Política de Privacidade

Introdução:

Princípio da Transparência:

  1. Nós, da VISANCE CLÍNICA OFTALMOLOGICA LTDA, inscrita no CNPJ sob no. 25.032.345/0001-58, localizada na Avenida João Gualberto, 1881 salas 1701, Juvevê – Curitiba/Pr, como CONTROLADORA, para fins de tratamento de dados pessoais, abrangidos pela Política de Privacidade, temos compromisso com a proteção dos dados pessoais utilizados em nossas atividades.

Esta Política de Privacidade e Proteção de Dados Pessoais foi desenvolvida cuidadosamente para que você, usuário dos nossos serviços, possa entender sobre nossas políticas de uso e práticas sobre seus Dados Pessoais, bem como o tratamento destes dados são realizados.

Além disso, visa expressar nosso compromisso com o tratamento de seus dados pessoais de modo responsável, ético, em linha com nossos princípios e valores.

 

  1. Esta Política define os seus direitos em relação aos seus dados pessoais e quem você pode contatar para obter mais informações ou esclarecimentos a respeito dela. Não obstante, explica as regras sobre como acessar e atualizar seus dados, de acordo com a lei em vigor no Brasil.

Por outra via, esclarece as condições de coleta, tais como: finalidade, adequação, necessidade, transparência, qualidade dos dados, prevenção, segurança, armazenamento, período e livre acesso no tratamento e proteção dos dados, cautela e responsabilização e não discriminação, em conformidade com a Lei Geral de Proteção de dados nº 13.709 de 14 de agosto de 2018 e o Decreto nº 869/2018 e demais legislações vigentes.

O Tratamento de dados poderá ocorrer, nas hipóteses elencadas no art. 7º. Da LGPD[1]

  1. DO CONSENTIMENTO

[1] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – Mediante o fornecimento de consentimento pelo titular;

II – Para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)      Vigência

IX – Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Ao se relacionar com nossa Clínica Visance e utilizar nossos serviços, bem como usar nosso site, você concorda com o tratamento de seus dados pessoais e sensíveis, como está descrito nesta política de privacidade e proteção de dados pessoais.

Caso você não esteja de acordo com as disposições desta política, você deverá descontinuar o seu acesso ou uso dos nossos serviços.

Se você tiver alguma dúvida sobre esta política de privacidade e proteção de dados pessoais, entre em contato com o(a) nosso(a) departamento/encarregado(a) de dados, em visance@visance.com.br

Você declara que fez a leitura integral e com plena atenção, estando ciente, conferindo, sua livre e expressa concordância com os termos aqui constantes, incluindo a coleta dos dados gerais e dados sensíveis aqui mencionados, bem como sua utilização para os fins a seguir especificados.

ATENÇÃO: Você é o único responsável pela precisão, veracidade ou falta dela em relação aos Dados que você fornece ou pela sua desatualização. Fique atento pois é de sua responsabilidade garantir a exatidão ou mantê-los atualizados.

  1. Princípio da Finalidade:

Temos   a obrigatoriedade de coletar, registrar e armazenar as informações, referentes a dados e aos dados sensíveis, de nossos pacientes em prontuário[2], como a sua identificação, anamnese, resultados de exames, diagnósticos, tratamentos, evolução diária, entre outros dados considerados sensíveis, sendo assim, nossa coleta ocorre em decorrência de atos regulatórios.

Os prontuários, abrangem;

  1. Dados de identificação do paciente, como nome, endereço, telefone, RG e CPF, número do SUS, ou plano de saúde, data de nascimento e sexo
  2. Dado sobre a saúde, como cirurgias pelas quais passou, remédios de uso contínuo que utiliza, condições crônicas, vacinas que tomou, e vários outros que se façam necessários ao bom diagnostico.

Tendo em vista o Princípio da finalidade e seus corolários, art. 6º. Da LGPD, conforme os propósitos do tratamento de dados devem ser “… legítimos, específicos, explícitos e informados ao titular sua integração em bases de dados.”

Também usamos suas informações pessoais para nos comunicarmos com você com relação aos Serviços prestados, usamos diferentes canais (por exemplo, telefone, e-mail, chat, SMS, WhatsApp). 

Objetiva-se cumprir com obrigações legais de manutenção de registros, em especial as estabelecidas pelo Marco Civil da Internet – Lei 12.965/2014 no âmbito de ambientes online; bem como pela LGPD Lei 13709/2018; e realizar monitoramentos de segurança do nosso ambiente virtual em prol da sua e da nossa segurança

  1. Do Compartilhamento:

Muitas vezes, como profissionais da área médica, nossa clínica precisa compartilhar dados com outras instituições e empresas; como laboratórios, óticas, fabricas de lentes de contato, hospitais, clínicas e outros profissionais envolvidos no atendimento ao paciente e, para tais ações, coletamos o seu consentimento.

