1. Introdução

A Política de Protecção de Dados Pessoais da Academia de Educação e Terapia AET, LDA, adiante designada por Academia AET, pretende dar a conhecer a todos os clientes, colaboradores, prestadores de serviços, ou qualquer entidade que directa ou indirectamente se relacione com esta no âmbito do desenvolvimento da sua actividade, as regras e princípios da organização relativos à protecção de dados pessoais.

Desta forma, pretende-se partilhar com as partes interessadas os dados que recolhemos e a sua finalidade, dando ainda a conhecer as medidas que tomamos para proteger a sua privacidade.

A Academia AET assume assim uma política rigorosa para a Protecção dos Dados, assegurando que todos os que nos confiam os seus dados pessoais, conhecem a forma como os dados são tratados e quais os seus direitos nesta matéria.

A informação criada, processada e armazenada pela academia AET, independentemente do seu suporte ou formato, e utilizada durante as actividades operacionais e administrativas do negócio, tem que ser protegida. Deste modo, a Segurança da Informação assenta em três factores essenciais:

Confidencialidade significa que a informação está protegida contra o acesso ou exposição a entidades não autorizadas. Basicamente, significa que um utente deve ser capaz de confiar que a informação pessoal confidencial não é acedida por ninguém que não tenha os direitos e uma finalidade concreta para aceder a essa mesma informação. Devido à informação sensível nas aplicações clínicas e da quantidade de dados partilhados através do ecossistema de saúde, a confidencialidade assume-se como um dos pilares cruciais.

Integridade significa que a informação mantém todas as características definidas pelo seu responsável, incluindo o controlo das alterações ao longo do seu ciclo de vida. Os utentes devem ser capazes de confiar que os dados a que os profissionais de saúde têm acesso são precisos e completos e que o tratamento prescrito se baseie nesses mesmos dados. Na prestação de cuidados de saúde a integridade ganha um peso ainda mais relevante na medida em que uma falha na integridade dos dados pode ter como resultado danos directos para a saúde do utente.

Disponibilidade significa que a informação está acessível ao pessoal autorizado sempre que for relevante. Trata-se de dar acesso à informação quando ela é necessária e, muitas vezes, num determinado contexto.
É também objectivo do presente documento garantir o cumprimento com as disposições legais aplicáveis dobre a protecção de Dados, nomeadamente no Regulamento Europeu de Protecção de Dados (Regulamento nº 2016/679 de 27 de abril de 2016).
 

2. Definições

Para efeitos da presente política e do Regulamento Geral de Protecção de Dados (RGPD), entenda-se por:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, directa ou indirectamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via electrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

«Tratamento», é qualquer operação ou um conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

«Responsável pelo tratamento», a pessoa singular ou colectiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou acto positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objecto de tratamento;

«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

«Minimização dos dados». Princípio que impõe que os dados pessoais recolhidos devem ser limitados ao que é necessário relativamente às finalidades para os quais são tratados.

«Violação de Dados Pessoais». Violação da segurança que provoque, de modo acidental, ou ilícito, a destruição, a perda, a alteração ou o acesso não autorizado a dados pessoais transmitidos ou sujeitos a qualquer outro tipo de tratamento.
 

3. Política de Protecção de Dados

Responsabilidade pela Recolha e Tratamento
A Academia AET é a responsável pela recolha e tratamento dos dados pessoais.
Os profissionais da Academia AET (colaboradores ou prestadores de serviços) são um importante elemento no ciclo de vida do tratamento de dados dos clientes, na medida em que, em regra, serão estes que recolhem e tratam dados. Os profissionais deverão, assim, adoptar um conjunto de procedimentos e cautelas na forma como manuseiam os dados, de forma a garantir a confidencialidade dos dados e, consequentemente, evitar falhas de segurança e acessos não autorizados.
 
Finalidade da Recolha de Dados Pessoais
A Academia AET recolhe dados pessoais com fins precisos, explícitos e legítimos, e nunca tratará esses dados de forma incompatível com esses objectivos.
A Academia AET utiliza os dados pessoais para a identificação dos clientes, agendamento e realização de serviços médicos, facturação e cobrança dos serviços prestados, avaliação da satisfação, resposta a reclamações e sugestões bem como para outros fins decorrentes de imposição legal.
 
