POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS
A presente Política pretende dar a conhecer aos Associados/Utente(s)/Parceiros/Colaboradores, as regras gerais de tratamento de dados pessoais, os quais são recolhidos e tratados no estrito respeito e cumprimento do disposto na legislação de proteção de dados pessoais em vigor, nomeadamente o Regulamento (UE) 2016/679 (RGPD) e a lei nacional.
O Montepio Rainha D. Leonor – Associação Mutualista (doravante MRDL), é uma instituição particular de solidariedade social, sem fins lucrativos e de Utilidade Pública, fundada em 11 de março de 1860, a qual tem como fins gerais, na prossecução dos princípios mutualistas e da economia social, o desenvolvimento e promoção de atividades de proteção social nos domínios da Segurança Social, da saúde, educação, cultura e qualidade de vida, nomeadamente através da concessão de benefícios nessas áreas aos seus associados e no normal desenvolvimento da sua atividade à população em geral.
Através de regulamento de benefícios, a associação prossegue fins de assistência na saúde e de segurança social, nomeadamente, (i) promovendo e protegendo a saúde dos seus associados e Utente(s), através da prestação de cuidados de medicina preventiva, curativa e de reabilitação, enfermagem e internamento na sua Casa da Saúde, (ii) promovendo a criação de Serviços de Apoio a idosos, designadamente concedendo um subsídio de funeral aos associados que o subscrevam, podendo ainda nos termos dos seus fins gerais, (iii) estabelecer e manter uma farmácia social, ou contribuir para a resolução dos problemas habitacionais dos seus associados, gerir regimes profissionais complementares das prestações garantidas pela Segurança Social e formas coletivas ou individuais de proteção social, prosseguir outras formas de proteção social e de promoção da qualidade de vida através da organização e gestão de equipamentos serviços ou obras que visem o desenvolvimento moral, intelectual, cultural, físico e a integração social e comunitária dos associados ou da comunidade em que eles se inserem, e ainda promover e organizar ações de formação profissional e promoção do emprego.
O MRDL respeita as melhores práticas no domínio da segurança e da proteção dos dados pessoais, tendo para o efeito tomado as medidas técnicas e organizativas necessárias por forma a cumprir o RGPD, garantindo que o tratamento dos dados pessoais que efetua é lícito, leal, transparente e limitado às finalidades autorizadas, na prossecução dos seus legítimos interesses derivados do objeto social, designadamente, na Casa de Saúde, no Centro de Apoio aos Idosos e no Condomínio Residencial.
O MRDL, sempre se empenhou na proteção e confidencialidade dos dados pessoais, tendo ora adotado as medidas que considera adequadas para assegurar a exatidão, integridade e confidencialidade dos dados pessoais, assegurando todos os direitos dos titulares dos dados.
2
A interação cada vez mais frequente com os utilizadores dos websites, aplicações e serviços digitais (doravante conjuntamente “Plataformas”) do MRDL origina também a recolha de informações pessoais do utilizador/titular dos dados nessas plataformas, por forma a usufruir de serviços prestados pelas Unidades de Saúde MRDL, ou a recolha de dados do seu dispositivo (através de ficheiros designados por cookies), para melhorar o desempenho das referidas Plataformas. Neste sentido, a presente Política de Privacidade e Proteção de dados MRDL (doravante “Política de Privacidade”) visa ajudar os nossos Associados/Utente(s)/Clientes/Parceiros e Colaboradores, também utilizadores das Plataformas (doravante conjuntamente designados por “Utente(s)”) a compreender que dados pessoais são recolhidos, como e por que motivo são usados, a que entidades são divulgados e como é protegida a privacidade dos titulares dos dados quando utilizam ou visitam as nossas Plataformas.
PORQUÊ?
O MRDL está empenhado em proteger a segurança e privacidade dos seus Utente(s). Neste contexto, elaborou a presente Política de Privacidade, com a finalidade de afirmar o seu compromisso e respeito para com as regras de privacidade e de proteção de dados pessoais. Pretende-se dar a conhecer as regras gerais de privacidade e os termos do tratamento dos dados pessoais, no estrito respeito e cumprimento da legislação aplicável neste âmbito.
O MRDL respeita as melhores práticas em matéria de segurança e proteção de dados pessoais, promovendo ações e melhorando sistemas, de forma a acautelar a proteção dos dados que lhe são disponibilizados pelos seus Utente(s). A utilização e navegação nas Plataformas do MRDL, o preenchimento dos formulários de recolha e o fornecimento de dados direta ou indiretamente, implicam o conhecimento das condições desta Política, e de quaisquer outros termos, políticas e condições específicas referentes aos serviços prestados.
Para determinadas finalidades, o MRDL apenas poderá tratar os dados pessoais dos seus Utente(s) se obtiver o seu consentimento prévio e expresso. Tal será o caso do tratamento para o efeito do envio de comunicações informativas e de marketing que sejam considerados relevantes para a promoção da sua saúde e para a prestação de um serviço de saúde de excelência nas Unidades de Saúde MRDL, através dos diferentes canais de comunicação, quer físicos quer digitais, nomeadamente carta, SMS ou email. Os restantes casos estão elencados na secção “COM QUE FUNDAMENTO TRATAMOS OS SEUS DADOS PESSOAIS?”.
