Anexo de Tratamento de Dados

1. Partes e papéis

A contratante atua como controladora dos dados pessoais que insere, consulta, altera, exporta ou compartilha no Mymedic para sua operação assistencial, administrativa, financeira, fiscal ou regulatória.

O Mymedic atua como operador quando processa esses dados em nome da contratante e conforme suas instruções documentadas. O Mymedic atua como controlador independente para dados necessários à gestão de sua relação comercial, cobrança, suporte, segurança, melhoria do produto e cumprimento de suas obrigações legais.

2. Objeto e duração

O tratamento tem por objeto hospedar, organizar, processar, transmitir, proteger e disponibilizar dados pessoais no sistema Mymedic durante a vigência da contratação e pelo período necessário ao cumprimento de obrigações legais, contratuais, técnicas ou de defesa de direitos.

3. Natureza e finalidade do tratamento

• Cadastro e gestão de pacientes, profissionais, usuários, fornecedores e contatos.
• Agenda, atendimento, prontuário, documentos, imagens, arquivos, prescrições, exames e comunicações.
• Financeiro, contas a receber, contas a pagar, repasses, lotes, faturamento, emissão fiscal e relatórios.
• Suporte, manutenção, auditoria, segurança, backup, recuperação e melhoria técnica da plataforma.

4. Categorias de dados e titulares

• Titulares: pacientes, responsáveis legais, profissionais de saúde, colaboradores, usuários, representantes da contratante, fornecedores e contatos administrativos.
• Dados: identificação, contato, saúde, agenda, atendimento, documentos, dados financeiros, dados fiscais, logs, IP, credenciais, permissões e dados técnicos relacionados ao uso do sistema.

5. Instrucoes da contratante

O Mymedic tratará os dados conforme as funcionalidades contratadas, configurações realizadas pela contratante, permissões concedidas a usuários, solicitações de suporte e instruções documentadas. O Mymedic poderá recusar instrução manifestamente ilícita, insegura ou incompatível com o contrato.

6. Suboperadores e terceiros

O Mymedic pode utilizar suboperadores e fornecedores necessários à hospedagem, armazenamento, segurança, suporte, mensagens, pagamentos, emissão fiscal, monitoramento, backups e outras rotinas da plataforma. Esses terceiros devem tratar dados apenas conforme finalidade compatível e compromissos de confidencialidade e segurança.

Quando a contratante habilitar integrações com terceiros por conta própria, ela será responsável por avaliar os termos, bases legais, configurações e compartilhamentos decorrentes dessa integração.

7. Medidas de segurança

O Mymedic adotará medidas técnicas e administrativas razoáveis e proporcionais ao risco, incluindo controle de acesso, segregação lógica por contratante, registros de auditoria, rotinas de backup, manutenção preventiva e procedimentos de resposta a incidentes.

A contratante deve manter controles internos complementares, como revisão de permissões, políticas de senha, treinamento da equipe, proteção de dispositivos e processos para atendimento a titulares.

8. Incidentes

Ao tomar conhecimento de incidente confirmado que possa afetar dados pessoais tratados em nome da contratante, o Mymedic comunicará a contratante sem demora injustificada, informando a natureza do evento, dados possivelmente afetados, medidas adotadas e informações disponíveis para avaliação de risco.

A contratante, como controladora, avaliará a necessidade de comunicação aos titulares e a ANPD. O Mymedic cooperará dentro dos limites técnicos, contratuais e das informações disponíveis.

9. Solicitações de titulares

Quando receber solicitação de titular relacionada a dados controlados pela contratante, o Mymedic poderá orientar o titular a procurar a contratante ou encaminhar a solicitação ao contato competente. O Mymedic prestará suporte tecnicamente possível para atender instruções da contratante.

10. Devolução, retenção e eliminação

Encerrada a contratação, a devolução, exportação, retenção técnica temporária ou eliminação dos dados será realizada conforme contrato, disponibilidade técnica e obrigações legais aplicáveis. Backups podem reter dados por período técnico limitado até sua substituição natural, salvo necessidade legal ou de segurança.

11. Auditoria e evidências

O Mymedic pode manter evidências de aceite, logs, registros técnicos e trilhas de auditoria para demonstrar execução contratual, segurança, atendimento de solicitações e cumprimento de obrigações legais. Auditorias solicitadas pela contratante dependerão de escopo, viabilidade, confidencialidade, segurança e agendamento prévio.