Recolha de Dados Pessoais
Ao recolher dados pessoais, a Academia AET informa o titular dos mesmos da finalidade para o qual são recolhidos.
No momento da recolha os profissionais da Academia AET asseguram o princípio da minimização, assegurando-se de que apenas são recolhidos os dados pessoais estritamente necessários para o ato em questão. Deverá ainda ser garantida a prestação de informação acerca dos termos em que os dados pessoais irão ser utilizados, através dos seguintes elementos:

• Entidade e contactos do responsável pelo tratamento (Academia AET);
• Finalidade do tratamento;
• Eventuais destinatários dos dados;
• Prazo de conservação dos dados;
• Condições de acesso, rectificação e eliminação dos dados;
• Possibilidade de o titular retirar o consentimento;
• Direito a apresentar reclamação perante a Autoridade de Proteção de Dados (CNPD)
• Se o titular está ou não obrigado a fornecer os dados, e consequências do não fornecimento;
• Existência de decisões automatizadas (i.e. indicação se o titular dos dados fica sujeito a qualquer decisão tomada exclusivamente com base no tratamento automatizado dos seus dados).

 
Direitos dos Titulares dos Dados Pessoais
Nos termos do Regulamento Geral de Protecção de Dados, é garantido ao titular dos dados, o direito de acesso, actualização, rectificação, limitação do tratamento ou eliminação dos seus dados pessoais, mediante pedido endereçado à Academia AET, através do email academia.aet@gmail.comou carta para a morada Urbanização quinta das Palmeiras, lote 5, loja D, 8400-623 Parchal.
 
Acesso aos Sistemas de Informação/Plataformas
Os profissionais de saúde devem garantir o acesso reservado aos sistemas de informação e plataformas nos quais são registados dados de saúde dos utentes. Os profissionais de saúde devem ainda abster-se de duplicar as bases de dados da clínica, criando, por exemplo, ficheiros próprios com a informação da base de dados/aplicação a que acede.
 
Registo e Acesso à Informação Clínica
O registo da informação clínica dos clientes deve ser efectuado, directamente, pelo profissional da área de saúde. Apenas devem ser recolhidos e, consequentemente, registados os dados estritamente necessários para assegurar a prestação de cuidados médicos. O profissional de saúde deverá apenas aceder à informação clínica do cliente, no Processo Clínico ou outro, na medida em que tal seja necessário para a prossecução das suas funções.
 
Partilha da Informação Clínica
A informação clínica não deve ser partilhada com terceiros, excepto para assegurar a continuidade da prestação de cuidados de saúde. Nessa situação, o profissional deve garantir que a partilha é efectuada, de forma segura e confidencial, a outro profissional sujeito à obrigação de confidencialidade e sigilo e que se tem todos os cuidados com esta partilha de informação.
 
Transporte da Informação Clínica
Os profissionais de saúde devem abster-se de, de alguma forma, transportar informação clínica constante do Processo Clínico ou outro, para fora da clínica, excepto nos casos autorizados pelos responsáveis da Instituição e para efeitos de garantia da continuidade da prestação de cuidados médios. Sempre que tal suceda, deverão ser adoptadas medidas de segurança especiais, de forma a assegurar que a informação não é acedida por terceiros de forma indevida (em particular, a informação deverá ser anonimizada e/ou encriptada).
 
Utilização de Dispositivos Pessoais
O profissional da área da saúde não deve utilizar ou, de alguma forma, ligar dispositivos pessoais aos sistemas e plataformas da Academia AET, excepto nos casos em que exista aprovação prévia dos responsáveis da Clínica. Caso tal suceda, e atenta à natureza da informação, o profissional deve ter em consideração que o acesso à rede através de dispositivos móveis pessoais acarreta riscos de segurança e confidencialidade, pelo que deve adotar as medidas de segurança necessárias para proteger os dados a que aceda, através do seu dispositivo, contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito dos mesmos. Deve ainda, em qualquer situação, manter a informação confidencial em regime de sigilo e estrita confidencialidade, não permitindo o acesso a terceiros.
 
Utilização dos Dados para Finalidades Próprias
O profissional da área da saúde não pode tratar os dados recolhidos no âmbito da prestação de cuidados de saúde para finalidades próprias. Caso pretenda utilizar os dados para fins académicos ou de investigação, deverá obter a aprovação dos responsáveis da Clínica, devendo recolher o consentimento do cliente para o efeito, prestando-lhe a informação necessária acerca dos termos em que os dados irão ser utilizados. Nesta situação, o profissional será considerado responsável pelo tratamento dos dados
 
Comunicação de Violações de Dados Pessoais
Caso ocorra qualquer falha ou incidente que envolva dados pessoais, o profissional de saúde deverá proceder à comunicação do mesmo, de acordo com os procedimentos estabelecidos para o efeito. Na medida em que tenham informação acerca do incidente, deverão disponibilizá-la aquando da comunicação. Em particular, deverão comunicar a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa.
 
