CLÍNICA GERAÇÕES
Política de Privacidade e Tratamento de Dados Pessoais
Regulamento Geral Da Proteção de Dados (RGPD)
1. A NOSSA POLÍTICA DE PRIVACIDADE
A CLÍNICA MÉDICA GERAÇÕES – Mulher e Criança, Lda., doravante designada por CLÍNICA GERAÇÕES, Pessoa Coletiva número 506388077 registada na Conservatória do Registo Comercial de Lisboa sob o número 506388077, com o capital social no montante €131.000, com sede na Avenida Fontes Pereira de Melo, nº 3, 9º esquerdo, 1050-115 Lisboa, empenhada na proteção dos dados pessoais por si tratados, é a entidade responsável pela elaboração da presente Política de Privacidade.
A CLÍNICA GERAÇÕES tem por objeto a gestão e exploração de clínica médica, prestação de serviços médicos, prestação de serviços auxiliares e complementares de diagnóstico e ainda a formação médica, pelo que recolhe e trata informação com a natureza de dados pessoais.
A CLÍNICA GERAÇÕES conhece e cumpre as regras previstas para o tratamento de dados pessoais, nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD (Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016) e qualquer outra legislação que lhe seja aplicável.
1.1. RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS
A CLÍNICA GERAÇÕES é entidade responsável pelo tratamento dos seus dados pessoais, por meios automatizados ou não, desde a sua recolha, organização, conservação até à eliminação.
Os seus dados são tratados de forma lícita e transparente, com base no consentimento prestado e nos precisos termos da informação prestada nesta política.
Apenas recolhemos os dados necessários e adequados à prossecução da finalidade por si consentida, e esses dados serão eliminados logo que essas finalidades deixem de se verificar.
Os seus dados pessoais são tratados com garantias de segurança, sendo mantidos protegidos de acessos ilegítimos, de perda ou destruição, e acedidos apenas pelo departamento que executa as finalidades para que foram recolhidos, e por pessoas contratualmente obrigadas a sigilo.
1.1.1. ENCARREGADO DA PROTECÇÃO DE DADOS
O Encarregado da Proteção de Dados (EPD) é responsável por implementar e verificar o cumprimento da Política de Privacidade. Para questões relacionadas com o tratamento de dados pessoais deve ser contactado o EPD através do seguinte contacto:
Sérgio Pinto
CLÍNICA MÉDICA GERAÇÕES- Mulher e Criança, Lda.
Av. Fontes Pereira de Melo, n.º 3 – 9.º esq.
1050-115 LISBOA
Email: rgpd@clinicageracoes.pt
Telefone: 21 358 39 10
1.2. TRATAMENTO DOS DADOS PESSOAIS
1.2.1. CONCEITOS NO TRATAMENTO DOS DADOS PESSOAIS
De acordo com o RGPD, entende-se por “dados pessoais”, a «informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».
Existem determinadas categorias de dados pessoais, de natureza mais sensível e que o RGPD classifica como “categorias especiais de dados pessoais”, cujo tratamento é, por defeito, proibido (dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa), salvo se se verificar um fundamento que legitime o tratamento deste tipo de dados (como, por exemplo, a prestação de cuidados de saúde).
Por outro lado, considera-se como ”tratamento de dados pessoais”, «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição».
1.2.2. PRINCÍPIOS NO TRATAMENTO DOS DADOS PESSOAIS
Em termos de princípios gerais relativos ao tratamento de dados, a CLÍNICA GERAÇÕES compromete- se a assegurar que os dados pessoais por si tratados são:
• Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
• Recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;
• Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
• Exatos e atualizados sempre que necessário, sendo adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
• Conservados de uma forma que permite a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
• Tratados de uma forma que garante a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, sendo adotadas as medidas técnicas ou organizativas adequadas.
