POLÍTICA LGPD
POLÍTICA DE PRIVACIDADE
CÓDIGO DE CONDUTA
PLANO DIRETOR PARA O USO DAS TECNOLOGIAS

A empresa INTERMEDICAL COMÉRCIO DE PRODUTOS MÉDICOS LTDA, pessoa jurídica de direito privado, inscrita sob o CNPJ 04.368.356/0001-33, entende como sensíveis os dados fornecidos pelas Instituições Hospitalares, a partir da utilização de seus produtos de saúde, materiais e órtese próteses,
implantadas em pacientes ou utilizados para diagnóstico em terapia médica, os seguintes dados: dados do paciente (nome completo, idade, gênero, registros da operadora de plano de saúde, CPF) profissionais médicos, colaboradores e terceiros. Dados também oriundos da utilização dos diversos canais de informação e comunicação institucional. Bem como no uso dos sistemas de informação, entrada de nota fiscal, fichas funcionais, credenciamento e relatórios de auditorias/ visitas técnicas. A política objetiva dar visibilidade ao tratamento de dados pessoais do determinado serviço, atendendo princípios da Lei Geral de Proteção de Dados Pessoais – LGPD- Lei 13.709

  1. ILUSTRAÇÃO DA POLÍTICA DE PROTEÇÃO DOS DADOS:

AGENTE DE TRATAMENTO: INTERMEDICAL COMÉRCIO DE PRODUTOS MÉDICOS LTDA

PAPEL NO TRATAMENTO: Predominantemente controladora

NATUREZA DOS DADOS TRATADOS: Dados pessoais fornecidos pela instituição hospitalar, responsável em primeira instância pela geração dos dados do paciente, responsável legal, médico ou equipe responsável pela cirurgia. São coletados os dados: nome completo, CPF, idade, plano de saúde, responsável legal (menores de 18 anos, pessoas incapacitadas de decisão legal), cirurgia a ser realizada. Dados coletados através do prontuário clínico do paciente, o qual a INTERMEDICAL, gera um formulário para cadastro e aprovação dos materiais utilizados, assim como a nota fiscal contendo os dados do paciente, acima supracitados.

FINALIDADE COMO CONTROLADORA: Utilizar dados pessoais para fins de cadastro para autorização e utilização dos materiais para o tratamento médico na instituição hospitalar. Base legal: Consentimento do paciente ou seu responsável legal. Recolhido pelo hospital de origem. Nestes casos, o tratamento de dados é autorizado pelo inciso I do artigo 7º da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (“Lei Geral de Proteção de Dados – LGPD”).

COMPARTILHAMENTO: Operadoras de planos de saúde e fornecedores de serviços essenciais para nossas atividades. Colaboradores, médicos, serviços terceirizados. Todos mediante assinatura no termo de confidencialidade no ato de seu contrato ou admissão na instituição.

PROTEÇÃO DE DADOS: Medidas de segurança, técnicas e administrativas adequadas. Para preservar a segurança do acesso às informações, adota-se:

  • Métodos padrão e de mercado para criptografar e anonimizar os dados coletados;
  • Proteção contra acesso não autorizado a seus sistemas;
  • Somente autoriza o acesso de pessoas previamente estabelecidas ao local onde são armazenadas as informações coletadas;
  • Aqueles que entrarem em contato com as informações deverão se comprometer a manter sigilo absoluto. A quebra do sigilo acarretará responsabilidade civil e o responsável será responsabilizado nos moldes da legislação brasileira. Manutenção do inventário indicando momento, duração, identidade do funcionário, ou do responsável pelo acesso e o arquivo objeto, com base nos registros de conexão e de acesso a aplicações, conforme determinado no artigo 13 do Decreto nº 8.771/2016.
  1. INFRAESTRUTURA:

RISCO EM INFRAESTRUTURA: MEDIDA DE MITIGAÇÃO E CONTROLE

Avaliar perdas de dados, ataques e roubos de informações sensíveis: Avaliação mediante análise de Logs do firewal. Informações de toda rede enviadas e armazenadas em cloud.

Proteção anti vírus, anti incêndio, explosões: Antivírus com painel gerenciado remotamente em cloud

Ameaças da porta, firewall, interceptação de dados e e-mails suspeitos até as caixas de entrada dos usuários, serviços anti spam: Sistema de firewall ativo com proteção de portas, onde as questões de spam e mail suspeito é controle da ferramenta da central server

Controle dos dispositivos móveis: pen drive, HD externo, notebooks particulares: Retirados dos computadores da instituição o uso de possibilidade de USB.

