Política de Privacidade

O tratamento de dados realizado por meio do SIGEUS poderá envolver:

• a)O ente público ou instituição contratante (na qualidade de Controlador);
• b)O titular da Plataforma SIGEUS (na qualidade de Operador, quando aplicável);
• c)Profissionais de saúde devidamente habilitados.

A definição de controlador e operador observará o contrato firmado entre as partes e a legislação vigente.

Esta Política aplica-se a:

1. 1.Pacientes (Cidadãos);
2. 2.Médicos Solicitantes;
3. 3.Médicos Reguladores;
4. 4.Médicos Laudadores;
5. 5.Gestores Municipais de Saúde;
6. 6.Administradores do Sistema;
7. 7.Demais usuários autorizados.

A utilização da Plataforma implica ciência e concordância com esta Política.

Esta Política foi elaborada em conformidade com:

• a)Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD);
• b)Lei nº 12.965/2014 (Marco Civil da Internet);
• c)Lei nº 13.787/2018 (Digitalização e guarda de prontuários);
• d)Resolução CFM nº 1.821/2007;

e Normas sanitárias e regulatórias aplicáveis.

Quando aplicável, o tratamento de dados sensíveis ocorre com fundamento no art. 11, II, "f", da LGPD (tutela da saúde).

Esta Política poderá ser atualizada para:

• a)Adequação a alterações legislativas;
• b)Ajustes operacionais ou tecnológicos;
• c)Determinações regulatórias.

Sempre que houver atualização relevante, a nova versão será disponibilizada na Plataforma.

Recomenda-se a consulta periódica deste documento.

O SIGEUS poderá operar em dois contextos distintos:

As responsabilidades relativas a armazenamento, definição de controlador e operador e governança de dados poderão variar conforme o modelo de contratação.

As disposições específicas do ambiente SUS que ainda dependem de definição contratual estarão expressamente identificadas nesta Política.

2.3.1 Serão coletados os seguintes dados pessoais:

1. 1.Nome completo;
2. 2.CPF;
3. 3.Número do Cartão Nacional de Saúde (CNS);
4. 4.Data de nascimento;
5. 5.Sexo;
6. 6.Nome da mãe;
7. 7.Telefone;
8. 8.Endereço;
9. 9.Município;
10. 10.Unidade de saúde vinculada
11. 11.Número da requisição de exame
12. 12.Código CNES da unidade
13. 13.Unidade de saúde vinculada;
14. 14.Número da requisição de exame;

2.3.2 Dados Pessoais do Profissional de Saúde

1. 1.Nome completo
2. 2.CPF
3. 3.E-mail
4. 4.Telefone
5. 5.Número de registro profissional (CRM, COREN, CREFITO etc.)
6. 6.Documento comprobatório de habilitação
7. 7.Unidade(s) vinculada(s)

2.3.3 Dados do Gestor / Regulador

1. 1.Nome
2. 2.E-mail institucional
3. 3.Telefone
4. 4.Unidade vinculada
5. 5.Registro de decisões administrativas

2.3.4 Dados técnicos de acesso:

1. 1.Endereço IP
2. 2.Data e hora de acesso
3. 3.Navegador
4. 4.Sistema operacional
5. 5.Dispositivo utilizado
6. 6.Geolocalização aproximada

2.4.1 Dados Clínicos do Paciente

1. 1.CPF
2. 2.Hipótese diagnóstica
3. 3.Indicação clínica
4. 4.Justificativa médica
5. 5.CID (Código Internacional de Doenças), se utilizado;
6. 6.Histórico de exames
7. 7.Evoluções médicas
8. 8.Observações clínicas
9. 9.Condição médica registrada

2.4.2 Laudos médicos:

1. 1.Resultado do exame
2. 2.Conclusão diagnóstica
3. 3.Descrição técnica médica

2.4.3 Exames de Imagem

1. 1.Arquivos de ultrassonografia
2. 2.Imagens diagnósticas
3. 3.Capturas técnicas

2.4.4 Dados Fisiológicos ou Biométricos Clínicos

Quando vinculados à saúde:

1. 1.Peso
2. 2.Altura
3. 3.Idade gestacional
4. 4.Medidas fetais
5. 5.Parâmetros clínicos registrados
6. 6.Dados obstétricos

O tratamento ocorre exclusivamente para as finalidades assistenciais, administrativas e regulatórias previstas nesta Política.

Os dados pessoais e sensíveis são coletados nas seguintes situações:

Todos os dados coletados são incorporados à base de dados do SIGEUS, respeitando:

• a)As finalidades específicas do tratamento;
• b)O princípio da necessidade;
• c)O princípio da minimização de dados;
• d)As bases legais previstas na LGPD.

