Documento de Diretrizes e Normas Administrativas
Índice
1 – Sobre a Política de Privacidade e Proteção de Dados Pessoais
A Acol Consultoria & Sistemas desenvolveu um software capaz de manter a “saúde financeira” das Operadoras de Planos de Saúde Suplementar. Nosso software automatiza o processo de auditoria das contas dos prestadores de serviços médicos, possibilitando uma visão clara para ambos os lados (operadoras X prestadores de serviços) e uma significativa redução de custos desnecessários.
O Sistema SAUDI opera mediante o recebimento de dados fornecidos pelas operadoras de saúde suplementar e prestadores de serviços médicos, sendo alguns deles Dados Pessoais e/ou Dados Sensíveis (“Dados”), dependendo do software e serviços contratados pelas operadoras.
A Acol, na qualidade de Operadora dos Dados, realizará o Tratamento desses Dados de acordo com as instruções das Operadoras de Saúde. Em conformidade com a nova legislação brasileira nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”) sobre a proteção de Dados Pessoais, foi elaborada a Política de Privacidade e Proteção de Dados Pessoais (“Política”), com intuito de reafirmar o compromisso da Acol com as melhores práticas de proteção dos dados recebidos.
2 – Objetivos
A Política é utilizada para estabelecer a forma em que os Dados Pessoais dos Pacientes das Operadoras de Saúde são recolhidos, tratados, armazenados e descartados pela Acol Consultoria & Sistemas, assegurando que são colocados em prática os mecanismos que garantam a utilização dos Dados Pessoais compatível com as finalidades designadas pelas Operadoras de Saúde e em conformidade com a LGPD, além da utilização de medidas técnicas e administrativas aptas a proteção dos Dados Pessoais.
3 – Definições
“Controlador” – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
“Dados Pessoais” – Consideram-se dados pessoais toda e qualquer informação, independentemente de sua natureza, que direta, ou indiretamente seja capaz de identificar uma pessoa singular, titular dos dados, designadamente por referência a um número de identificação ou a elementos específicos
de sua identidade física, psíquica, fisiológica, econômica, social ou cultural.
“Dados Sensíveis” – Consideram-se dados pessoais sensíveis os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural.
“Dados Referentes à Saúde” – São os dados pessoais relativos à saúde física ou mental do seu titular, incluindo a prestação dos serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro.
“Operadoras de Saúde” – operadoras de planos de saúde suplementar, hospitais, clínicas, organizações sociais de saúde e outras instituições de saúde, contratantes do Sistema SAUDI, que atuarão na qualidade de Controlador.
“Lei Geral de Proteção de Dados” ou “LGPD” – Lei nº 13.709, de 14 de agosto de 2018.
“Operador” – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
“Pacientes” – São os pacientes ou beneficiários das Operadoras de Saúde, cujos dados são utilizados no Sistema SAUDI.
“Sistema SAUDI” – A definição está no item 1 desta Política.
“Tratamento” – É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
4 – Tratamento de Dados Pessoais
4.1 – Responsável pelo Tratamento dos Dados Pessoais
O Tratamento de Dados Pessoais ou Dados Sensíveis, em regra, somente poderá ser realizado mediante consentimento do Paciente. As Operadoras de Saúde, agente Controlador nos termos da LGPD, são as únicas e exclusivas responsáveis pela obtenção do consentimento dos Pacientes, que deverá ser livre, informado e inequívoco, pelo qual o Paciente concorda com a utilização de seus Dados para uma finalidade determinada, nos exatos termos da LGPD.
Desta forma, para cada serviço oferecido pela Acol Consultoria & Sistemas, contratado pelas Operadoras de Saúde, conforme a cláusula 2 abaixo, deverá ser obtido um consentimento específico do Paciente que autorize o Tratamento de Dados, objeto de cada serviço que compõe o Sistema SAUDI.
A Acol Consultoria & Sistemas, portanto, na qualidade de Operadora nos termos da LGPD, deverá realizar o Tratamento de Dados em nome das Operadoras de Saúde e segundo as instruções por elas fornecidas, desde que lícitas e em observância com a LGPD, mediante a celebração de contrato
firmado entre a Acol e a Operadora de Saúde.
A Acol Consultoria & Sistemas conta com uma equipe treinada e especializada que realizará o Tratamento de Dados adequado e necessário para atender ao objeto do Sistema SAUDI contratado por cada Operadora de Saúde.
