Introdução

A Política de Proteção de Dados Pessoais da Ambiglobal – Prestação de Serviços de Segurança Higiene e Saúde no Trabalho, Lda., adiante designada por Ambiglobal, Lda., pretende dar a conhecer a todos os clientes, colaboradores, prestadores de serviços, ou qualquer entidade que direta ou indiretamente se relacione com esta no âmbito do desenvolvimento da sua atividade, as regras e princípios da organização relativos à proteção de dados pessoais.
Desta forma, pretende-se partilhar com as partes interessadas os dados que recolhemos e a sua finalidade, dando ainda a conhecer as medidas que tomamos para proteger a sua privacidade.
A Ambiglobal, Lda. assume uma política rigorosa para a Proteção dos Dados, assegurando que todos os que nos confiam os seus dados pessoais, conhecem a forma como os dados são tratados e quais os seus direitos nesta matéria.
A informação criada, processada e armazenada pela Ambiglobal, Lda., independentemente do seu suporte ou formato, e utilizada durante as atividades operacionais e administrativas do negócio, tem de ser protegida.

Responsabilidade pela recolha e tratamento

A Ambiglobal, Lda. é a responsável pela recolha e tratamento dos dados pessoais. Recolhe dados pessoais por telefone ou por escrito (por email ou presencialmente), decorrentes da relação comercial, consentimento do titular dos dados ou outras imposições legais que o exijam. Os dados recolhidos são tratados em conformidade com as exigências da proteção de dados pessoais não sendo utilizados para outra finalidade que não seja aquela que foi dada a conhecer ao titular dos dados.
Os profissionais da Ambiglobal, Lda. (colaboradores ou prestadores de serviços) adotam um conjunto de procedimentos e cautelas na forma como manuseiam os dados, de forma a garantir a confidencialidade dos dados e, consequentemente, evitar falhas de segurança e acessos não autorizados.

Finalidade da Recolha de Dados Pessoais

A Ambiglobal, Lda. recolhe dados pessoais com fins precisos, explícitos e legítimos, e nunca tratará esses dados de forma incompatível com esses objetivos.
A Ambiglobal, Lda. utiliza os dados pessoais para a identificação dos clientes, agendamento e realização de serviços médicos, faturação e cobrança dos serviços prestados, avaliação da satisfação, resposta a reclamações e sugestões bem como para outros fins decorrentes de imposição legal.

Recolha de Dados Pessoais

Ao recolher dados pessoais, a Ambiglobal, Lda. informa o titular dos mesmos da finalidade para o qual são recolhidos.
No momento da recolha os profissionais da Ambiglobal, Lda. asseguram o princípio da minimização, assegurando-se de que apenas são recolhidos os dados pessoais estritamente necessários para o ato em questão. Deverá ainda ser garantida a prestação de informação acerca dos termos em que os dados pessoais irão ser utilizados, através dos seguintes elementos:
– Entidade e contactos do responsável pelo tratamento (Ambiglobal, Lda.);
– Finalidade do tratamento;
– Eventuais destinatários dos dados;
– Prazo de conservação dos dados;
– Condições de acesso, retificação e eliminação dos dados;
– Possibilidade de o titular retirar o consentimento;
– Direito a apresentar reclamação perante a Autoridade de Proteção de Dados (CNPD)
– Se o titular está ou não obrigado a fornecer os dados, e consequências do não fornecimento;
– Existência de decisões automatizadas (i.e. indicação se o titular dos dados fica sujeito a qualquer decisão tomada exclusivamente com base no tratamento automatizado dos seus dados).

Direitos dos Titulares dos Dados Pessoais

Nos termos do Regulamento Geral de Proteção de Dados, é garantido ao titular dos dados, o direito de acesso, atualização, retificação, limitação do tratamento ou eliminação dos seus dados pessoais, mediante pedido endereçado à Ambiglobal, Lda., através do email rgpd@ambiglobal.com ou carta para a morada Rua Frederico Garcia Secades, n.º 171, 3060-094 Cadima – Cantanhede.

Acesso aos Sistemas de Informação/Plataformas

Os profissionais de saúde devem garantir o acesso reservado aos sistemas de informação e plataformas nos quais são registados dados de saúde dos utentes. Os profissionais de saúde devem ainda abster-se de duplicar as bases de dados da Ambiglobal, Lda., criando, por exemplo, ficheiros próprios com a informação da base de dados/aplicação a que acede.

