Política de Privacidade

 

O Instituto da Saúde tem necessidade de recolher e tratar dados pessoais dos seus clientes no âmbito da prestação e serviços. No contexto da prestação de cuidados ou tratamentos de saúde, incluindo de medicina preventiva, de diagnóstico médico e de gestão dos serviços de saúde, o tratamento de dados pessoais dos clientes é indispensável. Por sua vez, a interação frequente com os utilizadores no nosso website, aplicação e serviços digitais , requer, a recolha de informações pessoais do utilizador por forma a usufruir de serviços prestados ou a recolha de dados do seu dispositivo (através de ficheiros designados por cookies), para melhorar o desempenho das referidas Plataformas. Neste sentido, a presente Política de Privacidade Instituto da Saúde (adiante PP ISA) visa ajudar os nossos clientes e utilizadores das Plataformas a compreender que dados pessoais recolhemos, como e por que motivo os usamos, a quem os divulgamos e como protegemos a sua privacidade
quando utilizam os nossos serviços ou visitam as nossas Plataformas.

PORQUÊ?
Estamos empenhado em proteger a segurança e privacidade dos nossos Clientes. Neste contexto, redigimos a presente PP, com a finalidade de afirmar o nosso compromisso e respeito para com as regras de privacidade e de proteção de dados pessoais. Pretendemos que os nossos Clientes conheçam as regras gerais de privacidade e os termos de tratamento dos dados que recolhemos, no estrito respeito e cumprimento da legislação aplicável neste âmbito do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (“Regulamento Geral sobre a Proteção de Dados” ou “RGPD”). Procuramos respeitar as melhores práticas em matéria de segurança e proteção de dados pessoais, promovendo ações e melhorando sistemas de forma a acautelar a proteção dos dados que lhe são disponibilizados pelos seus Clientes. A utilização e navegação nas Plataformas, o preenchimento dos formulários de recolha e o fornecimento de dados direta ou indiretamente, implicam o conhecimento das condições desta Política, e de quaisquer outros termos, políticas e condições específicas referentes aos serviços prestados. Para determinadas finalidades, apenas poderemos tratar os dados pessoais dos nossos Clientes se obtivermos o seu consentimento prévio e expresso. Tal será o caso do tratamento para o efeito do envio de comunicações informativas e de marketing que sejam considerados relevantes para a promoção da sua saúde e para a prestação de um serviço de saúde de excelência no Instituto da Saúde, através dos diferentes canais de comunicação, quer físicos quer digitais, nomeadamente carta, SMS ou email.

O QUE SÃO DADOS PESSOAIS?
Entende-se por dados pessoais qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (titular dos dados). É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social. Os dados pessoais poderão ter uma natureza mais sensível em determinadas situações, classificando-os o RGPD como “categorias especiais de dados”. Estes podem versar sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde. São “dados relativos à saúde” dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro. Tal inclui qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtida as a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; quaisquer informações sobre patologia, deficiência, risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte.

