Política de Privacidade
Última atualização: 03 de julho de 2025
1. Apresentação
O Hospital São Rafael LTDA — CNPJ 06.413.934/0001-31 — com sede em Imperatriz, Maranhão, assume o compromisso de proteger a privacidade e os dados pessoais de todas as pessoas que interagem com seu site, seus serviços digitais e canais de atendimento.
Esta Política de Privacidade foi elaborada em conformidade com a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados — LGPD), com o Marco Civil da Internet (Lei n.º 12.965/2014) e demais normas aplicáveis, e tem por objetivo informar, de forma transparente, como realizamos o tratamento de dados pessoais, inclusive dados relacionados à saúde.
Ao utilizar nosso site ou qualquer canal de atendimento digital, você declara ter lido e compreendido as disposições desta Política. Caso não concorde com os termos aqui descritos, solicitamos que não forneça seus dados pessoais.
2. Definições
Para fins desta Política, aplicam-se as seguintes definições, nos termos da LGPD:
- Dado pessoal:
- Informação relacionada a pessoa natural identificada ou identificável.
- Dado pessoal sensível:
- Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Dado de saúde:
- Informação relativa ao estado físico ou mental de uma pessoa, incluindo relatos sobre atendimento médico, condições clínicas, procedimentos realizados e experiências de cuidado em saúde.
- Banco de dados:
- Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
- Titular:
- Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- Controlador:
- Pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais. Nesta Política, o controlador é o Hospital São Rafael LTDA.
- Operador:
- Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
- Encarregado (DPO):
- Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Tratamento:
- Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Consentimento:
- Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- ANPD:
- Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar pela proteção dos dados pessoais e por fiscalizar o cumprimento da LGPD.
3. Dados Pessoais que Coletamos
Coletamos apenas os dados estritamente necessários para cada finalidade, conforme o princípio da minimização previsto no art. 6º, III da LGPD.
3.1 Ouvidoria e Canal de Manifestações
Ao registrar uma reclamação, sugestão ou elogio pela Ouvidoria, podemos coletar nome, endereço de e-mail e telefone — somente quando o titular optar por se identificar. O atendimento anônimo é sempre oferecido, e, nessa hipótese, nenhum dado identificável é registrado.
Em razão da natureza do serviço prestado, manifestações relativas a experiências de atendimento podem conter relatos sobre situações de saúde — como descrições de procedimentos, sintomas ou condições clínicas. Esses dados são tratados como dados sensíveis de saúde e recebem proteção reforçada, conforme descrito na Seção 4.
3.2 Pesquisa de Satisfação
Coletamos nome e telefone (obrigatórios) e e-mail (opcional), além de avaliações por área de atendimento, indicação de recomendação e comentários livres. Comentários poderão conter relatos de experiências em saúde e serão tratados com as salvaguardas previstas na Seção 4.
3.3 Processo Seletivo — Trabalhe Conosco
Para candidatos ao banco de talentos e vagas em aberto, coletamos: nome completo, CPF, e-mail, telefone, data de nascimento, gênero, endereço completo (logradouro, número, bairro, cidade, estado e CEP), formação acadêmica e experiência profissional. As credenciais de acesso são armazenadas de forma criptografada, jamais em texto simples.
Opcionalmente, o candidato pode informar perfil profissional em rede social e sua preferência de recebimento de comunicações.
3.4 Dados Coletados Automaticamente
Não utilizamos ferramentas de rastreamento comportamental, publicidade ou análise de audiência. Os servidores de aplicação podem registrar o endereço IP do visitante exclusivamente para fins de segurança da informação e diagnóstico técnico, sem criação de perfis ou associação a identidades individuais.
4. Tratamento de Dados de Saúde
Dados sensíveis — proteção reforçada
Dados referentes à saúde são classificados como dados pessoais sensíveis nos termos do art. 5º, II da LGPD e somente são tratados nas hipóteses previstas no art. 11 da mesma Lei.
Considerando que o Hospital São Rafael é uma instituição de saúde e que seus canais de atendimento digital podem receber relatos sobre condições médicas, procedimentos, experiências clínicas ou situações de internação, adotamos as seguintes medidas:
- Base legal aplicável: o tratamento de dados de saúde recebidos pela Ouvidoria e pela Pesquisa de Satisfação fundamenta-se no art. 11, II, alínea "f" da LGPD (tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde ou por entidades sanitárias), no legítimo interesse para melhoria contínua da assistência prestada e, quando aplicável, no cumprimento de obrigação legal.
- Finalidade restrita: dados de saúde coletados pelos canais digitais são utilizados exclusivamente para análise e resposta à manifestação apresentada, para aprimoramento da qualidade assistencial e para cumprimento de obrigações legais e regulatórias. Não são utilizados para finalidades comerciais, marketing ou publicidade.