 Os dados contidos nos prontuários, são sigilosos, porém, devem estar disponíveis para permitir, nos casos de emergência, a continuidade do tratamento do paciente e documentar a atuação profissional. Sendo  ainda, necessário o  acesso a exames em sistemas e plataformas digitais, preenchimento de informações pessoais, na telemedicina, na cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), etc.

Ressalvamos que o Conselho Federal de Medicina coíbe o manuseio dos dados sensíveis por terceiros não obrigados ao sigilo profissional, portanto, não compartilhamos seus dados, fora os casos, previstos na legislação.

Também podemos compartilhar:

  • Com terceiros os dados gerais e não sensíveis, com aqueles que nos prestam serviços nas condições de operadores de tratamento de dados pessoais, como contadores, serviços jurídicos, serviços de armazenamento de dados e de comunicação como envio de e-mails, SMS para confirmação de consultas e exames, emissão de notas fiscais, contabilidade, envio de correspondências por meios físicos e manutenção de sistemas de informática;
  • Com autoridades competentes incluindo tribunais e autoridades que exercem poder de fiscalização ou regulação dos nossos setores de atuação, exigências legais e regulatórias art. 11, II a;
  • No Tratamento compartilhado para execução, pela administração, de políticas públicas art. 11, II, b;
  • Na Realização de estudos e pesquisas, garantindo a anonimização sempre que possível art. 11, II, c;
  • No Exercício regular do Direito, art. 11, II, d;
  • Na Proteção da vida e incolumidade do titular com terceiros (art. 11, II e;
  • Na Tutela da saúde;
  • Na Garantia da prevenção à fraude contra o titular.

Ressalta-se que toda e qualquer pessoa, com a qual os seus dados forem compartilhados, está comprometida com as finalidades específicas de prestar serviços, razão pela qual não possuem quaisquer direitos autônomos de uso dos dados.

Respeitamos a privacidade de nossos pacientes, colaboradores, fornecedores e de todos aqueles com os quais possuímos relacionamento, principalmente os que utilizam nossa plataforma digital, como sites e redes sociais.

Privacidade para menores;

Nós entendemos a importância de proteger a privacidade das crianças e adolescentes, motivo pelo qual destacamos que é necessário o consentimento dos pais ou responsáveis para o fim especifico de consultas e tratamentos/procedimentos a crianças e adolescentes (conforme art. 2º do Estatuto da Criança e do Adolescente:  Art. 2º Considera-se criança, para os efeitos desta Lei, a pessoa até doze anos de idade incompletos, e adolescente aquela entre doze e dezoito anos de idade).

 

  1. Fundamentos legais para tratar os seus dados pessoais:

A LGPD dispõe que o tratamento de dados pessoais apenas deve ocorrer mediante fundamento legal. Assim, destacamos abaixo as hipóteses legais em que os seus dados pessoais poderão ser tratados, quando estamos na posição de Controlador, aplicando-se de acordo com a categoria dos dados;

(a) mediante o fornecimento do seu consentimento para tratamento de seus dados pessoais e sensíveis, como por exemplo, para lhe conceder acesso ao site, ou receber informações via e-mail, WhatsApp ou outros meios eletrônicos

(b) quando existentes legítimos interesses para tratamento de seus dados pessoais, como em nosso caso, onde a coleta de dados e dados sensíveis é imprescindível para um bom diagnóstico e tratamento, em conformidade com a Lei 13 709/18 art. 7º.  VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)     

(c) para o cumprimento de obrigações legais e regulatórias que podem exigir a coleta, armazenamento e compartilhamento de seus dados pessoais e dados pessoais sensíveis, tais como manutenção de registros para fins fiscais ou fornecimento de informações a um órgão público ou entidade reguladora de leis/atividades do objeto social de e condutas irregulares;

(d) para executar eventual contrato, bem como para fornecer nossos serviços a você;

(e) para exercer regularmente nossos direitos em contratos, processos judiciais, administrativos ou arbitrais;

(f) para proteção de nosso crédito;

(g) para garantir a prevenção à fraude à sua segurança, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, especialmente os relacionados aos planos e seguros de saúde.

(h) Garantir a portabilidade dos Dados cadastrais para outro Controlador do mesmo ramo de nossa atuação, caso solicitado por você, cumprindo com obrigação do artigo 18 da Lei Geral de Proteção de Dados Pessoais.

Quando executamos serviços em nome de terceiros, passamos à posição de Operador. Nesse caso a hipótese legal em que os dados pessoais serão tratados será definida pelo Controlador do dado pessoal e seguirá as diretrizes apresentadas, tratando os dados em questão apenas para finalidades específicas.