OUTRAS DEFINIÇÕES IMPORTANTES
Tratamento — operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
Titular dos dados — pessoa singular identificada ou identificável a quem os dados pessoais dizem respeito;
Responsável pelo tratamento — pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
Subcontratante — pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes; Terceiro — pessoa singular ou coletiva, autoridade pública, serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
Encarregado da proteção de dados (data protection officer — “DPO”) — pessoa ou entidade nomeada para garantir, numa organização, a conformidade do tratamento de dados pessoais com o RGPD, assegurando a comunicação eficiente com os titulares dos dados e a cooperação com as autoridades de controlo em causa, fazendo ainda a ponte com as unidades de negócio dentro da organização. O DPO não recebe instruções relativamente ao exercício das suas funções, respondendo diretamente aos órgãos de direção da entidade que o nomeou (responsável pelo tratamento ou do subcontratante);
Consentimento do titular dos dados — manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento; Definição de perfis — qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
Violação de dados pessoais — violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento; Privacidade desde a conceção (privacy by design) — significa levar o risco de privacidade em conta em todo o processo de conceção de um novo produto ou serviço, em vez de considerar as questões de privacidade apenas posteriormente. Tal significa avaliar cuidadosamente e implementar medidas e procedimentos técnicos e organizacionais adequados desde o início para garantir que o tratamento está em conformidade com o RGPD e protege os direitos dos titulares dos dados em causa;
Privacidade por defeito (privacy by default) — significa assegurar que são colocados em prática, dentro de uma organização, mecanismos para garantir que, por defeito, apenas a quantidade necessária de dados pessoais são recolhidos, utilizados e conservados para cada tarefa, tanto em termos da quantidade de dados recolhidos, como do tempo pelo qual eles são mantidos;
Pseudonimização — o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
Anonimização — técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível. Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando «o conjunto dos meios suscetíveis de serem razoavelmente utilizados», seja pelo responsável pelo tratamento, seja por terceiros. As principais técnicas de anonimização de dados pessoais são a aleatorização e a generalização; Avaliação de impacto sobre a proteção de dados (data protection impact assessment — “DPIA”) — processo concebido para avaliar a necessidade e proporcionalidade do tratamento de dados pessoais, permitindo a gestão dos riscos decorrentes desse tratamento para os direitos e liberdades das pessoas singulares. O DPIA é obrigatório em determinados casos (ex.: avaliação sistemática e completa de pessoas singulares, incluindo a definição de perfis, ou tratamento em larga escala de categorias especiais de dados) e deve ser feito antes de se iniciar o tratamento;
Autoridade de controlo — uma autoridade pública independente criada por um Estado-Membro, com a responsabilidade pela fiscalização da aplicação do RGPD, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação dos dados na União. Em Portugal, a autoridade de controlo será a Comissão nacional de Proteção de Dados (“CNPD”): Transferências internacionais de dados — transferências de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro (não localizado na União Europeia) ou para uma organização internacional, podendo a transferência ocorrer entre dois ou mais responsáveis pelo tratamento ou entre responsáveis pelo tratamento e subcontratantes;
Serviços da sociedade da informação — Qualquer serviço prestado normalmente mediante remuneração, à distância, por via eletrónica e mediante pedido individual de um destinatário de serviços. Para efeitos da referida definição, entende-se por:1. “à distância”: um serviço prestado sem que as partes estejam simultaneamente presentes; 2. “por via eletrónica”: um serviço enviado desde a origem e recebido no destino através de instrumentos eletrónicos de processamento (incluindo a compressão digital) e de armazenamento de dados, que é inteiramente transmitido, encaminhado e recebido por cabo, rádio, meios óticos ou outros meios eletromagnéticos; e 3. “mediante pedido individual de um destinatário de serviços”: um serviço fornecido por transmissão de dados mediante pedido individual.

QUEM É O RESPONSÁVEL PELO TRATAMENTO DOS SEUS DADOS PESSOAIS?
A presente Política de Privacidade visa dar a conhecer aos Clientes os termos de tratamento de dados pessoais levados a cabo pelo Instituto da Saúde determinando as finalidades e meios de tratamento dos seus dados no contexto dessa prestação.
O acesso à sua informação de saúde será de acesso restrito aos profissionais de saúde ou outros sujeitos a equivalentes obrigações de confidencialidade na prestação dos seus cuidados. Para mais informações relativas a quem pode aceder aos seus dados pessoais, consulte a secção

“QUE PROFISSIONAIS TÊM ACESSO AOS SEUS DADOS?”, abaixo. Não obstante o referido e relativamente aos tratamentos de dados pessoais acima descritos e quanto ao tratamento de dados de Clientes para finalidades ligadas ao marketing de produtos e serviços ou inquérito de satisfação para efeitos de melhoria dos nossos serviços e cumprimento dos nossos objetivos administrativos e comerciais, os Clientes poderão exercer os seus direitos à luz do RGPD (melhor descritos na secção “QUAIS OS DIREITOS DOS TITULARES DOS DADOS?”, infra), através do endereço de correio eletrónico qualidadeDinstitutodasaude.pt ou de carta endereçada a Encarregado de Proteção de Dados, Praça 5 de Outubro, 34 – 2500-111 Caldas da Rainha.

QUE DADOS PESSOAIS RECOLHEMOS E ATRAVÉS DE QUE MEIOS?
Recolhemos e tratamos os dados pessoais necessários para a prestação de cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços, auditoria e melhoria contínua dos mesmos. Os seus dados poderão ser recolhidos diretamente, designadamente, quando marca uma consulta/exame, quando vai a uma consulta/fazer um exame, quando utiliza as nossas Plataformas ou nos contacta.
Para mais informações sobre a partilha dos seus dados com outras entidades, consulte a secção “EM QUE CIRCUNSTÂNCIAS EXISTE

COMUNICAÇÃO DE DADOS A OUTRAS ENTIDADES?” abaixo. Neste sentido, os seus dados pessoais podem incluir dados pessoais direta ou indiretamente relacionados com a sua saúde. Preocupamo-nos especialmente com a proteção dos direitos dos menores, pelo que a recolha de dados pessoais de menores de 16 anos está dependente do consentimento dos respetivos pais/titulares das responsabilidades parentais. Para o efeito, aquando da recolha de dados de menores, será solicitado o e-mail dos pais/titulares das responsabilidades parentais para confirmação de que consentem no tratamento de dados pessoais dos menores em causa, quando aplicável.