O QUE SÃO DADOS PESSOAIS?
OUTRAS DEFINIÇÕES IMPORTANTES
Tratamento
operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Titular dos dados
Pessoa singular identificada ou identificável a quem os dados pessoais dizem respeito.
Responsável pelo tratamento
Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
Subcontratante
Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Terceiro
Pessoa singular ou coletiva, autoridade pública, serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.
Encarregado da proteção de dados (data protection officer – “DPO”) – pessoa ou entidade nomeada para garantir, numa organização, a conformidade do tratamento de dados pessoais com o RGPD, assegurando a comunicação eficiente com os titulares dos dados e a cooperação com as autoridades de controlo, informando e aconselhando o responsável pelo tratamento dos dados, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do RGPD.
Consentimento do titular dos dados – manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Definição de perfis – qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.
Violação de dados pessoais – violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Privacidade desde a conceção (privacy by design) – Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, são tomadas as medidas técnicas e organizativas adequadas, desde o início, para garantir que o tratamento está em conformidade com o RGPD e protege os direitos dos titulares dos dados em causa.
Privacidade por defeito (privacy by default) – Em cada operação de tratamento de dados apenas são recolhidos, utilizados e conservados os dados estritamente necessários para cada finalidade específica de tratamento, tanto em termos da quantidade de dados recolhidos, como do tempo pelo qual são mantidos, não sendo disponibilizados, sem intervenção humana, a um número indeterminado de pessoas.
Pseudonimização – o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
Anonimização – técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível. Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando «o conjunto dos meios suscetíveis de serem razoavelmente utilizados», seja pelo responsável pelo tratamento, seja por terceiros. As principais técnicas de anonimização de dados pessoais são a aleatorização e a generalização.
Avaliação de impacto sobre a proteção de dados (Privacy impact assessment – “PIA”) – Em caso de um certo tipo de tratamento de dados, que em particular utilize novas tecnologias, o qual tendo em conta a sua natureza, âmbito, contexto e finalidades, possa ser suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, obriga a que o responsável pelo tratamento proceda, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados. A Comissão Nacional de Proteção de Dados divulgará a lista pública das avaliações de impacto obrigatórias.
Autoridade de controlo – uma autoridade pública independente criada por um Estado-Membro, com a responsabilidade pela fiscalização da aplicação do RGPD, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação dos dados na União. Em Portugal, a autoridade de controlo será a Comissão Nacional de Proteção de Dados (“CNPD”);
Transferências internacionais de dados – transferências de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro (não localizado na União Europeia) ou para uma organização internacional, podendo a transferência ocorrer entre dois ou mais responsáveis pelo tratamento ou entre responsáveis pelo tratamento e subcontratantes;
Serviços da sociedade da informação – Qualquer serviço prestado normalmente mediante remuneração, à distância, por via eletrónica e mediante pedido individual de um destinatário de serviços. Para efeitos da referida definição, entende-se por:
1. “à distância”: um serviço prestado sem que as partes estejam simultaneamente presentes;
2. “por via eletrónica”: um serviço enviado desde a origem e recebido no destino através de instrumentos eletrónicos de processamento (incluindo a compressão digital) e de armazenamento de dados, que é inteiramente transmitido, encaminhado e recebido por cabo, rádio, meios óticos ou outros meios eletromagnéticos; e
3. “mediante pedido individual de um destinatário de serviços”: um serviço fornecido por transmissão de dados mediante pedido individual.
QUEM É O RESPONSÁVEL PELO TRATAMENTO DOS SEUS DADOS PESSOAIS?
O responsável pelo tratamento de dados é o MRDL, tendo vários serviços que procedem às operações de tratamento dos dados dos seus Utente(s), nomeadamente na Casa de Saúde ou Unidades de Saúde, no Lar e no Condomínio Residencial.
Quando qualquer Utente for atendido numa das Unidades de Saúde MRDL, o registo é centralizado. Com vista à prestação de cuidados de saúde integrados em todas as Unidades de Saúde MRDL, os profissionais dessa Unidade poderão consultar e utilizar a informação recolhida noutra Unidade de Saúde, através dos sistemas informáticos. Relativamente ao acesso à informação de saúde, este será reservado aos profissionais de saúde ou outros sujeitos a equivalentes obrigações de confidencialidade na prestação dos seus cuidados. Para mais informações relativas a quem pode aceder aos seus dados pessoais, consulte a secção “QUE PROFISSIONAIS DO MRDL TÊM ACESSO AOS SEUS DADOS?”, abaixo.
No âmbito de algumas especialidades clínicas, qualquer unidade de saúde MRDL poderá tratar os dados conjuntamente com Entidades externas, enquanto co-responsáveis pelo tratamento, como sucede no caso da realização de análises de patologia clínica, no contexto das quais Affidea actua como co-responsável.
Para aceder à lista das entidades corresponsáveis pelo tratamento dos seus dados e o contexto em que atuam, pode consultar este link.
