista na lei.
2.1.2. Procedimentos e medidas implementadas com vista ao cumprimento do direito à informação:
A informação referida em 2.1.1. é prestada, a título gratuito, por escrito (incluindo por meios eletrónicos) pela miMed ao titular dos dados previamente ao tratamento de dados pessoais em causa (por exemplo, previamente à prestação de serviços e cuidados de saúde ou previamente à adesão ao Plano de Saúde).
2.2. Direito de acesso
O titular dos dados tem o direito de obter da miMed a confirmação de que os dados pessoais que lhe dizem respeito são ou não objeto de tratamento e, sendo o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
a) As finalidades do tratamento dos dados;
b) As categorias dos dados pessoais em questão;
c) Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais;
d) O prazo previsto de conservação dos dados pessoais, ou, não sendo possível, os critérios usados para fixar esse prazo;
e) Direito de solicitar à miMed a retificação, o apagamento ou a limitação do tratamento dos dados pessoais, ou do direito de se opor a esse tratamento;
f) Direito de apresentar reclamação junto da CNPD ou outra autoridade de controlo;
g) Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
h) A existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados;
i) Direito a ser informado sobre as garantias adequadas associadas à transferência de dados para países terceiros ou organizações internacionais.
Mediante solicitação, a miMed fornecerá ao titular dos dados, a título gratuito, uma cópia dos dados pessoais que se encontram em fase de tratamento.
O fornecimento de outras cópias solicitadas pelo titular dos dados poderá acarretar custos administrativos.
2.3. Direito de retificação
O titular tem o direito de obter a qualquer momento, por parte da miMed, a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
Em caso de retificação dos dados, a miMed comunicará a cada destinatário a quem os dados tenham sido transmitidos a respetiva retificação, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a miMed. Se o titular dos dados o solicitar, a miMed fornece informações sobre os referidos destinatários.
2.4. Direito ao apagamento dos dados (“direito a ser esquecido”)
O titular tem o direito de obter, por parte da miMed, o apagamento dos seus dados pessoais quando se aplique um dos seguintes motivos:
a) Os dados pessoais deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
b) O titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento;
c) O titular se opuser ao tratamento ao abrigo do direito de oposição e não existirem interesses legítimos prevalecentes que justifiquem o tratamento;
d) Os dados pessoais forem tratados ilicitamente;
e) Os dados pessoais tiverem de ser apagados para o cumprimento de uma obrigação jurídica a que a miMed esteja sujeita;
f) Os dados pessoais tiverem sido recolhidos no contexto de uma oferta de serviços da sociedade da informação a crianças.
Nos termos legais aplicáveis, a miMed não tem a obrigação de apagar os dados do titular na medida em que o tratamento se revele necessário ao cumprimento de uma obrigação legal a que a miMed esteja sujeita, por motivos de interesse público no domínio da saúde pública, para fins de investigação científica ou para fins estatísticos ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Em caso de apagamento dos dados, a miMed comunicará a cada destinatário/entidade a quem os dados tenham sido transmitidos o respetivo apagamento, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a miMed. Se o titular dos dados o solicitar, a miMed fornece informações sobre os referidos destinatários.
Quando a miMed tiver tornado públicos os dados pessoais e for obrigada a apagá-los ao abrigo do direito ao apagamento, a miMed compromete-se a assegurar as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
2.5. Direito à limitação do tratamento
O titular dos dados tem o direito de obter, por parte da miMed, a limitação do tratamento, se se aplicar uma das seguintes situações (a limitação consiste em inserir uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro):
a) Se contestar a exatidão dos dados pessoais, durante um período que permita à miMed verificar a sua exatidão;
b) Se o tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
c) Se a miMed já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
d) Se o titular se tiver oposto ao tratamento, até se verificar que os motivos legítimos da miMed prevalecem sobre os do titular dos dados.
Quando os dados pessoais tenham sido objeto de limitação, só poderão, à exceção da conservação, ser tratados com o consentimento do titular ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos de interesse público legalmente previstos.
O titular que tiver obtido a limitação do tratamento dos seus dados nos casos acima referidos será informado pela miMed antes de ser anulada a limitação ao tratamento.
Em caso de limitação do tratamento dos dados, a miMed comunicará a cada destinatário a quem os dados tenham sido transmitidos a respetiva limitação, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a miMed. Se o titular dos dados o solicitar, a miMed fornece informações sobre os referidos destinatários.