Os tratamentos de dados efetuados pela CLÍNICA GERAÇÕES são lícitos quando se verifique pelo menos uma das seguintes situações:
• O titular dos dados tiver dado o seu consentimento explícito para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas; ou
• O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados; ou
• O tratamento for necessário para o cumprimento de uma obrigação jurídica a que a CLÍNICA GERAÇÕES esteja sujeita; ou
• O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; ou
• O tratamento for necessário para efeito dos interesses legítimos prosseguidos pela CLÍNICA GERAÇÕES ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
No que respeita às categorias especiais de dados pessoais, em especial, dados relativos à saúde e informação de saúde, o seu tratamento pela CLÍNICA GERAÇÕES é lícito nos seguintes casos:
• Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas; ou
• Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da CLÍNICA GERAÇÕES ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido por lei ou por uma convenção coletiva que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados; ou
• Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento; ou
• Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular; ou
• Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional; ou
• Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base na lei ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no RGPD – desde que os dados pessoais sejam tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade, ao abrigo da lei ou de regulamentação específica; ou
• Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o previsto no RGPD.
A CLÍNICA GERAÇÕES compromete-se a assegurar que o tratamento das categorias especiais de dados pessoais (no caso, dados relativos a saúde e informação de saúde) apenas é feito nas condições acima elencadas e com respeito pelos princípios acima mencionados.
1.3. RECOLHA DE DADOS PESSOAIS
1.3.1. CANAIS DE RECOLHA DE DADOS PESSOAIS
A CLÍNICA GERAÇÕES recolhe dados diretamente junto do titular dos dados, presencialmente no balcão de atendimento, por telefone, por e-mail e através do website da CLÍNICA GERAÇÕES.
No que diz respeito aos dados relativos a saúde, os mesmos são recolhidos presencialmente ou remotamente (telemedicina), através de médico ou de profissional de saúde sujeito a sigilo.
Quaisquer informações ou conteúdos que o titular transmita para o website (através de e-mail, mensagem para grupo de discussão, envio de ficheiros ou de outro modo) encontram-se sujeitos à política constante do Aviso Legal/ Termos e Condições publicado no website da CLÍNICA GERAÇÕES.
Em especial, no que respeita à telemedicina (teleconsultas), os dados pessoais, incluindo os dados relativos a saúde, são recolhidos à distância mediante consentimento informado prestado pelo titular com recurso à utilização de tecnologias de informação e comunicação digitais, tal como webcams e colunas de som.
1.3.2. DADOS PESSOAIS RECOLHIDOS
Os dados pessoais recolhidos e tratados pela CLÍNICA GERAÇÕES consistem em informação relativa, nomeadamente, ao nome, morada, telefone, e-mail, data de nascimento, género, estado civil, profissão, filiação, número de documento de identificação civil, número de identificação fiscal, número de utente, subsistema de saúde, dados relativos à saúde, informação de saúde e informação bancária para efeitos de faturação, embora possam vir a ser recolhidos e tratados outros dados necessários à prestação de serviços e cuidados de saúde.
Nos termos do RGPD, são considerados dados pessoais relativos à saúde todos os dados relativos ao titular que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro, o que inclui informações recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, nomeadamente: qualquer número, símbolo ou sinal particular atribuído ao titular para o identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.
No caso de o titular dos dados ser menor de 18 anos ou incapaz, caberá ao titular da responsabilidade parental ou da tutoria a junção ao processo administrativo do menor ou incapaz de documento comprovativo, nos termos legalmente admissíveis, dessa titularidade. Feita essa prova, compete ao titular das responsabilidades parentais ou tutoria assinar a relevante documentação.
Quando esteja em causa a oferta de serviços a menores de 16 anos, o tratamento dos dados pessoais do menor para esse efeito só é lícito se e na medida em que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental ou da tutoria do menor. Para o efeito, aquando da recolha de dados de menores, será solicitado aos pais/titulares da responsabilidade parental ou da tutoria do menor, o consentimento do tratamento de dados pessoais dos menores em causa, quando aplicável.
Aquando da recolha dos dados pessoais, a CLÍNICA GERAÇÕES prestará ao titular dos dados informações detalhadas acerca da natureza dos dados recolhidos.
