Política de Privacidade | Associação Saúde São José


1. Objetivo

A política de privacidade da Associação Saúde São José reflete sua cultura de integridade e as práticas de transparência e boa-fé, associada à importância atribuída ao cumprimento da Lei Federal n. 12.965/2014 (Marco Civil da Internet), à Lei Geral de Proteção de Dados (Lei 13.709/2018), aplicáveis às atividades desenvolvidas por nós.

Por este motivo, implementamos esta política, com o intuito de informar os titulares, que neste caso correspondem aos beneficiários, seus dependentes e interessados, sobre a forma como os seus dados devem ser coletados e como se dará seu armazenamento, tratamento, uso, compartilhamento e eliminação, dentro do escopo dos nossos serviços

2. Definições

  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, como por exemplo nome, e-mail, telefone, dentre outros;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Co-controlador: pessoa natural ou jurídica, de direito público ou privado que atuará igualmente na condição de controlador relativas aos dados pessoais;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública federal, integrante da Presidência da República, que possui, dentre outras funções previstas pela Lei n. 13.709/2018, a de zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso e promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança.
  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
  • 3. Lei Geral de Proteção de Dados

    A Lei Geral de Proteção de Dados (Lei 13.709/2018) foi elaborada com o intuito de fixar regras claras sobre o tratamento de dados pessoais e assegurar o direito à privacidade e à proteção de dados pessoais dos titulares, com o uso de práticas de transparência e segurança.

    Desta forma, é possível permitir o desenvolvimento econômico e tecnológico e ainda garantir que o tratamento dos dados seja feito em consonância com os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade.

    Ademais, a LGPD estabelece que no caso de ocorrência de conduta diversa daquela indicada pela lei, no âmbito da proteção de dados, como o vazamento de dados pessoais e o acesso não autorizado aos mesmos, é possível a responsabilização da Associação Saúde São José, bem como daqueles diretamente envolvidos nos comportamentos condenados pela legislação brasileira, sem prejuízo de serem aplicadas as penalidades previstas na Política de Proteção de Dados da Associação Saúde São José.

    4. Princípios do Tratamento de Dados Pessoais

    No processamento dos dados pessoais, a Associação Saúde São José respeita os princípios estabelecidos no art. 6º, da Lei Geral de Proteção de Dados Pessoais, que fixam as seguintes premissas:

  • Os dados pessoais devem ser obtidos de forma justa e legal e com o direito à informação do titular dos dados, exceto se essas informações não forem necessárias considerando as hipóteses estabelecidas para o seu tratamento, se necessário, o consentimento expresso do Titular dos Dados deverá ser obtido;
  • Os dados pessoais devem ser coletados apenas para propósitos especificados, explícitos e legítimos e não podem ser tratados de forma incompatível com esses propósitos, sendo que apenas serão disponibilizados a terceiros para os ditos propósitos ou de qualquer outra forma permitida pelas leis aplicáveis;
  • Os controles e procedimentos técnicos e organizacionais apropriados devem ser implementados para garantir a segurança dos dados pessoais e evitar acesso ou divulgação não autorizados, que potencialmente poderiam resultar em alteração, destruição acidental ou ilegal, perda dos dados e contra todas as demais formas ilegais de Tratamento. Considerando as obrigações legais, boas práticas. As medidas de segurança devem ser elaboradas para garantir um nível de segurança apropriado aos riscos representados pelo tratamento e natureza dos dados pessoais a serem protegidos;;
  • Os dados pessoais coletados devem ser adequados, relevantes e não excessivos em relação aos propósitos para os quais são coletados e/ou serão processados;
  • Os dados pessoais não podem ser retidos por um período maior que o necessário para os objetivos para os quais foram obtidos, a menos que exigido de outra forma pelas leis ou regulamentos aplicáveis ou quando houver consentimento específico autorizando o tratamento;
  • Devem ser implementados procedimentos para garantir respostas imediatas às indagações dos titulares dos dados para assegurar que eles possam exercer adequadamente seu direito de acesso, retificação e recusa ao tratamento.
  • 5. Quais os dados coletados e a forma da coleta?