CATEGORIA DE DADOS TRABALHADOS MEIOS E MOMENTOS DE RECOLHA Quando faz uma marcação por telefone ou por e-mail: Nome, data de nascimento, número de telefone/telemóvel e NIF, estes dados pessoais são de fornecimento obrigatório (sendo o Cliente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo). Quando cria uma ficha de cliente nas plataformas, outros dados de contacto (endereço de e-mail e endereço postal), sexo, username e hash (informação cifrada que permite ao sistema reconhecer a palavra-passe do utilizador) são de fornecimento obrigatório (sendo o Cliente ou utilizador devidamente informado da obrigatoriedade da disponibilização destes dados para continuar o processo). Quando solicita uma marcação nas plataformas: informação sobre as suas marcações, consultas ou exames, a data e hora da marcação, a especialidade do médico, o exame a realizar/realizado, dados constantes da prescrição médica, entre outros necessários à prestação dos serviços; Quando efetua uma marcação/quando solicita informações através dos vários canais (e-mail, telefone e Plataformas) Restantes dados de identificação, tais como: número de cliente, nº do cartão de Utente, País, Distrito e Concelho de Nascimento, morada (localidade, código postal, país, distrito, concelho, freguesia), profissão, situação profissional, centro de saúde, médico de família, estado civil, nome do cônjuge, nome do pai, nome da mãe (caso Cliente seja menor), dados relacionados com o seu seguro ou subsistema de saúde (quando pretenda que os serviços prestados sejam abrangidos pelos mesmos). Quando se dirige ao Instituto pela primeira vez ou criamos a sua ficha de cliente: Informações sobre a sua saúde, incluindo: motivo da consulta/ato, antecedentes pessoais (doenças de infância, imunizações, hábitos, alergias, medicação, doenças ativas, doenças inativas), antecedentes familiares (situações mais frequentes — diabetes, HTA, TP, cancro, vivo/falecido, causa de morte), exame clínico, diagnósticos, exames complementares, encaminhamento, alertas (diabetes, hipertensão, etc.), grupo sanguíneo; medicamentos prescritos, identificação do prescritor, código do local de prescrição e dados da receita e regime especial de comparticipação. Quando o Cliente participa nos nossos inquéritos/questionários de satisfação: Dados de identificação, contacto e de consumos, para efeitos de marketing de serviços e produtos, tais como faixa etária, área de residência, nº de telefone, nº de telemóvel, endereço de correio eletrónico, frequência das visitas, dados relativos aos consumos dos clientes (ato, Serviço, quantia, modo de pagamento, data), identificação das Entidades Financeiras. Quando o Cliente tenha consentido no tratamento de dados para essa finalidade [Documento Geral de prestação de Informação e Pedido de Consentimento] Informações sobre como usa as nossas Plataformas, tais como: IP do dispositivo que utiliza para lhes aceder, a data e hora do início e fim da visita às Plataformas ou o histórico do browser do utilizador. Quando utiliza as nossas Plataformas, nos termos das Políticas de Privacidade e de Cookies dessas Plataformas: Dados relativos à sua saúde, dados genéticos, origem racial ou étnica.

CATEGORIAS ESPECIAIS DE DADOS PESSOAIS
Ão prestar os nossos serviços, teremos necessariamente de recolher dados relativos à sua saúde e, em certos casos, dados genéticos, dados relativos à sua origem racial ou étnica. Tais informações são consideradas “categorias especiais de dados”, nos termos do RGPD, pelo que seguiremos os requisitos de proteção mais exigentes dispostos no RGPD relativamente ao tratamento desses dados, quer relativamente aos fundamentos de licitude adequados ao seu tratamento, quer relativamente à implementação de medidas técnicas e organizativas adequadas à minimização do seu tratamento, à restrição do acesso a esses dados e à garantia da segurança dos mesmos.