- Acesso restrito: dados relacionados à saúde são acessíveis apenas aos profissionais diretamente responsáveis pelo atendimento da manifestação ou da pesquisa, com registro de acesso para fins de auditoria.
- Sigilo profissional: os colaboradores que têm acesso a dados de saúde estão sujeitos a obrigações de confidencialidade, inclusive sob responsabilidade disciplinar e legal.
5. Finalidades e Bases Legais
O tratamento de dados pessoais pelo Hospital São Rafael é realizado com fundamento nas seguintes hipóteses legais previstas nos arts. 7º e 11 da LGPD:
| Dado / Categoria | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Identificação do titular (Ouvidoria) | Registrar a manifestação, emitir protocolo, encaminhar ao setor responsável e comunicar a resposta ao titular | Legítimo interesse — art. 7º, IX |
| Relatos de saúde em manifestações | Analisar e responder à manifestação; aprimorar a qualidade da assistência prestada | Tutela da saúde / legítimo interesse — art. 11, II, f e art. 7º, IX |
| Dados da pesquisa de satisfação | Avaliar e melhorar continuamente a qualidade do atendimento e dos serviços hospitalares | Legítimo interesse — art. 7º, IX |
| Dados cadastrais do candidato | Conduzir o processo seletivo, avaliar adequação ao cargo, comunicar etapas e manter banco de talentos | Execução de pré-contrato — art. 7º, V |
| CPF do candidato | Verificar identidade e garantir unicidade do cadastro no processo seletivo | Execução de pré-contrato — art. 7º, V |
| Credencial de acesso (senha) | Autenticar o titular com segurança na área restrita do candidato | Execução de contrato — art. 7º, V |
| Endereço IP (logs técnicos) | Segurança da informação, prevenção a fraudes e diagnóstico técnico | Legítimo interesse / obrigação legal — art. 7º, IX e II (Marco Civil da Internet) |
6. Compartilhamento de Dados com Terceiros
O Hospital São Rafael não vende, aluga nem cede dados pessoais a terceiros para fins comerciais ou publicitários. O compartilhamento de dados ocorre apenas nas situações estritamente necessárias para a operação dos serviços, com prestadores de serviço que atuam como operadores em nome do hospital, vinculados contratualmente às mesmas obrigações de proteção de dados:
| Categoria do Operador | Finalidade do Compartilhamento | Localização |
|---|---|---|
| Provedor de banco de dados | Armazenamento seguro de todos os dados pessoais coletados pelo site, em ambiente com controles de acesso e criptografia em repouso | Infraestrutura em nuvem — pode envolver transferência internacional (v. Seção 9) |
| Serviço de envio de e-mail transacional | Entrega de protocolos de ouvidoria, confirmações de cadastro, notificações de processo seletivo e demais comunicações geradas pelo sistema | Conforme configuração do serviço contratado |
| Serviço de mapas (acesso ao mapa de localização do hospital) | Exibição do mapa interativo na página de localização — somente quando o titular autoriza o uso de cookies não essenciais | Servidor externo — pode envolver transferência internacional (v. Seção 9) |
Além dos casos acima, dados poderão ser compartilhados com autoridades públicas, órgãos reguladores ou o Poder Judiciário quando exigido por lei, ordem judicial ou ato de autoridade competente.
7. Armazenamento e Retenção dos Dados
Os dados pessoais são armazenados em banco de dados — conjunto estruturado de dados pessoais, estabelecido em suporte eletrônico, com controles de acesso, autenticação e criptografia — administrado por operador contratado, em ambiente compatível com as exigências de segurança aplicáveis a instituições de saúde.
| Categoria de Dado | Prazo de Retenção |
|---|---|
| Manifestações e relatos da Ouvidoria (incluindo dados de saúde) | Pelo período necessário ao acompanhamento do caso e por no mínimo 5 (cinco) anos para fins de auditoria e cumprimento de obrigação legal |
| Pesquisas de satisfação | 2 (dois) anos a partir da data do registro |
| Cadastro e dados do candidato | 2 (dois) anos após o último acesso ativo ou até solicitação de exclusão pelo titular, respeitados prazos legais trabalhistas |
| Logs técnicos (endereço IP) | Até 6 (seis) meses, conforme art. 15 do Marco Civil da Internet (Lei n.º 12.965/2014) |
Após o término do prazo de retenção, os dados são eliminados de forma segura ou anonimizados, de modo que não seja possível identificar o titular.
8. Segurança da Informação
Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida, incluindo, mas não se limitando a:
- Transmissão de dados protegida por protocolo seguro de comunicação (criptografia em trânsito);
- Armazenamento de credenciais de acesso mediante algoritmo de criptografia com fator de custo elevado, sem armazenamento em texto simples;
- Cookies de sessão configurados com atributos de segurança que impedem acesso por scripts de terceiros e mitigam ataques de falsificação de requisições;
- Controle de acesso baseado em funções, garantindo que cada colaborador ou sistema acesse apenas os dados necessários ao desempenho de suas atividades;
- Registro e monitoramento de acessos ao banco de dados para fins de auditoria e detecção de anomalias;
- Compromisso de confidencialidade de todos os colaboradores e prestadores de serviço que tenham acesso a dados pessoais.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Hospital São Rafael notificará a ANPD e os titulares afetados nos prazos e formas estabelecidos pela legislação vigente.
