Políticas de Privacidade de Dados

A Epimed Solutions (“Epimed”) é especializada em soluções para gestão de informações clínicas e epidemiológicas, que melhoram a eficiência do atendimento hospitalar e a segurança do paciente. 

A Epimed desenvolveu softwares capazes de gerenciar informações clínicas em tempo real,  avaliar a performance e a eficiência da UTI dos hospitais, avaliar o risco de longa permanência de cada paciente na UTI, gerir dados clínicos e indicadores de qualidade, acompanhar os incidentes e eventos adversos nos hospitais, dentre outros serviços (“Sistema Epimed”).

O Sistema Epimed opera mediante o recebimento de dados fornecidos pelos hospitais, clínicas, organizações sociais de saúde  e outras instituições de saúde (“Instituição de Saúde”), sendo alguns deles Dados Pessoais e/ou Dados Sensíveis (“Dados”), dependendo do software e serviços contratados pelos hospitais. 

A Epimed, na qualidade de Operadora dos Dados, realizará o Tratamento desses Dados de acordo com as instruções das Instituições de Saúde.

Em conformidade com a nova legislação brasileira nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”) sobre a proteção de Dados Pessoais,  foi elaborada a Política de Privacidade e Proteção de Dados Pessoais (“Política”), com intuito de reafirmar o compromisso da Epimed com as melhores práticas de proteção dos dados recebidos.

A Política é utilizada para estabelecer a forma em que os Dados Pessoais dos Pacientes das Instituições de Saúde são recolhidos, tratados, armazenados e descartados pela Epimed, assegurando que são colocados em prática os mecanismos que garantam a utilização dos Dados Pessoais compatível com as finalidades designadas pelas Instituições de Saúde e em conformidade com a LGPD, além da utilização de medidas técnicas e administrativas aptas a proteção dos Dados Pessoais.

“Controlador” – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

“Dados Pessoais” – Consideram-se dados pessoais toda e qualquer informação, independentemente de sua natureza, que direta, ou indiretamente seja capaz de identificar uma pessoa singular, titular dos dados, designadamente por referência a um número de identificação ou a elementos específicos de sua identidade física, psíquica, fisiológica, econômica, social ou cultural.

“Dados Sensíveis” – Consideram-se dados pessoais sensíveis os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

“Dados Referentes à Saúde” – São os dados pessoais relativos à saúde física ou mental do seu titular, incluindo a prestação dos serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro.

“Instituições de Sáude” – hospitais, clínicas, organizações sociais de saúde e outras instituições de saúde, contratantes do Sistema Epimed, que atuarão na qualidade de Controlador.

“Lei Geral de Proteção de Dados” ou “LGPD” – Lei nº 13.709, de 14 de agosto de 2018.

“Operador” – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

“Pacientes” – São os pacientes das Instituições de Saúde, cujos dados são utilizados no Sistema Epimed.

“Sistema Epimed” – A definição está no item 1 desta Política.

“Tratamento” – É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

“UTI” – Unidade de Terapia Intensiva.

4.1 Responsável pelo Tratamento dos Dados Pessoais

O Tratamento de Dados Pessoais ou Dados Sensíveis, em regra, somente poderá ser realizado mediante consentimento do Paciente. As Instituições de Saúde, agente Controlador nos termos da LGPD, são as únicas e exclusivas responsáveis pela obtenção do consentimento dos Pacientes, que deverá ser livre, informado e inequívoco, pelo qual o Paciente concorda com a utilização de seus Dados para uma finalidade determinada, nos exatos termos da LGPD.

Desta forma, para cada serviço oferecido pela Epimed, contratado pelas Instituições de Saúde, conforme a cláusula 4.2 abaixo, deverá ser obtido um consentimento específico do Paciente que autorize o Tratamento de Dados, objeto de cada serviço que compõe o Sistema Epimed.

A Epimed, portanto, na qualidade de Operadora nos termos da LGPD, deverá realizar o Tratamento de Dados em nome das Instituições de Saúde e segundo as instruções por elas fornecidas, desde que lícitas e em observância com a LGPD, mediante a celebração de contrato firmado entre a Epimed e a Instituição de Saúde.

A Epimed conta com uma equipe treinada e especializada que realizará o Tratamento de Dados adequado e necessário para atender ao objeto do Sistema Epimed contratado por cada Instituição de Saúde.

4.2 Produtos

O Sistema Epimed inclui uma série de serviços que dependem do envio, pelas Instituições de Saúde, de Dados dos Pacientes.

