CÓDIGO DE CONDUTA
RGPD
REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
INTRODUçãO
O presente Código de conduta foi elaborado ao abrigo do disposto no art.º 40º do Regulamento Geral de Proteção de Dados (RGPD) e vincula todos os colaboradores da Clinica Medico Cirúrgica Estêvão Ferreira sobre a recolha, o tratamento e a utilização de dados pessoais de todos os titulares de dados onde se incluem os clientes, fornecedores e os próprios trabalhadores. As disposições deste Código aplicam-se às relações com todas as entidades terceiras e os subcontratantes, entidades que de alguma forma contribuem para a segurança dos dados e tem capacidade para aceder aos próprios dados, também eles são chamados á responsabilidade da sua condição.
CONCEITOS
Para efeitos do presente Código e do Regulamento Geral de Proteção de Dados (RGPD), entende-se por:
Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Limitação do tratamento: a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.
Definição de perfis: qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.
Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
Ficheiro: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.
Responsável pelo tratamento: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
Subcontratante: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Destinatário: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários. o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento.
Terceiro: a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.
Consentimento: do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Violação de dados pessoais: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Dados genéticos: os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
Dados biométricos: dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
Dados relativos à saúde: dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
RECOLHA DE DADOS
1. A recolha de dados para tratamento deve processar-se nos termos da lei em vigor, no estrito cumprimento dos direitos, liberdades e garantias previstos na Constituição da República Portuguesa e efetuar-se de forma lícita, legal, transparente e não enganosa.
2. A recolha de dados pessoais quer pela Clinica Medico Cirúrgica Estêvão Ferreira quer pelas suas subcontratadas, junto dos respetivos titulares, deve ser precedida de informação aos mesmos sobre a finalidade que a determinou e processar-se em estrita adequação e pertinência a essa finalidade.
FINALIDADES DA RECOLHA DE DADOS
Prestações de Serviços
Sempre que necessário, para lhe prestarmos os nossos serviços, tratamos os seus dados pessoais. Para além desta finalidade os seus dados serão ainda tratados para prestação de serviços de terceiros, quando o tenha expressamente consentido.
Efeitos de Marketing
Os seus dados pessoais, de tráfego, localização geográfica, perfil ou consumo são igualmente tratados, para fins de marketing ou divulgação de ofertas de bens ou serviços da Empresa, caso o tenha autorizado. Estas comunicações pretendam dar-lhe a conhecer novidades, promoções, campanhas e outras oportunidades de que poderá beneficiar, vales de oferta ou apenas um tratamento de cortesia como um agradecimento.
Divulgação e publicação em listas
Os seus dados serão ainda tratados, caso o tenha autorizado para efeitos de divulgação de serviços informativos e listas, no âmbito do serviço universal, incluindo transmissão a terceiros para publicação das referidas listas e prestação de serviços informativos.
Direitos do titular do dados e autorizações
O titular dos dados, tem o direito de em qualquer momento retirar autorizações, consultar dados, pedir a sua retificação, pedir o seu esquecimento, pedir o direito de oposição ao tratamento dos dados e a sua portabilidade. Poderá faze-lo com a mesma facilidade com qe dá o seus consentimentos.
Prestação de serviços médicos
No caso de tratamento de dados de saúde, incluindo dados genéticos, e não obstante constituírem dados sensíveis, na medida em que tal tratamento será necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou ainda de gestão de serviços de saúde. Além disso, o tratamento desses dados terá que ser efetuado por um profissional de saúde ou por outra pessoa sujeita a sigilo profissional.
DIREITO A RETIFICAçãO E ATUALIZAçãO DOS DADOS
1. Sempre que solicitado por um titular de dados pessoais, a Clinica Medico Cirúrgica Estêvão Ferreira compromete-se a retificar e atualizar os dados constantes dos seus ficheiros, bases ou bancos de dados a ele respeitantes, bem como a verificar a efetiva retificação dos dados sempre que estes sejam reutilizados.
2. A retificação ou atualização dos dados solicitada nos termos da lei, serão asseguradas pela Clinica Medico Cirúrgica Estêvão Ferreira no prazo legal de 30 dias.
3. Quando solicitada a eliminação de dados, a Clinica Medico Cirúrgica Estêvão Ferreira dará cumprimento dentro de um prazo razoável, o qual nunca excederá os 120 dias, se não existir nenhum impedimento legal ou obrigação que impossibilite essa eliminação.
DIREITO AO ACESSO DOS DADOS
A Clinica Medico Cirúrgica Estêvão Ferreira obriga-se a informar os seus clientes sobre a existência de ficheiros e sobre os dados pessoais que lhes digam respeito, respetiva finalidade, bem como sobre a identidade do responsável pelo tratamento, sempre que tal seja solicitado por escrito.