QUAIS AS FINALIDADES DA RECOLHA DOS SEUS DADOS PESSOAIS? Os dados pessoais dos Clientes são tratados para a prestação de cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços, auditoria e melhoria contínua dos mesmos. O Cliente poderá, no entanto, disponibilizar os seus dados pessoais para outras finalidades, tais como: (i) para receber informações institucionais; (ii) para receber comunicações informativas e de marketing que sejam considerados relevantes para a promoção da sua saúde e para a prestação de um serviço de excelência, através dos diferentes canais de comunicação, quer físicos quer digitais, nomeadamente notificações eletrónicas, carta, SMS ou email, ajustadas aos seus interesses e preferências, apurados com base no seu perfil de utilizador; (iii) para participar na realização de inquéritos de avaliação da satisfação dos clientes para nos ajudar a melhorar a prestação de serviços, bem como no âmbito do envio de reclamações e sugestões.
Neste sentido, usamos os seus dados pessoais para os seguintes efeitos:
Para a prestação de cuidados de saúde integrados. De forma a podermos prestar os nossos serviços, utilizamos as suas informações acima referidas para marcar consultas, marcar exames, diagnóstico médico, para fornecer cuidados de saúde, para a gestão dos sistemas e serviços, auditoria e melhoria contínua. Os dados relativos à sua saúde apenas serão tratados por ou sob a responsabilidade de profissionais obrigados a sigilo, na estrita medida do necessário à prestação de cuidados de saúde, podendo ser comunicados aos seus familiares, apenas nas circunstâncias expressamente previstas na Lei em vigor.
Para comunicar e gerir a nossa relação consigo. Podemos contactá-lo por carta, e-mail, SMS ou através das nossas Plataformas, por motivos administrativos ou operacionais, por exemplo, de modo a enviar-lhe a confirmação das suas marcações e dos seus pagamentos, para o informar sobre quaisquer alterações ou imprevistos acerca das suas marcações. Dado que estas comunicações não são realizadas para efeitos de marketing, continuará a recebê-las ainda que tenha optado por não receber comunicações de marketing. Também vamos utilizar os seus dados pessoais para responder aos seus pedidos, sugestões ou contactos, para melhorar os nossos serviços e a sua experiência enquanto cliente.
Para o informar sobre notícias e ofertas do seu interesse. Podemos enviar-lhe comunicações de marketing, caso tenha indicado que as deseja receber. Se aceitar receber comunicações de marketing, enviar-lhe-emos newsletters com notícias nossas, bem como comunicações informativas e de marketing que sejam considerados relevantes para a promoção da sua saúde e para a prestação de um serviço de excelência. Tenha em atenção que não partilhamos os seus dados pessoais com outras empresas para efeitos de marketing, exceto se tivermos o seu consentimento para o efeito. Caso não queira receber mais comunicações de marketing da nossa parte, basta clicar no link de cancelamento de subscrição na parte inferior de qualquer comunicação de marketing.
Para personalizar e melhorar a sua experiência enquanto cliente. Podemos usar os seus dados pessoais de modo a adaptar os nossos serviços às suas necessidades e preferências, para lhe proporcionar uma experiência personalizada. Designadamente, se aceitar que o Instituto da Saúde utilize os seus dados de perfil (que não serão partilhados com entidades terceiras), estes permitirão conhecê-lo melhor e prestar-lhe um serviço de excelência, ajustado aos seus interesses e preferências, apurados com base no seu perfil. O seu perfil será criado com base em dados pessoais como a sua faixa etária, o seu género, a sua área de residência, as consultas e atos clínicos marcados ou realizados por si. Também podemos recolher informações sobre como utiliza os nossos websites e aplicações, de modo a compreender os seus interesses. Podemos utilizar estas informações para adaptar o conteúdo e ofertas que vê no nosso website e, se tiver concordado em receber comunicações de marketing, enviar-lhe mensagens relevantes que pensamos que irá gostar.
Para melhorar os nossos serviços e cumprir os nossos objetivos administrativos e comerciais. Os objetivos de negócio para os quais usamos as suas informações incluem contabilidade, faturação e auditoria, nomeadamente para proteção de interesses vitais dos clientes ou para efeitos de certificação, avaliação do serviço, deteção e análise de fraude, segurança, efeitos jurídicos e processuais, estudos estatísticos, bem como para o desenvolvimento e manutenção de sistemas.
Para cumprir as nossas obrigações legais. Nomeadamente, a obrigação de fornecer os seus dados pessoais à Administração Central do Sistema de Saúde (“ACSS”) e a outras entidades públicas da área da saúde, bem como aos Tribunais, Solicitadores e aos órgãos de polícia criminal, no exercício dos seus poderes e atribuições.