Acessos remotos aos dados da empresa: Não são realizados.

Celulares, MDM – controle de dispositivos móveis: Celulares corporativos com o uso da opção de controle das informações compartilhadas. Whatsapp web, com controle corporativo.

Controle de acessos e monitoramento para redes wifi – registros de log – marco civil da internet: Implantação de disco para armazenamento firewall.

Monitoramento por câmera – controle dos acessos, quem tem acesso às imagens, proteção das imagens: Imagens monitoradas e de acesso exclusivo da diretoria.

Mapeamento dos dados que precisam ser monitorados: Dados sensíveis citados acima.

  1. RECURSOS HUMANOS:

3.1 Fornecimento de senhas: Cada colaborador possui sua senha de acesso, a qual é pessoal e intransferível. Não podendo ser compartilhada.

3.2 Critérios e prazos de expiração: Possuem prazo com expiração a cada 3 meses, são padronizadas mediante o uso de “um caractere maiúsculo, um caractere especial, 8 dígitos”.

3.3 Senhas expostas: Realizado log off caso não haja uso em 3 minutos.

3.4 Condutas frente ao erro humano, principalmente nos casos de vazamento de dados sensíveis, bem como a exposição da instituição de forma a denegrir a imagem e reputação da mesma: Utilizado termo de conduta e de sigilo para todos os colaboradores da instituição, com aplicação das penalidades legais.

3.5 Uso das informações relativas ao colaborador – entrada, cadastros e des cadastros: As informações do colaborador são de acesso da diretoria e empresa terceirizada de contabilidade para utilização na folha de pagamento. Os dados são des cadastrados na saída do colaborador.

3.6 Segregação de função e níveis de acesso por colaborador, por níveis de função: As solicitações de acesso à rede são realizadas a cada admissão de novo colaborador ou alteração de função conforme atividade desempenhada por ele na instituição. Essa atividade é de responsabilidade da diretoria, mediante email para empresa terceirizada de Tecnologia da Informação. Assim como o descadastramento na saída do colaborador. Respeitando a seguinte formatação:

 

ETAPAS/ FUNÇÕES NO SISTEMA CARGO PERMITIDO

  1. Compras, orçamentos com fornecedor, elaboração da ordem de compra, solicitação da coleta dos materiais no fornecedor; 2. Autorizações de transporte de materiais, valores. Farmacêutico Supervisor de logística Gerentes
  2. Recebimento, conferência do material (matriz e consignado) e entrada no sistema; 4. Armazenamento. Analista de estoque Analista de logística Supervisor de logística
  3. Distribuição (matriz e consignado) – Dados do paciente são tratados nesta etapa. Analista de estoque Analista de logística Supervisor de logística
  4. Entrada de pedidos no sistema para gerar faturamento. Analista de estoque Analista de logística Supervisor de logística Analista de faturamento Supervisor de faturamento
  5. Entrada de pedidos no sistema para gerar faturamento – exclusão ou alteração de pedidos. Analista de faturamento Supervisor de faturamento
  6. Faturamento – controle de entrada dos informes de uso, geração de nota fiscal, devolução da venda, interface com fontes pagadoras; 9. Orçamentos. Analista de faturamento
  7. Financeiro Consultor contábil Analista financeiro Auxiliar financeiro

 

3.7 Treinamento e capacitação: Realizados a cada 6 meses e na admissão de um novo colaborador, conforme plano de treinamento.

  1. PLANO DIRETOR DE TECNOLOGIA – AÇÕES COMPARTILHADAS TI/ EQUIPE:

4.1 Uso de e-mail particular na empresa, envio de arquivos: Não é permitido acesso a e-mail particular do colaborador nos computadores institucionais.

4.2 Uso de email da empresa para atividades particulares e envio de arquivos: Não é permitido.

4.3 Uso de celular particular para atividades da empresa: Não é permitido.

4.4 O uso de Skype ou outra ferramenta similar, para atividades particulares, é proibido nos computadores institucionais;

4.5 Atividades que propiciem o erro humano, através do vazamento das informações: Rastreadas e auditadas pela diretoria em parceria com a empresa de tecnologia da informação. Os procedimentos realizados como controle da Tecnologia de Informação, está descrito em PQ – TI.01 anexo a este documento.