 

  1. Como coletamos seus dados

Diretamente do titular: podemos coletar seus dados pessoais, ao realizar seu cadastro via site, e-mail, WhatsApp, SMS ou pessoalmente em nossa clinica ou por quaisquer outros meios disponíveis virtualmente.

 

  1. Base de Dados:

A base de dados formada por meio da coleta de Dados é de nossa propriedade e está sob nossa responsabilidade, sendo que seu uso, acesso e compartilhamento, quando necessários, serão feitos dentro dos limites e propósitos dos negócios descritos nesta Política, podendo, neste sentido, ser fornecida somente para as empresas parceiros de negócios, já citados anteriormente.

 COOKIES: CABE A VOCÊ CONFIGURAR O SEU NAVEGADOR DE INTERNET CASO DESEJE BLOQUEÁ-LOS. NESTA HIPÓTESE, ALGUMAS FUNCIONALIDADES QUE OFERECEMOS PODERÃO SER LIMITADAS.

 

  • Utilização de Cookies

Utiliza-se Cookies com o objetivo de melhorar a sua experiência de uso do site e demais plataformas, deixando-a ágil, dinâmica, atualizada e favorável à utilização.

Os “cookies” são considerados pequenos arquivos, de texto ou imagem, captados em nosso Site, armazenados nos dispositivos utilizados pelos titulares que os acessam (por exemplo, computadores, tablets, smartphones, etc.), onde são registrados para a posterior retransmissão aos mesmos sites quando este titular volta a visitá-los.

Esses pequenos arquivos, desempenham diversas funções, tais como permitir que você navegue entre as páginas de maneira eficiente, armazenar suas preferências e, em geral, melhorar sua experiência de navegação.

O Usuário poderá desabilitar a função de cookies, exclusivamente no site. Em caso de dúvida, recomenda-se contato com o fornecedor do navegador acerca dos cookies. A desativação dos cookies poderá inviabilizar certas funções do site, as quais impossibilitarão o fornecimento de todos os recursos, além de instabilidades no sistema.

Os titulares também podem remover regularmente todos os cookies que já estão nos seus dispositivos, limpando o histórico do seu navegador. Isso removerá todos os cookies de todos os sites visitados. Contudo, esteja ciente de que, se você desabilitar os cookies que utilizamos no seu navegador, é possível que certas seções ou recursos dos nossos sites não funcionem.

Caso os titulares usem dispositivos diferentes para visualizar e acessar os nossos sites devem assegurar-se de que cada navegador de cada dispositivo está ajustado para atender suas preferências quanto aos cookies.

Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política.

 

  1. Da Segurança:

Como protegemos seus dados e como você também poderá protegê-los

Você também é responsável pelo sigilo de seus Dados Pessoais e deve ter sempre ciência de que o compartilhamento deles pode comprometer a segurança dos seus próprios e do Nosso Ambiente.

Possuímos política de Limitação de acesso a dados pessoais por parte dos colaboradores e prestadores de serviços, restringindo-o apenas nos limites da necessidade e finalidade de tratamento dos dados pessoais.

Qualquer outra pessoa que intervenha em uma das fases do tratamento, como os parceiros e colaboradores, também se obriga a garantir a segurança da informação prevista na Lei em relação aos dados pessoais, mesmo após o seu término.

Vale salientar que sempre comunicará à autoridade nacional e a você, titular dos dados, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Essa comunicação mencionará a descrição da natureza dos dados pessoais afetados, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Não existe um método de transmissão pela Internet ou um método de armazenamento eletrônico que seja 100% seguro. Por conseguinte, não podemos garantir a segurança absoluta das suas informações, apesar de serem tomadas todas as precauções necessárias e exigidas pelos órgãos competentes.

As comunicações podem ser redefinidas e/ou desabilitadas pelo titular posteriormente à realização do cadastro, com exceção daquelas cujo conteúdo seja relevante e relacionado às políticas, regulamentos, normas e demais situações das quais o titular deva obrigatoriamente ser comunicado, conforme legislação aplicável à espécie e as disposições desta Política de Privacidade.

Recomenda-se, ao titular, prudência ao verificar as comunicações recebidas por qualquer meio inclusive WhatsApp, agindo sempre com cautela, com a finalidade de evitar ser vítima de fraudes, principalmente, mas não se limitando, em relação aos remetentes das mensagens, aos conteúdos destas, os links de acesso etc.

Em caso de dúvidas em relação à procedência, recomenda-se que não realize qualquer interação com a mensagem, como abrir links, compartilhar, responder, etc.

Na hipótese de o titular possuir dúvidas com relação à procedência da mensagem, este poderá entrar em contato conosco e iremos auxiliá-lo em relação à veracidade ou não da comunicação.