COM QUE FUNDAMENTO TRATAMOS OS SEUS DADOS PESSOAIS?
O RGPD exige, para que o tratamento de dados pessoais seja lícito, que exista um fundamento de licitude adequado para cada tratamento específico. Tais fundamentos poderão ser de vária índole. Assim, o tratamento de dados pessoais poderá ter por base o consentimento do titular dos dados, a execução de um contrato no qual o titular dos dados seja parte, o cumprimento de obrigações jurídicas a que o Responsável pelo Tratamento esteja sujeito, a defesa de interesses vitais do titular dos dados ou, ainda, a prossecução de interesses legítimos do Responsável pelo Tratamento (exceto se prevalecerem os interesses e liberdades fundamentais do titular). Existem, todavia, requisitos acrescidos para o tratamento de categorias especiais de dados pessoais, como os dados relativos à sua saúde. Assim, o tratamento desses dados particularmente sensíveis só poderá ter lugar em determinados casos, nomeadamente quando o titular tenha prestado o seu consentimento explícito, quando o tratamento seja necessário para a defesa de interesses vitais de um titular dos dados incapacitado de dar o seu consentimento, para a declaração, exercício ou defesa de um direito num processo judicial ou, ainda, quando o tratamento for necessário para efeitos de medicina preventiva, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de gestão de sistemas e serviços de saúde. Assim, e em primeiro lugar, os tratamentos de dados necessários para a prestação de cuidados de saúde integrados aos Clientes terão fundamento na execução do contrato de prestação de serviços de saúde celebrado com os Clientes, ou na execução de diligências pré-contratuais a pedido dos Clientes (p.ex., quando esteja em causa a marcação de uma consulta ou ato clínico). Adicionalmente, quando tais tratamentos implicarem o tratamento de dados relativos à saúde dos Clientes ou de outras categorias especiais de dados (tais como dados genéticos, dados relativos à vida sexual ou dados relativos á origem étnica dos Clientes), aqueles basear-se-ão na necessidade do tratamento para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou, quando o tratamento seja realizado por colaboradores que não sejam profissionais de saúde para efeitos da gestão dos sistemas e serviços. Já quanto aos tratamentos de dados pessoais realizados para o informar sobre notícias e ofertas do seu interesse e para personalizar e melhorar a sua experiência enquanto cliente (através de inquéritos de avaliação da satisfação dos clientes), o fundamento de licitude será o consentimento dos titulares dos dados, ou seja, dos Clientes.
Nos termos do RGPD, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, não comprometendo a retirada do consentimento a licitude do tratamento efetuado com base no consentimento previamente dado.

QUE PROFISSIONAIS TÊM ACESSO AOS SEUS DADOS?
No âmbito do tratamento dos seus dados pessoais os nossos serviços observam, a todo o tempo, os princípios da proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default). Este compromisso implica, entre outros aspetos, que os seus dados pessoais serão de acesso limitado às pessoas que tenham necessidade de os conhecer no exercício das suas funções, no estrita medida do necessário para a prossecução das finalidades de tratamento já referidas. Assim, quanto aos dados relativos à sua saúde e outras categorias especiais de dados, estes serão, em observância da lei aplicável, de acesso reservado aos médicos e outros profissionais de saúde adstritos à prestação dos seus cuidados de saúde. Nos casos em que assim não seja, quando os seus dados de saúde e outras categorias especiais de dados forem acedidos por colaboradores não adstritos a obrigações de sigilo profissional, asseguramos que tais colaboradores assumem obrigações de confidencialidade contratuais perante aquelas e, em certos casos, que tais pessoas apenas tratarão os seus dados sob a responsabilidade e supervisão de um profissional de saúde. Entre os casos em que o pessoal administrativo tem acesso aos seus dados de saúde e outras categorias especiais de dados encontram-se o tratamento de dados para efeito de faturação dos serviços de saúde que lhe são prestados, para efeito da marcação de consultas e atos clínicos ou para gestão dos seus pedidos de informação ou reclamações.

QUAL O PERÍODO DE CONSERVAÇÃO DOS SEUS DADOS PESSOAIS?
Os dados pessoais dos Clientes que recolhemos são tratados no estrito cumprimento da legislação aplicável, sendo armazenados em base de dados específicas, criadas para o efeito. Tais dados são conservados num formato que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados. O período de tempo durante o qual os dados são armazenados e conservados varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período de tempo. Nessa medida, os dados relativos à sua saúde são conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar. Também tomamos por referencial para determinação do período de conservação adequado as várias deliberações das autoridades de controlo de proteção de dados europeias.