    A Associação Saúde São José realiza o tratamento dos seguintes dados pessoais fornecidos diretamente pelo titular ou por um co-controlador:

  • Beneficiários, dependentes e interessados: São coletadas informações pessoais essenciais para prestação de serviços de plano de saúde e/ou para concessão de informações sobre o plano de saúde e cotações, no caso de tratamento de dados dos interessados, a fim de viabilizar os atendimentos contratados, e respectivas autorizações que darão acesso à utilização do plano de saúde e atendimento clínico, bem como para fins administrativos relacionados aos serviços prestados, como por exemplo o envio de informações exigidas pela Agência Nacional de Saúde Suplementar. Essas informações incluem dados cadastrais, como nome, CPF, endereço, data de nascimento, gênero, genitores, informações para contato, informações financeiras, declaração geral de saúde, CNS – Cartão Nacional de Saúde, Cartão SUS, exames realizados, evolução médica, prontuário médico, indicação clínica. Para os menores de idade poderão ainda ser coletados certidão de nascimento, termo de guarda, teste do pezinho. Via de regra, a coleta é feita diretamente dos beneficiários/interessados quando os contratos são de pessoa física, e nos contratos coletivos empresariais ou por adesão, a coleta poderá ser realizada diretamente das entidades contratantes.
  • Clínicas credenciadas e prestadores de serviços: São coletadas informações essenciais para a realização do cadastro de clínicas credenciadas ao plano de saúde da Associação Saúde São José e de prestadores de serviços como médicos, enfermeiros, fisioterapeutas, psicólogos e demais profissionais da área da saúde. Para fins de cadastramento e de concessão de acesso ao portal Extranet, serão coletados dados cadastrais como nome, CPF, número de registro profissional, endereço residencial e profissional, gênero, data de nascimento e informações de contato.
  • Além disso, a Associação Saúde São José informa que também realiza o tratamento de dados pessoais sensíveis. Tais dados são fornecidos diretamente pelos titulares, após terem consentido expressamente com o tratamento de dados ou mediante coleta para estrito cumprimento de obrigação legal. Este tipo de dado poderá versar sobre:

  • Saúde do beneficiário e seus dependentes;
  • Origem racial ou étnica, crenças religiosas ou filosóficas do titular;
  • Dados genéticos ou biométricos;
  • Outros dados específicos considerados sensíveis mediante as leis e regulamentos próprios.
  • Isto posto, esclarecemos que os dados pessoais sensíveis tratados pela Associação Saúde São José são:

  • Dados de saúde, biométricos, genéticos, odontológicos, raça, religião.
  • Destacamos que as informações referentes à raça e religião podem ser coletadas quando do recebimento de dados através dos serviços médicos prestados pelo Hospital Conceição. Dados de saúde são coletados apenas dos beneficiários e dependentes do plano de saúde da Associação Saúde São José por força de obrigação legal.

    6. Finalidade do tratamento de dados pessoais e dados pessoais sensíveis

    Em síntese, a LGPD trata da forma que as pessoas físicas e jurídicas, tanto de direito público, quanto de direito privado devem tratar dados pessoais aos quais tenham acesso.

    Desta forma, sempre que forem coletados dados dos titulares, deverá ser respeitada a finalidade específica para a qual os mesmos foram coletados e conforme informado ao titular do dado. No caso dos dados tratados pela Associação Saúde São José, esta finalidade limita-se à:

    a) No caso dos beneficiários e dependentes:

  • Preenchimento de documentações referentes à adesão, exclusão e contratação do plano de saúde da Associação Saúde São José;
  • Preenchimento de guias de solicitação de procedimentos, exames e consultas, sua análise/auditoria, autorização e armazenamento - que serão remetidos a Associação São José para posterior verificação de conformidade contratual e/ou com o Rol da ANS – Agência Nacional de Saúde Suplementar e suas Diretrizes Clínicas e/ou Diretrizes de Utilização;
  • Processo de avaliação do valor a ser pago à título de coparticipação, emissão dos documentos de cobrança aos beneficiários (boletos, extratos de utilização/relatórios de utilização), bem como a elaboração de quaisquer outros relatórios exigidos pelo beneficiário;
  • Assinatura de termos de consentimento informado e inequívoco, seu armazenamento e compartilhamento com órgãos públicos, quando for o caso (inclusive para tratamento de menores de idade).
  • Agendamento de consultas e eventual contato para confirmação ou cancelamento das mesmas;
  • Para a emissão das carteiras de identificação – com a contratação do plano de saúde; cada beneficiário receberá uma carteira do plano, com um número de identificação pessoal;
  • Identificação do beneficiário – o beneficiário se identificará por meio da carteira do plano de saúde, para fazer jus à prestação de serviços, quando se tratarem de solicitações via telefone, mensagem, e-mail ou extranet para sua segurança;
  • Análises de prontuários para investigação de eventos adversos, segurança do paciente, doenças de comunicação obrigatória, busca de leitos para transferência de pacientes, aquisição de materiais especiais, monitoramento de epidemias/pandemias e dados epidemiológicos;
  • Contato periódico com os beneficiários para fins de desenvolvimento de Programas de prevenção de doenças;
  • Contatos telefônicos, mensagens, e-mails, cartas, contatos presenciais na unidade de atendimento – são canais regulares de comunicação dos setores da empresa;
  • Acesso aos dados para solução de demandas requeridas pelo próprio beneficiário ou pela pessoa jurídica contratante, em seu nome, com compartilhamento com setores internos da Associação Saúde São José;
  • Todos os dados necessários para os eventos de cobrança e eventuais reembolsos, conforme processo aberto pelo beneficiário. A operadora pode fazer estudos, relatórios, painéis informativos sobre toda a movimentação de receitas e despesas do plano de saúde;
  • Envio do SIB (Sistema de Informação de Beneficiários) à Agência Nacional de Saúde Suplementar – ANS, que poderá conter dados pessoais do beneficiário, dependentes e/ou menores de idade;
  • Auditoria de contas e utilizações – isso permite que a operadora verifique a regularidade do que foi prestado ao beneficiário;
  • Preenchimento de guias físicas e eletrônicas referentes à solicitação de procedimentos, sua análise/auditoria, pré-autorização e armazenamento e que serão remetidas para a operadora, para verificação de conformidade contratual e/ou com o Rol da ANS – Agência Nacional de Saúde Suplementar e suas Diretrizes Clínicas e/ou Diretrizes de Utilização;
  • Laudos médicos e de outros profissionais da área de saúde, de exames e procedimentos – para subsidiar os processos de autorização e quaisquer outros necessários para a execução do contrato de plano de saúde;
  • Para o cumprimento de leis, regulamentos, normas, recomendações, portarias e assemelhados da Agência Nacional de Saúde Suplementar - ANS;
  • Para os serviços de remoção/transferência hospitalar, transferência hospitalar de urgência e outros serviços oferecidos pela Associação Saúde São José;
  • Para a concessão de acesso ao sistema Extranet.
  • b) No caso das clínicas credenciadas e prestadores de serviços de assistência à saúde:

  • Para o cadastramento em nosso sistema de gestão;
  • Para a concessão de acesso e login ao sistema Extranet.
  • A propósito, deve ser garantida ao titular a consulta gratuita sobre a forma e duração do tratamento dos dados, bem como saber quais dados estão sob a posse da Associação Saúde São José.

    Destaca-se que, muito embora seja assegurado ao titular o acesso a meios para a correção e atualização dos dados, a Associação Saúde São José não é responsável pela precisão, veracidade ou falta dela nas informações que lhe forem fornecidas ou pela sua desatualização, quando é de responsabilidade do titular prestá-las com exatidão ou atualizá-las.

    Por fim, cumpre esclarecer que todas as tecnologias utilizadas pela Associação Saúde São José respeitarão sempre a legislação vigente e que o consentimento fornecido pelos titulares será coletado de forma individual, clara, específica e legítima.

    7. Por quanto tempo vamos reter os seus dados pessoais?

    O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

  • verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  • fim do período de tratamento;
  • comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
  • determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
  • Por este motivo, a Associação Saúde São José informa aos seus usuários que, transcorrido o prazo para o tratamento dos dados e, cumprida a sua finalidade, estes serão eliminados por meios seguros.

    Inclusive, conforme dito anteriormente, o titular também pode promover a revogação do consentimento a qualquer tempo para cessar o tratamento dos dados pessoais mediante solicitação ao e-mail privacidade@ssjose.com.br. No entanto, eventualmente, os dados coletados pela Associação Saúde São José poderão ser mantidos por período superior, por motivo de lei, ordem judicial, prevenção à fraude (art. 11, inciso II, alínea “a”, da Lei n. 13.709/2018), proteção ao crédito (art. 7º, inciso X, da LGPD) e outros interesses legítimos, previstos pelo art. 10, da LGPD.

    8. Quem é o controlador dos dados pessoais?

    A Associação Saúde São José será a controladora dos dados pessoais relacionados neste documento. Para a finalidade da legislação aplicável, controlador é a quem compete as decisões relativas ao tratamento de dados pessoais. Ressaltamos que as empresas Hubcare, Saúde Conceição e Vidas Seguras atuarão como co-controladoras dos dados pessoais.

