A Epimed Solutions (“Epimed”) é especializada em soluções para gestão de informações clínicas e epidemiológicas, que melhoram a eficiência do atendimento hospitalar e a segurança do paciente.

A Epimed desenvolveu softwares capazes de gerenciar informações clínicas em tempo real, avaliar a performance e a eficiência da UTI dos hospitais, avaliar o risco de longa permanência de cada paciente na UTI, gerir dados clínicos e indicadores de qualidade, acompanhar os incidentes e eventos adversos nos hospitais, dentre outros serviços (“Sistema Epimed”).

O Sistema Epimed opera mediante o recebimento de dados fornecidos pelos hospitais, clínicas, organizações sociais de saúde e outras instituições de saúde (“Instituições de Saúde”), sendo alguns deles Dados Pessoais e/ou Dados Sensíveis (“Dados”), dependendo do software e serviços contratados pelas Instituições de Saúde.

Em conformidade com a Legislação Brasileira de Proteção de Dados, especialmente a Lei n.º 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), foi elaborada a Política de Privacidade e Proteção de Dados (“Política”), com intuito de reafirmar o compromisso da Epimed com as melhores práticas de proteção dos dados.

Por meio desta Política de Privacidade e Proteção de Dados (“Política”), informamos aos usuários do Sistema Epimed as nossas diretrizes sobre coleta, uso e qualquer tratamento de Dados Pessoais realizados direta ou indiretamente, na hipótese de utilização de nossos sistemas, cadastro, acesso ou visita à Plataforma.

Por meio desta Política de Privacidade buscamos ser transparentes, de modo a (i) apresentar os motivos pelos quais realizamos o tratamento de Dados Pessoais e (ii) explicar como tratamos os Dados Pessoais, conforme a LGPD.

Esta Política se aplica a todos os colaboradores da Epimed Solutions, prestadores de serviços e terceiros contratados.

A gestão dos dados conforme esta Política é de responsabilidade de todos os colaboradores e prestadores de serviços, nos limites das atribuições de cada área envolvida.

Para melhor compreensão desta Política, é necessário entender as seguintes definições:

• Autoridade Nacional de Proteção de Dados (ANPD): Órgão da Administração Pública Federal, responsável por zelar pela proteção dos Dados Pessoais e aplicação da LGPD;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de Dados Pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador;
• Dado Pessoal: qualquer informação relacionada à pessoa natural identificada ou identificável. Para fins dessa Política a referência à Dado Pessoal incluirá Dados Pessoais Sensíveis;
• Dado Pessoal Sensível: Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Encarregado: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares de Dados e a Autoridade Nacional de Proteção de Dados;
• Lei Geral de Proteção de Dados (LGPD): Lei nº 13.709/2018 que dispõe sobre a proteção de Dados Pessoais;
• Titular de Dados: pessoa natural a quem se referem os Dados Pessoais que são objetos de tratamento;
• Tratamento: toda operação realizada com Dados Pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; e
• Usuário: pessoa que acessa o Sistema ou interage com o website da Epimed.

A Epimed, na qualidade de Operadora dos Dados, realizará o Tratamento dos Dados fornecidos pelas Instituições de Saúde de acordo com as suas instruções e nos termos da LGPD.

Nós assumimos a posição de Controladora de Dados quando nos competem as decisões referentes ao tratamento dos Dados Pessoais, como, por exemplo, na relação existente entre a Epimed com os seus funcionários em virtude do contrato de trabalho firmado.

Em observância à LGPD, a Epimed nomeou uma Encarregada de Dados (Data Protection Officer – DPO), que é a pessoa responsável pela gestão do programa de privacidade e por ser a ponte entre as Instituições de Saúde e a Epimed ou entre os Titulares de Dados e a Epimed no que se refere ao Tratamento de Dados.

O Chief Protection Officer (CPO), por sua vez, foi nomeado como a pessoa responsável por realizar os investimentos necessários no programa de privacidade, assim como por realizar toda a comunicação direcionada à Autoridade Nacional de Proteção de Dados.

Abaixo estão descritos os Produtos oferecidos pela Epimed, assim como a finalidade e o tipo do tratamento realizado por cada um deles.

7.1. Coleta

A Epimed coleta somente os Dados dos Pacientes estritamente necessários no âmbito da prestação dos serviços ofertados pelo Sistema Epimed.