O MRDL trata não só dados de saúde, mas também todos os dados pessoais intrínsecos às relações contratuais que estabelece com os seus Utente(s), derivadas das diversas prestações de serviços realizadas pela Associação Mutualista. Tal relação diz respeito ao tratamento de dados dos Utente(s) da MRDL para fins de gestão administrativa dos serviços prestados, tais como (1) a faturação de serviços de saúde, (2) contactos com os Utente(s) no contexto da prestação de serviços (p.ex., na resposta a reclamações, pedidos de esclarecimento, sugestões e agradecimentos, inquéritos de qualidade e satisfação), (3) finalidades de marketing de produtos e serviços do MRDL como, a análise de tendências de consumo, definição de novos serviços/produtos, segmentação e análise de perfis de Utente(s) e envio de comunicações de marketing direto, através dos diferentes canais de comunicação, quer físicos quer digitais –, para efeitos de melhoria dos nossos serviços e cumprimento dos nossos objetivos administrativos e comerciais, de auditoria interna e compliance dos sistemas e processos das Unidades de Saúde, (4) gravação de chamadas para prova das transações comerciais e monitorização da qualidade do atendimento.
Para qualquer questão relacionada com o tratamento dos seus dados pessoais, os Utente(s) poderão exercer diretamente junto do MRDL os seus direitos à luz do RGPD (melhor descritos na secção “QUAIS OS DIREITOS DOS TITULARES DOS DADOS?”, infra), através de envio de comunicação escrita ao cuidado do Encarregado de Proteção de Dados para o endereço de correio eletrónico dpo@montepio-rdl.pt ou via postal para Rua do Montepio 9, 2500-253 Caldas da Rainha.
QUE DADOS PESSOAIS RECOLHEMOS E ATRAVÉS DE QUE MEIOS?
O MRDL, recolhe e trata os dados pessoais necessários para a prestação de todos os seus serviços, nomeadamente, na Casa de Saúde, no Centro de Apoio aos Idosos e no Condomínio Residencial, salientando-se os cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços da unidade de saúde MRDL, auditoria e melhoria contínua dos mesmos. Os dados poderão ser recolhidos diretamente, presencialmente ou através da utilização das Plataformas. Também podemos receber os dados pessoais de forma indireta através dos nossos prestadores de serviços que lhe prestam serviços em nosso nome ou dos nossos parceiros. Para mais informações sobre a partilha dos seus dados com outras entidades, consulte a secção “EM QUE CIRCUNSTÂNCIAS EXISTE COMUNICAÇÃO DE DADOS A OUTRAS ENTIDADES?” abaixo. Neste sentido, os seus dados pessoais podem incluir dados pessoais direta ou indiretamente relacionados com a sua saúde. As Unidades de Saúde MRDL preocupam-se especialmente com a proteção dos direitos dos menores, pelo que a recolha de dados pessoais de menores de 16 anos está dependente do consentimento dos respetivos pais/titulares das responsabilidades parentais. Para o efeito, aquando da recolha de dados de menores, será solicitado o e-mail dos pais/titulares das responsabilidades parentais para confirmação de que consentem no tratamento de dados pessoais dos menores em causa, quando aplicável.
> CATEGORIAS DE DADOS PESSOAIS QUE TRATAMOS E MEIOS E MOMENTOS DE RECOLHA <
CATEGORIAS DE DADOS
MEIOS E MOMENTOS DE RECOLHA
Nome, data de nascimento, número de telefone/telemóvel e NIF
Estes dados pessoais são de fornecimento obrigatório (sendo o Utente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo).
Quando cria uma ficha de Utente, seja através do MRDL, do Contact Centre ou no front office da Unidade de Saúde ou qualquer serviço MRDL
Outros dados de contacto (endereço de e-mail e endereço postal), sexo, username e hash (informação cifrada que permite ao sistema reconhecer a palavra-passe do utilizador). Estes dados pessoais são de fornecimento obrigatório (sendo o Utente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo).
Quando cria uma conta MRDL
Informações sobre as suas marcações, consultas ou exames (incluindo a unidade de saúde MRDL, a data e hora da marcação, a especialidade do médico, o exame a realizar/realizado, dados constantes da prescrição médica, entre outros necessários à prestação dos serviços); gravação da chamada, caso a marcação/pedido de esclarecimento/reclamação seja feita através do Contact Center
Quando efetua uma marcação/quando solicita informações através dos vários canais (e-mail, telefone e Plataformas do MRDL)
Restantes dados de identificação, tais como: número de Utente MRDL, nº do cartão de Utente, País, Distrito e Conselho de Nascimento, morada (localidade, código postal, país, distrito, concelho, freguesia), profissão, situação profissional, centro de saúde, médico de família, estado civil, nome do cônjuge, nome do pai, nome da mãe (caso Utente seja menor), dados relacionados com o seu seguro ou subsistema de saúde (quando pretenda que os serviços prestados pela Unidade de Saúde MRDL sejam abrangidos pelos mesmos).