4.2 – Produto
O Sistema SAUDI inclui uma série de dados que dependem do envio, pelas Operadoras de Saúde, de Dados dos Pacientes. Os Dados coletados, o Tratamento e a finalidade de cada serviço, objeto do Sistema SAUDI, são descritos na tabela abaixo:
Tipo de dados | Dados | Finalidade | Tratamento |
|---|---|---|---|
Beneficiário | Dados de identificação (Nome, CPF, Número da Carteira, CNS) Dados Clínicos (Indicação Clinica, Número Declaração Nascido Vivo, Número Declaração de Óbito, Justificativa Técnica) bem como Guias Resumo de Internação, Guias de Serviços de Terceiros e SADT, Guias de Honorários Médicos e Guias de Consulta Médica Senha de autorização e Observação | O sistema SAUDI automatiza e simplifica o processo de Auditoria de Contas Médicas, estabelecido entre Operadoras de Saúde Suplementar e Prestadores de Serviços Médicos. A proposta do SAUDI é realizar Auditoria Técnica e Administrativa, Automática e Manual em Guias Resumo de Internação, Guias de Serviços de Terceiros e SADT, Guias de Honorários Médicos e Guias de Consulta Médica. Todas no padrão ANS / TISS, recebidas através do padrão XML ou digitadas diretamente na Internet. | Coleta, recepção, armazenamento, acesso, processamento, utilização, avaliação, monitoramento, produção de relatório, e descarte dos Dados. |
Prestador | Dados de identificação (Código do Prestador, Nome Fantasia ou Nome do Prestador, CPF, Registro ANS, CNES, Endereço, Telefone, Email, Número do Conselho Profissional) e Observações adicionais do Prestador | Coleta, recepção, armazenamento, acesso, processamento, utilização, avaliação, monitoramento, produção de relatório, e descarte dos Dados. | |
Profissional de Saúde | Dados de Identificação (Nome, CPF, Assinatura, Número do Conselho, Código Profissional na Operadora, Usuário Vinculado) | Coleta, recepção, armazenamento, acesso, processamento, utilização, avaliação, monitoramento, produção de relatório, e descarte dos Dados. | |
Usuário | Dados de identificação (Nome, login, Email, Telefone) | Permite o gerenciamento dos acessos e incidentes/eventos adversos nas operadoras de saúde | Coleta, recepção, armazenamento, avaliação, monitoramento, produção de relatório, e descarte dos Dados. |
4.3 – Recolhimento, Armazenamento, Utilização e Descarte dos Dados
4.3.1 – Coleta e Recepção dos Dados
A Acol Consultoria & Sistemas somente coleta os Dados dos Pacientes estritamente necessários no âmbito da prestação dos serviços ofertados pelo Sistema SAUDI mencionados no item 2 acima. As Operadoras de Saúde são as responsáveis pelo envio dos Dados ao Sistema SAUDI. A inclusão das informações nas plataformas do Sistema SAUDI pode ser realizada, direta e manualmente, pelas pessoas autorizadas a acessar o Sistema SAUDI indicadas pelas Operadoras de Saúde (“Usuários”), através do padrão XML ou através de um link da base de dados.
Cada Usuário, por meio de uma ferramenta do Sistema SAUDI aderirá à Política de Privacidade dos Usuários do Sistema SAUDI que compõe essa Política.
4.3.2 – Armazenamento de Dados
Após a sua coleta e recepção pela Acol Consultoria & Sistemas, os Dados são armazenados em um servidor online sempre disponível em ambiente de nuvem (“Base de Dados”) protegido contra invasões, vazamentos e exclusões dos Dados.
Cada Operadora de Saúde tem acesso direto apenas a seus próprios Dados, sendo somente os Usuários devidamente cadastrados na Operadora de Saúde autorizados a acessá-los.
A Base de Dados é protegida mediante a adoção dos controles e procedimentos adotados no item
“Proteção dos Dados” deste manual e nas políticas ali mencionadas.
4.3.3 – Utilização dos Dados
Os Dados são utilizados pela Acol Consultoria & Sistemas de acordo o serviço contratado pela Operadora de Saúde e para atender as finalidades descritas no item 2 acima.
4.3.4 – Acesso dos Dados
Apenas os Usuários autorizados pelas Operadoras de Saúde podem ter acesso aos Dados e Base de Dados do Sistema SAUDI.
Além do tratamento de Dados dos Pacientes das Operadoras de Saúde, a Acol Consultoria & Sistemas também necessita recolher, armazenar, utilizar e descartar Dados Pessoais dos Usuários do Sistema SAUDI para garantir que somente pessoas autorizadas tenham acesso as suas plataformas.