No âmbito do tratamento de dados pessoais, a CLÍNICA GERAÇÕES garante o cumprimento dos princípios da proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default). Tal compromisso implica que os dados pessoais dos titulares serão de acesso limitado às pessoas que tenham necessidade de os conhecer no exercício das suas funções, na estrita medida do necessário para a prossecução das finalidades indicadas na secção seguinte. Em especial quanto aos dados relativos a saúde, serão, em observância da lei aplicável, de acesso reservado aos médicos e profissionais de saúde adstritos à prestação dos serviços e cuidados de saúde ou a profissionais adstritos a obrigações de confidencialidade.
Quando um determinado tratamento de dados for realizado pela CLÍNICA GERAÇÕES com base apenas no consentimento do titular dos dados, este tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento, todavia, não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.
1.4. REGISTO E ARQUIVO DE DADOS PESSOAIS
Toda a informação é registada na plataforma informática Medicineone® M1 2018, certificada para obedecer às exigências do RGPD.
Todo o registo em papel é arquivado em local próprio e seguro, e será gradualmente transferido para esta plataforma.
1.5. SEGURANÇA DOS DADOS PESSOAIS
A CLÍNICA GERAÇÕES tem implementadas diversas medidas técnicas e organizativas com vista a assegurar um nível de segurança adequado dos dados pessoais, as quais são revistas e atualizadas periodicamente, consoante as necessidades.
Em função da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados, bem como dos riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares a CLÍNICA GERAÇÕES compromete-se a aplicar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas necessárias e adequadas à proteção dos dados e ao cumprimento dos requisitos do RGPD. Compromete-se ainda a assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento e que esses dados não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas.
Em termos de medidas gerais, a CLÍNICA GERAÇÕES adota as seguintes:
• Acesso restrito de pessoas às instalações;
• Sensibilização e formação do pessoal implicado nas operações de tratamento de dados;
• Arquivo físico de registos em papel em local com acesso restrito;
• Eliminação gradual dos registos em papel;
• Utilização de antivírus, firewall, anti-malware e outros mecanismos de deteção de intrusão;
• Utilização de VPN com encriptação de 1.024 bits;
• Perfis de acesso diferenciados consoante a função/cargo da pessoa que acede aos sistemas de informação (diferentes perfis de utilizador, que garantem a separação lógica entre os dados relativos a saúde e os restantes dados);
• Acesso aos sistemas de informação através de username e password;
• Implementação de regras de qualidade de password (tamanho mínimo, tipo de carateres e duração máxima de 30 dias);
• Eliminação mensal de perfis de utilizadores que cessem o seu vínculo (laboral ou outro) com a CLÍNICA GERAÇÕES;
• Deteção de acessos não autorizados;
• Cifragem da base de dados pessoais;
• Realização de backups periódicos;
• Auditorias regulares com vista a aferir a eficácia das medidas técnicas e organizativas implementadas;
• Mecanismos capazes de assegurar a confidencialidade, disponibilidade e resiliência permanentes dos sistemas de informação;
• Mecanismos que asseguram o restabelecimento dos sistemas de informação e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico (no caso de um incidente físico ou técnico, a informação é recuperável, através de backup, em 2 horas).
• Informação e cumprimento da política de cookies do nosso site: www.clinicageracoes.pt (VER AQUI)
1.6. ENTIDADES SUBCONTRATADAS
No âmbito dos tratamentos de dados pessoais que realiza, a CLÍNICA GERAÇÕES recorre ou poderá recorrer a subcontratantes, os quais consistem em pessoas singulares ou coletivas subcontratadas pela CLÍNICA GERAÇÕES para, em nome desta e de acordo com as suas instruções, procederem ao tratamento de dados pessoais em estrito cumprimento com o disposto na lei e na presente Política de Privacidade.
Estas entidades subcontratadas não poderão transmitir os dados pessoais do titular a outras entidades sem que a CLÍNICA GERAÇÕES tenha dado, previamente e por escrito, autorização para tal, estando também impedidas de contratar outras entidades sem autorização prévia da CLÍNICA GERAÇÕES.
