A – Enquadramento geral e transversal
I. Em 25 de Maio de 2018 entrou em vigor o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, de ora em diante designado de RGDP ou Regulamento.
Pretendemos assim dar uma visão geral sobre o modo de recolha e tratamento de Dados Pessoais no âmbito da ORDEM DOS FISIOTERAPEUTAS e indicar os direitos que assistem ao titular dos dados, nos termos do RGPD.
O referido Regulamento estabelece as regras relativas à proteção no que respeita ao tratamento dos Dados Pessoais e à livre circulação desses dados.
Os dados que concretamente são tratados e a forma como são utilizados dependerão essencialmente de qual o âmbito da solicitação e das respetivas finalidades de tratamento.
Assim, a ORDEM DOS FISIOTERAPEUTAS fornece toda a informação relevante nos termos que resultam do Regulamento, sem prejuízo da informação adicional que vier a justificar-se.
A ORDEM DOS FISIOTERAPEUTAS assegura o tratamento de Dados Pessoais no mais rigoroso respeito pelos direitos individuais e pelo regime legal vigente.
O tratamento de Dados Pessoais é realizado na medida necessária à prossecução do core da ORDEM DOS FISIOTERAPEUTAS, em concreto da relação do titular dos dados com ela e à manutenção de um padrão elevado de qualidade.
Esse padrão elevado de qualidade do tratamento de Dados Pessoais depende, ainda, da sua melhor aferição no tratamento dos seus Dados Pessoais, bem como, do tratamento que faz dos dados de outrem, de terceiros.
Para esse efeito, e sem prejuízo da leitura individualizada a que deverá proceder do citado Regulamento, por “Dados Pessoais” entende-se dados que identificam, ou são suscetíveis de identificar o fisioterapeuta membro da ORDEM DOS FISIOTERAPEUTAS e uma pessoa singular, ou coletiva, relacionada contratualmente com a ORDEM DOS FISIOTERAPEUTAS, independentemente da natureza e modalidade dos respetivos vínculos ou em prestação/aquisição de serviços.
II. Nesse sentido, a presente Política de Privacidade serve de regra para todos os fisioterapeutas inscritos na ORDEM DOS FISIOTERAPEUTAS, colaboradores, diretos ou indiretos, de que os seus Dados Pessoais são tratados de acordo com a legis artis, bem como, no sentido de acautelar, acrescidamente, e doravante, o uso por vós de Dados Pessoais de outros.
Logo, são de especial e adequado dever de salvaguarda os Dados Pessoais integrados no seu processo individual, ou os que por qualquer outra forma recolhemos e tratamos na nossa atividade.
Estes dados são fornecidos por si, antes e durante a nossa relação contratual, e também são recolhidos legalmente de terceiros, no decorrer das nossas atividades de trabalho.
III. Estes dados podem incluir:
a) – Os seus documentos de candidatura;
b) – A carta de apresentação na sequência de uma candidatura;
c) – Os demais detalhes contratuais posteriormente acordados;
d) – Correspondência profissional trocada consigo ou sobre a sua pessoa;
e) – Remunerações e outras informações relativas a compensações;
f) – Dados bancários.
Estes documentos podem conter, entre outros dados:
– Informações da sua morada/residência oficial ou outras que nos haja facultado;
– Números de telefone;
– Informações de contactos profissionais;
– Nomes de dependentes;
– Informações da pessoa a contactar em caso de emergência;
– Data de nascimento;
– Curriculum Vitae (CV);
– Documentação relativa a formação académica;
– Estatuto de residência;
– Capacidades linguísticas que nos possa ter divulgado pontualmente;
– Avaliações de desempenho e registos disciplinares.
A ORDEM DOS FISIOTERAPEUTAS pode gravar imagens suas, incluindo imagens de vídeo de Circuito Fechado de Televisão (CFTV) ou imagens fotográficas para a emissão de crachás e para efeitos de segurança.