O tratamento ocorre exclusivamente no âmbito das atividades assistenciais e administrativas para as quais a Plataforma foi desenvolvida.

Os dados são utilizados para:

• a)Permitir a solicitação eletrônica de exames por profissional habilitado;
• b)Registrar justificativa clínica e grau de urgência;
• c)Submeter pedidos à regulação técnica;
• d)Organizar automaticamente a fila municipal;
• e)Viabilizar o agendamento do exame;
• f)Registrar achados diagnósticos;
• g)Emitir e assinar digitalmente o laudo médico;
• h)Disponibilizar resultados ao paciente.

Base legal predominante: Art. 11, II, "f", da LGPD – tutela da saúde realizada por profissionais da área da saúde ou serviços de saúde.

Os dados também são utilizados para:

• a)Gerenciar unidades de saúde e profissionais cadastrados;
• b)Controlar agendas e disponibilidade de atendimento;
• c)Gerar relatórios gerenciais consolidados;
• d)Cumprir protocolos administrativos do SUS ou da rede privada;
• e)Permitir auditoria técnica e controle institucional;
• f)Garantir rastreabilidade das ações realizadas no sistema.

Base legal aplicável: Execução de políticas públicas (art. 7º, III, e art. 11, II, "b", da LGPD), quando envolver ente público e Legítimo interesse art Art. 7º, IX da LGPD

Os dados técnicos e registros de acesso são tratados para:

• a)Garantir a segurança da informação;
• b)Prevenir fraudes e acessos indevidos;
• c)Preservar a integridade dos registros clínicos;
• d)Permitir auditoria administrativa;
• e)Atender determinações legais ou judiciais.

Base legal aplicável: Legítimo interesse (art. 7º, IX, da LGPD), quando compatível, e cumprimento de obrigação legal.

Os dados podem ser utilizados para:

• a)Cumprimento de obrigação legal ou regulatória;
• b)Atendimento a requisições de autoridades competentes;
• c)Defesa em processos administrativos ou judiciais;
• d)Cumprimento de normas sanitárias e arquivísticas.

Base legal aplicável: Art. 7º, II, e art. 11, II, "a", da LGPD.

O SIGEUS garante ao paciente:

• a)Acesso ao status de sua solicitação;
• b)Visualização e download de seus laudos;
• c)Acompanhamento de sua posição na fila;
• d)Acesso às orientações de preparo pré-exame.

O sistema não utiliza dados para fins comerciais, publicitários ou promocionais.

Caso seja necessária a utilização de dados para finalidade diversa daquelas aqui previstas, o titular será previamente informado, observando-se as bases legais aplicáveis e os direitos assegurados pela LGPD.

Quando o SIGEUS for contratado por entidade privada de saúde, os dados pessoais e dados sensíveis serão armazenados sob responsabilidade da instituição contratante, observando:

• a)A legislação sanitária aplicável;
• b)Normas do Conselho Federal de Medicina;
• c)Prazos legais mínimos de retenção (20 anos para prontuários médicos).

A infraestrutura tecnológica poderá ser disponibilizada pelo SIGEUS, atuando como Operador, conforme contrato firmado.

No contexto de contratação por ente público vinculado ao SUS, deverão ser definidos contratualmente:

• a)Responsável pelo armazenamento definitivo dos dados;
• b)Papel formal de Controlador e Operador;
• c)Eventual integração obrigatória com sistemas oficiais (ex.: RNDS);
• d)Regras específicas de interoperabilidade e governança.

Essas definições dependerão do instrumento contratual firmado com o ente público.

Em conformidade com o art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet), os registros de acesso à aplicação são armazenados pelo prazo mínimo de 6 (seis) meses.

No SIGEUS, tais registros poderão ser mantidos por prazo superior quando necessários para:

• a)Garantia da segurança da informação;
• b)Auditoria administrativa;
• c)Apuração de responsabilidade técnica;
• d)Cumprimento de obrigação legal.

Os dados cadastrais de profissionais e pacientes serão mantidos enquanto:

• a)Houver vínculo ativo com a unidade de saúde;
• b)Houver necessidade para cumprimento das finalidades assistenciais;
• c)Persistirem obrigações legais relacionadas ao tratamento.

Após o cumprimento das finalidades e do prazo legal de retenção, os dados poderão ser:

• a)Eliminados de forma segura; ou
• b)Anonimizados para fins estatísticos, administrativos ou de pesquisa, quando permitido por lei.