Quando se dirige, pela primeira vez, a uma Unidade de Saúde MRDL ou criamos a sua ficha de Utente em qualquer serviço MRDL
Informações sobre a sua saúde; incluindo: motivo da consulta/ato, antecedentes pessoais (doenças de infância, imunizações, hábitos, história ginecológica, alergias, medicação, doenças ativas, doenças inativas), antecedentes familiares (situações mais frequentes – diabetes, HTA, TP, cancro, vivo/falecido, causa de morte), exame clínico, diagnósticos, exames complementares, encaminhamento, alertas (diabetes, hipertensão, etc.), grupo sanguíneo; medicamentos prescritos, identificação do prescritor, código do local de prescrição e dados da receita e regime especial de comparticipação; ato e rúbrica do episódio realizado, data de início e fim do episódio, estado do episódio, profissional de saúde que executou o episódio, nº de episódio, tipo de episódio, indicação se existem resultados do episódio e identificador desses resultados.
Dados genéticos, origem racial ou étnica e dados relativos à vida sexual e orientação sexual
No decurso da prestação de cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços da Unidade de Saúde MRDL, auditoria e melhoria contínua dos mesmos
CATEGORIA DE DADOS
MEIOS E MOMENTOS DE RECOLHA
A sua opinião sobre nós
Quando o Utente participa nos nossos inquéritos/questionários de satisfação
Dados de identificação, contacto e de consumos, para efeitos de marketing de serviços e produtos das Unidades de Saúde MRDL, tais como: faixa etária, área de residência, nº de telefone, nº de telemóvel, endereço de correio eletrónico, frequência das visitas às Unidades, Unidade e Serviço da Unidade (área funcional) visitada pelo Utente, dados relativos aos consumos dos Utente(s) (ato, Serviço, quantia, modo de pagamento, data), identificação das Entidades Financeiras
Quando o Utente tenha consentido no tratamento de dados para essa finalidade [Documento Geral de prestação de Informação e Pedido de Consentimento]
Informações sobre como usa as nossas Plataformas, tais como: IP do dispositivo que utiliza para lhes aceder, a data e hora do início e fim da visita às Plataformas ou o histórico do browser do utilizador.
Quando utiliza as nossas Plataformas, nos termos das Políticas de Privacidade e de Cookies dessas Plataformas
CATEGORIAS ESPECIAIS DE DADOS PESSOAIS
Ao prestar os nossos serviços, poderemos necessariamente ter de recolher dados relativos à sua saúde e, em certos casos, dados genéticos, dados relativos à sua origem racial ou étnica e dados relativos à sua vida sexual ou orientação sexual. Tais dados pessoais são considerados especiais ou sensíveis, nos termos do RGPD, pelo que o MRDL observará os requisitos de proteção mais exigentes dispostos no RGPD relativamente ao tratamento desses dados, quer relativamente aos fundamentos de licitude adequados ao seu tratamento (ver secção “COM QUE FUNDAMENTO TRATAMOS OS SEUS DADOS PESSOAIS?”, abaixo), quer relativamente à implementação de medidas técnicas e organizativas adequadas à minimização do seu tratamento, à restrição do acesso a esses dados (ver secção “QUE PROFISSIONAIS DO MRDL TÊM ACESSO AOS SEUS DADOS?”) e à garantia da segurança dos mesmos (ver secção “QUAIS AS MEDIDAS DE SEGURANÇA ADOTADAS PELAS UNIDADES DE SAÚDE MRDL?”).
QUAIS AS FINALIDADES DA RECOLHA DOS SEUS DADOS PESSOAIS?
Os dados pessoais dos Utente(s) são tratados para a prestação de todos os serviços da Associação Mutualista, os quais regra geral abrangem cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços da Unidade de Saúde MRDL, auditoria e melhoria contínua dos mesmos.
O Utente poderá, no entanto, disponibilizar os seus dados pessoais para outras finalidades, tais como: (i) para receber informações institucionais do MRDL; (ii) para receber comunicações informativas e de marketing que sejam consideradas relevantes para a promoção da sua saúde e para a prestação de um serviço de excelência nas unidades de saúde MRDL, através dos diferentes canais de comunicação, quer físicos quer digitais, nomeadamente notificações eletrónicas, carta, SMS ou email, ajustadas aos seus interesses e preferências, apurados com base no seu perfil de utilizador; (iii) para participar na realização de inquéritos de avaliação da satisfação dos Utente(s) por forma a melhorar a prestação de serviços nas unidade de saúde MRDL, bem como no âmbito do envio de reclamações e sugestões; Neste sentido, usamos os seus dados pessoais para os seguintes efeitos:
> Para a prestação dos serviços requeridos pelo Utente, a contratualizar casuisticamente.
> Para a prestação de cuidados de saúde integrados de forma a podermos prestar os nossos serviços, utilizamos as suas informações acima referidas para marcar consultas, marcar exames, diagnóstico médico, para fornecer cuidados de saúde, para a gestão dos sistemas e serviços das várias unidades de saúde MRDL, auditoria e melhoria contínua. Os dados relativos à sua saúde apenas serão tratados por ou sob a responsabilidade de profissionais obrigados a sigilo, na estrita medida do necessário à prestação de cuidados de saúde, podendo ser comunicados aos seus familiares, apenas nas circunstâncias expressamente previstas na Lei em vigor.
