Política de Privacidade e de Proteção de Dados Pessoais
A Administração Central do Sistema de Saúde, I.P. (ACSS) é um Instituto Público, integrado na administração indireta do Estado, com autonomia administrativa, financeira, que executa as orientações do Ministério da Saúde e está sob a sua superintendência e tutela, tendo jurisdição sobre todo o território continental.
A ACSS tem como missão assegurar a gestão dos recursos financeiros e humanos do Ministério da Saúde e do SNS, bem como das instalações e equipamentos do SNS.
A ACSS está empenhada em proteger os dados pessoais de todos os titulares nas situações em que ocorra um tratamento dados pessoais pelo que, neste contexto, elaboramos a presente Política, a qual tem subjacente o nosso compromisso em respeitar as regras de proteção de dados pessoais.
A utilização do sítio da internet da ACSS, de aplicações ou outros suportes tecnológicos, bem como a submissão de dados pessoais através de formulários disponibilizados ou de quaisquer outros meios legítimos utilizados pela Organização, pressupõem que os dados pessoais cedidos sejam recolhidos e tratados em conformidade com as regras aqui definidas.
Porquê esta Política de Proteção de Dados Pessoais?
Nesta Política pretendemos dar a conhecer as regras gerais de tratamento de dados pessoais, os quais são recolhidos e tratados no estrito respeito e cumprimento do disposto na legislação de proteção de dados pessoais em vigor em cada momento, nomeadamente o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (“RGPD”) e a Lei n.º 58/2019, de 8 de agosto de 2019.
A ACSS está fortemente empenhada na proteção e confidencialidade dos dados pessoais e no respeito pelo exercício do direito à privacidade dos seus titulares, quando connosco se relacionam, pelo que a presente Política de Privacidade e de Proteção de Dados Pessoais, ajudará a compreender o enquadramento que a matéria tem na Organização por forma a cumprir a legislação de proteção de dados pessoais e garantir que o tratamento dos dados pessoais é lícito, leal, transparente e limitado às finalidades autorizadas.
Estamos empenhados na defesa da proteção dos dados pessoais, pelo que adotamos as medidas que consideramos adequadas para assegurar a exatidão, integridade e confidencialidade dos dados pessoais, bem como, todos os demais direitos que assistem aos respetivos titulares.
O que são dados pessoais?
Dados pessoais são qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável.
É considerada identificável a pessoa singular que possa ser identificada, direta ou indiretamente, designadamente por referência a um nome, número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social.
Dados anonimizados, ou seja, dados que o seu titular não seja ou já não possa ser identificado, não são considerados dados pessoais.
O que são categorias especiais de dados?
São categorias especiais de dados os dados pessoais que, pela sua natureza, revestem um caráter especialmente sensível do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais.
Exemplos deste tipo de dados poderão incluir: informações sobre origem racial ou étnica; opiniões políticas ou a filiação sindical; convicções religiosas ou filosóficas; género, vida sexual ou orientação sexual; dados de saúde, genéticos ou os biométricos com o propósito de identificar a pessoa.
São considerados dados pessoais relativos à saúde, todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro.
Quem é o responsável pelo tratamento dos seus dados pessoais?
A entidade responsável pelo tratamento dos dados pessoais é a ACSS – Administração Central do Sistema de Saúde, I.P. na medida em que decide quais os dados recolhidos e para que fins, os meios materiais e humanos utilizados no tratamento, o período de conservação, fazendo-o tendo em conta o contexto e as finalidades do tratamento de dados, bem como os riscos para os direitos e liberdades das pessoas singulares, em conformidade com o RGPD.
Caso o titular dos dados pessoais necessite de entrar em contacto com o responsável pelo tratamento de dados, poderá enviar uma comunicação escrita dirigida ao responsável pelo tratamento para a morada: Parque da Saúde de Lisboa, Edifício 16, Avenida do Brasil 53, 1700-063 Lisboa ou para o e-mail: geral@acss.min-saude.pt.
Quem é o Encarregado de Proteção de Dados?
O encarregado da proteção de dados desempenha um papel relevante no tratamento dos dados pessoais, garantindo, entre outros aspetos, a conformidade dos tratamentos de dados com a legislação em vigor, procedendo à verificação do cumprimento desta Política de Proteção de Dados Pessoais e definindo regras claras de tratamento de dados pessoais, assegurando que todos os que lhe confiam o tratamento dos seus dados pessoais, tenham conhecimento da forma como a ACSS trata os mesmos e quais os direitos que lhes assistem nesta matéria.
