Sumário

1 – Compromisso da Alta Direção 3

2 – Mapeamento e Análise de Riscos 3

3 – Políticas e Procedimentos 3

4 – Treinamento e Conscientização 4

5 – Encarregado de Proteção de Dados (DPO) 4

6 – Controle de Acesso e Gerenciamento de Senhas 5

7 – Proteção de Dados Sensíveis 5

8 – Política de Privacidade 6

9 – Procedimentos de Atendimento às Solicitações dos Titulares de Dados Pessoais 6

10 – Gerenciamento de Incidentes de Segurança 7

11 – Da implementação 7

12 – Revisão e Atualização do Programa de Integridade 8

13 – Da aplicabilidade e punibilidade 8

14 – O Encarregado de Proteção de Dados (DPO): 10

15 – Política de Privacidade: 10

16 – Consentimento do Titular dos Dados Pessoais: 10

17- Contratos de Processamento de Dados com Terceiros: 10

18 – Proteção de Dados Sensíveis: 10

19 – Gerenciamento de Incidentes de Segurança da Informação: 10

20 – Treinamento e Capacitação: 11

21 – Direitos dos Titulares dos Dados Pessoais: 11

22 – Avaliação de Impacto: 11

23 – Procedimentos de Monitoramento e Auditoria: 11

24 – Canal de Comunicação: 11

25 – Registro de Atividades de Tratamento: 11

26 – Segurança da Informação: 12

27 – Gerenciamento de Riscos: 12

28 – Revisão e Atualização do Programa: 12

29 – Da elaboração 12

30 – Responsabilidade e Responsabilização: 12

31 – Comitê de Proteção de Dados: 12

32 – Avaliação Externa: 13

33 – Educação e Conscientização: 13

34 – Regulamento Interno: 13

35 – Contratação de Profissionais Qualificados: 13

36 – Disposições Finais: 13

37 – Glossário 14

38 – Referências Bibliográficas 14

39 – Aprovação e Vigência 14

40 – Anexos 15

1 – Compromisso da Alta Direção 

1.1. A Alta Direção do Hospital Municipal Dr. Ernesto Che Guevara se compromete a garantir a proteção dos dados pessoais de pacientes, colaboradores e visitantes, em conformidade com as exigências da Lei Geral de Proteção de Dados (LGPD).

1.2. A Alta Direção deve estabelecer formalmente o compromisso com a proteção de dados pessoais por meio da colaboração plena com o Departamento de Compliance e Proteção de Dados do FAS no cumprimento de uma política institucional que demonstre a importância do tema para a organização.

1.3. A Política de Proteção de Dados Pessoais deve contemplar o compromisso com o tratamento adequado dos dados pessoais, a garantia da privacidade e da segurança das informações, a adoção de medidas técnicas e organizacionais adequadas para proteger os dados pessoais, a implementação de processos de governança e gestão dos dados pessoais, o respeito aos direitos dos titulares dos dados pessoais, a realização de treinamentos e conscientização dos colaboradores, e a responsabilização pelo descumprimento da política.

Referências: LGPD, art. 2º, I, VI, IX, X; art. 50; art. 55, § 1º.

2 – Mapeamento e Análise de Riscos 

2.1. O Setor de Proteção de Dados do FAS deve realizar periodicamente um mapeamento e análise de riscos para identificar e avaliar os riscos associados ao tratamento de dados pessoais, de modo a definir medidas de controle e mitigação de riscos.

2.2. O mapeamento e análise de riscos deve ser realizado de forma documentada e considerar os aspectos legais, organizacionais e técnicos do tratamento de dados pessoais.

2.3. As medidas de controle e mitigação de riscos devem ser adequadas aos riscos identificados e serem implementadas de forma efetiva, visando a proteção dos dados pessoais tratados.

Referências: LGPD, art. 2º, IX, X; art. 6º, IX; art. 46.

3 – Políticas e Procedimentos 

3.1. O Departamento de Proteção de Dados do FAS deve desenvolver e implementar políticas e procedimentos claros e objetivos que garantam o cumprimento da LGPD, no hospital, bem como as boas práticas de proteção de dados pessoais.