> Para comunicar e gerir a nossa relação consigo podemos contactá-lo por carta, e-mail, SMS ou através das nossas Plataformas, por motivos administrativos ou operacionais, por exemplo, de modo a enviar-lhe a confirmação das suas marcações e dos seus pagamentos, para o informar sobre quaisquer alterações ou imprevistos acerca das suas marcações. Dado que estas comunicações não são realizadas para efeitos de marketing, continuará a recebê-las ainda que tenha optado por não receber comunicações de marketing.
Também vamos utilizar os seus dados pessoais para responder aos seus pedidos, sugestões ou contactos, para melhorar os nossos serviços e a sua experiência enquanto Utente das Unidades de Saúde MRDL.
> Para o informar sobre notícias e ofertas do seu interesse podemos enviar-lhe comunicações de marketing, caso tenha indicado que as deseja receber. Se aceitar receber comunicações de marketing, enviar-lhe-emos newsletters com notícias nossas, bem como comunicações informativas e de marketing que sejam considerados relevantes para a promoção da sua saúde e para a prestação de um serviço de excelência nas unidades de saúde MRDL. Tenha em atenção que não partilhamos os seus dados pessoais com outras empresas para efeitos de marketing, exceto se tivermos o seu consentimento para o efeito. Caso não queira receber mais comunicações de marketing da nossa parte, basta clicar no link de cancelamento de subscrição na parte inferior de qualquer comunicação de marketing por parte do MRDL. Caso tenha uma conta MRDL, poderá também gerir facilmente as suas preferências de marketing através da sua Área Pessoal e pode, a qualquer momento, optar por não receber comunicações de marketing, ao clicar na secção de gestão de comunicação da sua conta.
> Para personalizar e melhorar a sua experiência enquanto Utente podemos usar os seus dados pessoais de modo a adaptar os nossos serviços às suas necessidades e preferências, para lhe proporcionar uma experiência personalizada. Designadamente, se aceitar que o MRDL utilize os seus dados de perfil (que não serão partilhados com entidades terceiras), estes permitirão ao MRDL conhecê-lo melhor e prestar-lhe um serviço de excelência nas Unidades de Saúde MRDL, ajustado aos seus interesses e preferências, apurados com base no seu perfil. O seu perfil será criado com base em dados pessoais como a sua faixa etária, o seu género, a sua área de residência, as consultas e atos clínicos marcados ou realizados por si. Assim, será agrupado, para efeito do envio de comunicações de marketing e oferta de produtos e serviços da MRDL, com outros Utente(s) que vivam perto de si ou que visitem os mesmos Serviços. A segmentação e envio de comunicações é feita por meios exclusivamente automatizados, não havendo qualquer tipo de intervenção humana nestas operações.
A referida segmentação permitirá à MRDL tomar decisões que poderão produzir efeitos na sua esfera jurídica, ou que o afetem substancialmente de forma similar. Por exemplo, com base no seu perfil poderemos enviar-lhe referências de médicos especialistas ou de campanhas das Unidades de Saúde MRDL que mais visita, com foco nos [Serviços/especialidades] mais visitados por si.
Neste sentido, o MRDL compromete-se a adotar as medidas adequadas para salvaguardar os seus direitos, liberdades e interesses legítimos, designadamente garantindo-lhe o direito de obter intervenção humana, manifestar o seu ponto de vista e contestar a decisão em causa (para mais informações, ver secção “QUAIS OS DIREITOS DOS TITULARES DOS DADOS?”, abaixo). Também podemos recolher informações sobre como utiliza os nossos websites e aplicações, de modo a compreender os seus interesses. Podemos utilizar estas informações para adaptar o conteúdo e ofertas que vê no nosso website e, se tiver concordado em receber comunicações de marketing, enviar-lhe mensagens relevantes que pensamos que irá gostar.
> Para melhorar os nossos serviços e cumprir os nossos objectivos administrativos e da actividade
Os objetivos das actividades para os quais usamos as suas informações incluem contabilidade, faturação e auditoria, nomeadamente para proteção de interesses vitais dos Utente(s) ou para efeitos de certificação, avaliação e medição dos níveis de serviço da sua Unidade de Saúde MRDL, deteção e análise de fraude, segurança, efeitos jurídicos e processuais, estudos estatísticos, bem como para o desenvolvimento e manutenção de sistemas.
> Para cumprir as nossas obrigações legais, nomeadamente, a obrigação de fornecer os seus dados pessoais à Administração Central do Sistema de Saúde (“ACSS”) e a outras entidades públicas da área da saúde, bem como aos Tribunais, Solicitadores e aos órgãos de polícia criminal, no exercício dos seus poderes e atribuições (para saber mais acerca das categorias de destinatários dos seus dados pessoais, consulte a secção “EM QUE CIRCUNSTÂNCIAS EXISTE COMUNICAÇÃO DE DADOS A OUTRAS ENTIDADES?”, abaixo).
COM QUE FUNDAMENTO TRATAMOS OS SEUS DADOS PESSOAIS?
O tratamento de dados pessoais terá sempre um fundamento de licitude, o qual poderá ter por base o consentimento do titular dos dados, a execução de um contrato no qual o titular dos dados seja parte, o cumprimento de obrigações jurídicas a que o Responsável pelo Tratamento esteja sujeito, a defesa de interesses vitais do titular dos dados ou, ainda, a prossecução de interesses legítimos do Responsável pelo Tratamento.