Ao iniciar sua relação contratual com a Acol Consultoria & Sistemas, a Operadora de Saúde deve compartilhar as informações de um representante indicado como responsável pela aprovação e cadastro dos demais funcionários da Operadora de Saúde que poderão ter acesso ao Sistema SAUDI naquela instituição. (“Usuário Encarregado”).
Uma vez realizado o cadastro do Usuário Encarregado pelo Sistema SAUDI, a Operadora de Saúde passa a ser a única responsável pela permissão de novos usuários no Sistema SAUDI. Cabe ao Usuário Encarregado delegar os acessos aos serviços da Acol Consultoria & Sistemas, bem como o escopo de permissão que os novos usuários terão no Sistema SAUDI.
Para realizar o cadastro de novos Usuários, o Usuário Encarregado deve disponibilizar no Sistema SAUDI os dados de nome e e-mail deste Usuário.
Cada Usuário deverá aceitar todos os termos e condições da Política de Privacidade, que compõe o Anexo I, consentindo com a utilização dos seus Dados pela Acol Consultoria & Sistemas para a utilização do Sistema SAUDI.
As Operadoras de Saúde devem informar à Acol Consultoria & Sistemas o desligamento de qualquer Usuário do Sistema SAUDI para que sejam desativadas as credenciais destes usuários.
Todos os mecanismos e cuidados com a proteção dos Dados dos Pacientes recolhidos se aplicam também aos Dados Pessoais e/ou Sensíveis dos Usuários do Sistema SAUDI detidos pela Acol Consultoria & Sistemas.
4.3.4.1 – Profissionais da Acol com Acesso aos Dados
Além das medidas de proteção dos Dados Pessoais e Banco de Dados descritos no item “Proteção dos Dados” desta política, a Acol Consultoria & Sistemas confere acesso restrito e limitado a certos funcionários da Acol Consultoria & Sistemas para garantir o bom funcionamento, manutenção, correção e proteção do Sistema SAUDI.
Para tanto, a Acol Consultoria & Sistemas segrega, os funcionários que possuem acesso ao Banco de Dados, além de garantir que o acesso do Banco de Dados se dará mediante identificação e senha de acesso.
Os funcionários com acesso ao Banco de Dados aderem, integralmente, a política de confidencialidade da Acol Consultoria & Sistemas por meio da assinatura do Código de Ética e Conduta.
4.3.5 – Produção de Relatórios
A Operadora de Saúde poderá gerar relatórios relacionados ao serviço contratado.
Os relatórios gerados pela Acol Consultoria & Sistemas, em regra, não reproduzem Dados Pessoais e/ou Sensíveis, constituindo apenas estatísticas em relação aos eventos ocorridos dentro das Operadoras de Saúde, independentes da identificação pessoal dos Pacientes.
Apenas os relatórios que retratam o perfil dos pacientes utilizam Dados dos Pacientes, considerando que a identificação pessoal de quem recebe o tratamento realizado pela Operadora de Saúde é indispensável neste caso.
Todos os relatórios gerados pelo Sistema SAUDI são capazes de identificar o Usuário que o produziu, garantindo maior controle da circulação dos Dados.
4.3.6 – Descarte de Dados
Os Dados armazenados na Base de Dados da Acol Consultoria & Sistemas serão descartados em caso de ordem específica das Operadoras de Saúde, ou em caso de término da relação contratual da Acol Consultoria & Sistemas com a Operadora de Saúde, que receberá uma cópia correspondente à sua Base de Dados.
A Acol Consultoria & Sistemas realizará o descarte num prazo de até 60 (sessenta) dias contados após a devida solicitação de descarte dos Dados pela Operadora de Saúde, ou o encerramento do contrato, a não ser que haja solicitação explícita pela Operadora de Saúde ou Controlador para a manutenção dos Dados na Base de Dados do Sistema SAUDI.
O descarte é realizado de forma segura, nos termos exigidos pela LGPD, mediante procedimento de exclusão de forma lógica no banco de dados da Acol Consultoria & Sistemas. Uma vez realizada a exclusão, não será possível a restauração dos dados após 10 (dez) dias.