DADOS SENSíVEIS
Caso a Clinica Medico Cirúrgica Estêvão Ferreira recolha e trate dados sensíveis dos seus clientes, associados, colaboradores, etc… os mesmos estarão, obrigatoriamente, protegidos e apenas acessíveis a trabalhadores cujo o trabalho obrigue a esse acesso.
DIREITO DE OPOSIçãO
1. A Clinica Medico Cirúrgica Estêvão Ferreira respeitará e dará seguimento aos pedidos de eliminação de dados dos seus ficheiros e bases de dados dos associados que solicitarem e se opuserem ao tratamento e que não colidam com qualquer imposição legal.
2. A Clinica Medico Cirúrgica Estêvão Ferreira confere aos seus clientes a possibilidade de oposição ao tratamento dos seus dados pessoais. O direito á oposição implica que os dados possam existir nos bancos de dados mas não podem ser utilizados para efeito de tratamento.
PROTEçãO DOS DADOS
A informação dos titulares de dados pessoais está armazenada em bancos de dados, estes bancos de dados estão inseridos em redes, protegidas com antivírus e Firewall. A empresa compromete-se a fazer cópias de segurança que minimizem possíveis perdas de dados. A empresa fará tudo ao seu alcance para impedir violações de dados ou qualquer perda, mas não pode ser responsabilizada por ataques que consigam superar as nossas defesas.
PORTABILIDADE DE DADOS
1.A Clinica Medico Cirúrgica Estêvão Ferreira apenas transmitirá dados a terceiros, sempre que o seu titular o solicite e autorize. Tendo em conta as normas do RGPD.
2. A Clinica Medico Cirúrgica Estêvão Ferreira não cede, vende ou disponibiliza dados pessoais a terceiros, sem ter o consentimento expresso, claro e inequívoco do titular.
ENCARREGADO PELA PROTEçãO DE DADOS
1. A Clinica Medico Cirúrgica Estêvão Ferreira nomeará um encarregado de proteção de dados mesmo que não seja obrigado por lei.
2.O encarregado pela proteção de dados representará a Clinica Medico Cirúrgica Estêvão Ferreira perante a Comissão Nacional de Proteção de Dados.
3.A pessoa nomeada é responsável pelos processos de averiguação pela fuga, violação ou transmissão ilegal de dados dos associados.
ÉTICA E SEGREDO PROFISSIONAL
Todos os colaboradores da Clinica Medico Cirúrgica Estêvão Ferreira que tenham acesso aos dados pessoais dos clientes e colaboradores estão obrigados a manter o segredo sobre os mesmos, nomeadamente de não poder revelar ou utilizar os mesmos, a não ser em casos em que a lei obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados, nomeadamente, entidades policiais, tribunais, finanças, segurança social ou outras entidades públicas.
RESPONSABILIZAçãO DOS INFRATORES
1.Todos os funcionários são responsáveis disciplinarmente pela violação ou transmissão ilegal dos dados dos trabalhadores ou clientes.
2.Caso um funcionário abuse do acesso á informação, que lhe é concedido pelas funções que exerce e divulgue qualquer dado, ceda, venda ou exponha, será objeto de processo disciplinar por parte da Clinica Medico Cirúrgica Estêvão Ferreira .
3.O funcionário poderá ser responsabilizado diretamente por coimas ou outras punições que possam ser advir desses comportamentos ilegais e abusivos.
RECLAMAçõES
1. Os interessados que pretendam reclamar pela violação dos seus dados, devem-no fazer diretamente ao responsável pela proteção (Ricardo Rodrigues), através de e-mail para cmc.estevaoferreira@gmail.com.
2. O responsável terá de comunicar a violação, no prazo de 72h, à CNPD e abrir um processo de averiguações interno para apurar o responsável por essa mesma violação.
3. Caso se apure que a responsabilidade pela violação foi interna, o responsável pelo tratamento de dados fica obrigado a comunicar à administração e a levantar o competente procedimento disciplinar, conforme previsto no Código de Conduta.
ACESSO AO CóDIGO DE CONDUTA
Todos os colaboradores, clientes e subcontratantes podem ter acesso a este documento, uma vez que ele estabelece a forma de agir da empresa perante o RGPD e fornece diretivas comportamentais exigidas a todos os agentes de forma a que o RGPD seja aplicado de forma correta e que defenda a privacidade de todos conforme a lei exige.
SITUAçõES NãO PREVISTAS
A todas as omissões, ao previsto no presente Código de Conduta, será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.
O código de conduta terá efeitos imediatos.