Registo e Acesso à Informação Clínica

O registo da informação clínica dos clientes deve ser efetuado, diretamente, pelo profissional da área de saúde. Apenas devem ser recolhidos e, consequentemente, registados os dados estritamente necessários para assegurar a prestação de cuidados médicos. O profissional de saúde deverá apenas aceder à informação clínica do cliente, no Processo Clínico ou outro, na medida em que tal seja necessário para a prossecução das suas funções.

Partilha da Informação Clínica

A informação clínica não deve ser partilhada com terceiros, exceto para assegurar a continuidade da prestação de cuidados de saúde. Nessa situação, o profissional deve garantir que a partilha é efetuada, de forma segura e confidencial, a outro profissional sujeito à obrigação de confidencialidade e sigilo e que se tem todos os cuidados com esta partilha de informação.

Transporte da Informação Clínica

Os profissionais de saúde devem abster-se de, de alguma forma, transportar informação clínica constante do Processo Clínico ou outro, para fora da clínica, exceto nos casos autorizados pelos responsáveis da Instituição e para efeitos de garantia da continuidade da prestação de cuidados médicos. Sempre que tal suceda, deverão ser adotadas medidas de segurança especiais, de forma a assegurar que a informação não é acedida por terceiros de forma indevida (em particular, a informação deverá ser anonimizada e/ou encriptada).

Utilização de Dispositivos Pessoais

O profissional da área da saúde não deve utilizar ou, de alguma forma, ligar dispositivos pessoais aos sistemas e plataformas da Ambiglobal, Lda., exceto nos casos em que exista aprovação prévia dos responsáveis da Empresa. Caso tal suceda, e atenta à natureza da informação, o profissional deve ter em consideração que o acesso à rede através de dispositivos móveis pessoais acarreta riscos de segurança e confidencialidade, pelo que deve adotar as medidas de segurança necessárias para proteger os dados a que aceda, através do seu dispositivo, contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito dos mesmos. Deve ainda, em qualquer situação, manter a informação confidencial em regime de sigilo e estrita confidencialidade, não permitindo o acesso a terceiros.

Utilização dos Dados para Finalidades Próprias

O profissional da área da saúde não pode tratar os dados recolhidos no âmbito da prestação de cuidados de saúde para finalidades próprias. Caso pretenda utilizar os dados para fins académicos ou de investigação, deverá obter a aprovação dos responsáveis da Empresa, devendo recolher o consentimento do cliente para o efeito, prestando-lhe a informação necessária acerca dos termos em que os dados irão ser utilizados. Nesta situação, o profissional será considerado responsável pelo tratamento dos dados.

Comunicação de Violações de Dados Pessoais

Caso ocorra qualquer falha ou incidente que envolva dados pessoais, o profissional de saúde deverá proceder à comunicação do mesmo, de acordo com os procedimentos estabelecidos para o efeito. Na medida em que tenham informação acerca do incidente, deverão disponibilizá-la aquando da comunicação. Em particular, deverão comunicar a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa.

Comunicação dos Dados a outras Entidades

A Ambiglobal, Lda. apenas transmitirá dados a terceiros, quando o seu titular o solicite ou autorize ou quando se tratar de uma imposição legal.
Sempre que haja a necessidade de transmissão de determinados dados pessoais a subcontratantes, a Ambiglobal, Lda., irá adotar medidas adequadas de forma a garantir que as entidades com quem os dados são partilhados têm implementadas medidas de segurança e proteção dos dados que permitam preservar os seus dados pessoais, assegurando ainda que os mesmos são utilizados de acordo com a finalidade previamente estabelecida.
Em caso de exigência de dados pessoais por auditores ou autoridades externas, o seu fornecimento será limitado ao estritamente necessário para que essas entidades possam executar adequadamente as tarefas e funções que por via da lei ou de contrato lhes estão cometidas.