A CLÍNICA GERAÇÕES assume o compromisso de subcontratar apenas entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas, de forma a assegurar a defesa dos direitos do titular dos dados. Todas as entidades subcontratadas pela CLÍNICA GERAÇÕES ficam vinculadas a esta última através de um contrato escrito no qual são regulados, nomeadamente, o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais, as categorias dos titulares dos dados e os direitos e obrigações das partes.
Caso pretenda obter informação detalhada acerca das entidades subcontratadas, por favor contate-nos através do e-mail: rgpd@clinicageracoes.pt
1.7. COMUNICAÇÃO DE DADOS A TERCEIROS
Nos termos legais aplicáveis, a CLÍNICA GERAÇÕES poderá transmitir ou comunicar dados pessoais a outras entidades no caso de o titular dos dados o consentir ou no caso de essa transmissão ou comunicação ser necessária para a execução de contrato estabelecido entre o titular dos dados e a CLÍNICA GERAÇÕES, ou para diligências pré-contratuais a pedido do titular dos dados, no caso de ser necessária para o cumprimento de uma obrigação jurídica a que a CLÍNICA GERAÇÕES esteja sujeita, no caso de ser necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular ou no caso de ser necessária para efeitos da prossecução de interesses legítimos da CLÍNICA GERAÇÕES ou de terceiro. Em particular, a CLÍNICA GERAÇÕES poderá transmitir ou comunicar dados pessoais aos familiares do titular, apenas nas circunstâncias previstas na legislação em vigor.
Aquando da recolha dos dados pessoais, a CLÍNICA GERAÇÕES presta ao titular dos dados informações acerca das categorias de entidades a quem, no caso concreto, os dados possam ser comunicados.
1.8. FINALIDADES DOS DADOS PESSOAIS
Os dados pessoais serão utilizados com as seguintes finalidades:
• Prestação dos cuidados de saúde (registos clínicos, diagnóstico médico, prestação de cuidados ou tratamentos de saúde, prescrição eletrónica);
• Gestão de clientes e faturação no âmbito da relação comercial;
• Comunicações relacionadas com os serviços prestados (agendamento de consultas, envio faturas, receitas, prescrições de exames ou declarações – por via telefónica, SMS ou email);
• Divulgação de serviços.
Os seus dados pessoais serão apenas utilizados com vista aos fins acima indicados e não serão transmitidos a outros, nem serão utilizados para fins diferentes daqueles.
1.9. PRAZO E CONSERVAÇÃO DE DADOS PESSOAIS
Os seus dados são conservados pelos períodos previstos na legislação aplicável. O processo clínico e exames complementares de diagnóstico serão guardados durante 5 anos após o último registo e findo esse prazo o processo passará a um “arquivo morto” sendo que, a sua destruição poderá ter lugar, em virtude do prazo de prescrição ordinária consignado no Código Civil e da natureza jurídica do contrato de prestação de serviços médicos, no final de 20 anos após o último registo efetuado pelo médico na respetiva ficha.
2. DIREITOS DO TITULAR DOS DADOS PESSOAIS
Nos termos legais, os titulares dos dados pessoais têm os direitos descritos de seguida.
Note-se, porém, que caso exista norma ou obrigação legalmente imposta que se sobreponha a estes direitos, daremos resposta de impossibilidade de executar o pedido, indicando o respetivo fundamento.
2.1. DIREITO À INFORMAÇÃO
O titular dos dados tem o direito de, sempre que quiser e gratuitamente, solicitar as seguintes informações à CLÍNICA GERAÇÕES:
• A identidade e os contactos da CLÍNICA GERAÇÕES, responsável pelo tratamento e, se aplicável, do seu representante;
• Os contactos do Encarregado da Proteção de Dados;
• As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
• Se o tratamento dos dados se basear em interesses legítimos da CLÍNICA GERAÇÕES ou de um terceiro, indicação de tais interesses;
• Se aplicável, os destinatários ou categorias de destinatários dos dados pessoais;
• Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
• O direito de solicitar à CLÍNICA GERAÇÕES o acesso aos dados pessoais que digam respeito ao titular, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
• Se o tratamento dos dados se basear no consentimento do titular, o direito de retirar o consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
• O direito de apresentar reclamação junto da CNPD ou outra autoridade de controlo;
• Indicação se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
• Se aplicável, a existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
Caso a CLÍNICA GERAÇÕES pretenda proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados foram recolhidos, antes desse tratamento a CLÍNICA GERAÇÕES fornecerá ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos acima referidos.
