POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
VERSÃO INSTITUCIONAL – MASTER
CAPÍTULO I — DISPOSIÇÕES GERAIS
Art. 1º — Finalidade
A presente Política estabelece diretrizes institucionais, jurídicas, técnicas e organizacionais relativas ao tratamento de dados pessoais realizado pela Nova Imagem Radiologia e Ultrassonografia Ltda., em conformidade com a Lei nº 13.709/2018 (LGPD), normas regulatórias aplicáveis e boas práticas de governança em privacidade e segurança da informação.
Art. 2º — Abrangência
Esta Política aplica-se a:
pacientes
colaboradores
prestadores
parceiros
fornecedores
visitantes
usuários de sistemas
terceiros com dados tratados pela instituição
Art. 3º — Princípios Aplicáveis
O tratamento de dados observa os princípios da LGPD, especialmente:
finalidade
adequação
necessidade
transparência
segurança
prevenção
responsabilização
não discriminação
CAPÍTULO II — GOVERNANÇA E BASE NORMATIVA
Art. 4º — Estrutura de Governança
A Nova Imagem mantém estrutura formal de governança em privacidade e segurança da informação composta por:
Programa de Privacidade e Segurança da Informação (PPSI)
Sistema de Gestão de Segurança da Informação (SGSI)
Programa de Governança em Privacidade (PGP)
Art. 5º — Base Técnica e Normativa
Esta Política foi estruturada com base em:
LGPD
regulamentações da ANPD
ISO/IEC 27001 e 27701
NIST Privacy Framework
CIS Controls
normas sanitárias e regulatórias aplicáveis ao setor de saúde
Parágrafo único. A instituição adota abordagem baseada em risco para definição, implementação e revisão de controles de proteção de dados, considerando natureza, sensibilidade e finalidade das operações de tratamento.
CAPÍTULO III — PAPÉIS E AGENTES DE TRATAMENTO
Art. 6º — Papéis Possíveis
A instituição poderá atuar, conforme o cenário operacional, como:
controladora
operadora
controladora independente
usuária autorizada de sistemas de terceiros
fonte geradora do dado clínico
Art. 7º — Critério de Responsabilização
A responsabilização observará o efetivo grau de:
controle
ingerência
atuação
nos termos do art. 42 da LGPD.
Art. 8º — Inexistência de Solidariedade Presumida
Não se presume responsabilidade solidária entre agentes de tratamento fora das hipóteses legais ou contratuais expressas.
CAPÍTULO IV — OPERAÇÕES DE TRATAMENTO
Art. 9º — Finalidades do Tratamento
Os dados pessoais são tratados exclusivamente para finalidades legítimas relacionadas a:
prestação de serviços de saúde
continuidade assistencial
gestão administrativa
faturamento
cumprimento de obrigações legais
exercício regular de direitos
Art. 10º — Categorias de Dados
Poderão ser tratados:
dados cadastrais
dados identificadores
dados financeiros
dados profissionais
dados clínicos e de saúde
imagens diagnósticas
Art. 11º — Bases Legais
O tratamento poderá fundamentar-se, conforme o caso, em:
tutela da saúde
execução contratual
obrigação legal
exercício regular de direitos
legítimo interesse
consentimento quando aplicável
Parágrafo único. Sempre que possível, será observada a minimização de dados, limitando-se o tratamento ao estritamente necessário para a finalidade específica.
CAPÍTULO V — CENÁRIOS OPERACIONAIS
Art. 12º — Unidade Própria
Na unidade própria, a instituição atua como controladora plena dos dados tratados.
Art. 13º — Ambiente Hospitalar
Em ambientes hospitalares de terceiros, a instituição atua como usuária autorizada dos sistemas, não exercendo governança sobre infraestrutura tecnológica.
Art. 14º — Repositórios Integrados de Saúde (RES)
Quando houver compartilhamento com repositórios integrados:
a instituição atua como fonte de dados
o gestor do repositório atua como controlador
Parágrafo único. A responsabilidade da instituição limita-se às operações de tratamento realizadas sob sua governança direta em cada cenário operacional.
CAPÍTULO VI — COMPARTILHAMENTO DE DADOS
Art. 15º — Hipóteses
O compartilhamento poderá ocorrer quando necessário para:
continuidade do cuidado
auditoria assistencial
faturamento
cumprimento legal
integração assistencial
Art. 16º — Responsabilidade Após Compartilhamento
Após o compartilhamento legítimo, cada agente receptor responde autonomamente pelos tratamentos subsequentes.
CAPÍTULO VII — SEGURANÇA DA INFORMAÇÃO
Art. 17º — Controles de Segurança
São adotadas medidas técnicas, administrativas e organizacionais proporcionais ao risco, incluindo:
controle de acesso
autenticação
criptografia
monitoramento
registro de logs
gestão de incidentes
§1º. Os controles são definidos considerando o risco, a sensibilidade dos dados e a criticidade da operação.
§2º. Os registros de logs e trilhas de auditoria são mantidos conforme critérios técnicos e regulatórios aplicáveis, garantindo rastreabilidade das operações relevantes.
CAPÍTULO VIII — DIREITOS DOS TITULARES
Art. 18º — Exercício de Direitos
O titular poderá exercer seus direitos previstos na LGPD mediante solicitação ao canal oficial.
Art. 19º — Validação de Identidade
Poderá ser exigida verificação de identidade antes do atendimento da solicitação.
Parágrafo único. O atendimento poderá ser limitado quando houver impedimento legal, regulatório ou técnico devidamente fundamentado.
CAPÍTULO IX — RETENÇÃO E DESCARTE
Art. 20º — Prazo de Retenção
Os dados são armazenados pelo período necessário ao cumprimento de:
obrigações legais
exigências regulatórias
preservação de prontuários
defesa judicial
Art. 21º — Eliminação
A eliminação ocorrerá quando juridicamente possível e tecnicamente viável, observadas normas aplicáveis e requisitos de segurança da informação.
CAPÍTULO X — TRANSFERÊNCIA INTERNACIONAL
Art. 22º — Condições
Transferências internacionais ocorrerão somente quando:
houver base legal válida
forem adotadas garantias adequadas
existirem salvaguardas contratuais ou técnicas
CAPÍTULO XI — TERCEIROS
Art. 23º — Contratação de Terceiros
Terceiros que tratem dados deverão observar padrões equivalentes de proteção.
Parágrafo único. Sempre que aplicável, serão adotados mecanismos de avaliação prévia, cláusulas contratuais de proteção de dados e monitoramento proporcional ao risco da atividade contratada.
CAPÍTULO XII — INCIDENTES DE SEGURANÇA
Art. 24º — Gestão
Incidentes serão tratados conforme procedimento interno formal.
Art. 25º — Comunicação
Quando exigido pela LGPD, titulares e autoridades serão comunicados.
CAPÍTULO XIII — AUDITORIA E CONFORMIDADE
Art. 26º — Monitoramento
A conformidade é monitorada continuamente por meio de:
auditorias internas
revisões periódicas
avaliações de risco
CAPÍTULO XIV — DISPOSIÇÕES FINAIS
Art. 27º — Atualizações
Esta Política poderá ser atualizada a qualquer tempo para refletir mudanças legais, regulatórias, tecnológicas ou operacionais.
Art. 28º — Canal de Contato
Solicitações relacionadas a dados pessoais podem ser feitas ao Encarregado de Dados (DPO).