POLÍTICA LGPD
POLÍTICA DE PRIVACIDADE
CÓDIGO DE CONDUTA
PLANO DIRETOR PARA O USO DAS TECNOLOGIAS
A empresa INTERMEDICAL COMÉRCIO DE PRODUTOS MÉDICOS LTDA, pessoa jurídica de direito privado, inscrita sob o CNPJ 04.368.356/0001-33, entende como sensíveis os dados fornecidos pelas Instituições Hospitalares, a partir da utilização de seus produtos de saúde, materiais e órtese próteses,
implantadas em pacientes ou utilizados para diagnóstico em terapia médica, os seguintes dados: dados do paciente (nome completo, idade, gênero, registros da operadora de plano de saúde, CPF) profissionais médicos, colaboradores e terceiros. Dados também oriundos da utilização dos diversos canais de informação e comunicação institucional. Bem como no uso dos sistemas de informação, entrada de nota fiscal, fichas funcionais, credenciamento e relatórios de auditorias/ visitas técnicas. A política objetiva dar visibilidade ao tratamento de dados pessoais do determinado serviço, atendendo princípios da Lei Geral de Proteção de Dados Pessoais – LGPD- Lei 13.709
-
ILUSTRAÇÃO DA POLÍTICA DE PROTEÇÃO DOS DADOS:
AGENTE DE TRATAMENTO: INTERMEDICAL COMÉRCIO DE PRODUTOS MÉDICOS LTDA
PAPEL NO TRATAMENTO: Predominantemente controladora
NATUREZA DOS DADOS TRATADOS: Dados pessoais fornecidos pela instituição hospitalar, responsável em primeira instância pela geração dos dados do paciente, responsável legal, médico ou equipe responsável pela cirurgia. São coletados os dados: nome completo, CPF, idade, plano de saúde, responsável legal (menores de 18 anos, pessoas incapacitadas de decisão legal), cirurgia a ser realizada. Dados coletados através do prontuário clínico do paciente, o qual a INTERMEDICAL, gera um formulário para cadastro e aprovação dos materiais utilizados, assim como a nota fiscal contendo os dados do paciente, acima supracitados.
FINALIDADE COMO CONTROLADORA: Utilizar dados pessoais para fins de cadastro para autorização e utilização dos materiais para o tratamento médico na instituição hospitalar. Base legal: Consentimento do paciente ou seu responsável legal. Recolhido pelo hospital de origem. Nestes casos, o tratamento de dados é autorizado pelo inciso I do artigo 7º da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (“Lei Geral de Proteção de Dados – LGPD”).
COMPARTILHAMENTO: Operadoras de planos de saúde e fornecedores de serviços essenciais para nossas atividades. Colaboradores, médicos, serviços terceirizados. Todos mediante assinatura no termo de confidencialidade no ato de seu contrato ou admissão na instituição.
PROTEÇÃO DE DADOS: Medidas de segurança, técnicas e administrativas adequadas. Para preservar a segurança do acesso às informações, adota-se:
- Métodos padrão e de mercado para criptografar e anonimizar os dados coletados;
- Proteção contra acesso não autorizado a seus sistemas;
- Somente autoriza o acesso de pessoas previamente estabelecidas ao local onde são armazenadas as informações coletadas;
- Aqueles que entrarem em contato com as informações deverão se comprometer a manter sigilo absoluto. A quebra do sigilo acarretará responsabilidade civil e o responsável será responsabilizado nos moldes da legislação brasileira. Manutenção do inventário indicando momento, duração, identidade do funcionário, ou do responsável pelo acesso e o arquivo objeto, com base nos registros de conexão e de acesso a aplicações, conforme determinado no artigo 13 do Decreto nº 8.771/2016.
-
INFRAESTRUTURA:
RISCO EM INFRAESTRUTURA: MEDIDA DE MITIGAÇÃO E CONTROLE
Avaliar perdas de dados, ataques e roubos de informações sensíveis: Avaliação mediante análise de Logs do firewal. Informações de toda rede enviadas e armazenadas em cloud.
Proteção anti vírus, anti incêndio, explosões: Antivírus com painel gerenciado remotamente em cloud
Ameaças da porta, firewall, interceptação de dados e e-mails suspeitos até as caixas de entrada dos usuários, serviços anti spam: Sistema de firewall ativo com proteção de portas, onde as questões de spam e mail suspeito é controle da ferramenta da central server
Controle dos dispositivos móveis: pen drive, HD externo, notebooks particulares: Retirados dos computadores da instituição o uso de possibilidade de USB.