Comunicação dos Dados a outras Entidades
A Academia AET apenas transmitirá dados a terceiros, quando o seu titular o solicite ou autorize ou quando se tratar de uma imposição legal.
Sempre que haja a necessidade de transmissão de determinados dados pessoais a subcontratantes, a Academia AET irá adotar medidas adequadas de forma a garantir que as entidades com quem os dados são partilhados têm implementadas medidas de segurança e proteção dos dados que permitam preservar os seus dados pessoais, assegurando ainda que os mesmos são utilizados de acordo com a finalidade previamente estabelecida.
Em caso de exigência de dados pessoais por auditores ou autoridades externas, o seu fornecimento será limitado ao estritamente necessário para que essas entidades possam executar adequadamente as tarefas e funções que por via da lei ou de contrato lhes estão cometidas.
 

4. Medidas de Segurança e Boas Práticas

A Academia AET garante que colocará em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acessos não autorizados, bem como a adoção de medidas que garantam um nível de protecção adequados em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger.

• A informação de saúde deverá ser de acesso restrito ao médico ou, sob a sua direcção e controlo, a outros profissionais de saúde obrigados a sigilo profissional.
• Quando a recolha de dados pessoais referentes à saúde não for efetuada diretamente pelo profissional de saúde (por exemplo, preenchimento de um questionário diretamente pelo titular dos dados), têm de ser tomadas medidas concretas quanto à circulação dessa informação, que impeçam a visualização dos dados por pessoa não autorizada, designadamente mediante entrega direta ao profissional de saúde ou entrega nos serviços, em envelope fechado, endereçado ao profissional de saúde.
• A ficha clínica não deve conter dados sobre a raça, a nacionalidade, a origem étnica ou informação sobre hábitos pessoais do trabalhador, salvo quando estes últimos estejam relacionados com patologias específicas ou com outros dados de saúde. (cf. n.º 3 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).
• O sistema informatizado deve estar estruturado, de modo a permitir o acesso à informação de acordo com os diferentes níveis de acesso dos utilizadores, sendo atribuídas palavras passe de acesso ao software que disciplinem as autorizações de acesso. Tais palavras passe devem ser periodicamente alteradas e eliminado o utilizador logo que estes deixem de ter permissões de acesso.
• Deve ser garantido o acesso restrito, sob ponto de vista físico e lógico, aos servidores do sistema, que devem manter um registo de auditoria à informação sensível.
• As cópias de segurança, devem ser mantidas em local apenas acessível ao administrador de sistemas.
• No que diz respeito aos dados contidos em suporte de papel, serão adotadas medidas organizativas, que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos.
• A ficha clínica só pode ser facultada às autoridades de saúde e aos médicos da Autoridade para as condições de trabalho (cf. n.º 2 do artigo 109.º da Lei n.º 102/2009, de 10 de Setembro).
• Nos termos do disposto na alínea e) do artigo 5.º do RGPD os dados apenas podem ser conservados durante o período necessário para a prossecução das finalidades da recolha ou tratamento posterior.
• O direito de informação é corolário dos princípios da boa-fé, da lealdade e da transparência. Neste sentido, o titular dos dados deve ser informado de todas as operações de tratamento de dados de dados pessoais e de obter, no momento da recolha desses dados, uma informação rigorosa e completa das circunstâncias dessa recolha, tal como estabelecido nos artigos 12.º e 13.º do Regulamento Geral de Protecção de Dados.
• O direito de acesso aos seus dados por parte do titular, bem como o direito de rectificar ou solicitar o apagamento dos seus dados pessoais, se aplicável, são estabelecidos pela legislação de protecção de dados pessoais. A efectivação destes direitos é essencial para a verificação dos princípios da minimização, exactidão e actualização, adequação e da limitação da conservação.
• Nos termos do artigo 15.º do RGPD, o titular dos dados tem o direito de obter o acesso aos dados pessoais tratados. No caso de dados relacionados com saúde, o direito de acesso deverá ser exercido por intermédio do médico responsável pelas operações de tratamento de dados. O mesmo se aplica ao direito de retificação (previsto no artigo 16.º). Dada a especificidade do tratamento de dados de saúde, estes direitos deverão ser exercidos diretamente junto de um médico ou profissional de saúde sujeito a segredo profissional, uma vez que o conhecimento destes dados está limitado a estas pessoas.
• A base legal para o tratamento de dados pessoais na área da medicina no trabalho é a alínea h) do nº2 do artigo 9.º do RGPD.
• O direito ao apagamento da informação não se aplica a esta operação de tratamento por força do artigo 9. alínea h) e alínea c) do nº3 do artigo 17.º.b do RGPD.

 

5. Alterações à política de privacidade

A Academia AET reserva-se ao direito de, a qualquer altura, proceder a ajustamentos ou alterações à presente “Política de Privacidade”, sendo tais alterações devidamente divulgadas no seu website.