QUAIS OS DIREITOS DOS TITULARES DOS DADOS?
Nos termos da legislação aplicável, o titular dos dados poderá solicitar, a todo o tempo, o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação, eliminação ou a limitação do seu tratamento, a portabilidade dos seus dados, ou opor-se ao seu tratamento através do e-mail qualidade(Dinstitutodasaude.pt ou por carta endereçada a Encarregado de Proteção de Dados, Praça 5 de Outubro, 34 – 2500-111 Caldas da Rainha, ou mediante contacto presencial no nosso balcão de Receção. No caso de dados relativos à sua saúde, o direito de acesso à informação de saúde por parte do titular (ou de terceiros com o seu consentimento ou nos termos da lei) pode ser exercido diretamente, ou por intermédio de um médico se o titular da informação o solicitar, mediante pedido escrito dirigido a qualidade (Dinstitutodasaude.pt. Poderá obter a confirmação dos dados pessoais que lhe dizem respeito que são objeto de tratamento, bem como o acesso aos mesmos, sendo-lhe disponibilizada, caso requeira e não existam restrições legais, uma cópia dos dados objeto de tratamento por parte do Instituto da Saúde. Neste sentido, o direito de acesso aos seus dados pessoais não é irrestrito, podendo o Instituto da Saúde recusar fornecer-lhe uma cópia dos seus dados pessoais em fase de tratamento se o seu acesso prejudicar os direitos e as liberdades de terceiros, nomeadamente violados direitos de propriedade intelectual. Nesses casos, poderemos solicitar-lhe que especifique a que informações ou a que atividades de tratamento se refere o seu pedido de acesso, de forma a que possamos prestar-lhe as informações solicitadas. Nos termos da lei, é-lhe ainda garantido o direito de, através dos meios acima referidos, retirar o seu consentimento para os tratamentos de dados relativamente aos quais o consentimento constitui o fundamento de legitimidade. Para o efeito, tem o direito de retirar o seu consentimento a qualquer momento, o que não invalida, no entanto, o tratamento efetuado até essa data com base no consentimento previamente dado. Relativamente ao tratamento dos seus dados para efeito do envio de comunicações de marketing direto, disponibilizamos um link, em cada uma dessas comunicações, através do qual poderá retirar o seu consentimento. O cliente ou utilizador pode ainda, a qualquer momento, solicitar a eliminação dos seus dados pessoais, nos termos legalmente previstos. Ainda assim, poderá ver recusado provimento ao seu pedido de apagamento dos dados em determinadas situações, nomeadamente quando (i) os dados ainda sejam para a finalidade que motivou a sua recolha, quando (ii) o tratamento não tenha por base o consentimento nem a prossecução de interesses legítimos do Responsável pelo Tratamento, quando (iii) os dados não tenham sido tratados ilicitamente, quando (iv) o tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial ou, ainda, quando (v) os dados sejam necessários para efeitos de medicina preventiva, para o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou a gestão de sistemas e serviços de saúde. O Cliente tem, também, o direito de, nos termos da legislação aplicável, solicitar a limitação do tratamento, de se opor ao tratamento ou de obter a portabilidade dos seus dados, verificadas as condições legalmente previstas. Para o efeito, deverá submeter um pedido para os contactos acima referidos. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o titular dos dados tem direito a apresentar uma reclamação à CNPD ou a outra autoridade de controlo competente nos termos da lei, caso considere que os seus dados não estão a ser objeto de tratamento legítimo por parte do Instituto da Saúde, nos termos da legislação aplicável e da presente Política.