Os Dados coletados, o Tratamento e a finalidade de cada serviço, objeto do Sistema Epimed, são descritos na tabela abaixo:

4.3 Recolhimento, Armazenamento, Utilização e Descartes dos Dados

4.3.1 Coleta e Recepção dos Dados

A Epimed somente coleta os Dados dos Pacientes estritamente necessários no âmbito da prestação dos serviços ofertados pelo Sistema Epimed mencionados no item 4.2 acima.
As Instituições de Saúde são as responsáveis pelo envio dos Dados ao Sistema Epimed. A inclusão das informações dos Pacientes nas plataformas do Sistema Epimed pode ser realizada, direta e manualmente, pelas pessoas autorizadas a acessar o Sistema Epimed indicadas pelas Instituições de Saúde (“Usuários”).

Os Usuários podem optar por utilizar um procedimento de integração oferecido pela Epimed, pelo qual são coletados, por meio do preenchimento de um formulário, os Dados do Paciente, e, posteriormente, a Epimed realiza a sua inclusão no Sistema Epimed.

Cada Usuário, por meio de uma ferramenta do Sistema Epimed aderirá à Política de Privacidade dos Usuários do Sistema Epimed que compõe o Anexo I desta Política.

4.3.2 Armazenamento de Dados

Após a sua coleta e recepção pela Epimed, os Dados são armazenados em um servidor online sempre disponível em ambiente de nuvem (“Base de Dados”) protegido contra invasões, vazamentos e exclusões dos Dados.

Cada Instituição de Saúde tem acesso direto apenas a seus próprios Dados, sendo somente os Usuários devidamente cadastrados na Instituição de Saúde autorizados a acessá-los. 

A Base de Dados é protegida mediante a adoção dos controles e procedimentos adotados no item 5 deste manual e nas políticas ali mencionadas.

4.3.3 Utilização dos Dados 

Os Dados são utilizados pela Epimed de acordo o tipo de serviço contratado pela Instituição de Saúde e para atender as finalidades descritas no item 4.2 acima.

4.3.4 Acesso dos Dados 

Apenas os Usuários autorizados pelas Instituições de Saúde podem ter acesso aos Dados e Base de Dados do Sistema Epimed.

Além do tratamento de Dados dos Pacientes das Instituições de Saúde, a Epimed também necessita recolher, armazenar, utilizar e descartar Dados Pessoais dos Usuários do Sistema Epimed para garantir que somente pessoas autorizadas tenham acesso as suas plataformas.

Ao iniciar sua relação contratual com a Epimed, a Instituição de Saúde deve compartilhar as informações de um representante indicado como responsável pela aprovação e cadastro dos demais funcionários da Instituição de Saúde que poderão ter acesso ao Sistema Epimed naquela instituição. (“Usuário Encarregado”).

Uma vez realizado o cadastro do Usuário Encarregado pelo Sistema Epimed, a Instituição de Saúde passa a ser a única responsável pela permissão de novos usuários no Sistema Epimed. Cabe ao Usuário Encarregado delegar os acessos aos serviços da Epimed, bem como o escopo de permissão que os novos usuários terão no Sistema Epimed. 

Para realizar o cadastro de novos Usuários, o Usuário Encarregado deve disponibilizar no Sistema Epimed os dados de nome e e-mail deste Usuário.

Cada Usuário deverá aceitar todos os termos e condições da Política de Privacidade, que compõe o Anexo I, consentindo com a utilização dos seus Dados pela Epimed para a utilização do Sistema Epimed. 

As Instituições de Saúde devem informar à Epimed o desligamento de qualquer Usuário do Sistema Epimed para que sejam desativadas as credenciais destes usuários.

Todos os mecanismos e cuidados com a proteção dos Dados dos Pacientes recolhidos se aplicam também aos Dados Pessoais e/ou Sensíveis dos Usuários do Sistema Epimed detidos pela Epimed. 

4.3.4.1 Profissionais da Epimed com Acesso aos Dados 

Além das medidas de proteção dos Dados Pessoais e Banco de Dados descritos no item 5 desta política, a Epimed confere acesso restrito e limitado a certos funcionários da Epimed para garantir o bom funcionamento, manutenção, correção e proteção do Sistema Epimed. 

Para tanto, a Epimed segrega, fisicamente, os funcionários que possuem acesso ao Banco de Dados, além de garantir que o acesso do Banco de Dados se dará mediante identificação e senha de acesso.

Os funcionários com acesso ao Banco de Dados aderem, integralmente, a política de confidencialidade da Epimed por meio da assinatura do Código de Ética e Conduta da Epimed.