É importante ressaltar que em razão do relacionamento com o titular, não solicitar senhas ou qualquer dado pessoal em suas comunicações, mas, tão somente, a confirmação dada quando for necessária para prestar o atendimento. Caso existam tais situações, recomenda-se a exclusão da comunicação e contato direto conosco com para as providências necessárias.

Envia-se mensagens dentro dos padrões de segurança reconhecidos e para otimizar o atendimento e tempo de espera na clínica, não se responsabilizando por danos aos dispositivos do Usuário, assim como seus dados, na hipótese de mensagens fraudulentas não enviadas pelo Grupo, mas sim por terceiros estranhos.

  1. Alterações nesta Política de Privacidade e Proteção de Dados Pessoais

A presente Política de Privacidade e Proteção de Dados Pessoais poderá ser alterada a qualquer tempo. Portanto, recomendamos que você reveja esta Política de tempos em tempos para ser informado sobre como estamos protegendo suas informações.

Alteração do teor e atualização: Você reconhece o nosso direito de alterar o teor desta Política a qualquer momento, conforme a finalidade ou necessidade, tal qual para adequação e conformidade legal de disposição de lei ou norma que tenha força jurídica equivalente, cabendo a você verificá-la sempre que efetuar o acesso aos Nossos Ambientes ou utilizar nossos serviços.

Ocorrendo atualizações neste documento e que demandem nova coleta de consentimento, você será notificado por meio dos canais de contatos que você informar.

Inaplicabilidade: Caso algum ponto desta Política seja considerado inaplicável pela Autoridade de Dados ou judicial, as demais condições permanecerão em pleno vigor e efeito.

 

  1. Livre Acesso

Em caso de qualquer dúvida com relação às disposições constantes desta Política de Privacidade e Tratamento de Dados, você poderá entrar em contato por meio dos canais de atendimento apontados a seguir, cujo horário de funcionamento é de segunda à sexta das 9h horas à 18h, exceto feriados nacionais:

 DPO/Encarregado(a), através do envio de e-mail para o endereço eletrônico *****************

  1. QUAIS SÃO OS SEUS DIREITOS E COMO EXERCÊ-LOS

Você possui vários direitos em relação aos seus dados pessoais, nos termos da LGPD. Para tanto, implementamos controles adicionais de transparência e acesso em nossa área de Privacidade para disponibilizar aos usuários o acesso livre e gratuito a esses direitos. Neste contexto, você tem o direito a:

  • Confirmação de que estamos tratando seus dados pessoais;
  • Solicitar a alteração ou atualização de seus dados pessoais quando estiverem incorretos, incompletos ou inexatos;
  • Solicitar que os dados pessoais que você entenda como desnecessários, excessivos ou tratados em desconformidade com a LGPD sejam anonimizados, pseudoanonimizados, mascaramento, bloqueados ou eliminados, desde que permitido pelas legislações/regulamentos
  • Se opor ao tratamento de dados pessoais, quando não tivermos mais necessidade legítima ou legal de tratá-los;
  • Solicitar a transmissão dos dados pessoais que tratamos sobre você para outro fornecedor;
  • Revogar o consentimento concedido, solicitar a eliminação dos dados pessoais tratados com base em consentimento, bem como de ter acesso a informações sobre a possibilidade de você não fornecer o consentimento e as respectivas consequências da negativa;

Caso queira exercer algum(uns) dos seus direitos sobre a coleta ou o uso de seus dados pessoais descritos acima, entre em contato com o nosso canal de Privacidade e Proteção de Dados pelo e-mail *******************

 

  1. Esclarecimentos:

Caso Você solicite a exclusão de seus Dados Pessoais e dos dados sensíveis, pode ocorrer que os Dados precisem ser mantidos por período superior ao pedido de exclusão, nos termos do artigo 16 da Lei Geral de Proteção de Dados Pessoais, para (i) cumprimento de obrigação legal ou regulatória, (ii) estudo por órgão de pesquisa, e (iii) transferência a terceiro (respeitados os requisitos de tratamento de dados dispostos na mesma Lei). Em todos os casos mediante a anonimização dos Dados Pessoais, desde que possível.

Findos o prazo de manutenção e a necessidade legal, os Dados Pessoais serão excluídos com uso de métodos de descarte seguro, ou utilizados de forma anonimizada para fins estatísticos.

 Para fins de manutenção da sua e da nossa segurança, podemos solicitar quando da requisição de exercício de direitos, a confirmação de sua identidade por meio dos mecanismos e ferramentas disponíveis.

 

  1. Registro público:

Esta Política está registrada no Ofício de Registro de Títulos e Documentos

Lei aplicável e foro. Essa Política será interpretada segundo a legislação brasileira, no idioma português, sendo eleito o foro de Curitiba/Pr para dirimir qualquer controvérsia que envolva este documento, salvo ressalva específica de competência pessoal, territorial ou funcional pela legislação aplicável.

