1. Introdução
O SIGSP (Sistema Integrado de Gestão em Saúde Pública) trata dados pessoais — inclusive dados pessoais sensíveis de saúde — em estrita observância à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), à Constituição Federal, ao Marco Civil da Internet e às normas do Conselho Nacional de Saúde aplicáveis.
Esta Política descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais de pacientes, profissionais de saúde, gestores e demais titulares envolvidos na operação do sistema.
2. Controlador e operador
Para fins da LGPD, o controlador dos dados pessoais dos pacientes é, em regra, o ente público contratante (Município, Estado, Hospital ou Secretaria de Saúde) que utiliza o SIGSP no exercício de suas competências constitucionais relativas à saúde pública.
A Carela Tecnologia Ltda. (“Carela”), inscrita no CNPJ sob nº [CNPJ a informar], desenvolvedora e fornecedora do SIGSP, atua como operadora, realizando o tratamento dos dados em nome e por instrução do controlador, conforme contrato de prestação de serviços e, quando aplicável, contrato/cláusula específica de tratamento de dados pessoais (DPA).
3. Dados pessoais tratados
Conforme a finalidade, podem ser tratados:
- Dados de identificação: nome, CPF, RG, Cartão Nacional de Saúde (CNS), data de nascimento, sexo, raça/cor (autodeclarada), nacionalidade.
- Dados de contato: endereço, telefone, e-mail.
- Dados sociodemográficos: escolaridade, ocupação, situação familiar.
- Dados pessoais sensíveis de saúde: histórico clínico, prontuário, prescrições, exames, imunizações, internações, procedimentos, diagnósticos (CID-10), notificações compulsórias.
- Dados de profissionais: CPF, conselho de classe (CRM, COREN, etc.), CBO, lotação, escala.
- Dados de uso: logs de acesso, endereço IP, registro de operações realizadas no sistema.
4. Finalidades do tratamento
- Prestação de serviços de saúde pública (assistencial e administrativa).
- Atendimento ambulatorial, hospitalar, vacinação, regulação e TFD.
- Faturamento (BPA, AIH, APAC) e prestação de contas ao Ministério da Saúde.
- Notificação compulsória de agravos à saúde (SINAN).
- Vigilância epidemiológica e sanitária.
- Geração de indicadores e relatórios gerenciais (BI).
- Cumprimento de obrigações legais e regulatórias.
- Auditoria e controle interno.
5. Bases legais
O tratamento se fundamenta, conforme o caso, em:
- Cumprimento de obrigação legal ou regulatória (art. 7º, II e art. 11, II, “a” da LGPD).
- Execução de políticas públicas previstas em leis e regulamentos (art. 7º, III).
- Tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 11, II, “f”).
- Exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Consentimento, quando aplicável e nas hipóteses específicas previstas em lei.
6. Compartilhamento
Os dados podem ser compartilhados, exclusivamente para o cumprimento das finalidades descritas, com:
- Sistemas oficiais do Ministério da Saúde (e-SUS APS, SISREG, CNES, SIGTAP, SINAN, SI-PNI, RNDS, SISCAN, SISVAN, Hórus).
- Outros entes públicos, quando exigido por lei.
- Operadores subcontratados (provedor de hospedagem em nuvem, serviço de envio de e-mail/SMS), submetidos a obrigações contratuais de confidencialidade e segurança.
- Autoridades públicas, mediante requisição legal.
Não comercializamos dados pessoais sob qualquer hipótese.
7. Segurança da informação
Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais, dentre as quais:
- Controle de acesso baseado em perfil (RBAC) e princípio do menor privilégio.
- Autenticação com credencial individual e registro de auditoria.
- Criptografia em trânsito (TLS) e, quando aplicável, em repouso.
- Backups periódicos e plano de continuidade.
- Política de gestão de incidentes e comunicação à ANPD nos termos do art. 48 da LGPD.
8. Retenção e descarte
Os dados pessoais são retidos pelo prazo necessário ao cumprimento das finalidades, observados os prazos legais — em especial os prazos mínimos de guarda de prontuário previstos pela legislação federal e pelas resoluções dos conselhos profissionais de saúde. Após esse período, os dados são eliminados ou anonimizados, conforme o caso.
9. Direitos do titular
Nos termos do art. 18 da LGPD, o titular tem direito a obter, mediante requisição:
- Confirmação da existência de tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço.
- Eliminação dos dados tratados com consentimento, ressalvadas as hipóteses do art. 16.
- Informação sobre compartilhamento.
- Revogação do consentimento.
As solicitações devem ser dirigidas ao Encarregado pelo Tratamento de Dados Pessoais (DPO) indicado pelo controlador (ente contratante) ou ao DPO indicado abaixo.
10. Cookies
O SIGSP utiliza cookies e tecnologias similares apenas para garantir o funcionamento adequado da aplicação (sessão autenticada, preferências de interface). Não utilizamos cookies de publicidade ou rastreamento de comportamento de terceiros.
11. Alterações
Esta Política pode ser atualizada para refletir mudanças legais, contratuais ou operacionais. A versão vigente estará sempre disponível nesta página, com a data da última atualização.
12. Encarregado pelo Tratamento (DPO)
Encarregado: [a ser indicado conforme contrato]
E-mail: dpo@carela.com.br
Canal de atendimento ao titular: através do formulário disponível na página inicial ou pelo e-mail acima.
Esta Política é regida pelas leis brasileiras. Eventuais questões serão dirimidas no foro do domicílio do titular ou no foro da sede do controlador, conforme o caso.