Existem, todavia, requisitos acrescidos para o tratamento de categorias especiais de dados pessoais, como os dados relativos à sua saúde. Assim, o tratamento desses dados particularmente sensíveis só poderá ter lugar, nomeadamente, quando o titular tenha prestado o seu consentimento explícito, quando o tratamento seja necessário para a defesa de interesses vitais de um titular dos dados incapacitado de dar o seu consentimento, para a declaração, exercício ou defesa de um direito num processo judicial ou, ainda, quando o tratamento for necessário para efeitos de medicina preventiva, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de gestão de sistemas e serviços de saúde. Assim, e em primeiro lugar, os tratamentos de dados necessários para a prestação de cuidados de saúde integrados aos Utente(s), bem como para comunicar e gerir a relação das Unidades de Saúde MRDL com o mesmo, sempre terão fundamento na execução do contrato de prestação de serviços de saúde celebrado com os Utente(s), ou na execução de diligências pré-contratuais a pedido dos Utente(s) (p.ex., quando esteja em causa a marcação de uma consulta ou ato clínico). Adicionalmente, quando tais tratamentos implicarem o tratamento de dados relativos à saúde dos Utente(s) ou de outras categorias especiais de dados (tais como dados genéticos, dados relativos à vida sexual ou dados relativos à origem étnica dos Utente(s)), aqueles basear-se-ão na necessidade do tratamento para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou, quando o tratamento seja realizado por colaboradores das Unidades de Saúde MRDL que não sejam profissionais de saúde (ver secção “QUE PROFISSIONAIS DO MRDL TÊM ACESSO AOS SEUS DADOS?”), para efeitos da gestão dos sistemas e serviços das Unidades de Saúde MRDL.
Quanto aos tratamentos de dados pessoais realizados para o informar sobre notícias e ofertas do seu interesse e para personalizar e melhorar a sua experiência enquanto Utente (através de inquéritos de avaliação da satisfação dos Utente(s)), o fundamento de licitude no qual o MRDL funda tais tratamentos será o consentimento dos titulares dos dados, ou seja, dos seus Utente(s).
Nos termos do RGPD, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, não comprometendo a retirada do consentimento a licitude do tratamento efetuado com base no consentimento previamente dado. Para mais informações acerca dos seus direitos à luz do RGPD, consulte a secção “QUAIS OS DIREITOS DOS TITULARES DOS DADOS?”, infra.
Relativamente aos tratamentos dos seus dados efetuados pelo MRDL para melhorar os nossos serviços e cumprir os nossos fins estatutários, o fundamento de licitude adequado será a prossecução de interesses legítimos da entidade Responsável pelo Tratamento.
Relativamente ao tratamento de dados realizado pelo MRDL no contexto do cumprimento de obrigações legais, o fundamento de licitude para a realização de tais tratamentos – na sua maioria, comunicações de dados para entidades externas – será a necessidade do tratamento para o efeito do cumprimento de obrigações jurídicas no Responsável pelo Tratamento. Caso tais tratamentos envolvam categorias especiais de dados pessoais – por exemplo, informação relativa aos medicamentos prescritos a determinado Utente das Unidades de Saúde MRDL -, os tratamentos fundar-se-ão na gestão de sistemas e serviços das Unidades de Saúde MRDL.
QUE PROFISSIONAIS DO MRDL TÊM ACESSO AOS SEUS DADOS?
No âmbito do tratamento dos seus dados pessoais, o MRDL observa, a todo o tempo, os princípios da proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default). Tal compromisso implica, entre outros aspetos, que os seus dados pessoais serão de acesso limitado às pessoas que tenham necessidade de os conhecer no exercício das suas funções, na estrita medida do necessário para a prossecução das finalidades de tratamento que já elencámos supra (ver secção “QUAIS AS FINALIDADES DA RECOLHA DOS SEUS DADOS PESSOAIS?”).
Assim, quanto aos dados relativos à sua saúde e outras categorias especiais de dados, estes serão, em observância da lei aplicável, de acesso reservado aos médicos e outros profissionais de saúde adstritos à prestação dos seus cuidados de saúde. Nos casos em que assim não seja, quando os seus dados de saúde e outras categorias especiais de dados forem acedidos por colaboradores não adstritos a obrigações de sigilo profissional, o MRDL assegurará que tais colaboradores assumem obrigações de confidencialidade contratuais e, em certos casos, que tais pessoas apenas tratarão os seus dados sob a responsabilidade e supervisão de um profissional de saúde.
QUAL O PERÍODO DE CONSERVAÇÃO DOS SEUS DADOS PESSOAIS?
Os dados pessoais dos Utente(s) são tratados no estrito cumprimento da legislação aplicável, sendo armazenados em base de dados específicas, criadas para o efeito. Tais dados são conservados num formato que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.
O período de tempo durante o qual os dados são armazenados e conservados varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período de tempo. Nessa medida, os dados relativos à sua saúde são conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar.
Também tomamos por referencial para determinação do período de conservação adequado as várias deliberações das autoridades de controlo de proteção de dados europeias, nomeadamente da CNPD, no que toca, por exemplo à conservação das chamadas que gravamos para prova de transações de serviços prestados e para monitorização de chamadas, ou para a conservação de logs de acesso às nossas Plataformas.