Nos termos legais, a CLÍNICA GERAÇÕES não tem a obrigação de prestar ao titular dos dados as informações acima mencionadas quando e na medida em que:
• O titular dos dados já tiver conhecimento das mesmas;
• Se comprove a impossibilidade de disponibilizar a informação, ou que o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, sob reserva das condições e garantias previstas no RGPD;
• A obtenção ou divulgação dos dados esteja expressamente prevista na lei;
• Os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional ou de confidencialidade prevista na lei.
A informação é prestada, a título gratuito, por escrito (incluindo por meios eletrónicos) pela CLÍNICA GERAÇÕES ao titular dos dados.
2.2. DIREITO DE ACESSO
O titular dos dados tem o direito de obter da CLÍNICA GERAÇÕES a confirmação de que os dados pessoais que lhe dizem respeito são ou não objeto de tratamento e, sendo o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
• As finalidades do tratamento dos dados;
• As categorias dos dados pessoais em questão;
• Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os laboratórios que trabalham em parceria;
• O prazo previsto de conservação dos dados pessoais, ou, não sendo possível, os critérios usados para fixar esse prazo;
• Direito de solicitar à CLÍNICA GERAÇÕES a retificação, o apagamento ou a limitação do tratamento dos dados pessoais, ou do direito de se opor a esse tratamento;
• Direito de apresentar reclamação junto da CNPD ou outra autoridade de controlo;
• Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
• A existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados;
Mediante solicitação, a CLÍNICA GERAÇÕES fornecerá ao titular dos dados, a título gratuito, uma cópia dos dados pessoais que se encontram em fase de tratamento.
2.3. DIREITO DE RETIFICAÇÃO
O titular tem o direito de obter a qualquer momento, por parte da CLÍNICA GERAÇÕES, a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
Em caso de retificação dos dados, a CLÍNICA GERAÇÕES comunicará a cada destinatário a quem os dados tenham sido transmitidos a respetiva retificação, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a CLÍNICA GERAÇÕES. Se o titular dos dados o solicitar, a CLÍNICA GERAÇÕES fornece informações sobre os referidos destinatários.
2.4. DIREITO AO APAGAMENTO DOS DADOS (“DIREITO A SER ESQUECIDO”)
O titular tem o direito de obter, por parte da CLÍNICA GERAÇÕES, o apagamento dos seus dados pessoais quando se aplique um dos seguintes motivos:
• Os dados pessoais deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
• O titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento;
• O titular se opuser ao tratamento ao abrigo do direito de oposição e não existirem interesses legítimos prevalecentes que justifiquem o tratamento;
• Os dados pessoais forem tratados ilicitamente;
• Os dados pessoais tiverem de ser apagados para o cumprimento de uma obrigação jurídica a que a CLÍNICA GERAÇÕES esteja sujeita;
Nos termos legais aplicáveis, a CLÍNICA GERAÇÕES não tem a obrigação de apagar os dados do titular na medida em que o tratamento se revele necessário ao cumprimento de uma obrigação legal a que a CLÍNICA GERAÇÕES esteja sujeita, por motivos de interesse público no domínio da saúde pública, para fins de investigação científica ou para fins estatísticos ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Em caso de apagamento dos dados, a CLÍNICA GERAÇÕES comunicará a cada destinatário/entidade a quem os dados tenham sido transmitidos o respetivo apagamento, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a CLÍNICA GERAÇÕES. Se o titular dos dados o solicitar, a CLÍNICA GERAÇÕES fornece informações sobre os referidos destinatários.