Os dados poderão ser conservados após o término do tratamento nas hipóteses previstas no art. 16 da LGPD:

O titular poderá solicitar informações sobre os dados armazenados, respeitados os limites legais e as obrigações de retenção obrigatória.

Nos casos em que houver obrigação legal de guarda, a exclusão poderá não ser possível até o encerramento do prazo legal.

O SIGEUS adota, entre outras, as seguintes medidas:

• a)Criptografia em trânsito e em repouso para proteção de dados sensíveis;
• b)Tokenização de informações críticas, reduzindo exposição direta de dados identificáveis;
• c)RLS (Row Level Security) ativo em ambiente de produção, garantindo que cada usuário visualize exclusivamente os dados compatíveis com seu perfil de acesso;
• d)Controle rigoroso de autenticação e autorização por níveis hierárquicos de permissão (Solicitante, Regulador, Laudador, Gestor, Paciente e Administrador de Sistemas);
• e)Registro de logs e trilhas de auditoria, permitindo rastreabilidade completa das operações realizadas;
• f)Infraestrutura em ambiente seguro de computação em nuvem com certificações reconhecidas internacionalmente (SOC 2 e ISO 27001);
• g)Utilização de protocolos seguros de comunicação (HTTPS / SSL).

O acesso aos dados sensíveis é restrito conforme o papel exercido no sistema:

• a)O Médico Solicitante acessa apenas pedidos que realizou;
• b)O Médico Regulador acessa dados necessários à auditoria técnica;
• c)O Médico Laudador acessa exclusivamente exames sob sua execução;
• d)O Gestor Municipal possui acesso gerencial limitado;
• e)O Paciente acessa exclusivamente seus próprios dados;
• f)O Administrador de Sistemas possui acesso técnico restrito à manutenção da plataforma.

Não é permitido acesso indiscriminado aos dados clínicos.

O tratamento de dados pode ocorrer por:

• a)Processamento automatizado (organização de fila, validação de prazos, distribuição de agenda);
• b)Processamento humano, exclusivamente por profissionais habilitados e dentro de suas atribuições funcionais.

Sempre que houver tratamento automatizado com impacto relevante ao titular, são observadas as garantias previstas no art. 20 da LGPD.

O SIGEUS adota todas as medidas razoáveis e tecnicamente adequadas para proteger os dados pessoais.

Contudo, não poderá ser responsabilizado por:

• a)Falhas decorrentes de culpa exclusiva do usuário;
• b)Compartilhamento indevido de credenciais;
• c)Ataques externos imprevisíveis e inevitáveis, quando comprovada a adoção de medidas de segurança compatíveis com o estado da técnica.

Em caso de incidente de segurança com risco relevante ao titular, serão adotadas as medidas previstas na legislação aplicável, incluindo comunicação às autoridades competentes quando exigido.

Todos os dados tratados pelo SIGEUS são protegidos por dever de confidencialidade, especialmente aqueles relacionados à saúde, observando-se o sigilo médico e as normas éticas aplicáveis.

Os dados poderão ser compartilhados com:

• a)Secretarias Municipais de Saúde;
• b)Órgãos de controle e fiscalização;
• c)Autoridades sanitárias;
• d)Órgãos reguladores e de auditoria;
• e)Poder Judiciário ou Ministério Público, mediante requisição formal.

Base legal aplicável: Art. 7º, III, e art. 11, II, "b", da LGPD – execução de políticas públicas.

O compartilhamento interno ocorre exclusivamente dentro da plataforma, respeitando níveis de acesso:

• a)Médico Solicitante → acesso aos próprios pedidos e laudos;
• b)Médico Regulador → acesso para auditoria técnica;
• c)Médico Laudador → acesso aos exames sob sua execução;
• d)Gestor Municipal → acesso gerencial limitado;
• e)Paciente → acesso exclusivo aos próprios dados.

Não há acesso irrestrito entre usuários.

Os dados poderão ser tratados por operadores contratados exclusivamente para viabilizar a infraestrutura tecnológica da plataforma, tais como:

• a)Serviços de hospedagem em nuvem;
• b)Serviços de envio de notificações (SMS, e-mail ou WhatsApp);
• c)Serviços de suporte técnico.

Esses operadores:

• d)Atuam mediante contrato;
• e)Devem observar cláusulas de confidencialidade;
• f)Devem cumprir padrões de segurança compatíveis com a LGPD;
• g)Não podem utilizar os dados para finalidade diversa da contratada.

Caso haja transferência internacional de dados, esta ocorrerá apenas quando:

• a)O país de destino possuir grau de proteção adequado reconhecido; ou
• b)Houver garantias contratuais específicas; ou
• c)For necessária para execução do serviço, observando-se a legislação aplicável.

