Política de Privacidade

Uso dos sistemas SACIH Plus, SACIH 3i e SACIH EGRESSOS e a Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018

1. DO SIGILO E DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

1.1. Do tratamento de dados pessoais: o uso dos sistemas SACIH Plus, SACIH 3i e SACIH EGRESSOS envolve atividades de tratamento de dados pessoais, realizadas em cumprimento a toda a legislação aplicável a esse tratamento, incluindo, mas não se limitando, à Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)

1.2. Agentes de tratamento: no contexto de tratamento de dados pessoais, a BIOBYTE atuará como operadora, conforme legislação aplicável.

1.3. Obrigação de Sigilo: As partes obrigam-se a manter sigilo, não divulgar, informar ou explorar, quaisquer segredos de negócio relacionado à estruturação, estratégia ou comercialização de negócios da outra parte, bem como de dados pessoais sensíveis ou não dos seus diretores, conselheiros, beneficiários e fornecedores, que lhe forem confiados, ou de que tiver conhecimento em razão de sua atividade, mesmo após o fim da presente prestação de serviços, devendo observar os termos da Lei 13.709/18, Lei Geral de Proteção de Dados.

Parágrafo único. As partes se obrigam a manter estrita confidencialidade das informações que lhe forem confiadas, bem como a tomar todas as precauções para evitar que quaisquer pessoas que não estejam diretamente vinculadas aos serviços tenham acesso a tais informações, sob pena de responder integralmente pelos danos correspondentes a cada violação a que der causa, sem prejuízo das sanções civis, penais e trabalhistas cabíveis

1.4. Compartilhamento: A BIOBYTE não poderá compartilhar os dados pessoais tratados em razão do contrato com quaisquer terceiros sem prévia autorização por escrito do HOSPITAL (USUÁRIO) e somente quando necessário ao cumprimento do contrato, sendo vedada a presunção de qualquer autorização.

1.5. Segurança e Governança de dados: A BIOBYTE obriga-se a aplicar medidas técnicas e organizacionais de segurança da informação e governança corporativa aptas a proteger os dados pessoais tratados em virtude do presente contrato, declarando ainda que dispõe de medidas, processos, controles e políticas de segurança e governança apropriadas à proteção dos dados pessoais e compatíveis com a legislação aplicável, incluindo, sem limitação, a adoção de salvaguardas administrativas, técnicas e físicas para a proteção dos dados pessoais contra incidentes de qualquer natureza.

1.6. Notificação em caso de incidente: Caso a BIOBYTE tenha conhecimento da ocorrência ou suspeita de qualquer tratamento de dados pessoais ilícito, indevido, não autorizado, incompatível com a legislação de proteção de dados pessoais ou com o quanto disposto no presente contrato, ainda que acidental, ou a quaisquer tipos de incidentes de segurança da informação, deverá, em até 24 (vinte e quatro) horas contadas da ciência da ocorrência ou suspeita do incidente, notificar, por escrito, a BIOBYTE sobre o ocorrido, informando minuciosamente todos os detalhes disponíveis a respeito.

1.7. Auditoria: O HOSPITAL (USUÁRIO) poderá, durante a vigência do contrato e até três anos após o seu término, a seu exclusivo critério, realizar auditorias, por si ou por terceiros por ela indicados, nos documentos ou no ambiente de controle de segurança da informação (físico e digital) da BIOBYTE para verificar se as medidas e controles de segurança da informação aplicados por ela estão de acordo com as obrigações previstas neste contrato e na legislação aplicável, devendo a BIOBYTE disponibilizar ao HOSPITAL (USUÁRIO) toda a documentação e acesso necessário à auditoria.

1.8. Solicitações de direitos por titulares: A BIOBYTE deverá comunicar, imediatamente e por escrito, ao HOSPITAL (USUÁRIO) sobre qualquer solicitação eventualmente formalizada por qualquer titular de dados pessoais referente ao tratamento realizado em virtude do presente contrato, devendo se abster de responder diretamente a solicitação do titular e somente tomar as medidas indicadas pelo HOSPITAL (USUÁRIO) para atendimento da requisição.

1.9. Exclusão de dados: Os dados pessoais tratados em virtude do presente contrato serão restituídos ou excluídos pela BIOBYTE, a exclusivo critério do HOSPITAL (USUÁRIO), nas seguintes hipóteses: (i) após serem cumpridas as finalidades de tratamento dos dados pessoais previstas neste contrato; (ii) ser terminada a relação contratual entre as Partes; ou (iii) em razão do recebimento de instrução específica do HOSPITAL (USUÁRIO) para a exclusão de dados pessoais pela BIOBYTE.

1.10. Responsabilidades: A BIOBYTE será responsável, por si e por seus Colaboradores, pelo tratamento de dados pessoais realizado no âmbito do presente contrato, ficando o HOSPITAL (USUÁRIO) livre de quaisquer responsabilidades, danos ou prejuízos, diretos e indiretos, decorrentes de qualquer operação de tratamento de dados pessoais realizada em violação pela BIOBYTE à legislação de proteção de dados pessoais ou em desacordo com o contrato, sem prejuízo de eventuais perdas e danos decorrente do tratamento irregular.

1.11. Encarregado: A BIOBYTE declara que dispõe de encarregado, Sr. Bráulio Roberto Gonçalves Marinho Couto, conforme previsto na legislação, que ficará responsável por toda comunicação relativa ao tratamento de dados pessoais previsto no presente contrato junto ao HOSPITAL (USUÁRIO).

1.12. Plano de Resposta a Incidentes: A BIOBYTE declara que dispõe de plano de resposta a incidentes, cujo objetivo é a restauração da operação normal de um serviço o mais rápido possível e a localização da causa raiz de um ou mais incidentes de forma a erradicá-los, evitando a recorrência dos incidentes e melhorando o atendimento aos níveis de serviço. O tratamento de incidentes e problemas da BIOBYTE é definido através da criticidade e da abrangência do incidente, conforme tabela a seguir:

1.13. Política de Segurança da Informação: A BIOBYTE declara que os serviços objeto do presente contrato dispõem de arquitetura de alta disponibilidade em ambiente dedicado AWS com gestão da Biobyte Sistemas Ltda (disponibilidade 24×7) e, por se tratar de um modelo SaaS, é de sua responsabilidade o monitoramento constante de sua infraestrutura e, sempre que necessário, deverá adaptá-la às necessidades da CCIH e do Núcleo de Segurança do Paciente (NSP), aumentando-a, se necessário, de forma transparente para o HOSPITAL (USUÁRIO). Por se tratar de uma nuvem dedicada, a própria AWS oferece diversas garantias atreladas à segurança que podem ser acessadas através dos links:

https://aws.amazon.com/pt/security/

https://aws.amazon.com/pt/compliance/

https://aws.amazon.com/pt/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs

1.14. Política de Retenção e Descarte: O backup será diário incremental do banco de dados, semanal full, mensal full e retenção de 5 anos. O tempo de armazenamento dos dados e a política de descarte serão definidos e executados pelo próprio HOSPITAL (USUÁRIO), por meio da CCIH e do Núcleo de Segurança do Paciente (NSP), observado o quanto disposto em 1.9