4.3.7 – Fluxograma do Tratamento de Dados
4.3.8 – Proteção dos Dados
A Acol Consultoria & Sistemas envida todos os esforços para proteger a confidencialidade dos Dados, adotando as melhores práticas de segurança da informação para o tráfego e armazenamento de dados e informações, incluindo, mas não se limitando:
A adoção de boas práticas de segurança, descritas na Política de Segurança da Informação da Acol Consultoria & Sistemas e nas normas da ISO 27001;
O armazenamento seguro de dados, mediante a adoção de criptografia em todo ambiente; A realização de transferência externa de dados para armazenamento(backup), utilizando um ambiente seguro, criptografado ponta a ponta, não trafegando dados em rede publica;
O monitoramento e alerta de segurança de cybersecurity;
A segregação de perfis de acesso, de forma que o acesso às informações e Dados será restrito a certos perfis de acesso definidos pela Gerência de Infraestrutura, descrita da Política de Segurança da Informação da Acol Consultoria & Sistemas.
A Acol Consultoria & Sistemas submete-se periodicamente a uma rigorosa auditoria externa de segurança da informação baseada na norma ISO 27001. A proteção de dados realizada pela Acol Consultoria & Sistemas, além das medidas mencionadas acima, inclui também as medidas e procedimentos de proteção de segurança de Dados pormenorizados na Política de Segurança da Informação.
Outrossim, todos os Colaboradores têm o compromisso de proteger a confidencialidade de quaisquer informações privativas da Acol Consultoria & Sistemas, devendo observar estritamente o disposto na LGPD e nas políticas da Acol Consultoria & Sistemas, se comprometendo, em especial, a receber e salvaguardar todos os Dados que venham a ter acesso, conforme detalhado no Código de Ética e Conduta da Acol Consultoria & Sistemas.
5 – Tratamento de Dados Pessoais
A Acol Consultoria & Sistemas adota medidas de segurança técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento de Dados inadequado ou ilícito.
A Acol Consultoria & Sistemas realiza uma análise dos riscos aos quais está sujeita relacionados a confidencialidade, integridade e disponibilidade das informações por ela recebidas.
Essa análise de risco visa possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação de riscos operacionais, tecnológicos e de imagem, além de possibilitar o desenvolvimento de softwares mais seguros e aplicação de medidas que afastam a vulnerabilidade e
ameaças à quebra de segurança da rede e do Sistema SAUDI.
A Acol Consultoria & Sistemas mantém um sistema de gestão de riscos de segurança da informação que conta com uma equipe técnica de TI capacitada e especializada que:
• Realiza a análise qualitativa e quantitativa dos riscos à segurança de informação da Acol Consultoria & Sistemas, criando indicadores de riscos que são constantemente monitorados;
• Supervisiona a implementação e manutenção de planos de ação e alcance de metas estabelecidas de proteção do sistema de segurança da informação;
Da análise de risco de segurança de informação, a Acol Consultoria & Sistemas desenvolve, implementa e atualiza os seus softwares com o objetivo de garantir sua eficiência, segurança e adequação à legislação aplicável, inclusive a LGPD, observando a aplicação das seguintes medidas:
• Criação de senhas fortes e estrito cuidado na distribuição de permissões para acesso a informações em bancos de dados da Acol Consultoria & Sistemas, além da implementação de acesso (lógico e/ou físico) para evitar qualquer acesso não autorizado;
• Estruturação de canais seguros de comunicação pelos quais se garante a transmissão salvaguardada de Dados entre o Sistema SAUDI;
• Utilização de ferramentas que reforçam a resiliência do Sistema SAUDI a ataques e invasões indesejadas que representem qualquer risco às informações detidas;
• Manutenção de registros de rastreamento e consultas de incidentes ligados à segurança do Sistema SAUDI, de modo a torná-los disponíveis para auditoria de avaliação de riscos;
• Realização de testes de segurança que confirmem que os softwares da Acol Consultoria & Sistemas são seguros e efetivos em manter o sigilo das informações coletadas;
• Implementação de criptografia dos softwares e dos bancos de dados operados pela Acol Consultoria & Sistemas, de modo a reforçar a segurança e a dificuldade de acesso por pessoa não autorizadas as informações coletadas pelo Sistema SAUDI.