Você, caso não possua domicílio no Brasil, e em razão dos serviços oferecidos pela Clínica, apenas em território nacional, se submete à legislação brasileira, concordando, portanto, que em havendo litígio a ser solucionado, a ação deverá ser proposta no Foro da Comarca de Curitiba no Estado do Paraná.

Nossa Política de Privacidade está registrada no Cartório de ******

 

  1. PRAZO DE ARMAZENAMENTO

FUNDAMENTO LEGAL

Dados cadastrais

5 anos após o término da relação

Art. 12 e 34 do Código de Defesa do Consumidor

Dados de identificação digital

6 meses

Art. 15, Marco Civil da Internet

Outros dados

Enquanto durar a relação e não houver pedido de apagamento ou revogação de consentimento

Art. 9, Inciso II da Lei Geral de Proteção de Dados Pessoais

Prazo PRONTUÁRIOS

20 anos de acordo com a Resolução 1639/2002 do CFM

Prazos de armazenamento superiores. Para fins de auditoria, segurança, controle de fraudes, proteção ao crédito e preservação de direitos, poderemos permanecer com o histórico de registro de seus Dados por prazo maior nas hipóteses que a lei ou norma regulatória assim estabelecer ou para preservação de direitos.

  1. COMUNICAÇÃO ELETRONICA

Você reconhece que toda comunicação realizada por WhatsApp, e-mail, SMS, aplicativos de comunicação instantânea aos endereços informados no seu cadastro ou qualquer outra forma digital, também são válidas, eficazes e suficientes para a coleta de dados gerais, referente a assunto que se refira aos serviços que prestamos, bem como às condições de sua prestação ou a qualquer outro assunto nele abordado.

 

  1. CANAIS DE ATENDIMENTO

Em caso de dúvida com relação às disposições constantes desta Política de Privacidade e Tratamento de Dados, você poderá entrar em contato por meio de WhatsApp, telefone e site a seguir, cujo horário de funcionamento é de segunda à sexta, das 9h horas à 17h, exceto feriados nacionais

 Para entrar em contato conosco é possível preencher o formulário próprio, enviar e-mail ou por meio de ligação telefônica.

 

ANEXO 01

GLOSSARIO

  1. Dado Pessoal: são informações relativas a uma pessoa identificada ou identificável.
  2. Dado sensível: são informações bem particulares e íntimas do titular, como dados relativos à etnia, opinião política, filiação a sindicatos, convicção religiosa ou sexual. Essas informações são tidas como delicadas e, por isso, o controlador só deve solicitá-las para finalidades bastante específicas.
  3. Controlador: “Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em outras palavras, toda pessoa física ou jurídica que recolha informações pessoais é considerada um controlador.
  4. Operador: é a empresa ou profissional diretamente responsável pelo tratamento dos dados, direcionado ou contratado pelo controlador. Tanto o operador quanto o controlador devem manter registros sobre o tratamento de dados.
  5. Dados anonimizados: é descrito como “dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Em outras palavras, trata-se de uma informação que foi descaracterizada em algum nível para que o seu titular não possa mais ser identificado por meios simples, mas que ainda é importante para o controlador.
  6. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  7. Encarregado DPO Data Protecion Officer: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
  8. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  9. Cookies: são pequenos arquivos que são armazenados no dispositivo de um navegador da internet, quando ele acessa um site pela primeira vez. Eles são responsáveis por coletar e armazenar informações sobre a navegação dentro desse ambiente, permitindo que elas sejam usadas posteriormente.
  10. Informações de redes sociais: São informações que você compartilha voluntariamente através do seu login e senha.
  11. Autoridade Nacional de Proteção de Dados – ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
  12. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal.
  13. Criança: pessoa física com até 12 (doze) anos de idade incompletos, segundo o Estatuto da Criança e do Adolescente (“ECA”). Adolescente: pessoa física entre 12 (doze) e 18 (dezoito) anos de idade, segundo o Estatuto da Criança e do Adolescente (“ECA”).
  14. Compartilhamento: transferência ou interconexão de dados pessoais com áreas internas ou terceiros.
  15. Confidencialidade: garantia de que os dados pessoais não serão divulgados para pessoas não autorizadas. Pseudonimização: processo a ser aplicado em um dado pessoal para torná-lo pseudonimizado, ou seja, dado pessoal que tenha sido descaracterizado ou codificado de modo que não permita a identificação do titular em um primeiro momento, mas que, após associação com outros dados, leva à sua identificação. Os dados pseudonimizados são aqueles que permitem a associação a um indivíduo a partir de informações mantidas pelo controlador em ambiente separado e seguro, como no caso da segregação da base de dados ou da atribuição de identificadores a indivíduos.
  16. Vazamento: divulgação ilícita ou acesso não autorizado a dados pessoais. Incidente: evento que leva a perda, destruição, alteração, divulgação ou acesso não autorizados, de dados pessoais.
  17. Eliminação: exclusão de dado pessoal ou de conjunto de dados pessoais armazenados em banco de dados, independentemente do procedimento empregado.
  18. LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 e disposições posteriores) que traz regras e disposições sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
  19. Marco Civil da Internet: Lei965/2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