Quando a CLÍNICA GERAÇÕES tiver tornado públicos os dados pessoais e for obrigada a apagá-los ao abrigo do direito ao apagamento, a CLÍNICA GERAÇÕES compromete-se a assegurar as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
2.5. DIREITO À LIMITAÇÃO DO TRATAMENTO
O titular dos dados tem o direito de obter, por parte da CLÍNICA GERAÇÕES, a limitação do tratamento, se se aplicar uma das seguintes situações (a limitação consiste em inserir uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro).
• Se contestar a exatidão dos dados pessoais, durante um período que CLÍNICA GERAÇÕES verificar a sua exatidão;
• Se o tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
• Se a CLÍNICA GERAÇÕES já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
• Se o titular se tiver oposto ao tratamento, até se verificar que os motivos legítimos da CLÍNICA GERAÇÕES prevalecem sobre os do titular dos dados.
Quando os dados pessoais tenham sido objeto de limitação, só poderão, à exceção da conservação, ser tratados com o consentimento do titular ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos de interesse público legalmente previstos.
O titular que tiver obtido a limitação do tratamento dos seus dados nos casos acima referidos será informado pela CLÍNICA GERAÇÕES antes de ser anulada a limitação ao tratamento.
Em caso de limitação do tratamento dos dados, a CLÍNICA GERAÇÕES comunicará a cada destinatário a quem os dados tenham sido transmitidos a respetiva limitação, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado para a CLÍNICA GERAÇÕES. Se o titular dos dados o solicitar, a CLÍNICA GERAÇÕES fornece informações sobre os referidos destinatários.
2.6. DIREITO DE PORTABILIDADE DOS DADOS
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido à CLÍNICA GERAÇÕES, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que a CLÍNICA GERAÇÕES o possa impedir, se:
• O tratamento se basear no consentimento ou num contrato de que o titular é parte; e
• O tratamento for realizado por meios automatizados.
O direito de portabilidade não inclui dados inferidos nem dados derivados, i.e., dados pessoais que sejam gerados pela CLÍNICA GERAÇÕES como consequência ou resultado da análise dos dados objeto de tratamento, salvo nos casos excecionalmente previstos na lei.
O titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja técnica e legalmente possível. O exercício do direito de portabilidade dos dados aplica-se sem prejuízo do direito ao apagamento dos dados.
2.7. DIREITO DE OPOSIÇÃO
O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito que assente no exercício de interesses legítimos prosseguidos pela CLÍNICA GERAÇÕES ou quando o tratamento for efetuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos, incluindo a definição de perfis, ou quando os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos.
A CLÍNICA GERAÇÕES cessará o tratamento dos dados pessoais, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Quando os dados pessoais forem tratados para efeitos de comercialização direta (marketing), o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta. Caso o titular se oponha ao tratamento dos seus dados para efeitos de comercialização direta, a CLÍNICA GERAÇÕES cessa o tratamento dos dados para esse fim.
O titular dos dados tem ainda o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar, salvo se a decisão:
• For necessária para a celebração ou a execução de um contrato entre o titular dos dados e a CLÍNICA GERAÇÕES;
• For autorizada por legislação a que a CLÍNICA GERAÇÕES estiver sujeita; ou
• For baseada no consentimento explícito do titular dos dados.
2.8. DIREITO A RECLAMAR JUNTO DE AUTORIDADE COMPETENTE
O titular tem o direito de apresentar reclamações junto da Comissão Nacional de Proteção de Dados (CNPD) ou outra autoridade de controlo em matéria de proteção de dados pessoais. Os dados de contacto da CNPD são os seguintes: Rua de São Bento n.º 148-3º 1200-821 Lisboa – Tel: +351 213 928 400 – Fax: +351 213 976 832 – e-mail: geral@cnpd.pt
2.9. PROCEDIMENTOS COM VISTA AO EXERCÍCIO DOS DIREITOS PELO TITULAR DOS DADOS
O direito de acesso, o direito de retificação, o direito de apagamento, o direito à limitação, o direito de portabilidade e o direito à oposição podem ser exercidos pelo titular dos dados mediante contacto com a CLÍNICA GERAÇÕES, presencialmente, por telefone, através do e-mail rgpd@clinicageracoes.pt ou através do website da CLÍNICA GERAÇÕES.