UTILIZADORES DAS PLATAFORMAS
A presente Política de Privacidade aplica-se integralmente a todos os utilizadores das Plataformas do Instituto da Saúde. No entanto, dada a especificidade inerente à utilização das referidas plataformas digitais (designadamente, websites e aplicações), importa regular algumas questões particularmente relevantes neste âmbito. O Instituto da saúde tem consciência de que o envio de informação pessoal é uma grande preocupação para os Clientes que utilizam a Internet. Assim, em todos os nossos websites e aplicações, os formulários de recolha de dados pessoais obrigam a sessões encriptadas do browser, e todos os dados pessoais que nos disponibiliza ficam armazenados de forma segura nos sistemas certificados que utilizamos, sobre os quais são implementadas as melhores práticas de segurança técnicas e processuais visando a proteção dos seus dados pessoais. Não obstante as medidas de segurança adotadas, alertamos todos os nossos Clientes e utilizadores que aquando do acesso à Internet devem tomar regularmente precauções e adotar medidas adicionais de segurança neste âmbito, designadamente através da utilização de um computador e um browser atualizados, e acautelar o uso de computadores partilhados, bem como o acesso às suas contas pessoais de Cliente, não partilhando com terceiros os seus dados de acesso. Através das nossas Plataformas, disponibilizamos ligações para websites de terceiros, os quais estão sujeitos a Políticas de Privacidade independentes. Tenha em consideração que a presente Política de Privacidade não se aplica a tais websites e que o Instituto da Saúde não é responsáveis pela recolha de informações suas por parte dos referidos terceiros através dos respetivos websites. Para sua proteção, o acesso a algumas funcionalidades disponibilizadas nas nossas Plataformas encontra-se protegido por uma password, a qual não deverá ser transmitida a terceiros. Por questões de segurança, recomendamos que memorize a sua password e que proceda à sua alteração com regularidade.

QUAIS AS MEDIDAS DE SEGURANÇA ADOTADAS PELO INSTITUTO DA SAÚDE?
Estamos empenhados em assegurar a confidencialidade, proteção e segurança dos dados pessoais dos nossos Clientes, através da implementação das medidas técnicas e organizativas adequadas para proteger os seus dados contra qualquer forma de tratamento indevido ou ilegítimo e contra qualquer perda acidental ou destruição destes dados. Para o efeito, dispomos de sistemas e equipa destinados a garantir a segurança dos dados pessoais tratados, criando e atualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ ou destruição dos dados pessoais, comprometendo-nos a respeitar a legislação relativa à proteção de dados pessoais dos Clientes e a tratar estes dados apenas para os fins para que foram recolhidos, assim como a garantir que estes dados são tratados com adequados níveis de segurança e confidencialidade.
Porque reconhecemos a sensibilidade desta informação, elaborámos e divulgámos a todos os nossos colaboradores procedimentos de proteção de dados pessoais, com vista a assegurar o seu conhecimento acerca das obrigações que lhes são impostas nesta matéria. Para garantir a permanente sensibilização dos nossos colaboradores, desenvolvemos ainda ações de formação junto dos mesmos, os quais assumem o compromisso de não revelar a terceiros ou utilizar para fins contrários à lei, qualquer informação pessoal dos Clientes do Instituto da Saúde, cujo conhecimento lhes advenha do exercício das suas funções. Podemos ser obrigados por lei a divulgar os seus dados pessoais a terceiros (tais como autoridades de controlo) relativamente aos quais temos um controlo limitado relativamente à proteção dos dados pessoais.

EM QUE CIRCUNSTÂNCIAS EXISTE COMUNICAÇÃO DE DADOS A OUTRAS ENTIDADES?
Recorremos a outras entidades para a prestação de determinados serviços. Eventualmente essa prestação de serviços poderá implicar o acesso, por estas entidades, a dados pessoais dos seus Clientes. Tal será o caso das entidades que prestem serviços de suporte dos sistemas informáticos, de certos fornecedores de equipamentos médicos, de prestadores de serviços clínicos em determinados Serviços, de empresas de consultoria fiscal e financeira e sociedades de advogados. Assim, qualquer entidade subcontratante tratará os dados pessoais dos nossos Clientes, em nosso nome e por nossa conta, na estrita obrigação de seguir as nossas instruções. Asseguramos que tais entidades subcontratantes oferecem garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos da lei aplicável e assegure a segurança e proteção dos direitos dos titulares dos dados, nos termos do acordo de subcontratação celebrado com as referidas entidades subcontratantes. Poderemos, ainda, transmitir dados pessoais dos nossos Clientes a entidades terceiras, quando necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais, (iii) para responder a solicitações de autoridades públicas ou governamentais ou (iv) para efeito de certificação, avaliação e medição dos níveis de serviço. Neste sentido, poderemos transmitir os seus dados pessoais à Autoridade Tributária, à Entidade Reguladora da Saúde, ao INFARMED ou às Administrações Regionais de Saúde, aos Tribunais, Solicitadores, aos órgãos de polícia criminal ou ao Ministério Público quando seja notificado para o efeito ou quando tal seja necessário para o cumprimento de obrigações jurídicas, conforme legalmente previsto.