Assim, os titulares de dados pessoais, poderão contactar o Encarregado de Proteção de Dados (“EPD”) para mais informações sobre o tratamento dos seus dados pessoais, bem como para quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política, através do e-mail: epd@acss.min-saude.pt.
Em que consiste o tratamento de dados pessoais?
O tratamento de dados pessoais consiste numa operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, através de meios automatizados, ou não, nomeadamente a recolha, o registo, a organização, a estruturação, a conservação, a adaptação, a recuperação, a consulta, a utilização, a divulgação, difusão, comparação, interconexão, a limitação, o apagamento ou a destruição.
Ao disponibilizar os seus dados pessoais o titular reconhece e consente que os mesmos sejam processados de acordo com a presente Política de Privacidade e de Proteção de Dados Pessoais, sabendo que os mesmos apenas serão utilizados, para os fins que determinaram e motivaram a sua recolha.
Quando e como recolhemos dados pessoais?
Os dados pessoais são recolhidos diretamente dos seus titulares, mediante contacto pessoal ou por escrito (por correio eletrónico, via postal, preenchimento de formulários online, entre outros), para as finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades.
Caso sejam recolhidos dados pessoais junto de terceiros, o titular dos dados pessoais será informado da recolha e dos seus direitos enquanto Titular de Dados pessoais.
Os dados pessoais recolhidos podem ser tratados informaticamente e de forma automatizada ou não automatizada, garantindo em todos os casos o estrito cumprimento da legislação de proteção de dados pessoais, sendo armazenados em bases de dados específicas, criadas para o efeito e, em situação alguma, os dados recolhidos serão utilizados para outra finalidade que não seja aquela para a qual foram recolhidos ou dado o consentimento por parte do titular dos dados.
Quais os princípios a que deve obedecer o tratamento de dados?
A ACSS compromete-se a cumprir com os princípios de proteção de dados pessoais definidos pelo RGPD, a saber:
Licitude, lealdade e transparência: deve haver uma razão legítima por força da qual tratamos dados pessoais, por exemplo, consentimento do titular dos dados, cumprimento de uma obrigação legal a que estamos sujeitos. Também significa que devemos informar, de forma clara, concisa, fácil e simples o titular dos dados sobre o tratamento;
Limitação das Finalidades: devemos apenas solicitar dados pessoais para finalidades determinadas, explícitas e legítimas e não os tratar para além da finalidade para a qual foram solicitados;
Minimização dos dados: os dados pessoais objeto de tratamento devem ser adequados, pertinentes e limitados ao necessário;
Exatidão: obrigação de garantir que os dados pessoais são exatos e atualizá-los sempre que necessário;
Limitação da conservação: não reter dados pessoais por um período superior ao necessário para as finalidades para as quais são tratados, embora possamos reter alguns para fins históricos e estatísticos;
Integridade e Confidencialidade: haver controlos de segurança adequados para proteção dos dados contra o tratamento não autorizado e ilegal, perda, destruição ou danificação, incluindo medidas técnicas e organizacionais, tais como processos definidos, formação e consciencialização.
Que categorias de dados pessoais tratamos?
A ACSS, no âmbito das atividades que desenvolve, procede ao tratamento dos dados pessoais necessários à prossecução da sua missão. Neste âmbito os dados pessoais objeto de tratamento são os seguintes:
| Categorias de dados pessoais |
Tipo de dados pessoais | Meios de recolha |
| Dados de identificação | Nome; número do documento de identificação; número de passaporte; número de utente; número de identificação fiscal; número da carta de condução; número de segurança social; número de beneficiário de subsistemas de saúde; número de apólice de seguro; autorização de residência; fotografia; filiação; país; nacionalidade; naturalidade; data de nascimento; sexo. | Dados ou conteúdos fornecidos diretamente pelos titulares através de interações diretas; formulários; fichas de recolha de informação; requerimentos; pedidos; declarações; cartas ou mensagens de correio eletrónico enviadas; outra documentação. |
| Dados de imagem | Imagens | Imagens recolhidas através de câmaras de videovigilância colocadas nas nossas instalações para garantir a segurança de pessoas e bens. |
| Dados de contacto | Morada; endereço(s) de correio eletrónico; contacto(s) telefónico(s). |
Formulários; fichas de recolha de informação; requerimentos; pedidos; declarações; cartas ou mensagens de correio eletrónico enviadas; outra documentação. |