Medidas de Segurança e Boas Práticas

A Ambiglobal, Lda. garante que colocará em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acessos não autorizados, bem como a adoção de medidas que garantam um nível de proteção adequados em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger.
– A informação de saúde será de acesso restrito ao médico ou, sob a sua direção e controlo, a outros profissionais de saúde obrigados a sigilo profissional.
– Quando a recolha de dados pessoais referentes à saúde não for efetuada diretamente pelo profissional de saúde (por exemplo, preenchimento de um questionário diretamente pelo titular dos dados), serão medidas concretas quanto à circulação dessa informação, que impeçam a visualização dos dados por pessoa não autorizada, designadamente mediante entrega direta ao profissional de saúde ou entrega nos serviços, em envelope fechado, endereçado ao profissional de saúde.
– A ficha clínica não deve conter dados sobre a raça, a nacionalidade, a origem étnica ou informação sobre hábitos pessoais do trabalhador, salvo quando estes últimos estejam relacionados com patologias específicas ou com outros dados de saúde. (cf. n.º 3 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).
– O empregador apenas deverá ser informado dos resultados necessários à tomada de decisão em matéria de emprego, através da “ficha de aptidão”. A informação de saúde em caso algum poderá ser comunicada ao empregador.
– Sempre que haja circulação da informação de saúde em rede, a transmissão dos dados deve ser cifrada.
– O sistema informatizado deve estar estruturado, de modo a permitir o acesso à informação de acordo com os diferentes níveis de acesso dos utilizadores, sendo atribuídas palavras passe de acesso ao software que disciplinem as autorizações de acesso. Tais palavras passe devem ser periodicamente alteradas e eliminado o utilizador logo que estes deixem de ter permissões de acesso.
– Deve ser garantido o acesso restrito, sob ponto de vista físico e lógico, aos servidores do sistema, que devem manter um registo de auditoria à informação sensível.
– As cópias de segurança, devem ser mantidas em local apenas acessível ao administrador de sistemas.
– No que diz respeito aos dados contidos em suporte de papel, serão adotadas medidas organizativas, que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos.
– A ficha clínica só pode ser facultada às autoridades de saúde e aos médicos da Autoridade para as condições de trabalho (cf. n.º 2 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).
– Nos termos do disposto na alínea e) do artigo 5.º do RGPD os dados apenas podem ser conservados durante o período necessário para a prossecução das finalidades da recolha ou tratamento posterior.
– Nos termos do artigo 46.º da Lei n.º 102/2009, cabe à entidade patronal o dever de conservar os registos referentes aos aspetos subjacentes à medicina no trabalho por, pelo menos, 40 anos após terminada a exposição dos trabalhadores a que digam respeito.
– O direito de informação é corolário dos princípios da boa-fé, da lealdade e da transparência. Neste sentido, o titular dos dados deve ser informado de todas as operações de tratamento de dados de dados pessoais e de obter, no momento da recolha desses dados, uma informação rigorosa e completa das circunstâncias dessa recolha, tal como estabelecido nos artigos 12.º e 13.º do Regulamento Geral de Proteção de Dados.
– O direito de acesso aos seus dados por parte do titular, bem como o direito de retificar ou solicitar o apagamento dos seus dados pessoais, se aplicável, são estabelecidos pela legislação de proteção de dados pessoais. A efetivação destes direitos é essencial para a verificação dos princípios da minimização, exatidão e atualização, adequação e da limitação da conservação.
– Nos termos do artigo 15.º do RGPD, o titular dos dados tem o direito de obter o acesso aos dados pessoais tratados. No caso de dados relacionados com saúde, o direito de acesso deverá ser exercido por intermédio do médico responsável pelas operações de tratamento de dados. O mesmo se aplica ao direito de retificação (previsto no artigo 16.º). Dada a especificidade do tratamento de dados de saúde, estes direitos deverão ser exercidos diretamente junto de um médico ou profissional de saúde sujeito a segredo profissional, uma vez que o conhecimento destes dados está limitado a estas pessoas.
– A base legal para o tratamento de dados pessoais na área da medicina no trabalho é a alínea h) do nº2 do artigo 9.º do RGPD.
– O direito ao apagamento da informação não se aplica a esta operação de tratamento por força do artigo 9. alínea h) e alínea c) do nº3 do artigo 17.º.b do RGPD.

Alterações à política de privacidade

A Ambiglobal, Lda. reserva-se ao direito de, a qualquer altura, proceder a ajustamentos ou alterações à presente “Política de Privacidade”, sendo tais alterações devidamente divulgadas no seu website.