As Instituições de Saúde são as responsáveis pelo envio dos Dados ao Sistema Epimed, de forma que a inclusão das informações dos Pacientes nas plataformas do Sistema Epimed pode ser realizada, direta e manualmente, pelos funcionários das Instituições de Saúde, pessoas indicadas e autorizadas por estas para acessar o Sistema Epimed (“Usuários”).

Os Usuários também podem optar por utilizar o procedimento de integração, em que os dados são coletados por meio do preenchimento de um formulário e, posteriormente, incluídos no Sistema Epimed.

Cada Usuário, por meio de uma ferramenta do Sistema Epimed, deverá aderir obrigatoriamente ao Termo de Privacidade dos Usuários do Sistema.

7.2. Armazenamento

Após a sua coleta e recepção pela Epimed, os Dados são armazenados em um ambiente de nuvem seguro gerenciado pela equipe interna de Tecnologia da Informação da Epimed protegido seguindo as boas práticas de segurança contra invasões, vazamentos e exclusões dos Dados.

A base de dados é protegida mediante a adoção dos controles e procedimentos adotados no Capítulo 9 desta Política e nas demais Políticas ali mencionadas.

7.3. Utilização

Os Dados são utilizados pela Epimed de acordo com o tipo de produto contratado pela Instituição de Saúde e para atender exclusivamente as finalidades descritas no Capítulo 6 acima.

O processamento de Dados Pessoais deverá ocorrer de maneira transparente, lícita, justa, de forma que todos os registros deverão ser mantidos pela Epimed nos sistemas envolvidos.

7.4. Acesso

Cada Instituição de Saúde tem acesso direto apenas aos seus próprios Dados, sendo somente os Usuários devidamente cadastrados pela Instituição de Saúde autorizados a acessá-los.

Além do tratamento de Dados dos pacientes das Instituições de Saúde, a Epimed também necessita recolher, armazenar, utilizar e descartar Dados Pessoais dos Usuários do Sistema Epimed para garantir que somente pessoas autorizadas tenham acesso às suas plataformas.

Ao iniciar sua relação contratual com a Epimed, a Instituição de Saúde deve compartilhar as informações de um representante indicado como responsável pela aprovação e cadastro dos demais funcionários da Instituição de Saúde que poderão ter acesso ao Sistema Epimed naquela Instituição (“Usuário Encarregado”).

Uma vez realizado o cadastro do Usuário Encarregado, a Instituição de Saúde passa a ser a única responsável pela permissão de novos Usuários no Sistema Epimed.

Cabe ao Usuário Encarregado delegar os acessos aos serviços da Epimed, bem como o escopo de permissão que os novos Usuários terão no Sistema Epimed.

Para realizar o cadastro de novos Usuários, o Usuário Encarregado deve disponibilizar os dados de nome e e-mail deste Usuário. Cada Usuário deverá aceitar todos os termos e condições do Termo de Privacidade, consentindo com a utilização dos seus Dados pela Epimed para a utilização do Sistema Epimed.

As Instituições de Saúde devem informar à Epimed em casos de necessidade de desligamento de qualquer Usuário do Sistema Epimed para que sejam desativadas as credenciais deste Usuário. Todos os mecanismos e cuidados com a proteção dos Dados dos pacientes recolhidos se aplicam também aos Dados Pessoais e/ou Sensíveis dos Usuários do Sistema Epimed detidos pela Epimed.

7.4.1. Profissionais da Epimed com Acesso aos Dados

A Epimed confere acesso restrito e limitado a alguns de seus colaboradores para garantir o suporte e o bom funcionamento, manutenção, correção e proteção do Sistema Epimed.

Ademais, todos os colaboradores da Epimed aderem, integralmente, ao Acordo de Confidencialidade da empresa.

7.4.2. Produção de Relatórios

A Instituição de Saúde poderá gerar relatórios relacionados ao tipo de Produto contratado, conforme listado no Capítulo 6 acima.

Os relatórios gerados pela Epimed, em regra, não reproduzem Dados Pessoais e/ou Sensíveis, constituindo apenas estatísticas em relação aos eventos ocorridos dentro das Instituições de Saúde, independentes da identificação pessoal dos pacientes.