No caso dos dados relativos à saúde, o direito de acesso por parte do titular pode ser exercido diretamente, ou por intermédio de um médico se o titular assim o solicitar, nos termos legais aplicáveis.
A CLÍNICA GERAÇÕES dará resposta por escrito (incluindo por meios eletrónicos) ao pedido do titular dos dados no prazo máximo de um mês a contar da receção do pedido, salvo em casos de especial complexidade, em que esse prazo pode ser prorrogado até dois meses.
Se os pedidos apresentados pelo titular dos dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, a CLÍNICA GERAÇÕES reserva-se o direito de cobrar custos administrativos ou recusar-se a dar seguimento ao pedido.
2.10. VIOLAÇÕES DE DADOS PESSOAIS
Em caso de violação de dados e na medida em que tal violação seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares dos dados, a CLÍNICA GERAÇÕES compromete- se a comunicar a violação de dados pessoais aos titulares de dados em causa no prazo de 48 horas.
Nos termos legais, a comunicação aos titulares dos dados não é exigida nos seguintes casos:
• Caso a CLÍNICA GERAÇÕES tenha aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tenham sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
• Caso a CLÍNICA GERAÇÕES tenha tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados referido já não é suscetível de se concretizar; ou
• Caso a comunicação ao titular dos dados implicar um esforço desproporcionado para a CLÍNICA GERAÇÕES. Nesse caso, a CLÍNICA GERAÇÕES fará uma comunicação pública ou tomará uma medida semelhante através da qual os titulares dos dados serão informados de forma igualmente eficaz.
3. DISPOSIÇÕES FINAIS
3.1. ALTERAÇÕES À POLÍTICA DE PRIVACIDADE
A CLÍNICA GERAÇÕES reserva-se o direito de alterar a presente Política de Privacidade a todo o tempo. Em caso de alteração da Política de Privacidade, a data da última alteração é indicada na primeira página.
3.2. CONTACTO
Os titulares que pretendam colocar questões ou queixas relacionadas com a presente Política de Privacidade, poderão fazê-lo através do email rgpd@clinicageracoes.pt
3.3. LEI E FORO APLICÁVEIS
A presente Política de Privacidade, bem como a recolha, tratamento ou transmissão de dados pessoais do titular dos dados, são regidos pelo disposto no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e pela legislação e regulamentação aplicáveis em Portugal.
Quaisquer litígios decorrentes da validade, interpretação ou execução da presente Política de Privacidade, ou que estejam relacionados com a recolha, tratamento ou transmissão de dados pessoais, devem ser submetidos à jurisdição dos tribunais judiciais da comarca de Lisboa, sem prejuízo das normas legais imperativas aplicáveis.
4. GLOSSÁRIO
Para efeitos do RGPD, entende-se por:
• «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
• «Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
• «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
• «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
• «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
• «Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
• «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
• «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado- Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
• «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
• «Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;
• «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
• «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
• «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
• «Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
• «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
• «Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular,
incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
• «Estabelecimento principal»:
o No que se refere a um responsável pelo tratamento com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal;
o No que se refere a um subcontratante com estabelecimentos em vários Estados- Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a obrigações específicas nos termos do presente regulamento;
• «Representante», uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento;
• «Empresa», uma pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica;
• «Grupo empresarial», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;
• «Regras vinculativas aplicáveis às empresas», as regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta;
• «Autoridade de controlo», uma autoridade pública independente criada por um Estado- Membro;
• «Autoridade de controlo interessada», uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo facto de:
o O responsável pelo tratamento ou o subcontratante estar estabelecido no território do Estado-Membro dessa autoridade de controlo;
o Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente afetados, ou suscetíveis de o ser, pelo tratamento dos dados; ou
o Ter sido apresentada uma reclamação junto dessa autoridade de controlo;
• «Objeção pertinente e fundamentada», uma objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União;
• «Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.