Além das diligências já descritas, a Acol Consultoria & Sistemas reforça ainda o comprometimento com a proteção dos dados, mediante medidas que são para todos os funcionários, usuários ou quaisquer pessoas custodiantes de informações da Acol Consultoria & Sistemas, Operadoras de
Saúde e/ou Pacientes (“Colaboradores”):
• Orientação dos Colaboradores em relação aos cuidados e diligência no Tratamento de Dados;
• Realização de treinamentos aos seus funcionários, com intuito de garantir uma equipe multidisciplinar dedicada a orientar e implementar as políticas de segurança e mecanismos de proteção de dados adequados para mitigar qualquer risco de vazamento ou utilização indevida de Dados em todas as esferas;
• Aplicação de testes de segurança;
• Restrição das informações que podem ser acessadas pelos Colaboradores da Acol Consultoria & Sistemas ao estritamente necessário para prestação dos serviços do Sistema SAUDI;
• Restrição do acesso às informações ao estabelecimento da Acol Consultoria & Sistemas, sendo a possibilidade de acesso remoto aos Dados da Acol Consultoria & Sistemas exceção que deve ser aprovada pela direção da Acol Consultoria & Sistemas.
• Verificação periódica de todos os Colaboradores que possuem acesso às informações da Acol Consultoria & Sistemas, Operadoras de Saúde e/ou Pacientes, de modo a manter o controle minucioso de quem pode acessar o Sistema SAUDI, garantindo que as informações
sejam visualizadas somente por pessoas devidamente autorizadas;
• Utilização de antivírus e demais formas de proteção das máquinas de todos os Colaboradores Acol Consultoria & Sistemas para assegurar que não haja invasão e rompimento dos Dados portados pela Acol Consultoria & Sistemas.
Para garantir que os Colaboradores cumpram as orientações e medidas adotadas para a Proteção dos Dados, a Acol Consultoria & Sistemas adota um Código de Ética e Conduta, bem como um Termo de Confidencialidade que deve ser assinado por todos os funcionários, usuários ou quaisquer
pessoas que possuem acesso aos Dados dos Pacientes.
6 – Responsável pela Proteção de dados
Tendo em vista a importância da proteção dos Dados Pessoais, a Acol Consultoria & Sistemas nomeou um responsável pela implementação e monitoramento desta Política e dos demais dispositivos relacionados à Lei Geral de Proteção de Dados (“Responsável pela Proteção de Dados”).
Para garantir o cumprimento dessa Política e da LGPD, o Responsável pela Proteção de Dados implementará as seguintes medidas:
• Realizará, anualmente, um treinamento para seus Colaboradores em todas as unidades de negócio da Acol Consultoria & Sistemas, sobre essa Política e a LGPD, que poderá ser presencial, por videoconferência ou outro meio não presencial, como por exemplo, via Web;
• Aplicará um questionário anual sobre Política e a LGPD a ser respondido por todos os seus funcionários, sócios e administradores;
• Realizará auditoria anual para avaliar os riscos expostos e as medidas que podem ser tomadas para mitigar os riscos ou solucioná-los. Esta auditoria será realizada em todo o Sistema SAUDI – na documentação, hosting, políticas de segurança, acesso interno e
servidores.
• Coordenará a atualização dessa Política.
7 – Comunicação de Dados a outras Entidades
A Acol Consultoria & Sistemas poderá contratar empresas de auditoria externa que serão, anualmente, para verificar e validar o sistema de segurança de informação da Acol Consultoria & Sistemas.
A Acol Consultoria & Sistemas poderá, ainda, transmitir, Dados Pessoais dos Pacientes a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais, (iii) para responder a
solicitações de autoridades públicas ou governamentais ou (iv) para efeito de certificação, avaliação e medição dos níveis de serviço do Sistema SAUDI.
Em qualquer das situações acima mencionadas, a Acol Consultoria & Sistemas compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos Dados Pessoais.
8 – Contato
Para reportar assuntos que considere convenientes no âmbito desta política, as Operadoras de Saúde e/ou Pacientes podem remeter qualquer pedido relativamente aos mesmos, por escrito, no seguinte endereço de e-mail: dpo@acol.com.br.
9 – Alterações à Política de Privacidade e Proteção de Dados Pessoais
Esta Política está sujeita a alterações para melhor adequação à Lei Geral de Proteção de Dados e às normativas da Agência Nacional de Proteção de Dados.
A Acol Consultoria & Sistemas pode alterar esta política a qualquer momento, quando considerado necessário. Se houver mudanças substanciais, você será informado para revisar as alterações antes que entrem em vigor. Se você não concordar com alguma das alterações, poderá solicitar o
fechamento de sua conta de usuário. Neste caso, a Acol Consultoria & Sistemas encaminhará sua solicitação à pessoa responsável pelo Sistema SAUDI em sua Operadora de Saúde.
Para qualquer dúvida ou questão sobre o recolhimento e o tratamento de dados pessoais feitos por nós, contate-nos.