Caso o usuário seja redirecionado para ambiente externo (ex.: aplicativos de mensagens), passará a estar sujeito às políticas de privacidade próprias dessas plataformas.

O SIGEUS não se responsabiliza pelas práticas de privacidade de terceiros fora de seu ambiente tecnológico.

O compartilhamento de dados clínicos respeita integralmente:

• a)O sigilo profissional;
• b)Normas do Conselho Federal de Medicina;
• c)Regras éticas aplicáveis à área da saúde.

Durante a utilização do sistema, poderão ser coletados automaticamente:

• a)Endereço IP;
• b)Data e hora de acesso;
• c)Identificação do dispositivo;
• d)Navegador ou aplicativo utilizado;
• e)Versão do sistema operacional;
• f)Registro de ações executadas na plataforma.

Esses registros são utilizados exclusivamente para:

• a)Garantir a segurança da informação;
• b)Prevenir fraudes ou acessos indevidos;
• c)Manter trilha de auditoria;
• d)Cumprir obrigação legal prevista no Marco Civil da Internet.

Quando acessado via navegador web, o SIGEUS poderá utilizar cookies estritamente necessários para:

• a)Autenticação do usuário;
• b)Manutenção de sessão ativa;
• c)Proteção contra acessos não autorizados;
• d)Funcionamento adequado das funcionalidades da plataforma.

O SIGEUS não utiliza cookies para publicidade comportamental.

Eventualmente poderão ser utilizados mecanismos de monitoramento estatístico para:

• a)Avaliar estabilidade do sistema;
• b)Identificar falhas técnicas;
• c)Melhorar desempenho da aplicação;
• d)Corrigir vulnerabilidades.

Sempre que possível, tais dados serão anonimizados.

O usuário pode:

• a)Configurar seu navegador para recusar cookies não essenciais;
• b)Encerrar sessão ao finalizar uso do sistema;
• c)Solicitar informações sobre registros de acesso armazenados.

Importante: a desativação de cookies técnicos pode comprometer o funcionamento adequado da plataforma.

A definição de Controlador e Operador dependerá do modelo de contratação:

Os dados são armazenados em infraestrutura de nuvem com:

• a)Certificações reconhecidas internacionalmente (ex.: SOC 2 e ISO 27001);
• b)Ambientes segregados por nível de acesso;
• c)Backup periódico e redundância;
• d)Monitoramento contínuo contra acessos indevidos.

Caso a infraestrutura tecnológica esteja localizada fora do território nacional, a eventual transferência internacional de dados observará:

• a)Os requisitos previstos nos arts. 33 a 36 da LGPD;
• b)Garantias contratuais adequadas;
• c)Padrões de segurança compatíveis com a legislação brasileira.

O SIGEUS processa dados pessoais para:

• a)Executar as funcionalidades contratadas;
• b)Garantir funcionamento da plataforma;
• c)Manter segurança da informação;
• d)Cumprir obrigações legais relacionadas à prestação do serviço.

O SIGEUS não utiliza os dados para finalidade própria, comercial ou promocional.

Cada parte responde pelas obrigações que lhe competem nos termos da LGPD:

• a)O Controlador responde pelas decisões relacionadas às finalidades do tratamento;
• b)O Operador responde pela segurança técnica e pelo tratamento conforme instruções recebidas.

Quando o tratamento depender de consentimento, este será:

• a)Livre;
• b)Informado;
• c)Inequívoco;
• d)Específico para determinada finalidade.

O titular poderá revogar o consentimento a qualquer momento, mediante solicitação formal, respeitados os limites legais e regulatórios aplicáveis.

A revogação não afetará tratamentos realizados anteriormente de forma legítima.

Nos termos do art. 18 da LGPD, o titular poderá solicitar:

As solicitações deverão ser encaminhadas ao canal oficial informado pelo Controlador.

Em razão da natureza assistencial do sistema, determinados dados não poderão ser eliminados imediatamente quando:

• a)Houver obrigação legal de retenção (ex.: 20 anos para prontuários);
• b)Houver necessidade de cumprimento de obrigação regulatória;
• c)Houver necessidade de defesa em processo judicial ou administrativo.

Nesses casos, os dados poderão ser bloqueados ou anonimizados, quando aplicável.

O usuário é responsável pela veracidade e atualização dos dados fornecidos.

O uso indevido de dados de terceiros poderá configurar ilícito civil e penal.

