Política de Privacidade

01. Introdução

Enquadramento

O Regulamento Geral de Proteção de Dados (RGPD) substitui a Diretiva de Proteção de Dados da UE de 1995 e substitui as leis de cada um dos Estados Membros que foram desenvolvidas em conformidade com a Diretiva de Proteção de Dados 95/46/CE. O objetivo é proteger os direitos e liberdades das pessoas singulares e garantir que os dados pessoais não sejam tratados sem o seu conhecimento e, na ausência de outro fundamento, que sejam tratados com o consentimento deles.
O RGPD aplica-se ao tratamento de dados pessoais total ou parcialmente por meios automatizados (ou seja, por computador) e ao tratamento que não seja por meios automatizados de dados pessoais (ou seja, registos em papel) que fazem parte de um sistema de ficheiros ou se destinam a fazer parte de um sistema de ficheiros.
O RGPD é aplicado a todos os responsáveis pelo tratamento de dados estabelecidos na UE (União Europeia) e que tratam os dados pessoais, no contexto das suas atividades. Também se aplicará a responsáveis pelo tratamento de dados fora da UE que tratem dados pessoais para oferecer bens e serviços ou monitorizar o comportamento das pessoas interessadas residentes na UE.

Definições

Estabelecimento – O principal estabelecimento do Responsável pelo Tratamento na UE será o lugar em que o Responsável pelo Tratamento toma as principais decisões quanto à finalidade e aos meios de suas atividades de processamento de dados. O principal estabelecimento de um processador na UE será o seu centro administrativo. Se um Responsável pelo Tratamento se basear fora da UE, terá que nomear um representante na jurisdição em que o Responsável pelo Tratamento opera para agir em nome do Responsável pelo Tratamento e lidar com as autoridades de supervisão.

Dados pessoais – Qualquer informação relativa a uma pessoa singular identificada ou identificável (“titular de dados”); uma pessoa singular identificável é aquele que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa.

Dados relativos à saúde – São dados pessoais considerados sensíveis e que estão relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Categorias especiais de dados pessoais – Dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação sindical e processamento de dados genéticos, dados biométricos com o objetivo de identificar uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual de uma pessoa natural ou orientação sexual.

Responsável pelo Tratamento de dados – Pessoa singular ou coletiva, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com outros, determina os propósitos e meios de processamento de dados pessoais; onde os fins e os meios de tal processamento são determinados pela legislação da União ou do Estado-Membro, o Responsável pelo Tratamento ou os critérios específicos para a sua indicação podem ser previstos pela legislação da União ou do Estado-Membro.

Subcontratante – Pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo seu tratamento.

Titular de dados – Qualquer pessoa singular que seja objeto de tratamento de dados pessoais detidos por uma organização que a tornem identificada ou identificável.

Tratamento – Qualquer operação ou conjunto de operações que sejam executados em dados pessoais ou em conjuntos de dados pessoais, seja ou não por meios automatizados, como recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

Perfil – É qualquer forma de processamento automatizado de dados pessoais destinado a avaliar certos aspetos pessoais relacionados a uma pessoa física, nomeadamente a analisar ou a prever o desempenho da pessoa no trabalho, situação económica, localização, saúde, preferências pessoais, confiabilidade ou comportamento. Esta definição está ligada ao direito da pessoa em causa de se opor ao perfil e ao direito de ser informado sobre a existência de perfis, de medidas baseadas no perfil e os efeitos previstos do perfil sobre o indivíduo.

Violação de dados pessoais – Violação de segurança que leva à destruição, perda, alteração, à divulgação ou acesso não autorizados a dados pessoais transmitidos, armazenados ou processados de forma acidental ou ilegal. Existe uma obrigação do responsável pelo tratamento de dados de denunciar à autoridade supervisora violações de dados pessoais com risco para o seu titular e quando essas são suscetíveis de prejudicar a integridade dos dados ou a privacidade da pessoa em causa.
O consentimento do titular de dados – Significa uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais lhe digam respeito sejam objeto de tratamento. Não se considera consentimento o silêncio, as opções pré-validadas ou a omissão do titular de dados.

Criança – O RGPD define uma criança como qualquer pessoa com menos de 16 anos de idade. O tratamento de dados pessoais de uma criança só é legal se o consentimento do responsável parental ou do seu representante tiver sido obtido. O Responsável pelo Tratamento deve fazer esforços razoáveis para verificar, em tais casos, que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental sobre a criança.

Terceiro – Uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou um organismo que não seja o titular dos dados, o Responsável pelo Tratamento, o subcontratante e as pessoas que, sob a autoridade direta do Responsável pelo Tratamento ou do subcontratante, estão autorizados a processar dados pessoais.

Sistema de ficheiros – Qualquer conjunto estruturado de dados pessoais que sejam acessíveis de acordo com critérios específicos, sejam eles centralizados, descentralizados ou dispersos numa base funcional ou geográfica.