Ao longo da sua inscrição ou do Contrato de Trabalho ou de outro vínculo que mantém, a ORDEM DOS FISIOTERAPEUTAS, poderá receber atestados médicos e/ou justificações de falta, podendo estes ser alvo de tratamento de dados por parte da ORDEM DOS FISIOTERAPEUTAS para efeitos de processamento de pagamentos por doença ao abrigo da relação contratual ou para cumprimento de obrigações legais, bem como, para a gestão e monitorização de desempenho e ausências. Os dados supra referidos podem ser guardados eletronicamente ou em suporte de papel.
IV. Os fundamentos legais para a ORDEM DOS FISIOTERAPEUTAS tratar/manusear os seus Dados Pessoais incluem:
– O interesse legal subjacente em estabelecer e gerir o relacionamento que tem consigo, e ainda, para outros fins, incluindo funções administrativas e as relacionadas com pessoal (entre outras), tais como a gestão de:
a. Processos de inscrição e sua tramitação subsequente, bem como demais procedimentos administrativos afins;
b. Processos de trabalho, incluindo a conservação de registos requeridos por lei, análise de gestão, auditorias, previsões, planeamento, transações, continuidade da atividade, gestão de riscos organizacionais, seguros e a prevenção de riscos;
c. Segurança no local de trabalho, património, empregados e os seus dados pessoais bem como os dos clientes, conforme se descreve infra;
d. Programas e políticas de formação e desenvolvimento, avaliação de trabalho, prémios, planeamento e organização.
– O cumprimento de contratos de trabalho e de prestação de serviços, incluindo a gestão de recursos humanos e processamento de salários e comissões;
– A conformidade com leis e regulamentações aplicáveis e as obrigações legais da ORDEM DOS FISIOTERAPEUTAS, tais como obrigações contabilísticas e fiscais, e as relacionadas com seguros e pensões dos colaboradores;
– O cumprimento de obrigações e o exercício de direitos ao abrigo da lei;
– O consentimento dado, sempre que aplicável, sendo que o mesmo poderá, posteriormente e a qualquer momento, ser retirado sem que afete a legitimidade do processamento de dados baseado no consentimento inicial, bastando para tal solicitar à direção da Ordem.
V. Ainda, e devido à natureza jurídica da ORDEM DOS FISIOTERAPEUTAS, este é obrigado a proceder a uma consulta, sempre que permitido ao abrigo da lei, e confirmar, se consta de alguma das listas de sanções ou exclusões emitidas pelas Nações Unidas e os seus países membros, incluindo a União Europeia e as demais sanções, exclusões, listas negras e proibições emitidas pelas autoridades Governamentais e Reguladoras da jurisdição.
A ORDEM DOS FISIOTERAPEUTAS pode ainda proceder a uma consulta, para colaboradores, aos quais seja aplicável, nos registos de organismos profissionais e entidades licenciadoras. Estas consultas são necessárias para garantir que os colaboradores estão aptos a trabalhar na ORDEM DOS FISIOTERAPEUTAS e, nomeadamente, para comprovar que podem, sem exceções, prestar serviços.
Serão, assim, apenas conservados os Dados Pessoais que forem necessários para prosseguir os objetivos suprareferidos, e a ORDEM DOS FISIOTERAPEUTAS tomará as devidas medidas para assegurar que os mesmos estejam sempre atualizados e corretos, sem prejuízo da solicitação recorrente relativa à sua atualização.
Os seus dados serão conservados enquanto forem relevantes para a relação contratual que mantém com a ORDEM DOS FISIOTERAPEUTAS. Por forma a mantermos os seus Dados Pessoais atualizados, deve informar-nos caso os mesmos venham a sofrer quaisquer alterações, por exemplo, o seu nome, morada, estado civil, contactos, qualificações e informações de contacto da pessoa a contactar em caso de emergência.