 

ANEXO 02

Legislação CITADA ANEXADA PELA
COORDENAÇÃO DE ESTUDOS LEGISLATIVOS – CEDI
CONSELHO FEDERAL DE MEDICINA

RESOLUÇÃO CFM Nº 1.639, DE 10 DE JULHO DE 2002
Aprova as “Normas Técnicas para o Uso de
Sistemas Informatizados para a Guarda e
Manuseio do Prontuário Médico”, dispõe sobre
tempo de guarda dos prontuários, estabelece
critérios para certificação dos sistemas de
informação, revoga a resolução que menciona, e
dá outras providências.

O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições que lhe confere a
Lei n. 3.268, de 30 de setembro de 1957, regulamentada pelo Decreto n. 44.045, de 19 de julho
de 1958, e
CONSIDERANDO que o médico tem o dever de elaborar o prontuário para cada
paciente a que assiste, conforme previsto no art. 69 do Código de Ética Médica;
CONSIDERANDO que os dados que compõem o prontuário pertencem ao paciente e
devem estar permanentemente disponíveis, de modo que, quando solicitado por ele ou seu
representante legal, permitam o fornecimento de cópias autênticas das informações a ele
pertinentes;
CONSIDERANDO o teor da Resolução CFM n. 1.605, de 15 de setembro de 2000,
que dispõe sobre o fornecimento das informações do prontuário à autoridade judiciária
requisitante;
CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade do
indivíduo, deve estar sujeito às normas estabelecidas na legislação e no Código de Ética Médica,
independente do meio utilizado para o armazenamento dos dados no prontuário, seja eletrônico
ou em papel;
CONSIDERANDO o volume de documentos armazenados pelos estabelecimentos de
saúde e consultórios médicos em decorrência da necessidade de manutenção dos prontuários;
CONSIDERANDO os avanços da tecnologia da informação e de telecomunicações,
que oferecem novos métodos de armazenamento e de transmissão de dados;
CONSIDERANDO a legislação arquivística brasileira, que normatiza a guarda, a
temporalidade e a classificação dos documentos, inclusive dos prontuários médicos;

LEGISLAÇÃO CITADA ANEXADA PELA
COORDENAÇÃO DE ESTUDOS LEGISLATIVOS – CEDI
CONSIDERANDO o disposto na Resolução CFM n. 1.638, de 10 de julho de 2002,
que define prontuário médico e cria as Comissões de Revisão de Prontuários nos
estabelecimentos e/ou instituições de saúde;
CONSIDERANDO o teor do Parecer CFM n. 30, de 2002, aprovado na Sessão
Plenária de 10 de julho de 2002;
CONSIDERANDO, finalmente, o decidido em Sessão Plenária de 10 de julho de
2002, resolve:
Art. 1º Aprovar as “Normas Técnicas para o Uso de Sistemas Informatizados para a
Guarda e Manuseio do Prontuário Médico”, anexas a esta resolução, possibilitando a elaboração e
o arquivamento do prontuário em meio eletrônico.
Art. 2º Estabelecer a guarda permanente para os prontuários médicos arquivados
eletronicamente em meio óptico ou magnético, e microfilmados.
Art. 3º Recomendar a implantação da Comissão Permanente de Avaliação de
Documentos em todas as unidades que prestam assistência médica e são detentoras de arquivos
de prontuários médicos, tomando como base as atribuições estabelecidas na legislação
arquivística brasileira (a Resolução CONARQ n. 7), de 20 de maio de 1997, a NBR n. 10.519, de
1988, da ABNT, e o Decreto n. 4.073, de 3 de janeiro de 2002, que regulamenta a Lei de
Arquivos – Lei n. 8.159, de 8 de janeiro de 1991).
Art. 4º Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do último registro,
para a preservação dos prontuários médicos em suporte de papel.
Parágrafo único. Findo o prazo estabelecido no caput , e considerando o valor
secundário dos prontuários, a Comissão Permanente de Avaliação de Documentos, após consulta
à Comissão de Revisão de Prontuários, deverá elaborar e aplicar critérios de amostragem para a
preservação definitiva dos documentos em papel que apresentem informações relevantes do
ponto de vista médico-científico, histórico e social.
Art. 5º Autorizar, no caso de emprego da microfilmagem, a eliminação do suporte de
papel dos prontuários microfilmados, de acordo com os procedimentos previstos na legislação
arquivística em vigor (Lei nº 5.433, de 8 de maio de 1968 e Decreto nº 1.799, de 30 de janeiro de
1996), após análise obrigatória da Comissão Permanente de Avaliação de Documentos da
unidade médico-hospitalar geradora do arquivo.
Art. 6º Autorizar, no caso de digitalização dos prontuários, a eliminação do suporte
de papel dos mesmos, desde que a forma de armazenamento dos documentos digitalizados
obedeça à norma específica de digitalização contida no anexo desta resolução e após análise
obrigatória da Comissão Permanente de Avaliação de Documentos da unidade médico-hospitalar
geradora do arquivo.
Art. 7º O Conselho Federal de Medicina e a Sociedade Brasileira de Informática em
Saúde (SBIS), mediante convênio específico, expedirão, quando solicitados, a certificação dos