4.3.5 Produção de Relatórios

A Instituição de Saúde poderá gerar relatórios relacionados ao tipo de serviço contratado listado no item 4.2 acima. 

Os relatórios podem retratar os perfis de pacientes com eventos de infecção, veicular painéis interativos com informações detalhadas dos eventos de infecção, detalhar o perfil de uso e adequação de antibiótico profilático (ATB), detalhar a incidência de patógenos multibacterianos (MTB) e o benchmarking qualificado. 

Os relatórios gerados pela Epimed, em regra, não reproduzem Dados Pessoais e/ou Sensíveis, constituindo apenas estatísticas em relação aos eventos ocorridos dentro das Instituições de Saúde, independentes da identificação pessoal do Pacientes. 

Apenas os relatórios que retratam o perfil dos pacientes utilizam Dados dos Pacientes, considerando que a identificação pessoal de quem recebe o tratamento realizado pela Instituição de Saúde é indispensável neste caso. 

Todos os relatórios gerados pelo Sistema Epimed são capazes de identificar o Usuário que o produziu, garantindo maior controle da circulação dos Dados.  

4.3.6 Descarte de Dados

Os Dados armazenados na Base de Dados da Epimed serão descartados em caso de ordem específica das Instituições de Saúde, ou em caso de término da relação contratual da Epimed com a Instituição de Saúde, que receberá uma cópia correspondente à sua Base de Dados.

A Epimed realizará o descarte num prazo de até 60 (sessenta) dias contados após a devida solicitação de descarte dos Dados pela Instituição de Saúde, ou o encerramento do contrato, a não ser que haja solicitação explícita pela Instituição de Saúde ou Controlador para a manutenção dos Dados na Base de Dados do Sistema Epimed.

O descarte é realizado de forma segura, nos termos exigidos pela LGPD, mediante procedimento de exclusão de forma lógica no banco de dados da Epimed. Uma vez realizada a exclusão, não será possível a restauração dos dados após 30 (trinta) dias.

4.3.7 Fluxograma do Tratamento de Dados

4.3.8 Proteção dos Dados

A Epimed envida todos os esforços para proteger a confidencialidade dos Dados, adotando as melhores práticas de segurança da informação para o tráfego e armazenamento de dados e informações, incluindo, mas não se limitando:

• A adoção de boas práticas de segurança, descritas na Política de Segurança da Informação da Epimed e nas normas da ISO 27001;
• O armazenamento seguro de dados, mediante a adoção de criptografia em toda a sua base de dados;
• A gestão de riscos, incluindo o mapeamento de interfaces de troca de informações e Dados entre os usuários da Epimed, e demais medidas previstas na Política de Gestão de Riscos de Segurança da Informação da Epimed;
• A não realização de transferência externa de dados, tanto em nível nacional quanto internacional; 
• O monitoramento e alerta de segurança de cybersecurity;
• A segregação de perfis de acesso, de forma que o acesso às informações e Dados será restrito a certos perfis de acesso definidos pela Gerência de Infraestrutura, descrita da Política de Segurança da Informação da Epimed.

A Epimed submete-se periodicamente a uma rigorosa auditoria externa de segurança da informação baseada na norma ISO 27001.  A proteção de dados realizada pela Epimed, além das medidas mencionadas acima, inclui também as medidas e procedimentos de proteção de segurança de Dados pormenorizados na Política de Segurança da Informação, Política de Desenvolvimento Seguro de Software e Política de Gestão de Riscos da Epimed, instrumentos Anexos a esta Política.

Outrossim, todos os Colaboradores têm o compromisso de proteger a confidencialidade de quaisquer informações privativas da Epimed, devendo observar estritamente o disposto na LGPD e nas políticas da Epimed, se comprometendo, em especial, a receber e salvaguardar todos os Dados que venham a ter acesso, conforme detalhado no Código de Ética e Conduta da Epimed que compõe o Anexo V.

A Epimed adota medidas de segurança técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento de Dados inadequado ou ilícito.

A Epimed realiza uma análise dos riscos aos quais está sujeita relacionados a confidencialidade, integridade e disponibilidade das informações por ela recebidas.

Essa análise de risco visa possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação de riscos operacionais, tecnológicos e de imagem, além de possibilitar o desenvolvimento de softwares mais seguros e aplicação de medidas que afastam a vulnerabilidade e ameaças à quebra de segurança da rede e do Sistema Epimed.