VI. Relativamente à partilha dos seus Dados Pessoais, a mesma pode vir a ser necessária, nomeadamente, no âmbito de:
– Serviços partilhados de recursos com outras instituições;
– Fornecedores externos que façam a gestão de regalias em nossa representação;
– Clientes, para que possam apreciar o seu CV com vista a assegurarem projetos clínicos;
– Entidades públicas competentes e autoridades governamentais, sempre que a lei o exija em matérias de tributação, trabalho, segurança social e similares nos termos da Lei;
– Prestadores de serviços de prevenção de riscos laborais;
– Entidades contratantes ou potenciais entidades contratantes, caso seja necessário ao abrigo de acordos de transferência de responsabilidades;
– Futuros empregadores ou instituições financeiras para efeitos de provisão de referências de emprego/crédito e outras informações, mas, e apenas, se no-los solicitar para tais efeitos;
– Entidades terceiras, sempre que a lei ou processos judiciais assim o obriguem, ou sempre que autorizado por si.
VII. Assim, existe o direito de requerer acesso, retificar ou eliminar os seus Dados Pessoais, bem como, de limitar o seu tratamento de dados e solicitar sua portabilidade, dentro dos limites das aplicáveis.
Os requerimentos devem ser submetidos, por escrito à Direção da Ordem, sendo a resposta garantida conforme as leis de proteção de dados aplicáveis, sendo que ao abrigo das mesmas, a ORDEM DOS FISIOTERAPEUTAS pode, em determinadas situações, recursar-se, fundamentadamente, a dar tais respostas.
Pode, em qualquer altura, contactar o Encarregado de Proteção de Dados (DPO) sobre as demais questões que possa ter a respeito do tratamento dos seus Dados Pessoais, através do correio eletrónico referido infra.
VIII. Com o intuito de proteger o seu património, colaboradores e os seus Dados Pessoais, os Dados Pessoais dos membros e os Dados Pessoais de clientes, a ORDEM DOS FISIOTERAPEUTAS desenvolve atividades de monitorização e registo nas suas instalações, incluindo gabinetes, postos de trabalho, espaços de trabalho e outros equipamentos (conjuntamente referidos por “instalações e sistemas informáticos”).
Todas as atividades de monitorização, sujeitas às Leis aplicáveis, serão proporcionais ao potencial dano que possam causar por utilização indevida. Se qualquer equipamento tecnológico ou sistema informático a que tem acesso estiver sujeito a monitorização, a natureza e o objetivo dessa monitorização ser-lhe-á explicitada por meio de comunicações internas e políticas da ORDEM DOS FISIOTERAPEUTAS.
Para este efeito, explicita-se que tipo de monitorização pode ser efetuada:
– Monitorização de mensagens de correio eletrónico de trabalho que entram e saem para verificar:
a) se contêm qualquer código que possa ser causador de danos;
b) se não contêm spam;
c) se o tamanho da mensagem é suscetível de causar interrupções na utilização dos nosso equipamentos e sistemas informáticos;
d) se informações confidenciais são enviadas de forma segura e de acordo com as políticas da ORDEM DOS FISIOTERAPEUTAS;
– Em conformidade com as políticas aplicáveis, mediante notificação do colaborador interessado e com o consentimento do próprio, sempre que a Lei assim o exija, o qual será obtido com a maior brevidade possível, abrir e ler comunicações de trabalho recebidas pelo colaborador em situações de ausência imprevista ou prolongada, para garantir que o core da ORDEM DOS FISIOTERAPEUTAS não é negativamente afetado por atrasos de resposta;
– Analisar a utilização de equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS (incluindo, na medida do permitido ao abrigo das Leis aplicáveis, registos de chamadas telefónicas de trabalho, acesso às bases de dados e sistemas, armazenamento de ficheiros, mensagens de correio eletrónico de trabalho enviados e recebidos, registos de acessos do edifício, e websites visitados na internet) por forma a assegurar que os equipamentos e sistemas informáticos são utilizados para fins de trabalho e de que qualquer utilização pessoal é limitada a um nível aceitável que não cause danos aos equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS, ou mesmo, à operacionalidade da ORDEM DOS FISIOTERAPEUTAS;