    9. Com quem compartilhamos os seus dados pessoais?

    A Associação Saúde São José poderá, excepcionalmente, compartilhar os seus dados pessoais com provedores de softwares e outras tecnologias da informação, para a finalidade de gestão de cadastros e relacionamento de beneficiários, dependentes, clínicas credenciadas e profissionais prestadores de serviços de assistência à saúde, além da adoção de eventuais providências essenciais ao bom funcionamento das funcionalidades oferecidas no site da Saúde São José destinadas à comunicação com os beneficiários e interessados.Além disso, poderemos compartilhá-los com outros prestadores de serviço, como agência de marketing e administradora de benefícios.

    De acordo com a Lei Geral de Proteção de Dados, os dados pessoais coletados pautados no consentimento poderão ser compartilhados com terceiros desde que haja consentimento específico para tal (art. 7º, § 5º, LGPD). Sendo assim, os dados pessoais coletados poderão ser compartilhados com parceiros da Associação Saúde São José, com o intuito de cumprir com as obrigações decorrentes do contrato firmado com o titular. Além disso, poderão ser compartilhados dados sem o consentimento quando por força de obrigação legal (inclusive com obrigações regulatórias), decisão judicial, intimação de órgão público ou governamental (de acordo com a legislação vigente), proteção da segurança nacional, prevenção de crimes e fraudes.

    10. Quais são os seus direitos em relação aos seus dados pessoais

    Você possui diversos direitos em relação aos seus dados pessoais, os quais a Associação Saúde São José se compromete em assegurar, dentre eles: a) a confirmação da existência de tratamento; b) o acesso aos dados; c) a correção de dados incompletos, inexatos ou desatualizados; d) a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; e) a portabilidade a outro fornecedor de serviço ou produto, mediante requisição expressa; f) a informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados.

    11. Armazenamento e segurança

    A Associação Saúde São José informa, por meio deste instrumento, como se dará a segurança e sigilo dos dados fornecidos por nossos usuários, considerando-se que as atividades de tratamento de dados pessoais são regidas pelos princípios da segurança e da prevenção, os quais asseguram ao titular a utilização de medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, bem como a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

    A Associação Saúde São José se compromete em aplicar as medidas técnicas e organizativas para que os dados pessoais coletados sejam protegidos de acessos não autorizados, havendo estrito controle sobre o acesso mediante definição de responsabilidades de pessoas autorizadas para tal.

    A Associação Saúde São José também assegura que os dados serão armazenados em servidor nacional (poderão eventualmente ser armazenados em servidor internacional - art. 33, inciso II, da LGPD) e, em atenção ao princípio da segurança, garantimos que serão adotadas as seguintes medidas de segurança, técnicas e administrativas para proteger os dados pessoais de situações acidentais ou ilícitas.

    Por fim, destacamos que a Associação Saúde São José, no papel de controladora dos dados pessoais, comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

    12. Práticas de Governança

    De acordo com o art. 50, § 2º, da LGPD, o controlador poderá implementar programa de governança em privacidade e demonstrar a efetividade de seu programa de governança em privacidade quando apropriado, em observância à estrutura, à escala e ao volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados.

    Por esta razão, a Associação Saúde São José adotou práticas de governança, com a implementação dos documentos indicados em suas políticas internas. Estes documentos asseguram o cumprimento de normas e boas práticas relativas à proteção de dados pessoais, bem como se aplicam a todos os dados pessoais sob o controle da mesma, além de estabelecer os planos de resposta a incidentes e remediação.

    Ademais, a controladora implementou mecanismos de autenticação centralizados, criptografia, treinamentos para equipe da Associação Saúde São José, dentre outros meios para garantir a proteção dos dados pessoais dos titulares.

    Com essa estrutura, a Associação Saúde São José possui uma estratégia de proteção e privacidade de dados pessoais de acordo com os objetivos da empresa, de forma que os indivíduos responsáveis pelo tratamento façam a adesão às disposições aplicáveis dos regulamentos de proteção de dados e privacidade.

    13. Dúvidas | Contato

    Caso você entenda que seus dados foram utilizados de maneira incompatível com esta Política ou com as suas escolhas enquanto titular, ou, ainda, se você tiver outras dúvidas, comentários ou sugestões, entre em contato conosco através do endereço de e-mail privacidade@ssjose.com.br.

    14. Alterações

    A Associação Saúde São José se reserva o direito de alterar esta Política de Privacidade a qualquer momento, mediante publicação da versão atualizada no nosso site (pode ser enviada por e-mail/SMS), a fim de garantir que esta reflita o real tratamento de dados pessoais realizado por nós.

    A presente Política de Privacidade entra em vigor em 01 de agosto de 2021.

    Data da última atualização: 06/09/2021