A Epimed mantém um sistema de gestão de riscos de segurança da informação que conta com uma equipe técnica de TI capacitada e especializada que:

• Realiza a análise qualitativa e quantitativa dos riscos à segurança de informação da Epimed, criando indicadores de riscos que são constantemente monitorados;
• Supervisiona a implementação e manutenção de planos de ação e alcance de metas estabelecidas de proteção do sistema de segurança da informação;
• Comunica quaisquer falhas e/ou sugestão ao Comitê Gestor de Riscos responsável pela revisão periódica da matriz de risco da Epimed, definição dos riscos a serem priorizados para tratamento, considerando o alto e baixo nível de exposição, reporte à Diretoria dos resultados do processo de gerenciamento de risco, homologação dos planos de ação para mitigação de risco de segurança de informação.

Para maiores esclarecimentos sobre a gestão de risco à segurança de informação da Epimed, verificar a Política de Gestão de Riscos de Segurança da Informação da Epimed que compõe o Anexo II desta Política.

Da análise de risco de segurança de informação, a Epimed desenvolve, implementa e atualiza os seus softwares com o objetivo de garantir sua eficiência, segurança e adequação à legislação aplicável, inclusive a LGPD, observando a aplicação das seguintes medidas:

• Criação de senhas fortes e estrito cuidado na distribuição de permissões para acesso a informações em bancos de dados da Epimed, além da implementação de acesso (lógico e/ou físico) para evitar qualquer acesso não autorizado;
• Estruturação de canais seguros de comunicação pelos quais se garante a transmissão salvaguardada de Dados entre o Sistema Epimed;
• Utilização de ferramentas que reforçam a resiliência do Sistema Epimed a ataques e invasões indesejadas que representem qualquer risco às informações detidas;
• Manutenção de registros de rastreamento e consultas de incidentes ligados à segurança do Sistema Epimed, de modo a torná-los disponíveis para auditoria de avaliação de riscos;
• Realização de testes de segurança que confirmem que os softwares da Epimed são seguros e efetivos em manter o sigilo das informações coletadas;
• Implementação de criptografia dos softwares e dos bancos de dados operados pela Epimed, inclusive criptografia individualizada dos dados de identificação dos Pacientes, Instituições de Saúde e Usuários do Sistema Epimed, de modo a reforçar a segurança e a dificuldade de acesso por pessoa não autorizadas as informações coletadas pelo Sistema Epimed.

O Sistema Epimed passará ainda por auditoria externa anual para avaliar todo o seu sistema de segurança de informação e de proteção de dados.

Para maiores esclarecimentos sobre o desenvolvimento seguro de software pela Epimed, verificar a Política de Desenvolvimento Seguro de Software que compõe o Anexo III desta Política.

Além das diligências já descritas, a Epimed reforça ainda o comprometimento com a proteção dos dados, mediante medidas que são para todos os funcionários, usuários ou quaisquer pessoas custodiantes de informações da Epimed, Instituições de Saúde e/ou Pacientes (“Colaboradores”):

• Orientação dos Colaboradores em relação aos cuidados e diligência no Tratamento de Dados;
• Realização de treinamentos aos seus funcionários, com intuito de garantir uma equipe multidisciplinar dedicada a orientar e implementar as políticas de segurança e mecanismos de proteção de dados adequados para mitigar qualquer risco de vazamento ou utilização indevida de Dados em todas as esferas;
• Aplicação de testes de segurança;
• Restrição das informações que podem ser acessadas pelos Colaboradores da Epimed ao estritamente necessário para prestação dos serviços do Sistema Epimed;
• Restrição do acesso as informações ao estabelecimento da Epimed, sendo a possibilidade de acesso remoto aos Dados da Epimed exceção que deve ser aprovada por pelo menos 2 (dois) diretores da Epimed.
• Verificação periódica de todos os Colaboradores que possuem acesso às informações da Epimed, Instituições de Saúde e/ou Pacientes, de modo a manter o controle minucioso de quem pode acessar o Sistema Epimed, garantindo que as informações sejam visualizadas somente por pessoas devidamente autorizadas;
• Utilização de antivírus e demais formas de proteção das máquinas de todos os Colaboradores Epimed para assegurar que não haja invasão e rompimento dos Dados portados pela Epimed.

Para garantir que os Colaboradores cumpram as orientações e medidas adotadas para a Proteção dos Dados, a Epimed adota um Código de Ética e Conduta, bem como um Termo de Confidencialidade que deve ser assinado por todos os funcionários, usuários ou quaisquer pessoas que possuem acesso aos Dados dos Pacientes.

Para maiores esclarecimentos sobre as medidas aplicadas aos colaboradores da Epimed, verificar a Política de Segurança de Informação e a o Código de Ética e Conduta da Epimed que compõem os Anexo IV e V desta Política.