3.2. As políticas e procedimentos devem estar em conformidade com as exigências da LGPD e contemplar, no mínimo, as seguintes diretrizes:

• Política de Privacidade;
• Política de Segurança da Informação;
• Procedimentos de atendimento a solicitações dos titulares de dados pessoais;
• Procedimentos de segurança da informação e de prevenção de incidentes de segurança;
• Procedimentos de gestão e governança de dados pessoais;
• Procedimentos de avaliação e gestão de riscos.

3.3. As políticas e procedimentos devem ser revisados e atualizados periodicamente, a fim de garantir sua adequação às mudanças legislativas e tecnológicas, bem como às novas ameaças e riscos identificados.

Referências: LGPD, art. 2º, IX, X; art. 6º, IX; art. 46; art. 50; art. 55, § 1º.

4 – Treinamento e Conscientização 

4.1. O Departamento de Proteção de Dados deve oferecer treinamentos e conscientização aos colaboradores do hospital, com o objetivo de garantir a compreensão das diretrizes e políticas de proteção de dados pessoais, bem como da importância do tema para a organização.

4.2. O treinamento e conscientização deve ser realizado periodicamente, com a participação de todos os colaboradores e terceiros que tenham acesso aos dados pessoais tratados pelo hospital.

4.3. O treinamento e conscientização deve abordar, no mínimo, os seguintes temas:

• Importância da proteção de dados pessoais;
• Políticas e procedimentos de proteção de dados pessoais;
• Direitos dos titulares de dados pessoais;
• Identificação de ameaças e riscos relacionados aos dados pessoais;
• Procedimentos de segurança da informação e de prevenção de incidentes de segurança.

Referências: LGPD, art. 2º, IX, X; art. 39, § 2º; art. 46; art. 50; art. 55, § 1º.

5 – Encarregado de Proteção de Dados (DPO) 

5.1. O Encarregado de Proteção de Dados do HMDECG junto à Agencia Nacional de Proteção de Dados (ANPD) é Mauro Luiz Mallet Ribeiro, Data Protection Officer do FAS, conforme exigido pela LGPD.

5.2. O DPO deve atuar de forma independente e autônoma, reportando-se diretamente à alta administração do FAS.

5.3. O DPO tem como atribuições:

• Monitorar o cumprimento das normas de proteção de dados pessoais;
• Atuar como ponto de contato entre o hospital, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);
• Orientar e prestar esclarecimentos aos colaboradores e titulares dos dados pessoais sobre a proteção de dados pessoais;
• Receber e analisar solicitações de titulares de dados pessoais;
• Realizar auditorias e inspeções para verificar o cumprimento das políticas e procedimentos de proteção de dados pessoais.

Referências: LGPD, art. 2º, IX, X; art. 41; art. 42; art. 43; art. 46; art. 50; art. 55, § 1º.

6 – Controle de Acesso e Gerenciamento de Senhas 

6.1. O Hospital Municipal Dr. Ernesto Che Guevara deve implementar controles de acesso e gerenciamento de senhas para garantir a segurança dos dados pessoais tratados.

6.2. Os controles de acesso devem ser implementados de forma a permitir o acesso apenas às pessoas autorizadas, de acordo com as políticas e procedimentos de proteção de dados pessoais do hospital.

6.3. O gerenciamento de senhas deve contemplar, no mínimo, as seguintes diretrizes:

• Senhas fortes e complexas, que devem ser trocadas periodicamente;
• Restrição do número de tentativas de acesso com senhas incorretas;
• Bloqueio automático de contas após um número pré-definido de tentativas incorretas;
• Criptografia de senhas armazenadas em bancos de dados.

6.4. O hospital deve adotar medidas técnicas e organizacionais adequadas para garantir a integridade e confidencialidade das senhas.

Referências: LGPD, art. 2º, IX, X; art. 46; art. 50; art. 55, § 1º.