– Controlar a utilização de equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS, como por exemplo, impedir o acesso de um motor de busca a um site, ou impedir a execução de software desconhecido, para garantir que não são causados danos aos equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS ou mesmo à sua operação;
– Usar software de segurança para seguir ou desativar equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS, ou eliminar e destruir dados contidos nos equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS, caso os mesmos sejam extraviados ou furtados, ou se tornem inativos, ou para proteger a informação transportada na internet ou guardada nos equipamentos e sistemas informáticos da ORDEM DOS FISIOTERAPEUTAS;
– Monitorizar e registar comunicações de trabalho dentro das instalações da ORDEM DOS FISIOTERAPEUTAS, gerir equipamentos e sistemas informáticos e património, fazer pesquisas de ficheiros de trabalho e proceder a averiguações de gestão sempre que haja razão para pensar que tal é necessário para investigar possíveis infrações legais ou violações da política da ORDEM DOS FISIOTERAPEUTAS;
– Impedir a utilização, de alguma forma, de dispositivos pessoais aos sistemas e plataformas da ORDEM DOS FISIOTERAPEUTAS, exceto nos casos em que exista aprovação prévia dos responsáveis da ORDEM DOS FISIOTERAPEUTAS. Caso tal suceda, e atenta à natureza da informação, o colaborador deve ter em consideração que o acesso à rede através de dispositivos móveis pessoais acarreta riscos de segurança e confidencialidade, pelo que deve adotar as medidas de segurança necessárias para proteger os dados a que aceda, através do seu dispositivo, contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, bem como, contra qualquer outra forma de tratamento ilícito dos mesmos.
Deve ainda, em qualquer situação, manter a informação confidencial em regime de sigilo e estrita confidencialidade, não permitindo o acesso a terceiros.
Assim, a ORDEM DOS FISIOTERAPEUTAS recorre a medidas físicas, técnicas e organizacionais adequadas para proteger contra o acesso e tratamento ilegal ou não autorizado dos seus Dados Pessoais, bem como, contra o extravio, destruição ou danos incidentais.
Asseguramos que os seus Dados Pessoais são mantidos de forma legal e segura, nomeadamente:
– Informar os colaboradores, que têm acesso a Dados Pessoais de outros colaboradores, das suas obrigações de os proteger;
– Dados Pessoais em formato de papel são mantidos em arquivos que são apenas acessíveis a colaboradores da ORDEM DOS FISIOTERAPEUTAS, estando apenas acessíveis os dados efetivamente necessários a cada colaborador;
– Dados Pessoais mantidos em formato eletrónico são apenas acessíveis a colaboradores autorizados;
– Materiais impressos onde são exibidos dados pessoais são eliminados de forma segura, por exemplo, por meio de trituração.
IX. Tratamento de Dados Pessoais em nome da ORDEM DOS FISIOTERAPEUTAS.
Ao tratar Dados Pessoais em nome da ORDEM DOS FISIOTERAPEUTAS, deve apenas processar dados que são necessários, adequados e relevantes para fins legítimos. Deve garantir que os Dados Pessoais são apenas mantidos num formato que identifique uma pessoa pelo tempo necessário para os efeitos para os quais foram obtidos.
Se é um membro ou colaborador da ORDEM DOS FISIOTERAPEUTAS a quem venha a ser definido perfil de acesso a dados identificativos, não pode divulgar quaisquer Dados Pessoais a outros colaboradores da ORDEM DOS FISIOTERAPEUTAS, ou a terceiros, exceto para efeitos da core do ORDEM DOS FISIOTERAPEUTAS e para o bom desempenho das suas funções.