A Epimed estabelece uma série de procedimentos para comunicação de incidentes sobre segurança da informação e vazamento dos Dados armazenados em prazo razoável, bem como para imediata contenção dos possíveis danos que um vazamento pode representar para os Pacientes e para as Instituições de Saúde envolvidas.

Ocorrido qualquer evento de vazamento de informação de Dados e/ou uso fora da finalidade para o qual foi contratada, a Epimed se compromete a adotar as seguintes medidas:

• Coletar evidências do ocorrido corretamente de acordo com os requisitos normativos e regulamentares;
• Notificar imediatamente a Instituição de Saúde e qualquer outra parte interessada em caso de real ou suspeita de quebra de segurança, acesso não autorizado, perda, dano ou outro tipo de corrupção de segurança, confidencialidade ou integridade dos dados pessoais processados pela Epimed;
• Realizar a validação formal da segurança da informação ou incidente de proteção de dados para que os procedimentos e medidas de controle possam ser melhorados e as lições extraídas de um incidente sejam comunicadas à gerência para validação e aprovação de novas ações.
• Atuar com todos os esforços e no menor tempo possível para prevenir qualquer futura quebra de segurança do Sistema Epimed;
• Auxiliar em qualquer notificação que a Instituição de Saúde deva fazer em decorrência do vazamento de dados;
• Fornecer a Instituição de Saúde cooperação e assistência completas e rápidas em relação a qualquer reclamação, comunicação ou solicitação recebida de um titular dos dados.

A Epimed disponibiliza ainda em seu Anexo VI o modelo de formulário para relatório de vazamentos de dados que deverá ser preenchido com as informações pormenorizadas em relação a quebra de segurança da Epimed e encaminhado a Instituição de Saúde e qualquer outra parte interessada.

Tendo em vista a importância da proteção dos Dados Pessoais, a Epimed nomeou um responsável pela implementação e monitoramento desta Política e dos demais dispositivos relacionados à Lei Geral de Proteção de Dados (“Responsável pela Proteção de Dados”).

Para garantir o cumprimento dessa Política e da LGPD, o Responsável pela Proteção de Dados implementará as seguintes medidas:

• Realizará, anualmente, um treinamento para seus Colaboradores em todas as unidades de negócio da Epimed, sobre essa Política e a LGPD, que poderá ser presencial, por videoconferência ou outro meio não presencial, como por exemplo, via Web;
• Aplicará um questionário anual sobre Política e a LGPD a ser respondido por todos os seus funcionários, sócios e administradores;
• Realizará auditoria externa anual para avaliar os riscos expostos e as medidas que podem ser tomadas para mitigar os riscos ou solucioná-los. Esta auditoria será realizada em todo o Sistema Epimed – na documentação, hosting, políticas de segurança, acesso interno e servidores. Após a auditoria, será feita uma certificação dos registros eletrônicos dos dados de saúde, a exemplo da certificação SBIS.
• Coordenará a atualização dessa Política.

A Epimed não recorre a outras entidades para a prestação do serviço contratado pelas Instituições de Saúde, exceto para as empresas de auditoria externa que serão, anualmente, contratadas para verificar e validar o sistema de segurança de informação da Epimed.

A Epimed poderá, ainda, transmitir, Dados Pessoais dos Pacientes a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais, (iii) para responder a solicitações de autoridades públicas ou governamentais ou (iv) para efeito de certificação, avaliação e medição dos níveis de serviço do Sistema Epimed.

Em qualquer das situações acima mencionadas, a Epimed compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos Dados Pessoais dos Pacientes.

Para reportar assuntos que considere convenientes no âmbito desta política, as Instituição de Saúde e/ou Pacientes podem remeter qualquer pedido relativamente aos mesmos, por escrito, no seguinte endereço de e-mail: protecaodedados@epimedsolutions.com

Esta Política está sujeita a alterações para melhor adequação à Lei Geral de Proteção de Dados e às normativas da Agência Nacional de Proteção de Dados.

A Epimed pode alterar esta política a qualquer momento, quando considerado necessário. Se houver mudanças substanciais, você será informado para revisar as alterações antes que entrem em vigor. Se você não concordar com alguma das alterações, poderá solicitar o fechamento de sua conta de usuário. Neste caso, a Epimed encaminhará sua solicitação à pessoa responsável pelo Sistema Epimed em sua Instituição de Saúde.

Para qualquer dúvida ou questão sobre o recolhimento e o tratamento de dados pessoais feitos por nós, contate-nos.