7 – Proteção de Dados Sensíveis 

7.1. O Hospital Municipal Dr. Ernesto Che Guevara deve adotar medidas especiais de proteção para dados pessoais sensíveis, como informações sobre a saúde dos pacientes.

7.2. O tratamento de dados pessoais sensíveis deve ser restrito a pessoas autorizadas e limitado à finalidade específica para a qual os dados foram coletados.

7.3. O hospital deve adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais sensíveis, como criptografia e controle de acesso.

7.4. Os dados pessoais sensíveis devem ser armazenados em sistemas separados dos demais dados pessoais, a fim de garantir maior segurança.

Referências: LGPD, art. 5º, II; art. 11; art. 12; art. 46; art. 50; art. 55, § 1º.

8 – Política de Privacidade 

8.1. A Política de Privacidade deve contemplar, no mínimo, as seguintes informações:

• Finalidade e base legal para o tratamento de dados pessoais;
• Tipos de dados pessoais coletados e utilizados;
• Formas de coleta de dados pessoais;
• Direitos dos titulares de dados pessoais;
• Prazo de armazenamento dos dados pessoais;
• Compartilhamento de dados pessoais com terceiros;
• Medidas de segurança adotadas para proteger os dados pessoais;
• Contatos para exercício de direitos dos titulares de dados pessoais.

8.2. A Política de Privacidade deve ser atualizada sempre que houver mudanças no tratamento de dados pessoais pelo hospital.

Referências: LGPD, art. 2º, IX, X; art. 9º; art. 10; art. 12; art. 46; art. 50; art. 55, § 1º.

9 – Procedimentos de Atendimento às Solicitações dos Titulares de Dados Pessoais 

9.1. O Hospital Municipal Dr. Ernesto Che Guevara deve estabelecer procedimentos claros e objetivos para o atendimento às solicitações dos titulares de dados pessoais, como requisições de acesso, retificação ou exclusão de dados pessoais.

9.2. O hospital deve encaminhar para o canal de atendimento específico solicitações dos titulares de dados pessoais, através do e-mail compliance@fas.org.br ou formulário eletrônico em hmecg.org.br/dados.

9.3. O Departamento de Proteção de Dados do FAS deve responder às solicitações dos titulares de dados pessoais no prazo máximo de 15 (quinze) dias, contados a partir do recebimento da solicitação.

9.4. Em caso de impossibilidade de atender à solicitação, o DPO deve informar ao titular dos dados pessoais, de forma clara e fundamentada, os motivos da impossibilidade.

Referências: LGPD, art. 2º, IX, X; art. 18; art. 19; art. 46; art. 50; art. 55, § 1º.

10 – Gerenciamento de Incidentes de Segurança 

10.1. O Departamento de Proteção de Dados do FAS deve implementar procedimentos de gerenciamento de incidentes de segurança da informação, com o objetivo de minimizar os riscos e prejuízos decorrentes de incidentes de segurança que possam afetar os dados pessoais tratados pelo hospital.

10.2. O gerenciamento de incidentes deve contemplar, no mínimo, as seguintes ações:

• Identificação e classificação dos incidentes de segurança da informação;
• Comunicação dos incidentes ao Encarregado de Proteção de Dados (DPO);
• Análise e investigação dos incidentes, com o objetivo de identificar as causas e impactos;
• Elaboração de um plano de resposta aos incidentes, contendo as ações necessárias para minimizar os riscos e prejuízos decorrentes do incidente;
• Monitoramento e revisão do plano de resposta aos incidentes.

10.3. O DPO deve manter registros dos incidentes de segurança da informação e das ações adotadas para sua solução.

Referências: LGPD, art. 2º, IX, X; art. 46; art. 50; art. 55, § 1º.

11 – Da implementação 

11.1. O Programa de Integridade para proteção de dados pessoais do Hospital Municipal Dr. Ernesto Che Guevara tem como objetivo garantir a proteção adequada dos dados pessoais tratados pelo hospital, em conformidade com as disposições da Lei Geral de Proteção de Dados (LGPD).