QUAIS OS DIREITOS DOS TITULARES DOS DADOS?
Nos termos da legislação aplicável, o titular dos dados poderá solicitar, a todo o tempo, o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação, eliminação ou a limitação do seu tratamento, a portabilidade dos seus dados, ou opor-se ao seu tratamento, diretamente perante o MRDL, através do e-mail dpo@montepio-rdl.pt ou de carta endereçada a Encarregado de Proteção de Dados, Rua do Montepio 9, 2500-253 Caldas da Rainha.
No caso de dados relativos à sua saúde, o direito de acesso à informação de saúde por parte do titular (ou de terceiros com o seu consentimento ou nos termos da lei) pode ser exercido diretamente, ou por intermédio de um médico se o titular da informação o solicitar, mediante pedido escrito dirigido a dpo@montepio-rdl.pt Poderá obter a confirmação dos dados pessoais que lhe dizem respeito que são objeto de tratamento, bem como o acesso aos mesmos, sendo-lhe disponibilizada, caso requeira e não existam restrições legais, uma cópia dos dados objeto de tratamento por parte do MRDL. Neste sentido, o direito de acesso aos seus dados pessoais não é ilimitado, podendo o MRDL recusar fornecer-lhe uma cópia dos seus dados pessoais em fase de tratamento se o seu acesso prejudicar os direitos e as liberdades de terceiros, inclusivamente do próprio MRDL. Por essa via poderiam, por exemplo, ser revelados dados sensíveis da actividade do MRDL ou serem violados direitos de propriedade intelectual da mesma. Nesses casos, a entidade Responsável pelo Tratamento poderá solicitar-lhe que especifique a que informações ou a que atividades de tratamento se refere o seu pedido de acesso, de forma a que aquela possa prestar-lhe as informações solicitadas.
Nos termos da lei, é-lhe ainda garantido o direito de, através dos meios acima referidos, retirar o seu consentimento para os tratamentos de dados relativamente aos quais o consentimento constitui o fundamento de legitimidade. Para o efeito, tem o direito de retirar o seu consentimento a qualquer momento, o que não invalida, no entanto, o tratamento efetuado até essa data com base no consentimento previamente dado.
O Utente ou utilizador pode ainda, a qualquer momento, solicitar a eliminação dos seus dados pessoais, incluindo a eliminação do próprio MRDL, nos termos legalmente previstos. Ainda assim, a entidade Responsável pelo Tratamento em cada caso poderá recusar-se a dar provimento ao seu pedido de apagamento dos dados em determinadas situações, legalmente previstas, nos termos dos artigos 17.º e 23.º do RGPD e a analisar casuísticamente.
Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o titular dos dados tem ainda direito a apresentar uma reclamação à CNPD ou a outra autoridade de controlo competente nos termos da lei, caso considere que os seus dados não estão a ser objeto de tratamento legítimo por parte do MRDL, nos termos da legislação aplicável e da presente Política de Privacidade.
TITULARES DOS DADOS – UTILIZADORES DAS PLATAFORMAS DO MRDL
A presente Política de Privacidade aplica-se integralmente a todos os utilizadores das Plataformas do MRDL. No entanto, dada a especificidade inerente à utilização das referidas plataformas digitais (designadamente, websites e aplicações Saúde MRDL / apps), importa regular algumas questões particularmente relevantes neste âmbito.
O MRDL tem conhecimento de que o envio de informação pessoal é uma grande preocupação para os Utente(s) que utilizam a Internet. Assim, em todos os nossos websites e aplicações, os formulários de recolha de dados pessoais obrigam a sessões encriptadas do browser, e todos os dados pessoais que nos disponibiliza ficam armazenados de forma segura nos sistemas do MRDL, sobre os quais são implementadas as melhores práticas de segurança técnicas e processuais visando a proteção dos seus dados pessoais. Não obstante as medidas de segurança adotadas pelo MRDL, alertamos todos os nossos Utente(s) e utilizadores que aquando do acesso à Internet devem tomar regularmente precauções e adotar medidas adicionais de segurança neste âmbito, designadamente através da utilização de um computador e um browser atualizados, e acautelar o uso de computadores partilhados, bem como o acesso às suas contas pessoais de Utente, não partilhando com terceiros os seus dados de acesso.
Através das nossas Plataformas, disponibilizamos ligações para websites de terceiros, os quais estão sujeitos a Políticas de Privacidade independentes. Tenha em consideração que a presente Política de Privacidade não se aplica a tais websites e que as entidades do MRDL não são responsáveis pela recolha de informações suas por parte dos referidos terceiros através dos respetivos websites.
Para sua proteção, o acesso a algumas funcionalidades disponibilizadas nas nossas Plataformas (designadamente, a consulta de exames complementares de diagnóstico através da Plataforma MRDL) encontra-se protegido por uma palavra-chave, a qual não deverá ser transmitida a terceiros. Por questões de segurança, recomendamos que memorize a sua password e que proceda à sua alteração com regularidade.
QUAIS AS MEDIDAS DE SEGURANÇA ADOTADAS PELO MRDL?