2.6. Direito de portabilidade dos dados
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido à miMed, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que a miMed o possa impedir, se:
a) O tratamento se basear no consentimento ou num contrato de que o titular é parte; e
b) O tratamento for realizado por meios automatizados.
O direito de portabilidade não inclui dados inferidos nem dados derivados, i.e., dados pessoais que sejam gerados pela miMed como consequência ou resultado da análise dos dados objeto de tratamento, salvo nos casos excecionalmente previstos na lei.
O titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja técnica e legalmente possível. O exercício do direito de portabilidade dos dados aplica-se sem prejuízo do direito ao apagamento dos dados.
2.7. Direito de oposição
O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito que assente no exercício de interesses legítimos prosseguidos pela miMed ou quando o tratamento for efetuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos, incluindo a definição de perfis, ou quando os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos.
A miMed cessará o tratamento dos dados pessoais, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Quando os dados pessoais forem tratados para efeitos de comercialização direta (marketing), o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta. Caso o titular se oponha ao tratamento dos seus dados para efeitos de comercialização direta, a miMed cessa o tratamento dos dados para esse fim.
O titular dos dados tem ainda o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar, salvo se a decisão:
• For necessária para a celebração ou a execução de um contrato entre o titular dos dados e a miMed;
• For autorizada por legislação a que a miMed estiver sujeita; ou
• For baseada no consentimento explícito do titular dos dados.
2.8 Direito a reclamar junto de autoridade competente
O titular tem o direito de apresentar reclamações junto da Comissão Nacional de Proteção de Dados (CNPD) ou outra autoridade de controlo em matéria de proteção de dados pessoais. Os dados de contacto da CNPD são os seguintes: Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt.
2.9. Procedimentos com vista ao exercício dos direitos pelo titular dos dados
O direito de acesso, o direito de retificação, o direito de apagamento, o direito à limitação, o direito de portabilidade e o direito à oposição podem ser exercidos pelo titular dos dados mediante contato com a miMed, presencialmente, por telefone, através do e-mail data.protection@mimed.pt ou através do website da miMed. No caso dos dados relativos à saúde, o direito de acesso por parte do titular pode ser exercido diretamente, ou por intermédio de um médico se o titular assim o solicitar, nos termos legais aplicáveis.
miMed dará resposta por escrito (incluindo por meios eletrónicos) ao pedido do titular dos dados no prazo máximo de um mês a contar da receção do pedido, salvo em casos de especial complexidade, em que esse prazo pode ser prorrogado até dois meses.
Se os pedidos apresentados pelo titular dos dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, a miMed reserva-se o direito de cobrar custos administrativos ou recusar-se a dar seguimento ao pedido.
2.10. Violações de dados pessoais
Em caso de violação de dados e na medida em que tal violação seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares dos dados, a miMed compromete-se a comunicar a violação de dados pessoais aos titulares de dados em causa no prazo de 48 horas.
Nos termos legais, a comunicação aos titulares dos dados não é exigida nos seguintes casos:
• Caso a miMed tenha aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tenham sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
• Caso a miMed tenha tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados referido já não é suscetível de se concretizar; ou
• Caso a comunicação ao titular dos dados implicar um esforço desproporcionado para a miMed. Nesse caso, a miMed fará uma comunicação pública ou tomará uma medida semelhante através da qual os titulares dos dados serão informados de forma igualmente eficaz.
3. DISPOSIÇÕES FINAIS
3.1. Alterações à Política de Privacidade
A miMed reserva-se o direito de alterar a presente Política de Privacidade a todo o tempo. Em caso de alteração da Política de Privacidade, a data da última alteração é indicada na primeira página.
3.2. Contato
Sem prejuízo do disposto na cláusula 2.9. quanto ao exercício dos direitos conferidos ao titular dos dados nos termos legais, os titulares que pretendam colocar questões ou queixas relacionadas com a presente Política de Privacidade, poderão fazê-lo através do email data.protection@mimed.pt.
3.3. Lei e foro aplicáveis
A presente Política de Privacidade, bem como a recolha, tratamento ou transmissão de dados pessoais do titular dos dados, são regidos pelo disposto no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e pela legislação e regulamentação aplicáveis em Portugal.
Quaisquer litígios decorrentes da validade, interpretação ou execução da presente Política de Privacidade, ou que estejam relacionados com a recolha, tratamento ou transmissão de dados pessoais, devem ser submetidos à jurisdição dos tribunais judiciais da comarca de Lisboa, sem prejuízo das normas legais imperativas aplicáveis.