11.2. O programa deve ser implementado de forma sistemática e contínua, envolvendo a participação de todos os colaboradores e terceiros que tenham acesso aos dados pessoais tratados pelo hospital.

11.3. O sucesso do programa depende do comprometimento da alta administração do hospital e da adoção de medidas técnicas e organizacionais adequadas para garantir a proteção dos dados pessoais tratados pelo hospital.

Referências: LGPD, art. 2º, IX, X; art. 6º, IX; art. 46; art. 50; art. 55, § 1º.

12 – Revisão e Atualização do Programa de Integridade 

12.1. O Programa de Integridade para proteção de dados pessoais do Hospital Municipal Dr. Ernesto Che Guevara deve ser revisado e atualizado periodicamente, pelo DPO, sempre que houver mudanças no tratamento de dados pessoais pelo hospital ou alterações na legislação aplicável.

12.2. A revisão e atualização do programa deve ser realizada pelo Encarregado de Proteção de Dados (DPO) e demais profissionais envolvidos na proteção de dados pessoais.

12.3. A revisão e atualização do programa deve contemplar, no mínimo, as seguintes atividades:

• Avaliação do grau de conformidade do programa com as disposições da LGPD;
• Identificação e análise dos riscos relacionados ao tratamento de dados pessoais pelo hospital;
• Revisão e atualização das políticas e procedimentos de proteção de dados pessoais;
• Treinamento e capacitação dos colaboradores envolvidos na proteção de dados pessoais;
• Revisão e atualização dos contratos com terceiros que tenham acesso aos dados pessoais tratados pelo hospital;
• Revisão e atualização dos procedimentos de gerenciamento de incidentes de segurança da informação.

Referências: LGPD, art. 2º, IX, X; art. 46; art. 50; art. 55, § 1º.

13 – Da aplicabilidade e punibilidade 

13.1. Este Programa de Integridade para proteção de dados pessoais do Hospital Municipal Dr. Ernesto Che Guevara deve ser divulgado e disponibilizado a todos os colaboradores do hospital, bem como aos terceiros que tenham acesso aos dados pessoais tratados pelo hospital.

13.2. Este programa deve ser interpretado e aplicado em conformidade com as disposições da LGPD e demais normas aplicáveis à proteção de dados pessoais.

13.3. O descumprimento deste programa sujeitará o infrator às sanções previstas na LGPD e demais normas aplicáveis à proteção de dados pessoais.

Referências: LGPD, art. 2º, IX, X; art. 6º, IX; art. 46; art. 50; art. 55, § 1º.

Este programa foi elaborado com base nas melhores práticas e orientações disponíveis sobre a proteção de dados pessoais, e tem como objetivo garantir o cumprimento da LGPD pelo Hospital Municipal Dr. Ernesto Che Guevara. A implementação deste programa contribuirá para fortalecer a cultura de proteção de dados pessoais no hospital e proteger os direitos fundamentais dos titulares dos dados pessoais.

O Hospital Municipal Dr. Ernesto Che Guevara reconhece a importância da proteção de dados pessoais e se compromete a adotar as medidas necessárias para garantir a conformidade com a LGPD e demais normas e regulamentações aplicáveis à proteção de dados pessoais. A alta administração do hospital assume a responsabilidade pelo cumprimento deste Programa de Integridade para proteção de dados pessoais e pela disseminação da cultura de proteção de dados pessoais entre todos os colaboradores e parceiros do hospital.

Este programa não se limita a ser um conjunto de regras e procedimentos formais, mas sim uma cultura institucional que promove a ética, a transparência, a integridade e a responsabilidade no tratamento de dados pessoais. O sucesso deste programa dependerá do comprometimento de todos os colaboradores do hospital em adotar as práticas e procedimentos estabelecidos neste documento, bem como da contínua revisão e atualização deste programa para refletir as mudanças nas práticas de tratamento de dados pessoais pelo hospital e na legislação aplicável.