| Dados de faturação | Número de Identificação fiscal; montantes pagos e cobrados; data de cobrança; regime de comparticipação de medicamentos e isenção. | Documentos fiscais (faturas / recibos); documentos comprovativos de factos. |
| Dados financeiros e patrimoniais |
Remuneração fixa e variável; dados bancários; crédito e solvabilidade; situação financeira e patrimonial. | Comprovativos bancários; recibos de vencimentos; penhoras; documentos comprovativos de factos. |
| Dados da vida familiar | Estado civil; dados e composição do agregado familiar. |
Formulários; fichas de recolha de informação; requerimentos; pedidos; declarações; documentos comprovativos de factos. |
| Dados da vida profissional | Profissão; situação profissional; relação laboral; percurso profissional; local de trabalho; registo de assiduidade. | Requerimentos; certificados; fichas de avaliação de competências/desempenho; resultados de testes; rankings; justificativos de faltas; outros documentos de gestão de recursos humanos e comprovativos de factos. |
| Dados académicos | Habilitações literárias; qualificações académicas; percurso académico. |
Certificados; outros documentos comprovativos da situação académica. |
| Dados de navegação na internet |
Cookies necessários; cookies funcionais; cookies de performance; cookies analíticos; cookies de terceiros; outros cookies |
Quando utiliza o nosso website. |
| Dados de tráfego e localização | Endereços IP; logs; identificadores de ligação; localização geográfica; dados de data e hora; browser utilizado. |
Através dos registos/logs nas plataformas internas e nos equipamentos de rede. |
Quais as finalidades de tratamento de dados pessoais e respetivos fundamentos jurídicos?
A ACSS trata os dados pessoais no estrito cumprimento da lei, tendo por isso um fundamento jurídico específico que sustenta cada finalidade de tratamento de dados que efetua. A licitude do tratamento dos dados realizado pela ACSS resulta, em regra, do exercício de funções de interesse público ou cumprimento de obrigações jurídicas de que está, por lei, obrigada.
A ACSS apenas procede ao tratamento de dados pessoais dos titulares para finalidades específicas e de acordo com a respetiva fundamentação de licitude. As situações mais comuns de tratamento de dados pessoais são as seguintes:
| Finalidade | Licitude |
| Disponibilização de Informação sobre o Acesso aos Cuidados de Saúde | Cumprimento de obrigação legal |
| Análise e Decisão de Questões que envolvam o Acesso a Prestação de Cuidados de Saúde e Gestão do Utente |
Cumprimento de obrigação legal |
| Gestão do Sistema Integrado de Gestão de Inscritos para Cirurgia | Cumprimento de obrigação legal |
| Monitorização de tempos de Espera nos Hospitais | Cumprimento de obrigação legal |
| Monitorização sistemática da conformidade | Cumprimento de obrigação legal |
| Realização de auditorias e reforço do controlo interno |
Cumprimento de obrigação legal |
| Planeamento e Organização de Serviços de Saúde | Cumprimento de obrigação legal |
| Acompanhamento de Fundos Comunitários da Saúde |
Cumprimento de obrigação legal |
| Monitorização da Atividade da Rede Nacional de Cuidados Continuados Integrados |
Cumprimento de obrigação legal |
| Planeamento e Monitorização de Recursos Humanos da Saúde |
Cumprimento de obrigação legal |
| Reconhecimento de Títulos de Profissões Regulamentadas |
Cumprimento de obrigação legal |
| Constituição de convenções ou acordos | Interesse público e exercício de poderes públicos |
| Elaboração e gestão de Instrumentos de cooperação interinstitucional |
Interesse público e exercício de poderes públicos |
| Realização de estudos científicos e técnicos de apoio a políticas públicas |
Interesse público e exercício de poderes públicos |
| Estudos de modelos de financiamento, pagamentos e comparticipações | Interesse público e exercício de poderes públicos |
| Planeamento e gestão estratégica | Interesse público e exercício de poderes públicos |
Por quanto tempo conservamos os seus dados?
A ACSS conserva os dados pessoais pelo tempo necessário à realização das finalidades para as quais foram recolhidos. Geralmente, os dados pessoais que recolhemos são conservados em formato que possibilite a identificação dos titulares apenas durante o período estritamente necessário à prossecução das finalidades subjacentes ao seu tratamento. No entanto, em certos casos, poderão existir obrigações legais às quais estejamos vinculados e que nos obriguem a conservar os seus dados durante um período mais alargado.
Quais os seus direitos enquanto titular?
O titular dos dados tem o direito de solicitar à ACSS o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento. Tem ainda o direito à limitação do tratamento, ou o direito de se opor ao tratamento, bem como o direito à portabilidade dos dados, nos termos das leis que regem o tratamento de dados pessoais.