Assim, deve assegurar-se de que os Dados Pessoais são mantidos de forma segura e confidencial e pelo tempo necessário, cumprindo a todo o momento, as demais políticas relativas à confidencialidade e segurança de dados.
Todos os colaboradores que tratam Dados Pessoais, são obrigados ao disposto na presente Carta e aos demais procedimentos que prescrevem medidas locais de segurança de dados. Todos os colaboradores têm o dever de estrita confidencialidade, escrita e/ou oral, relativamente à divulgação de Dados Pessoais.
As violações de regras de segurança e/ou confidencialidade serão investigadas e sanadas, quer pela ORDEM DOS FISIOTERAPEUTAS, quer pelas autoridades competentes em tempo célere, sem prejuízo da sujeição a ações disciplinares ao abrigo dos procedimentos e leis respetivas, e das sanções penais se e quando a elas houver lugar.
X. Comunicação de Violações de Dados Pessoais
Caso ocorra qualquer falha ou incidente que envolva Dados Pessoais, os Fisioterapeutas deverão comunicar de imediato ao DPO, de acordo com os procedimentos estabelecidos para o efeito.
Na medida em que tenham informação acerca do incidente, deverão disponibilizá-la aquando da comunicação. Em particular, deverão comunicar a natureza da violação dos Dados Pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como, as categorias e o número aproximado de registos de dados pessoais em causa.
B – Fisioterapeutas na qualidade de Profissionais de Saúde
XI. Sem prejuízo do enquadramento geral sumário apresentado, em particular no que respeita aos profissionais de saúde, estes deverão adotar um conjunto de procedimentos e cautelas na forma como manuseiam os Dados Pessoais, de forma a garantir a sua confidencialidade e, consequentemente, evitar falhas de segurança e acessos não autorizados aos mesmos, destacando-se as seguintes:
XII. Acesso aos Sistemas de Informação/Plataformas
Os Fisioterapeutas devem garantir o acesso reservado aos sistemas de informação e plataformas nos quais são registados Dados de Saúde dos utentes.
Os Fisioterapeutas devem ainda abster-se de duplicar as bases de dados da responsabilidade da ORDEM DOS FISIOTERAPEUTAS, criando, por exemplo, ficheiros próprios com a informação da base de dados/aplicação a que acede.
XIII. Registo e Acesso à Informação Clínica
O registo da informação clínica dos utentes deve ser efetuado, diretamente, pelo Fisioterapeuta. Apenas devem ser recolhidos e, consequentemente, registados os dados estritamente necessários para assegurar a efetiva e mais adequada prestação de cuidados de saúde.
O registo deve ser efetuado nas aplicações e sistemas aprovados no respetivo contexto de prestação de cuidados de saúde, não devendo, assim, ser registados quaisquer dados em dispositivos ou equipamentos da propriedade do profissional e/ou não aprovados.
O Fisioterapeuta deverá apenas aceder à informação clínica do utente, constante do Resumo Clínico Único ou outro, na medida em que tal seja necessário para a prossecução das suas funções.
XIV. Partilha da Informação Clínica
A informação clínica não deve ser partilhada com terceiros, exceto para assegurar a continuidade da prestação de cuidados de saúde. Nessa situação, o profissional de saúde deve garantir que a partilha é efetuada, de forma segura e confidencial, a outro profissional sujeito à obrigação de confidencialidade e sigilo e que se tem todos os cuidados com esta partilha de informação.
XV. Transporte da Informação Clínica
Os Fisioterapeutas devem abster-se de, de alguma forma, transportar informação clínica constante do Resumo Clínico Único ou outro, para fora do serviço ou da organização onde presta cuidados, exceto nos casos autorizados pelos responsáveis da Instituição e para efeitos de garantia da continuidade da prestação de cuidados clínicos.