É dever do usuário:

1. 1.Ler e compreender esta Política de Privacidade;
2. 2.Manter sigilo de suas credenciais de acesso;
3. 3.Comunicar eventuais incidentes de segurança;
4. 4.Utilizar a plataforma de forma ética e legal.

As solicitações relacionadas à proteção de dados deverão ser direcionadas:

As alterações entrarão em vigor a partir de sua publicação na plataforma ou no ambiente institucional correspondente.

Sempre que houver mudanças relevantes que impactem direitos dos titulares, os usuários poderão ser notificados por meio dos canais oficiais da aplicação.

A continuidade da utilização do SIGEUS após a publicação de alterações será interpretada como ciência da versão atualizada desta Política.

Caso o usuário não concorde com as alterações, poderá solicitar esclarecimentos junto ao Controlador ou exercer os direitos previstos na LGPD.

Em caso de reestruturação administrativa, fusão institucional ou sucessão contratual, os dados poderão ser transferidos ao novo responsável pelo serviço, desde que:

• ●Mantidas as finalidades originais do tratamento;
• ●Respeitados os direitos dos titulares;
• ●Observada a legislação aplicável.

O usuário que:

• a)Acessar dados sem autorização;
• b)Compartilhar credenciais de acesso;
• c)Utilizar informações para finalidade diversa da assistencial ou institucional;
• d)Praticar qualquer conduta que viole o sigilo médico ou a confidencialidade de dados pessoais;

estará sujeito às sanções cabíveis.

Profissionais de saúde, gestores ou demais usuários vinculados a ente público que realizarem tratamento de dados em desconformidade com esta Política poderão responder:

• a)Administrativamente perante a autoridade competente;
• b)Civilmente por eventuais danos causados;
• c)Penalmente, quando a conduta configurar crime previsto em lei.

Em caso de incidente decorrente de:

• a)Culpa exclusiva do usuário;
• b)Compartilhamento indevido de login e senha;
• c)Uso de equipamentos inseguros ou comprometidos;

O SIGUES não poderá ser responsabilizado, desde que demonstrada a adoção de medidas de segurança compatíveis com o estado da técnica.

O acesso à plataforma poderá ser suspenso ou bloqueado quando houver:

• a)Indícios de uso irregular;
• b)Violação das normas desta Política;
• c)Determinação da autoridade competente.

Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, serão adotadas as medidas previstas na legislação aplicável, incluindo:

• a)Comunicação ao Controlador;
• b)Comunicação à Autoridade Nacional de Proteção de Dados (quando exigido);
• c)Comunicação ao titular, quando aplicável.

O tratamento de dados pessoais é condição indispensável para:

• a)A execução das funcionalidades assistenciais do sistema;
• b)A regulação e auditoria de solicitações;
• c)A emissão de laudos médicos;
• d)O cumprimento de obrigações legais e administrativas.

Sem o tratamento mínimo necessário de dados pessoais, não é possível a prestação do serviço.

O uso da plataforma por menores de idade ou pessoas relativamente ou absolutamente incapazes deverá observar as regras legais aplicáveis, especialmente quanto à representação ou assistência por responsável legal, quando exigido.

O usuário poderá, a qualquer tempo, atualizar seus dados cadastrais por meio das funcionalidades disponíveis na plataforma ou mediante solicitação formal ao Controlador.

Eventuais controvérsias decorrentes desta Política deverão ser resolvidas, preferencialmente, por via administrativa junto ao ente público responsável pelo tratamento dos dados.

Persistindo o conflito, poderão ser adotadas as medidas judiciais cabíveis.

Esta Política deve ser interpretada em conjunto com:

• a)A Lei Geral de Proteção de Dados (Lei nº 13.709/2018);
• b)O Marco Civil da Internet (Lei nº 12.965/2014);
• c)A Lei nº 13.787/2018 (Prontuário Eletrônico);
• d)Normas do Conselho Federal de Medicina;
• e)Demais normas sanitárias e administrativas aplicáveis.

Eventuais controvérsias decorrentes do tratamento de dados pessoais no âmbito do SIGEUS deverão, prioritariamente, ser solucionadas por via administrativa junto ao ente público Controlador.

Não sendo possível a resolução administrativa, o foro competente será o da comarca do ente público contratante responsável pela gestão da política pública de saúde, respeitadas as normas de direito público aplicáveis.

Eventuais controvérsias decorrentes do tratamento de dados pessoais no âmbito do SIGEUS deverão, prioritariamente, ser solucionadas por via de acordo extrajudicial entre as partes.

Não sendo possível a resolução administrativa, o foro competente será o da comarca de Manaus/AM por mais beneficiário que seja outros foros.