Os direitos dos titulares dos dados têm assim o seguinte significado nos termos do RGPD:
Direito de acesso – O titular dos dados tem o direito de obter da ACSS (responsável pelo tratamento) a confirmação sobre o tratamento dos seus dados pessoais, bem como de aceder a esses dados e solicitar informação sobre o tratamento dos mesmos. Pode, ainda, obter cópia dos dados pessoais sujeitos a tratamento.
Direito de retificação – O titular dos dados tem o direito de obter, a retificação dos dados pessoais inexatos e a completar os que se encontrem incompletos.
Direito a ser esquecido – O titular dos dados tem o direito de obter o apagamento dos seus dados pessoais, em certas situações. Há casos em que este direito sofre limitações como, por exemplo, no âmbito de um processo judicial, ou quando forem necessários para o cumprimento de obrigações legais por parte da ACSS.
Direito à limitação do tratamento – O titular dos dados tem o direito de obter a limitação do tratamento como, por exemplo, quando conteste a exatidão dos seus dados, durante um período que permita à ACSS verificar a sua exatidão ou quando o tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização.
Direito de portabilidade – O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido à ACSS, num formato estruturado, de uso corrente e de leitura automática. Tem igualmente o direito a que os dados pessoais sejam transmitidos diretamente a outros responsáveis pelo tratamento.
Direito de oposição – O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, incluindo a definição de perfis. A ACSS cessa o tratamento dos dados pessoais, não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Direito a não ficar sujeito a decisões individuais automatizadas – A ACSS não adota decisões individuais automatizadas, incluindo a definição de perfis, que produzam efeitos na sua esfera jurídica ou o afetem significativamente de forma similar.
Direito a retirar o consentimento – O titular dos dados tem o direito de retirar o consentimento a todo o momento, desde que o tratamento dos dados seja feito com base no consentimento e desde que não exista outro fundamento jurídico que permita esse tratamento.
Direito a apresentar queixa junto da CNPD – Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o titular dos dados tem direito a apresentar uma reclamação à Comissão Nacional de Proteção de Dados (CNPD) ou a outra autoridade de controlo competente nos termos da lei, caso considere que os seus dados não estão a ser objeto de tratamento legítimo por parte da ACSS, nos termos da legislação aplicável e da presente Política de Privacidade.
Como pode aceder, retificar, atualizar, limitar, apagar, opor-se ao tratamento dos seus dados pessoais, ou remover o consentimento?
Poderá exercer os seus direitos diretamente através do seguinte endereço de e-mail: geral@acss.min-saude.pt, enviando o respetivo formulário preenchido ou através de carta, para a seguinte morada:
Parque de Saúde de Lisboa, Edifício 16
Avenida do Brasil, 53
1700-063 Lisboa
Em termos gerais, qualquer informação fornecida pela ACSS, bem como qualquer comunicação que envie ou ação que realize, em resposta a um pedido de exercício de Direitos dos titulares de dados ou de revogação de consentimento, será efetuada a título gratuito.
Não obstante ao mencionado no ponto anterior, sempre que os pedidos sejam infundados ou excessivos, a ACSS responsável poderá: (i) Exigir o pagamento de uma taxa equivalente aos custos administrativos suportados para fornecer a informação ou realizar a comunicação ou a tomada de medidas solicitadas; e (ii) Recusar-se a agir em relação ao pedido, devendo informar o titular dos dados no prazo de um mês a contar da receção do pedido.
Em que situações existe comunicação de dados a terceiros?
A ACSS, no âmbito da sua atividade, poderá recorrer a terceiros para a prestação de determinados serviços. Por vezes, a prestação destes serviços implica o acesso, por estas entidades, a dados pessoais dos titulares de dados.
Quando tal sucede, a ACSS toma as medidas adequadas, de forma a assegurar que as entidades que tenham acesso aos dados são reputadas e oferecem as mais elevadas garantias a este nível, o que fica devidamente consagrado e acautelado contratualmente entre a ACSS e a(s) terceira(s) entidade(s) subcontratadas.
Assim, qualquer entidade subcontratada pela ACSS tratará os dados pessoais, em nome e por conta da ACSS, adotando medidas técnicas e organizacionais necessárias de forma a proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado e contra qualquer outra forma de tratamento ilícito.
Em qualquer dos casos, a ACSS permanece responsável pelos dados pessoais que lhe sejam disponibilizados.
Poderão ainda ser comunicados a terceiros dados pessoais para cumprimento de obrigações legais no âmbito das atribuições que nos estão cometidas.