COMO PODE FICAR A CONHECER QUAISQUER ALTERAÇÕES À NOSSA POLÍTICA DE PRIVACIDADE?
O Instituto da Saúde reserva-se o direito de, a qualquer momento, proceder a modificações ou atualizações à presente Política de Privacidade, sendo essas alterações devidamente atualizadas nas nossas Plataformas. Sugerimos que as consulte regularmente para estar a par de eventuais alterações.

Data da última atualização 15 de Maio de 2018

Gestão de Consentimentos Para continuar a comunicar consigo, ao abrigo do novo Regulamento Geral da Proteção de Dados, necessitamos do seu consentimento.
Para gerir ou alterar os seus consentimentos contacte-nos.
Pode consultar aqui o documento relativo à informação sobre o tratamento de dados e consentimento.

INFORMAÇÃO SOBRE O TRATAMENTO DE DADOS NA PRESTAÇÃO DOS SERVIÇOS DE SAÚDE – PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
O Instituto da Saúde, onde lhe são prestados cuidados de saúde, preocupa-se em proteger a sua privacidade e irá processar e armazenar os seus dados pessoais, enquanto responsável pelo tratamento dos mesmos. Os dados pessoais recolhidos, incluindo os direta ou indiretamente relacionados com a sua saúde, serão tratados pelo Instituto da Saúde para efeitos de prestação de cuidados de saúde integrados, incluindo para a gestão dos sistemas e serviços, auditoria e melhoria contínua dos mesmos. Neste contexto, os seus dados poderão ser transmitidos a entidades subcontratadas para prestação de serviços, nos termos dos contratos celebrados com as mesmas, podendo ainda ser comunicados a entidades terceiras para as finalidades aqui previstas e para efeitos de cumprimento de obrigações legais, de uma deliberação da Comissão Nacional de Proteção de Dados ou de outra autoridade de controlo relevante, de uma ordem judicial, para proteção de interesses vitais dos clientes ou para efeitos de certificação, avaliação e medição dos níveis de serviço.
Os dados relacionados com a sua saúde apenas serão tratados por ou sob a responsabilidade de profissionais obrigados a sigilo e na medida do necessário à prestação de cuidados de saúde, podendo ser comunicados aos seus familiares, apenas nas circunstâncias expressamente previstas na Lei em vigor. Caso pretenda que os serviços prestados pelo Instituto da Saúde sejam abrangidos pelo seu seguro ou subsistema de saúde, os seus dados pessoais, incluindo os dados de saúde relacionados com tais serviços, poderão ser comunicados à Companhia de Seguros ou ao subsistema de saúde de que seja beneficiário, sendo que estes são obrigados a sigilo. No caso de o cliente ser menor de 16 anos ou incapaz, caberá ao titular da responsabilidade parental ou da tutoria a junção ao processo administrativo do menor ou incapaz de documento comprovativo, nos termos legalmente admissíveis, dessa titularidade. Feita essa prova, cabe ao referido titular das responsabilidades parentais ou tutoria assinar o presente documento e dar o consentimento para o tratamento dos dados do menor ou incapaz, quando aplicável. Os dados pessoais necessários à prestação dos cuidados de saúde serão conservados nos termos da legislação aplicável ao arquivo da documentação hospitalar e pelos prazos aí definidos. Poderá solicitar, a todo o tempo, o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação, eliminação ou a limitação do seu tratamento, a portabilidade dos seus dados, ou opor-se ao seu tratamento — verificadas as condições legalmente previstas —, através do email qualidade(institutodasaude.pt. No caso de dados relativos à sua saúde, o direito de acesso à informação de saúde por parte do titular (ou de terceiros com o seu consentimento ou nos termos da lei) pode ser exercido diretamente, ou por intermédio de um médico se o titular da informação o solicitar, mediante pedido escrito dirigido a qualidade (Dinstitutodasaude.pt . Para obter mais informações sobre os termos do tratamento de dados pelo Instituto da Saúde, por favor consulte a nossa Política de Privacidade. A assinatura deste documento pressupõe o conhecimento da referida Política. Poderá ainda contactar o nosso Encarregado de Proteção de Dados, para o email qualidade (Dinstitutodasaude.pt . Assiste-lhe, ainda, o direito a apresentar uma reclamação à CNPD ou a outra autoridade de controlo competente nos termos da lei, caso entenda que o tratamento dos seus dados viola o regime legal em vigor a cada momento.