02. Declaração de Política de Privacidade

O Conselho de Gerência do Instituto de Microcirurgia Ocular (IMO) está comprometido com o cumprimento de todas as leis relevantes da UE e do Estado Português em relação aos dados pessoais e à proteção dos direitos e liberdades dos indivíduos cuja informação o IMO recolhe e trata de acordo com o Regulamento Geral de Proteção de Dados (RGPD).

O respeito pelo RGPD é descrito por esta política e outras políticas relevantes, como a Política de Segurança da Informação e a Política de Qualidade juntamente com os processos, os procedimentos e os registos relacionados.

O RGPD e esta política aplicam-se a todas as funções de tratamento de dados pessoais do IMO, incluindo as que são realizadas com os dados pessoais e sensíveis dos doentes, funcionários, fornecedores e entidades e quaisquer outros dados pessoais que a organização trate de qualquer outra fonte.

Esta política aplica-se a todas partes interessadas do IMO, tais como, fornecedores, prestadores de serviços, sócios, doentes, entidades, colaboradores e médicos referenciadores. Qualquer incumprimento no âmbito do RGPD será tratado de acordo com a política disciplinar do IMO e podendo ser uma violação de privacidade, o assunto deverá ser denunciado o mais brevemente possível à autoridade de controlo de acordo com procedimento em vigor.

Parcerias e quaisquer terceiros que trabalhem com ou para o IMO e que tenham ou possam tratar dados pessoais, deverão ter lido, entendido e cumprido esta política. Nenhum terceiro pode aceder a dados pessoais mantidos pelo IMO sem ter assinado um acordo de confidencialidade de dados, o que impõe obrigações de terceiros não menos onerosas do que aquelas com as quais o IMO está comprometido, o que dá o direito ao IMO de auditar a sua conformidade de acordo.

03. Sistema de gestão do RGPD

Para apoiar a conformidade com o RGPD, o Conselho de Gerência do IMO aprovou e apoiou o desenvolvimento, implementação, manutenção e melhoria contínua de um sistema documentado de gestão do RGPD.

Todas partes interessadas do IMO devem cumprir com este sistema de gestão. Todos os funcionários, prestadores de serviços e sócios do IMO receberam formação adequada. As consequências do desrespeito por este sistema de gestão estão estabelecidas na política disciplinar do IMO e em contratos e acordos com terceiros.

Ao determinar o alcance pelo respeito do RGPD, o IMO considera:

  • Questões externas e internas relevantes para o propósito do IMO e que afetam a sua capacidade de alcançar os resultados esperados do seu Sistema de Gestão do RGPD;
  • necessidades e expectativas específicas das partes interessadas que são relevantes para a implementação do Sistema de Gestão do RGPD;
  • objetivos e obrigações organizacionais;
  • o nível aceitável de risco da organização; e quaisquer obrigações legais, regulamentares ou contratuais aplicáveis.

Os objetivos do IMO para que garantem o respeito pelo RGPD:

  • são consistentes com esta política;
  • são mensuráveis;
  • levam em consideração os requisitos de privacidade do RGPD e os resultados das avaliações de risco e tratamentos de risco;
  • são monitorizados;
  • são comunicados;
  • são atualizados conforme apropriado.

Para alcançar esses objetivos, o IMO determinou:

  • o que será feito;
  • quais recursos que serão necessários;
  • quem será responsável;
  • quando será concluído;
  • como serão avaliados os resultados.

04. Responsabilidades

A gestão de topo e todos aqueles com funções de gestão ou de supervisão no IMO são responsáveis por desenvolver e encorajar boas práticas de gestão de informação dentro do IMO. As responsabilidades estão definidas nas descrições de funções.

A Diretora Geral do IMO está nomeada pelo Conselho de Gerência para a gestão de dados pessoais dentro do IMO e para garantir que o cumprimento da legislação de proteção de dados e as boas práticas possam ser demonstradas. Essa responsabilidade inclui:

  • o desenvolvimento, a implementação e a melhoria contínua do RGPD conforme exigido por esta política;
  • a segurança e gestão de riscos em relação ao cumprimento da política.

A Direcção Geral assessorada pelo Encarregado de Proteção de Dados, que o Conselho de Gerência considera convenientemente qualificados e experientes, foi nomeada para assumir a responsabilidade pela conformidade do IMO com esta política no dia-a-dia e, em particular, tem a responsabilidade direta de assegurar que o IMO cumpre o RGPD, bem como todos os executivos em relação ao processamento de dados que ocorre dentro das suas áreas de responsabilidade.

A Direcção Geral tem responsabilidades específicas em relação aos diversos procedimentos, incluindo aqueles relacionados com os direitos dos titulares de dados, nomeadamente pelos pedidos de acesso, e deverá ser o primeiro ponto de contacto para funcionários e prestadores de serviços que procuram esclarecimentos sobre qualquer aspeto relacionado com a proteção de dados.

O cumprimento da legislação em matéria de proteção de dados bem como o respeito pelo sistema de gestão do RGPD do IMO é da responsabilidade de todos os funcionários e prestadores de serviços do IMO que processam dados pessoais.

O Procedimento de Formação do IMO estabelece requisitos específicos de formação e consciencialização em relação a papéis específicos de funcionários e prestadores de serviços do IMO.