O MRDL está empenhado em assegurar a confidencialidade, proteção e segurança dos dados pessoais dos seus Utente(s) e Colaboradores, através da implementação das medidas técnicas e organizativas adequadas para proteger os seus dados contra qualquer forma de tratamento indevido ou ilegítimo e contra qualquer perda acidental ou destruição destes dados. Para o efeito, dispomos de sistemas e equipas destinados a garantir a segurança dos dados pessoais tratados, criando e atualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ ou destruição dos dados pessoais, comprometendo-se a respeitar a legislação relativa à proteção de dados pessoais dos Utente(s) e a tratar estes dados apenas para os fins para que foram recolhidos, assim como a garantir que estes dados são tratados com adequados níveis de segurança e confidencialidade.
Porque reconhecemos a sensibilidade desta informação, elaborámos e divulgámos a todos os nossos colaboradores procedimentos de proteção de dados pessoais, com vista a assegurar o seu conhecimento acerca das obrigações que lhes são impostas nesta matéria. Para garantir a permanente sensibilização dos nossos colaboradores, desenvolvemos ainda ações de formação junto dos mesmos, os quais assumem o compromisso de não revelar a terceiros ou utilizar para fins contrários à lei, qualquer informação pessoal dos Utente(s) do MRDL cujo conhecimento lhes advenha do exercício das suas funções. Neste âmbito, o MRDL designou também um Encarregado de Proteção de Dados (Data Protection Officer ou “DPO”) [e-mail dpo@montepio-rdl.pt ou de carta endereçada a Encarregado de Proteção de Dados, Rua do Montepio 9, 2500-253 Caldas da Rainha], para acompanhar o cumprimento das políticas e normas aplicáveis em matéria de proteção de dados pessoais. Conforme descrito na presente Política de Privacidade (ver secção “EM QUE CIRCUNSTÂNCIAS EXISTE COMUNICAÇÃO DE DADOS A OUTRAS ENTIDADES?”, abaixo), podemos nalguns casos transmitir os seus dados pessoais a terceiros. O MRDL definiu regras claras de contratualização do tratamento de dados pessoais com os seus subcontratantes, e exige que estes adotem as medidas técnicas e organizativas apropriadas para proteger os seus dados pessoais. Contudo, nalguns casos, podemos ser obrigados por lei a divulgar os seus dados pessoais a terceiros (tais como autoridades de controlo) relativamente aos quais temos um controlo limitado relativamente à proteção dos dados pessoais.
EM QUE CIRCUNSTÂNCIAS EXISTE COMUNICAÇÃO DE DADOS A OUTRAS ENTIDADES?
O MRDL recorre a outras entidades para a prestação de determinados serviços. Eventualmente essa prestação de serviços poderá implicar o acesso, por estas entidades, a dados pessoais dos seus Utente(s). Tal será o caso das entidades que prestem serviços de suporte dos sistemas informáticos das Unidades de Saúde MRDL, de certos fornecedores de equipamentos médicos, de prestadores de serviços clínicos em determinados Serviços, de empresas de consultoria e sociedades de advogados, e das entidades terceiras que façam a gestão do arquivo físico das Unidades de Saúde MRDL. Assim, qualquer entidade subcontratante das entidades do MRDL tratará os dados pessoais dos nossos Utente(s), em nosso nome e por nossa conta, na estrita obrigação de seguir as nossas instruções. O MRDL assegura que tais entidades subcontratantes oferecem garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos da lei aplicável e assegure a segurança e proteção dos direitos dos titulares dos dados, nos termos do acordo de subcontratação celebrado com as referidas entidades subcontratantes.
O MRDL poderá, ainda, transmitir, dados pessoais dos seus Utente(s) a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais, (iii) para responder a solicitações de autoridades públicas ou governamentais ou (iv) para efeito de certificação, avaliação e medição dos níveis de serviço das Unidades de Saúde MRDL.
Neste sentido, o MRDL poderá transmitir os seus dados pessoais à Entidade Reguladora da Saúde, à ACSS, aos Serviços Partilhados do Ministério da Saúde (SPMS), ao INFARMED ou às Administrações Regionais de Saúde, aos Tribunais, Solicitadores, aos órgãos de polícia criminal ou ao Ministério Público ou qualquer órgão do Estado quando seja notificado para o efeito ou quando tal seja necessário para o cumprimento de obrigações jurídicas, conforme legalmente previsto. Em qualquer das situações acima mencionadas, o MRDL compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos dados pessoais que trata.
Poderá contactar o Encarregado de Proteção de Dados (“DPO”) do MRDL para mais informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, através dos seguintes contactos: e-mail: dpo@montepio-rdl.pt ou para a Morada: Rua do Montepio 9, 2500-253 Caldas da Rainha
COMO PODE FICAR A CONHECER QUAISQUER ALTERAÇÕES À NOSSA POLÍTICA DE PRIVACIDADE?
O MRDL reserva-se o direito de, a qualquer momento, proceder a modificações ou atualizações à presente Política de Privacidade, sendo essas alterações devidamente atualizadas nas nossas Plataformas. Sugerimos que as consulte regularmente para estar a par de eventuais alterações.
Data da última atualização 17 de abril de 2018