9. Transferência Internacional de Dados
Em razão da utilização de serviços de infraestrutura digital, alguns dados pessoais poderão ser transferidos ou armazenados fora do território brasileiro. Nessas hipóteses, o Hospital São Rafael exige, contratualmente, que o operador estrangeiro adote nível de proteção equivalente ao exigido pela LGPD, com respaldo nas hipóteses do art. 33 da Lei n.º 13.709/2018, especialmente a adoção de cláusulas contratuais específicas para essa finalidade.
10. Cookies e Tecnologias de Rastreamento
Este site utiliza exclusivamente cookies essenciais — necessários para autenticação de usuários e funcionamento das áreas restritas — e, mediante seu consentimento expresso, cookies de serviços de terceiros para exibição do mapa de localização.
Não utilizamos cookies de rastreamento comportamental, publicidade direcionada, pixels de conversão ou qualquer outra tecnologia de monitoramento de audiência.
Para informações detalhadas sobre os cookies utilizados, suas finalidades, duração e como gerenciá-los, acesse nossa Política de Cookies.
11. Direitos do Titular
Nos termos dos arts. 17 a 22 da LGPD, você — como titular dos dados — possui os seguintes direitos, que podem ser exercidos a qualquer momento:
- Confirmação e acesso:
- Confirmar a existência de tratamento de seus dados e obter acesso a eles, de forma clara e completa.
- Correção:
- Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação:
- Requerer a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade:
- Receber seus dados pessoais em formato estruturado e interoperável, para transferência a outro fornecedor de serviço ou produto, nos termos regulamentados pela ANPD.
- Eliminação:
- Solicitar a eliminação dos dados tratados com base em consentimento, observados os prazos legais de retenção obrigatória.
- Informação sobre compartilhamento:
- Obter informações sobre entidades públicas e privadas com as quais o controlador compartilhou seus dados.
- Oposição:
- Opor-se ao tratamento realizado com fundamento em legítimo interesse, caso entenda que não está em conformidade com a LGPD.
- Revisão de decisões automatizadas:
- Solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
- Revogação do consentimento:
- Retirar o consentimento a qualquer tempo, quando o tratamento se fundar nessa base legal, sem prejuízo da licitude dos tratamentos realizados antes da revogação.
Para exercer qualquer dos direitos acima, envie sua solicitação ao nosso Encarregado pelo e-mail privacidade@hospitalsaorafael.com.br. Responderemos no prazo de 15 (quinze) dias úteis, podendo ser prorrogado, mediante justificativa, conforme a complexidade da demanda.
12. Proteção de Crianças e Adolescentes
Este site não é direcionado ao público infanto-juvenil e não coleta, de forma intencional, dados pessoais de crianças (menores de 12 anos) ou adolescentes (entre 12 e 18 anos) sem o consentimento expresso e específico de um dos pais ou do responsável legal, conforme exigido pelo art. 14 da LGPD.
Caso identifiquemos que dados de menores foram coletados sem o consentimento adequado, providenciaremos sua eliminação imediata e notificaremos o responsável legal, quando possível.
13. Links para Outros Sites
Este site pode conter links para sites e serviços externos. O Hospital São Rafael não é responsável pelas práticas de privacidade ou pelo conteúdo de sites de terceiros. Recomendamos que o titular leia a política de privacidade de cada site que visitar.
14. Atualizações desta Política
Esta Política de Privacidade pode ser revisada periodicamente para refletir alterações em nossas práticas de tratamento de dados, mudanças legislativas ou decisões da ANPD. A data de "última atualização" indicada no cabeçalho desta página informa quando a versão vigente foi publicada.
Em caso de alterações relevantes que impactem direitos dos titulares, comunicaremos de forma destacada no site ou por outros meios adequados.
15. Encarregado de Proteção de Dados (DPO) e Contato
O Hospital São Rafael designou um Encarregado de Proteção de Dados (DPO), responsável por atuar como canal de comunicação entre o hospital, os titulares e a ANPD, nos termos do art. 41 da LGPD.
Hospital São Rafael LTDA
- CNPJ: 06.413.934/0001-31
- Sede: Imperatriz – Maranhão
- E-mail do Encarregado (DPO): privacidade@hospitalsaorafael.com.br
- Ouvidoria: Acesse o formulário de manifestações
O titular que se sentir insatisfeito com a forma como seus dados são tratados tem o direito de registrar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 18, § 1º da LGPD.