Todos os relatórios gerados pelo Sistema Epimed são capazes de identificar o Usuário que o produziu, garantindo maior controle em relação à circulação dos Dados.

7.4.3. Relação com Terceiros

A Epimed utiliza serviço de terceiros somente para o armazenamento dos servidores físicos onde funcionam os ambientes de sistemas da Epimed.

A Epimed não recorre a outras entidades para a prestação do serviço contratado pelas Instituições de Saúde.

Importante mencionar que a Epimed contrata anualmente empresas de auditoria externa com o objetivo de verificar e validar o seu sistema de segurança de informação. Além disso, a cada 3 (três) meses é realizada uma revalidação como parte do projeto de auditoria anual.

O envio de informações para entidades terceiras só poderá ocorrer nos seguintes casos: (i) à luz da LGPD ou lei aplicável, (ii) no cumprimento de obrigações jurídicas/ordens judiciais ou (iii) para responder a solicitações de autoridades públicas ou governamentais.

7.5. Descarte

Os Dados armazenados na base de dados da Epimed serão descartados em caso de ordem específica das Instituições de Saúde, ou em caso de término da relação contratual da Epimed com a Instituição de Saúde, que receberá uma cópia correspondente à sua base de dados. O referido descarte será feito em observância a LGPD e as leis aplicáveis.

A Epimed realizará o descarte num prazo de até 60 (sessenta) dias contados após a devida solicitação de descarte dos Dados pela Instituição de Saúde, ou o encerramento do contrato, a não ser que haja solicitação explícita pela Instituição de Saúde ou Controlador para a manutenção dos Dados na base de dados da Epimed.

O descarte é realizado de forma segura, nos termos exigidos pela LGPD, mediante procedimento de exclusão de forma física no banco de dados da Epimed. Uma vez realizada a exclusão, não será possível a restauração dos dados após 30 (trinta) dias.

A Epimed envida todos os esforços para proteger a confidencialidade dos Dados, adotando as melhores práticas de segurança da informação para o tráfego e armazenamento de dados e informações, incluindo, mas não se limitando a(ao):

• Adoção de boas práticas de segurança, descritas na Política de Segurança da Informação da Epimed e nas normas da ISO 27001, ISO 27701 e ISO 27799, esta última focada em controles específicos para a proteção de informações pessoais de saúde;
• Armazenamento seguro de dados, mediante a adoção de criptografia em toda a sua base de dados;
• Gestão de riscos, incluindo o mapeamento de ciclo de dados referente aos Sistemas Epimed, e demais medidas previstas na Política de Gestão de Riscos de Segurança da Informação da Epimed;
• Aderência às regras referentes à transferência internacional de dados, de forma a seguir as boas práticas do mercado;
• O monitoramento e alerta de segurança de cybersecurity;
• A segregação de perfis de acesso, de forma que o acesso às informações e Dados será restrito a certos perfis de acesso definidos pela Gerência de Infraestrutura, descrita da Política de Segurança da Informação da Epimed; e
• Realização periódica de auditoria externa de segurança da informação baseada nas normas ISO 27001, ISO 27701 e ISO 27799.

Além das medidas de proteção de dados mencionadas acima, também fazem parte do Programa de Privacidade da Epimed as diretrizes descritas na Política de Segurança da Informação, Política de Desenvolvimento Seguro de Software e Política de Gestão de Riscos de Segurança da Informação.

Não obstante às medidas preventivas de proteção de Dados, a Epimed conta com um Plano de Resposta a Incidentes, cujo objetivo é estabelecer diretrizes para o gerenciamento de respostas a eventuais incidentes de violação e vazamento de Dados Pessoais que possam ocorrer, de modo a atender aos requisitos das legislações sobre proteção de dados dos países com os quais a Epimed mantém relações.

Em caso de dúvida sobre esta Política, seus direitos ou como exercê-los, você pode entrar em contato com a Encarregada de Dados através do e-mail protecaodedados@epimedosolutions.com ou através do Canal Confidencial da Epimed Solutions, disponível no site. A Epimed empreenderá todos os esforços para atender às solicitações no menor espaço de tempo possível, observando a LGPD e as legislações aplicáveis.

Este documento deve ser revisado a cada 1 (um) ano ou quando se fizer necessário para que seja adequado à legislação vigente e à LGPD.