Acessos remotos aos dados da empresa: Não são realizados.
Celulares, MDM – controle de dispositivos móveis: Celulares corporativos com o uso da opção de controle das informações compartilhadas. Whatsapp web, com controle corporativo.
Controle de acessos e monitoramento para redes wifi – registros de log – marco civil da internet: Implantação de disco para armazenamento firewall.
Monitoramento por câmera – controle dos acessos, quem tem acesso às imagens, proteção das imagens: Imagens monitoradas e de acesso exclusivo da diretoria.
Mapeamento dos dados que precisam ser monitorados: Dados sensíveis citados acima.
-
RECURSOS HUMANOS:
3.1 Fornecimento de senhas: Cada colaborador possui sua senha de acesso, a qual é pessoal e intransferível. Não podendo ser compartilhada.
3.2 Critérios e prazos de expiração: Possuem prazo com expiração a cada 3 meses, são padronizadas mediante o uso de “um caractere maiúsculo, um caractere especial, 8 dígitos”.
3.3 Senhas expostas: Realizado log off caso não haja uso em 3 minutos.
3.4 Condutas frente ao erro humano, principalmente nos casos de vazamento de dados sensíveis, bem como a exposição da instituição de forma a denegrir a imagem e reputação da mesma: Utilizado termo de conduta e de sigilo para todos os colaboradores da instituição, com aplicação das penalidades legais.
3.5 Uso das informações relativas ao colaborador – entrada, cadastros e des cadastros: As informações do colaborador são de acesso da diretoria e empresa terceirizada de contabilidade para utilização na folha de pagamento. Os dados são des cadastrados na saída do colaborador.
3.6 Segregação de função e níveis de acesso por colaborador, por níveis de função: As solicitações de acesso à rede são realizadas a cada admissão de novo colaborador ou alteração de função conforme atividade desempenhada por ele na instituição. Essa atividade é de responsabilidade da diretoria, mediante email para empresa terceirizada de Tecnologia da Informação. Assim como o descadastramento na saída do colaborador. Respeitando a seguinte formatação:
ETAPAS/ FUNÇÕES NO SISTEMA CARGO PERMITIDO
- Compras, orçamentos com fornecedor, elaboração da ordem de compra, solicitação da coleta dos materiais no fornecedor; 2. Autorizações de transporte de materiais, valores. Farmacêutico Supervisor de logística Gerentes
- Recebimento, conferência do material (matriz e consignado) e entrada no sistema; 4. Armazenamento. Analista de estoque Analista de logística Supervisor de logística
- Distribuição (matriz e consignado) – Dados do paciente são tratados nesta etapa. Analista de estoque Analista de logística Supervisor de logística
- Entrada de pedidos no sistema para gerar faturamento. Analista de estoque Analista de logística Supervisor de logística Analista de faturamento Supervisor de faturamento
- Entrada de pedidos no sistema para gerar faturamento – exclusão ou alteração de pedidos. Analista de faturamento Supervisor de faturamento
- Faturamento – controle de entrada dos informes de uso, geração de nota fiscal, devolução da venda, interface com fontes pagadoras; 9. Orçamentos. Analista de faturamento
- Financeiro Consultor contábil Analista financeiro Auxiliar financeiro
3.7 Treinamento e capacitação: Realizados a cada 6 meses e na admissão de um novo colaborador, conforme plano de treinamento.
-
PLANO DIRETOR DE TECNOLOGIA – AÇÕES COMPARTILHADAS TI/ EQUIPE:
4.1 Uso de e-mail particular na empresa, envio de arquivos: Não é permitido acesso a e-mail particular do colaborador nos computadores institucionais.
4.2 Uso de email da empresa para atividades particulares e envio de arquivos: Não é permitido.
4.3 Uso de celular particular para atividades da empresa: Não é permitido.
4.4 O uso de Skype ou outra ferramenta similar, para atividades particulares, é proibido nos computadores institucionais;
4.5 Atividades que propiciem o erro humano, através do vazamento das informações: Rastreadas e auditadas pela diretoria em parceria com a empresa de tecnologia da informação. Os procedimentos realizados como controle da Tecnologia de Informação, está descrito em PQ – TI.01 anexo a este documento.