O Hospital Municipal Dr. Ernesto Che Guevara se compromete a divulgar este programa a todos os colaboradores e terceiros que tenham acesso aos dados pessoais tratados pelo hospital, bem como a fornecer treinamento e capacitação necessários para a implementação deste programa. Além disso, o hospital manterá um canal de comunicação aberto para receber sugestões, denúncias e reclamações relacionadas à proteção de dados pessoais.

Ao implementar este Programa de Integridade para proteção de dados pessoais, o Hospital Municipal Dr. Ernesto Che Guevara reafirma o seu compromisso com a ética, a transparência, a integridade e a responsabilidade na proteção de dados pessoais e contribui para a construção de uma sociedade mais justa e igualitária, onde os direitos fundamentais dos titulares dos dados pessoais são respeitados e protegidos.

Este programa será revisado e atualizado periodicamente para garantir a conformidade contínua com a LGPD e outras normas e regulamentações aplicáveis à proteção de dados pessoais, bem como para refletir as mudanças nas práticas de tratamento de dados pessoais pelo hospital e na legislação aplicável. O responsável pelo programa de proteção de dados pessoais será o Encarregado de Proteção de Dados (DPO), que será responsável por supervisionar a implementação e o cumprimento deste programa, receber e tratar as demandas dos titulares dos dados pessoais e garantir a conformidade contínua com a LGPD e outras normas e regulamentações aplicáveis à proteção de dados pessoais.

Além disso, o hospital adotará as seguintes medidas para garantir a proteção de dados pessoais:

14 – O Encarregado de Proteção de Dados (DPO): 

O Encarregado de Proteção de Dados (DPO) deverá garantir a conformidade com a LGPD e outras normas e regulamentações aplicáveis à proteção de dados pessoais, e receber e tratar as demandas dos titulares dos dados pessoais.

15 – Política de Privacidade: 

O encarregado de proteção de dados elaborará e manterá atualizada uma Política de Privacidade clara e transparente, que explicará como os dados pessoais são coletados, usados, compartilhados e protegidos pelo hospital.

16 – Consentimento do Titular dos Dados Pessoais: 

O hospital obterá o consentimento livre, informado e inequívoco do titular dos dados pessoais antes de coletar, usar ou compartilhar seus dados pessoais, exceto nos casos em que a LGPD permita o tratamento sem consentimento.

17- Contratos de Processamento de Dados com Terceiros: 

Os contratos de processamento de dados celebrados com terceiros que possam ter acesso aos dados pessoais do hospital, deverá conter cláusulas aditivas de adequação à LGPD orientadas pelo encarregado, garantindo que tais terceiros adotem medidas de proteção adequadas e cumpram com a LGPD e outras normas e regulamentações aplicáveis à proteção de dados pessoais.

18 – Proteção de Dados Sensíveis: 

O hospital adotará medidas adicionais de proteção para dados pessoais sensíveis, como informações sobre saúde, garantindo que tais dados sejam tratados de forma segura e confidencial.

19 – Gerenciamento de Incidentes de Segurança da Informação: 

O hospital estabelecerá procedimentos claros e eficazes para detectar, remediar e facilitar a investigação pelo encarregado de proteção de dados de incidentes de segurança da informação que possam comprometer a disponibilidade, integridade ou confidencialidade dos dados pessoais tratados pelo hospital.

20 – Treinamento e Capacitação: 

O encarregado de proteção de dados fornecerá treinamento e capacitação regular para todos os colaboradores e terceiros que tenham acesso aos dados pessoais tratados pelo hospital, garantindo que tais colaboradores e terceiros estejam cientes de suas obrigações em relação à proteção de dados pessoais e estejam capacitados para cumpri-las.

21 – Direitos dos Titulares dos Dados Pessoais: 

O hospital garantirá o cumprimento dos direitos dos titulares dos dados pessoais previstos na LGPD, como o direito de acesso, retificação, exclusão, portabilidade e oposição ao tratamento.

22 – Avaliação de Impacto: 

O encarregado de proteção de dados realizará avaliações de impacto sobre a proteção de dados pessoais, sempre que o tratamento de dados pessoais envolver riscos elevados aos direitos e liberdades dos titulares dos dados pessoais, garantindo que tais avaliações sejam realizadas de forma adequada e eficaz.