A transmissão de dados pessoais entre entidades públicas, para finalidades diferentes das determinadas pela recolha, tem natureza excecional, será objeto de fundamentação e de protocolo, que estabelecerá as responsabilidades de cada interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar.
Sempre que seja necessária a partilha de dados pessoais com terceiros, que não no cumprimento de uma obrigação legal, a ACSS assegura que esta partilha seja realizada no estrito cumprimento nas diretrizes fixadas pelo RGPD.
Em que circunstancias pode haver transferências internacionais de dados?
Por regra a ACSS não procede à transferência de dados para países terceiros que não pertençam à União Europeia ou ao Espaço Económico Europeu.
Caso algum tratamento possa vir a implicar essa transferência, a ACSS adotará as medidas necessárias e adequadas à luz da lei aplicável para assegurar a proteção dos dados pessoais objeto de uma tal transferência, cumprindo rigorosamente as disposições legais relativamente aos requisitos aplicáveis a tais transferências nomeadamente quanto à determinação da adequabilidade do(s) país(es) de destino no que respeita a proteção de dados pessoais e aos requisitos aplicáveis a tais transferências, incluindo, sempre que aplicável, a celebração dos instrumentos contratuais adequados e que garantem e respeitam as exigências legais em vigor.
Quais as medidas adotadas para assegurar a segurança dos seus dados pessoais?
A ACSS assume o compromisso de garantir a proteção da segurança dos dados pessoais que nos são disponibilizados, tendo aprovado e implementado rigorosas regras nesta matéria. O cumprimento destas regras constitui uma obrigação de todos aqueles que legalmente aos mesmos acedem.
Desta forma foram implementadas diversas medidas de segurança, de carácter técnico e organizativo, de forma a proteger os dados pessoais contra a sua difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito. Para o efeito, dispomos de sistemas e de equipas que garantem a segurança dos dados, criando e atualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ou destruição dos dados pessoais.
Adicionalmente, as entidades terceiras que, no âmbito de prestações de serviços, procedam ao tratamento de dados pessoais em nome e por conta da ACSS, estão obrigadas, por escrito, a executar medidas técnicas e de segurança adequadas que, em cada momento, satisfaçam os requisitos previstos na legislação em vigor e assegurem a defesa dos direitos do titular dos dados.
Para garantir a permanente sensibilização dos nossos colaboradores, desenvolvemos ainda ações de formação junto dos mesmos, os quais assumem o compromisso de não revelar a terceiros ou utilizar, para fins contrários à lei, qualquer informação pessoal cujo conhecimento lhes advenha do exercício das suas funções.
Qual o procedimento em caso de violação de dados pessoais?
Em caso de violação de dados pessoais, e na medida em que tal violação seja suscetível de resultar num risco elevado para os direitos e liberdades do titular, a ACSS notificará a autoridade de controlo nacional dessa violação, bem como comunicará a violação ao titular dos dados, até 72 horas após ter tido conhecimento da mesma.
Qualquer violação de dados pessoais, cujo tratamento seja da responsabilidade da ACSS, poderá ser reportada através de email para violacao-rgpd@acss.min-saude.pt.
Em que circunstância procedemos a Avaliações de Impacto sobre a Proteção de Dados?
A ACSS realiza avaliações de impacto sobre a proteção de dados sempre que o tratamento em causa seja considerado como tendo risco elevado para os direitos e liberdades dos titulares de dados. Esta obrigação aplica-se aos Parceiros e Prestadores de Serviços que com esta se relacionem.
Caso exista um conjunto de operações de tratamento que apresente riscos elevados semelhantes, estes podem ser analisados numa única avaliação.
Quando da Avaliação de Impacto resultar que as operações de tratamento que se pretendem realizar implicam um elevado risco para os titulares de dados, a ACSS está obrigada a consultar a Comissão Nacional de Proteção de Dados antes de dar início a esse tratamento.
Alterações à Política
A ACSS, a todo o tempo, reserva-se o direito de atualizar este documento, por razões legais ou técnicas, assim como disponibilizar informações adicionais, mais detalhadas, sobre situações específicas, em que são recolhidos e tratados dados pessoais.
As alterações aplicar-se-ão à recolha e tratamento de dados pessoais que ocorram após a sua divulgação, contudo, se vierem a ter impacto no tratamento de dados pessoais já recolhidos, os seus titulares serão notificados para reverem o seu consentimento, ou exercerem o seu direito de oposição ou apagamento dos dados.