Sempre que tal suceda, deverão ser adotadas medidas de segurança especiais, de forma a assegurar que a informação não é acedida por terceiros de forma indevida (em particular, a informação deverá ser anonimizada e/ou encriptada).
XVI. Utilização de Dispositivos Pessoais
O Fisioterapeuta não deve utilizar ou, de alguma forma, ligar dispositivos pessoais aos sistemas e plataformas da ORDEM DOS FISIOTERAPEUTAS, exceto nos casos em que exista aprovação prévia dos responsáveis da ORDEM DOS FISIOTERAPEUTAS.
Caso tal suceda, e atenta à natureza da informação, o Fisioterapeuta deve ter em consideração que o acesso à rede através de dispositivos móveis pessoais acarreta riscos de segurança e confidencialidade, pelo que deve adotar as medidas de segurança necessárias para proteger os dados a que aceda, através do seu dispositivo, contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, bem como, contra qualquer outra forma de tratamento ilícito dos mesmos.
Deve ainda, em qualquer situação, manter a informação confidencial em regime de sigilo e estrita confidencialidade, não permitindo o acesso a terceiros.
XVII. Utilização dos Dados para Finalidades Próprias
O Fisioterapeuta não pode tratar os dados recolhidos no âmbito da prestação de cuidados de saúde para finalidades próprias. Caso pretenda utilizar os dados para fins académicos ou de investigação, deverá obter a aprovação dos responsáveis da ORDEM DOS FISIOTERAPEUTAS devendo recolher o consentimento do utente para o efeito, prestando-lhe a informação necessária acerca dos termos em que os dados irão ser utilizados.
Nesta situação, o Fisioterapeuta será considerado responsável pelo tratamento dos dados.
XVIII. Recolha de Consentimento e Prestação de Informação
Os Fisioterapeutas deverão observar, no momento da recolha de dados pessoais, o princípio da minimização, ou seja, deverá assegurar-se que apenas são recolhidos os Dados Pessoais que são estritamente necessários para o ato em questão.
Acresce que, na medida em que são estes profissionais que contactarão diretamente com os utentes, deverá ser sempre garantida a prestação de informação acerca dos termos em que os dados pessoais irão ser utilizados.
A informação a prestar deve incluir os seguintes elementos:
– Entidade e contactos do responsável pelo tratamento (e seu representante);
– Contactos do DPO;
– Finalidades e fundamento do tratamento. Se o tratamento for necessário para prosseguir interesses legítimos, estes devem estar referidos;
– Eventuais destinatários dos dados;
– Transferência internacional de dados e informações a esse respeito (se aplicável);
– Prazo de conservação dos dados;
– Possibilidade de o titular retirar o consentimento;
– Direito a apresentar reclamação perante a Autoridade de Proteção de Dados (CNPD);
– Se o titular está ou não obrigado a fornecer os dados e consequências do não fornecimento;
– Existência de decisões automatizadas (i.e. indicação se o titular dos dados fica sujeito a qualquer decisão tomada exclusivamente com base no tratamento automatizado dos seus dados).
Deverá ainda ser obtido o consentimento para o tratamento dos Dados Pessoais, exceto nas situações previstas no RGPD (nomeadamente, para proteção de interesses vitais do titular). No caso de menores, o consentimento deverá ser prestado pelos titulares das responsabilidades parentais do menor.
Idealmente, deve ser obtido um consentimento escrito e armazenada evidência de tal documento. Caso não seja possível, o profissional deverá registar no registo clínico do utente que recolheu o seu consentimento e prestou informação, incluindo a data em que o fez.
C – Encarregado de Proteção de Dados (DPO)
I. Para obtenção de informação adicional neste âmbito, bem como, para participar qualquer incidente descrito supra, poderá/deverá vir a contactar o DPO _Maria da Conceição Bettencourt (Data Protection Officer ou EPD – Encarregado de Proteção de Dados).
Endereço: dpo@ordemdosfisioterapeutas.pt