LEGISLAÇÃO CITADA ANEXADA PELA
COORDENAÇÃO DE ESTUDOS LEGISLATIVOS – CEDI
sistemas para guarda e manuseio de prontuários eletrônicos que estejam de acordo com as normas
técnicas especificadas no anexo a esta resolução.
Art. 8º Esta resolução entra em vigor na data de sua publicação.
Art. 9º Fica revogada a Resolução CFM n. 1.331, de 1989 e demais disposições em
contrário. – EDSON DE OLIVEIRA ANDRADE, Presidente do Conselho, RUBENS DOS
SANTOS SILVA, Secretário-Geral,
ANEXO
NORMAS TÉCNICAS PARA O USO DE SISTEMAS INFORMATIZADOS PARA A
GUARDA E MANUSEIO DO PRONTUÁRIO MÉDICO
I – Integridade da Informação e Qualidade do Serviço – O sistema de informações deverá manter
a integridade da informação através do controle de vulnerabilidades, de métodos fortes de
autenticação, do controle de acesso e métodos de processamento dos sistemas operacionais
conforme a norma ISO/IEC 15408, para segurança dos processos de sistema.
II – Cópia de Segurança – Deverá ser feita cópia de segurança dos dados do prontuário pelo
menos a cada 24 horas. Recomenda-se que o sistema de informação utilizado possua a
funcionalidade de forçar a realização do processo de cópia de segurança diariamente. O
procedimento de backup deve seguir as recomendações da norma ISO/IEC 17799, através da
adoção dos seguintes controles:
a) Documentação do processo de backup /restore ;
b) As cópias devem ser mantidas em local distante o suficiente para livrá-las de danos que
possam ocorrer nas instalações principais;
c) Mínimo de três cópias para aplicações críticas;
d) Proteções físicas adequadas de modo a impedir acesso não autorizado;
e) Possibilitar a realização de testes periódicos de restauração.
III – Bancos de Dados – Os dados do prontuário deverão ser armazenados em sistema que
assegure, pelo menos, as seguintes características:
a) Compartilhamento dos dados;
b) Independência entre dados e programas;
c) Mecanismos para garantir a integridade, controle de conformidade e validação dos dados;
d) Controle da estrutura física e lógica;
e) Linguagem para a definição e manipulação de dados (SQL – Standard Query Language);
f) Funções de auditoria e recuperação dos dados.
IV – Privacidade e Confidencialidade – Com o objetivo de garantir a privacidade,
confidencialidade dos dados do paciente e o sigilo profissional, faz-se necessário que o sistema
de informações possua mecanismos de acesso restrito e limitado a cada perfil de usuário, de
acordo com a sua função no processo assistencial:
a) Recomenda-se que o profissional entre pessoalmente com os dados assistenciais do prontuário
no sistema de informação;
b) A delegação da tarefa de digitação dos dados assistenciais coletados a um profissional
administrativo não exime o médico, fornecedor das informações, da sua responsabilidade desde
que o profissional administrativo esteja inserindo estes dados por intermédio de sua senha de
acesso;