Os funcionários e prestadores de serviços do IMO são responsáveis por garantir que todos os dados pessoais sobre eles e fornecidos por eles ao IMO sejam precisos e atualizados.
A Direcção Geral é responsável por garantir que o IMO não recolhe informações que não sejam as estritamente necessárias para as finalidades determinadas.
A Direcção Geral é responsável pela análise periódica por auditoria interna / externa de que todos os métodos de recolha de dados continuam a ser adequados, relevantes e não excessivos.

05. Os princípios da proteção de dados

Todo o tratamento de dados pessoais no IMO é conduzido de acordo com os princípios da proteção de dados, conforme estabelecido pelo RGPD. As políticas, processos, procedimentos e registos do IMO foram projetados para garantir o cumprimento dos princípios.

1. Princípio da Licitude, Lealdade e Transparência

  • Identificamos sempre um fundamento jurídico, pré contratual a pedido do titular dos dados, contratual no qual o titular dos dados é parte, interesse legítimo ou quando não aplicável, o consentimento do titular de dados e quando este for uma criança, com idade inferior a 16 anos ou incapaz, será solicitado ao titular da responsabilidade parental ou da tutoria assinar o consentimento;
  • Disponibilizamos Avisos (notificações) de Privacidade aos titulares de dados que fornecerão informações mais detalhadas sobre os tratamentos de dados efetuados pelo IMO.

2. Princípio da Limitação das Finalidades
Os dados são recolhidos para finalidades determinadas, explícitas e legítimas e não são tratados posteriormente de uma forma incompatível com essas finalidades.

3. Princípio da Minimização dos Dados
Os dados recolhidos e tratados são adequados, pertinentes e limitados ao que é necessário tendo em conta as finalidades.

4. Princípio da Exatidão
Foram adotadas medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora, podendo o titular de dados exercer a todo o momento o seu direito à retificação.

5. Princípio da Limitação da Conservação
Os dados são conservados de uma forma que permite a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados, e respeitando a regulamentação e legislação em vigor.

6. Princípio da Integridade e da Confidencialidade
O IMO desenvolve esforços razoáveis para que os dados sejam tratados de uma forma que garanta a sua segurança, protegendo contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.

7. Princípio da Responsabilidade
O IMO está em condições de demonstrar de uma forma responsável o seu compromisso para com os princípios do RGPD.

O IMO implementou políticas, processos, procedimentos e registos de proteção de dados, inventariou os dados pessoais e os tratamentos efetuados sobre estes, tomou medidas para a consciencialização dos seus funcionários e prestadores de serviço, obteve o compromisso destes e dos subcontratantes para com a privacidade, tem em conta a privacidade na implementação de novos serviços, avaliando o risco dos tratamentos potencialmente resultantes e tem procedimentos de notificação de violação de dados e planos de resposta a incidentes.

06. Direitos dos Titulares de Dados

O RGPD criou novos direitos para os Titulares de Dados e reforçou os direitos existentes. Como Responsável pelo Tratamento de Dados, o IMO assegura o cumprimento destes direitos através do desenvolvimento e implementação de novos procedimentos que têm como objectivo responder atempadamente e de forma adequada às solicitações dos titulares no exercício destes direitos, nomeadamente:

  • Direito a ser informado
  • Direito de Acesso
  • Direito à Retificação
  • Direito ao Apagamento dos Dados
  • Direito à Limitação do Tratamento
  • Direito de Portabilidade dos Dados
  • Direito de Oposição aos Tratamentos
  • Direitos em Relação a Decisões Individuais Automatizadas, incluindo a Definição de Perfis

Os Titulares de Dados podem fazer tais solicitações enviando um e-mail para privacidade@imo.pt
Os Titulares de Dados têm o direito de se queixar ao IMO acerca do processamento dos seus dados pessoais e das suas solicitações no exercício dos seus direitos.
Podem apresentar uma queixa junto da Autoridade de Controlo Nacional (CNPD-Comissão Nacional de Proteção de Dados).

07. Divulgação de dados

O IMO tomou medidas para que os dados pessoais não sejam divulgados a terceiros não autorizados e que incluem membros da família, amigos, órgãos governamentais e, em determinadas circunstâncias, a Polícia. Todos os funcionários e prestadores de serviços estão consciencializados para a cautela quando solicitados a divulgar dados pessoais de um titular para um terceiro.

Todos os pedidos para fornecer dados são suportados por documentos adequados e todas essas divulgações devem ser especificamente autorizadas pela Direcção Geral.

08. Transferência de dados

O IMO não transfere dados pessoais para fora da União Europeia (países terceiros).

09. Proprietário do documento e aprovação

A Direcção Geral é o proprietário deste documento e é responsável por garantir que este documento de política seja revisto de acordo com os requisitos de revisão estabelecidos.

Uma versão atual deste documento está disponível para todos os membros da equipa, em suporte físico junto dos pontos de recolha de dados e na rede informática.

Esta política foi aprovada pelo Conselho de Gerência em 15/10/2018 e é emitida sob controle de versão sob a assinatura do Diretor Geral.