23 – Procedimentos de Monitoramento e Auditoria: 

O encarregado de proteção de dados estabelecerá procedimentos claros e eficazes para monitorar e auditar regularmente a conformidade com a LGPD e outras normas e regulamentações aplicáveis à proteção de dados pessoais, garantindo que quaisquer não conformidades sejam identificadas e corrigidas em tempo hábil.

24 – Canal de Comunicação: 

O hospital manterá um canal de comunicação aberto para receber sugestões, denúncias e reclamações relacionadas à proteção de dados pessoais, garantindo que tais demandas sejam tratadas de forma adequada e eficaz.

25 – Registro de Atividades de Tratamento: 

O hospital manterá um registro de atividades de tratamento de dados pessoais, garantindo que tal registro contenha informações precisas e atualizadas sobre as atividades de tratamento de dados pessoais realizadas pelo hospital.

26 – Segurança da Informação: 

O setor de TI do hospital adotará, sob orientação do encarregado de proteção de dados, medidas adequadas de segurança da informação para garantir a proteção dos dados pessoais tratados pelo hospital, incluindo medidas técnicas e organizacionais adequadas para prevenir o acesso não autorizado, a destruição, a perda, a alteração ou a divulgação não autorizada de dados pessoais.

27 – Gerenciamento de Riscos: 

O Encarregado de Proteção de Dados estabelecerá um processo de gerenciamento de riscos para identificar, avaliar e gerenciar os riscos relacionados ao tratamento de dados pessoais, garantindo que tais riscos sejam gerenciados de forma adequada e eficaz.

28 – Revisão e Atualização do Programa: 

O encarregado de proteção de dados do FAS revisará e atualizará regularmente este Programa de Integridade para proteção de dados pessoais, garantindo que este programa reflita as mudanças nas práticas de tratamento de dados pessoais pelo hospital e na legislação aplicável.

29 – Da elaboração

Este Programa de Integridade para proteção de dados pessoais foi elaborado com base nas melhores práticas e orientações disponíveis sobre a proteção de dados pessoais e tem como objetivo garantir o cumprimento da LGPD e demais normas e regulamentações aplicáveis à proteção de dados pessoais pelo Hospital Municipal Dr. Ernesto Che Guevara. A implementação deste programa contribuirá para fortalecer a cultura de proteção de dados pessoais no hospital e proteger os direitos fundamentais dos titulares dos dados pessoais.

30 – Responsabilidade e Responsabilização: 

O hospital garantirá que seus colaboradores e terceiros cumpram com as disposições da LGPD e deste Programa para proteção de dados pessoais, e estabelecerá procedimentos claros e eficazes para responsabilizar e punir quaisquer violações à LGPD e a este programa.

31 – Comitê de Proteção de Dados: 

O Encarregado de Proteção de Dados (DPO) do FAS criará um Comitê de Proteção de Dados na unidade, para coordenar e monitorar a implementação e o cumprimento deste programa de integridade para proteção de dados pessoais, garantindo que todas as áreas do hospital estejam envolvidas na proteção de dados pessoais.

32 – Avaliação Externa: 

O encarregado de proteção de dados realizará avaliações externas periódicas da efetividade deste programa de integridade para proteção de dados pessoais, garantindo que tais avaliações sejam realizadas por profissionais qualificados e independentes e que as recomendações decorrentes dessas avaliações sejam implementadas de forma adequada e eficaz.

33 – Educação e Conscientização: 

O Encarregado de Proteção de Dados promoverá na plataforma de treinamentos e de forma presencial programas de educação e conscientização sobre a LGPD e a proteção de dados pessoais para todos os colaboradores e terceiros que tenham acesso aos dados pessoais tratados pelo hospital, garantindo que tais colaboradores e terceiros estejam cientes de suas obrigações em relação à proteção de dados pessoais e estejam capacitados para cumpri-las.