LEGISLAÇÃO CITADA ANEXADA PELA
COORDENAÇÃO DE ESTUDOS LEGISLATIVOS – CEDI
c) A senha de acesso será delegada e controlada pela senha do médico a quem o profissional
administrativo está subordinado;
d) Deve constar da trilha de auditoria quem entrou com a informação;
e) Todos os funcionários de áreas administrativas e técnicas que, de alguma forma, tiverem
acesso aos dados do prontuário deverão assinar um termo de confidencialidade e não-divulgação,
em conformidade com a norma ISO/IEC 17799.
V – Autenticação – O sistema de informação deverá ser capaz de identificar cada usuário através
de algum método de autenticação. Em se tratando de sistemas de uso local, no qual não haverá
transmissão da informação para outra instituição, é obrigatória a utilização de senhas. As senhas
deverão ser de no mínimo 5 caracteres, compostos por letras e números. Trocas periódicas das
senhas deverão ser exigidas pelo sistema no período máximo de 60 (sessenta) dias. Em hipótese
alguma o profissional poderá fornecer a sua senha a outro usuário, conforme preconiza a norma
ISO/IEC 17799. O sistema de informações deve possibilitar a criação de perfis de usuários que
permita o controle de processos do sistema.
VI – Auditoria – O sistema de informações deverá possuir registro (log ) de eventos, conforme
prevê a norma ISO/IEC 17799. Estes registros devem conter:
a) A identificação dos usuários do sistema;
b) Datas e horários de entrada (log-on ) e saída (log-off ) no sistema;
c) Identidade do terminal e, quando possível, a sua localização;
d) Registro das tentativas de acesso ao sistema, aceitas e rejeitadas;
e) Registro das tentativas de acesso a outros recursos e dados, aceitas e rejeitadas;
f) Registro das exceções e de outros eventos de segurança relevantes devem ser mantidos por um
período de tempo não inferior a 10 (dez) anos, para auxiliar em investigações futuras e na
monitoração do controle de acesso.
VII – Transmissão de Dados – Para a transmissão remota de dados identificados do prontuário, os
sistemas deverão possuir um certificado digital de aplicação única emitido por uma AC
(Autoridade Certificadora) credenciada pelo ITI responsável pela AC Raiz da estrutura do ICP-
Brasil, a fim de garantir a identidade do sistema.
VIII – Certificação do software – A verificação do atendimento destas normas poderá ser feita
através de processo de certificação do software junto ao CFM, conforme especificado a seguir.
IX – Digitalização de prontuários – Os arquivos digitais oriundos da digitalização do prontuário
médico deverão ser controlados por módulo do sistema especializado que possua as seguintes
características:
a) Mecanismo próprio de captura de imagem em preto e branco e colorida independente do
equipamento scanner ;
b) Base de dados própria para o armazenamento dos arquivos digitalizados;
c) Método de indexação que permita criar um arquivamento organizado, possibilitando a pesquisa
futura de maneira simples e eficiente;
d) Mecanismo de pesquisa utilizando informações sobre os documentos, incluindo os campos de
indexação e o texto contido nos documentos digitalizados, para encontrar imagens armazenadas
na base de dados;
e) Mecanismos de controle de acesso que garantam o acesso a documentos digitalizados somente
por pessoas autorizadas.
CERTIFICAÇÃO DOS SISTEMAS INFORMATIZADOS PARA A GUARDA E MANUSEIO
DO PRONTUÁRIO MÉDICO

LEGISLAÇÃO CITADA ANEXADA PELA
COORDENAÇÃO DE ESTUDOS LEGISLATIVOS – CEDI
Todas as pessoas físicas, organizações ou empresas desenvolvedoras de sistemas informatizados
para a guarda e manuseio do prontuário médico que desejarem obter a certificação do CFM e da
SBIS deverão cumprir os seguintes passos:
1) Responder e enviar, via Internet, o questionário básico, disponível na página do CFM:
http://www.cfm.org.br/certificacao;
2) O questionário remetido será analisado pelo CFM/SBIS, que emitirá um parecer inicial
aprovando ou não o sistema proposto. Este parecer será enviado, via Internet, ao postulante;
3) Caso aprovado, os sistemas de gestão de consultórios e pequenas clínicas (sistemas de menor
complexidade) deverão ser encaminhados à sede do CFM para análise. Os sistemas de gestão
hospitalar ou de redes de atenção à saúde (sistemas de maior complexidade) que não possam ser
enviados serão analisados in loco (sob a responsabilidade do CFM/SBIS);
4) O processo de avaliação consistirá na análise do cumprimento das normas técnicas acima
elencadas. A aprovação do sistema estará condicionada ao cumprimento de todas as normas
estabelecidas;
5) Em caso de não-aprovação do sistema, serão especificados os motivos para que as
reformulações necessárias sejam encaminhadas;
6) Uma vez aprovado o sistema na versão analisada, além do documento de certificação o CFM e
a SBIS emitirão um selo digital de qualidade que poderá ser incorporado na tela de abertura do
sistema;
7) A tabela de custos para o processo de certificação dos sistemas de informação de prontuário
eletrônico encontra-se disponível no site http://www.cfm.org.br/certificacao;
8) A certificação deverá ser revalidada a cada nova versão do sistema, seguindo os mesmos
trâmites anteriormente descritos.