34 – Regulamento Interno: 

O encarregado de proteção de dados elaborará e manterá atualizado um regulamento interno que discipline as atividades de tratamento de dados pessoais realizadas pelo hospital, garantindo que tais atividades sejam realizadas de forma adequada e eficaz, em conformidade com a LGPD e demais normas e regulamentações aplicáveis à proteção de dados pessoais.

35 – Contratação de Profissionais Qualificados: 

O hospital contratará profissionais de TI qualificados e experientes para atuarem em sintonia com o encarregado de proteção de dados pessoais, garantindo que tais profissionais tenham as competências e habilidades necessárias para monitorar este programa de proteção de dados pessoais.

36 – Disposições Finais: 

Quaisquer dúvidas, controvérsias ou situações não previstas neste Programa de Integridade para proteção de dados pessoais serão resolvidas pelo Encarregado de Proteção de Dados através do e-mail compliance@fas.org.br, em conformidade com a LGPD e outras normas e regulamentações aplicáveis à proteção de dados pessoais.

37 – Glossário 

Para efeitos deste programa, entende-se por:

• Dados pessoais: qualquer informação relacionada à pessoa natural identificada ou identificável;
• Tratamento de dados pessoais: toda operação realizada com dados pessoais, como coleta, armazenamento, uso, compartilhamento, exclusão, entre outras;
• Titular dos dados pessoais: pessoa natural a quem se referem os dados pessoais tratados pelo hospital;
• Encarregado de Proteção de Dados (DPO): profissional responsável por receber e tratar as demandas dos titulares dos dados pessoais e garantir o cumprimento das normas de proteção de dados pessoais pelo hospital;
• Autoridade Nacional de Proteção de Dados (ANPD): órgão responsável pela fiscalização e aplicação das sanções previstas na LGPD;
• Incidente de segurança da informação: evento que compromete a disponibilidade, integridade ou confidencialidade de dados pessoais tratados pelo hospital;
• Programa de Integridade: conjunto de políticas, procedimentos e práticas adotadas pelo hospital para prevenir, detectar e remediar práticas ilícitas ou antiéticas, bem como garantir o cumprimento das normas e regulamentações aplicáveis.

Referências: LGPD, art. 2º, IX, X; art. 41, § 2º.

38 – Referências Bibliográficas

• Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)
• Portaria nº 1.429, de 15 de maio de 2020 (Institui o Encarregado de Proteção de Dados no âmbito da Administração Pública Federal direta, autárquica e fundacional)
• Guia LGPD para Hospitais e Instituições de Saúde, elaborado pela Sociedade Brasileira de Direito Médico e Bioética (SBDMB)
• Cartilha de Proteção de Dados Pessoais para Micro e Pequenas Empresas, elaborada pelo Ministério da Economia
• Norma ABNT NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos

39 – Aprovação e Vigência 

Este Programa de Integridade para proteção de dados pessoais do Hospital Municipal Dr. Ernesto Che Guevara foi aprovado pela alta administração do hospital em [data de aprovação] e entra em vigor a partir desta data.

Este programa terá vigência por tempo indeterminado, podendo ser revisado e atualizado a qualquer momento, conforme previsto na seção 12 deste documento.

Referências: LGPD, art. 2º, IX, X; art. 6º, IX; art. 46; art. 50; art. 55, § 1º.

40 – Anexos

• Anexo 1: Política de Privacidade do Hospital Municipal Dr. Ernesto Che Guevara
• Anexo 2: Termo de Consentimento para Tratamento de Dados Pessoais
• Anexo 3: Contrato de Processamento de Dados com Terceiros
• Anexo 4: Formulário de Solicitação de Acesso, Retificação e Exclusão de Dados Pessoais
• Anexo 5: Procedimento de Gerenciamento de Incidentes de Segurança da Informação

Os anexos acima mencionados fazem parte integrante deste Programa de Proteção de Dados  para proteção de dados pessoais do Hospital Municipal Dr. Ernesto Che Guevara.

Referências: LGPD, art. 2º, IX, X; art. 6º, IX; art. 46; art. 50; art. 55, § 1º.

                                                 Mauro Mallet

Data Protection Officer